Eigener DNS bei einer IPv6 Konfiguration

[n3]

Hey Zusammen,

ich habe einen Glasfaseranschluss bei der Telekom und nutze IPv6. Bei den WAN Einstellungen habe ich folgendes: You cannot view this attachment.

Ich habe noch die MTU angepasst etc. und bisher läuft alles. Ich habe noch als Fallback einen IPv4 DHCP und dort ist auch mein AdGuard als DNS Server eingetragen. Leider kriege ich es nicht hin, diesen auch bei den IPv6 zu konfigurieren, sodass meine Clients diese nicht nutzen.

Wie kriege ich das hin?

Danke für die Hilfe :-)

[s.meier68]

Moin,

schaue mal hier rein. In IPv6 werden DNS Server entweder auch über dhcpv6 oder bei slaac über routing advertisements verteilt. Die wan Konfiguration ist übrigens relativ egal, wichtig ist wie es auf den internen Schnittstellen konfiguriert ist


Alternativ, solltest Du dnsmasq für dhcpv6 konfiguriert haben, must Du in  der Konfiguration von dnsmasq ra einschalten, in den Optionen von dnsmasq eine DHCPv6 Option dns-server mit der IP Adresse des adguard Servers eintragen und in den Services radvd deaktivieren....

Gruß

[n3]

Danke für den Hinweis. Habe die Einstellung gefunden. Der DNS Server ist in einem anderen Netz/Interface, wo auch meine anderen Server über IPv4 zu erreichen sind. Beim RA muss ich natürlich eine IPv6 Adresse angeben. Jetzt muss ich schauen, was die beste Lösung ist. Aktuell fallen mir drei Optionen ein:

1. AdGuard im ADMIN Netzwerk zur IPv4 auch eine IPv6 vergeben
2. AdGuard ins LAN Netzwerk verschieben
3. ADMIN Netzwerk auf IPv6 umstellen

Die Liste ist priorisiert und ich muss mal schauen, wie ich AdGuard im IPv4 ADMIN Netz eine zusätzliche IPv6 Adresse geben, damit ich diese dann im RA eintragen kann. Meine Annahme ist, dass ich dem Server manuell eine IPv6 konfiguriere, entsprechende Regeln in der FW konfigurieren muss und dann sollte es gehen. Werde mich dem mal morgen annehmen.

[s.meier68]

1. AdGuard im ADMIN Netzwerk zur IPv4 auch eine IPv6 vergeben
 Meine Annahme ist, dass ich dem Server manuell eine IPv6 konfiguriere, entsprechende Regeln in der FW konfigurieren muss und dann sollte es gehen. Werde mich dem mal morgen annehmen.

Hängt davon ab wie die IPv6 Adresse des Admin Netz Interfaces der Opnsense vergeben wurde... Manuell oder per Track Interface... eine feste IP kannst Du bei adguard aber nur über das darunter liegende System vergeben

[meyergru]

Zwei Hinweise:

1. Nicht alle Geräte akzeptieren die Angabe des DNS-Servers per SLAAC, manche brauchen DHCPv6 dazu. Das ist der Grund, weshalb der RA-Mode "Assisted" existiert - dabei wird die IPv6 per SLAAC und nur der DNS-Server per DHCPv6 übergeben.

2. Eigentlich braucht es bei Dual-Stack den IPv6-DNS-Server nicht - es ist sogar eher schädlich, denn jeder DNS-Server kann auch IPv6 auflösen (also reicht der IPv4-Server) und welcher priorisiert wird, falls beide angegeben wurden, ist nicht definiert.

Ergo: In meinem Guide empfehle ich deshalb, gar keinen DNS-Server per IPv6 zu verteilen, also RA-Mode "Unmanaged" (oder wie auch immer das beim verwendeten RA-Daemon heißt) siehe: https://forum.opnsense.org/index.php?topic=45822.0, Note 6.

[n3]

Hängt davon ab wie die IPv6 Adresse des Admin Netz Interfaces der Opnsense vergeben wurde... Manuell oder per Track Interface... eine feste IP kannst Du bei adguard aber nur über das darunter liegende System vergeben

Das ADMIN Netz hat nur IPv4. Sprich mein gesamtes Netzwerk ist eigentlich IPv4 via DHCP und die Clients aus dem LAN-Netz habe ich auf IPv6 umgestellt. Ich würde entsprechend dem AdGuard Server manuell eine IPv6 Adresse vergeben. Diese könnte ich dann im RA als DNS Server angeben und das ganze als "Assisted", richtig?

1. Nicht alle Geräte akzeptieren die Angabe des DNS-Servers per SLAAC, manche brauchen DHCPv6 dazu. Das ist der Grund, weshalb der RA-Mode "Assisted" existiert - dabei wird die IPv6 per SLAAC und nur der DNS-Server per DHCPv6 übergeben.

Danke für den Hinweis. Was spricht gegen dieses Vorgehen?

2. Eigentlich braucht es bei Dual-Stack den IPv6-DNS-Server nicht - es ist sogar eher schädlich, denn jeder DNS-Server kann auch IPv6 auflösen (also reicht der IPv4-Server) und welcher priorisiert wird, falls beide angegeben wurden, ist nicht definiert.

Ergo: In meinem Guide empfehle ich deshalb, gar keinen DNS-Server per IPv6 zu verteilen, also RA-Mode "Unmanaged" (oder wie auch immer das beim verwendeten RA-Daemon heißt) siehe: https://forum.opnsense.org/index.php?topic=45822.0, Note 6.

Gilt das auch für AdGuard? Ich möchte das meine Clients alle über AdGuard laufen und aktuell verteile ich keinen DNS-Server über IPv6 und daher greift mein AdGuard nicht.

[Patrick M. Hausen]

Wenn deine Clients dual stack sind, können sie AdGuard über IPv4 nutzen. Sind sie IPv6 only, dann brauchen sie natürlich einen IPv6-DNS-Server.

[meyergru]

Patrick liegt richtig...

Zu 1:

Ich schrieb das, weil hier empfohlen wurde, den DNS-Server über SLAAC zu verteilen. Wie gesagt, das wirkt nicht immer, weil manche Clients das nicht übernehmen und DHCPv6 dazu benötigen.


Zu 2.

Ich kenne AdGuard nicht, aber theoretisch kann jeder DNS-Server (ob selbst per IPv6 oder IPv4 betrieben) sowohl IPv4 als auch IPv6 auflösen. Du musst hier streng unterscheiden zwischen dem Protokoll, mit dem Du den DNS-Server ansprichst und den Adressen, die er Dir zurückliefern kann.
Angeblich kann Adguard schon lange IPv6: https://adguard.com/en/blog/dns-ipv6-support.html

Wenn Du also per DHCPv4 bereits den Adguard-Server an die Clients annoncierst, wozu brauchst Du dann einen zweiten Server per IPv6? Vor allem: Wenn das unterschiedliche Server wären, ist undefiniert, welches Ergebnis ggf. genutzt würde.


Zusammengefasst:

Wenn man Dual Stack nutzt und somit sowieso (irgend) einen IPv4-DNS-Server per DHCPv4 anbietet, würde ich überhaupt keinen IPv6-DNS-Server verteilen, weder über SLAAC, noch über DHCPv6. Und dann braucht man auch weder DNSv6 noch DHCPv6, sondern nur SLAAC für IPv6, was garantiert mit jedem Client funktioniert, wenn er denn überhaupt IPv6 kann. So steht es auch im HOWTO.

Einen DNS-Server per IPv6 zu annoncieren, brächte nur etwas, wenn man IPv6-only hätte und dann bräuchte man eben den "Assisted" Mode für komplette Abdeckung. Inwieweit IPv6-only aber überhaupt Sinn macht, soll jeder selbst bewerten - ich halte nichts davon, weil man dann für IPv4-only Services im Internet (und davon gibt es reichlich, beispielsweise github.com) wieder irgendwelche IPv6-to-IPv4 Brückenlösungen benötigt.

Ich bin ein Fan von Ockhams Rasiermesser...

[n3]

Wenn deine Clients dual stack sind, können sie AdGuard über IPv4 nutzen. Sind sie IPv6 only, dann brauchen sie natürlich einen IPv6-DNS-Server.

Vielleicht liege ich ja falsch. Ich gehe davon aus, dass meine Clients im Dual-Stack, denn im LAN-Netz wo sich die Clients befinden läuft ein IPv4 DHCP und sie kriegen auch eine IPv6. Auf meinem Rechner hier zeigt ipconfig folgendes

You cannot view this attachment.

Der der Client eine IPv6 hat, nutzt er diese und geht damit direkt ins Netz am AdGuard vorbei. Erst wenn IPv6 nicht geht, springt er auf IPv4 und nutzt dann den DNS. Das Problem ist also, dass immer wenn IPv6 geht, der AdGuard nicht genutzt wird. Also fast immer.

Oder verstehe ich etwas falsch?

[meyergru]

Ja, so ist es. Du zeigst in Deinen Screendumps ja gar nicht, welchen DNS-Server Du verwendest. Ruf mal "ipconfig /all" auf, dann sieht Du es.
Dort sollte, wenn es nur einen per DHCPv4 verteilten Server gibt, auch nur eine IPv4 dafür geben.

[Patrick M. Hausen]

Wenn dein Client nur genau einen IPv4-DNS-Server kennt, benutzt er auch nur den. Dann sorg dafür, dass das dein AGH ist und das Problem ist gelöst. Habe ich hier überall genau so am laufen.