Eigener DNS bei einer IPv6 Konfiguration

Started by n3, January 10, 2026, 06:35:01 PM

Previous topic - Next topic
Print
Go Down Pages 1 ... 3 4 5
User actions
Today at 11:48:08 AM #60
Quote from: Zapad on Today at 10:45:30 AMVariante 4, und die Welt ist Wwunderbar...

You cannot view this attachment.

Das erklärt nichts. Zu welcher Situation ist das eine Lösung?

a. Hast Du IPv4-only-Clients?
b. Was trägst Du im internen DNS ein? IPv4-only, ULA-only oder beides?

Wahrscheinlichster Fall:

Falls a = ja und b = beides (was dann nötig ist), werden Aufrufe der internen DNS-Bezeichnungen immer dazu führen, dass die IPv4 genutzt wird, nie die ULA. Somit bleiben die ULAs für den internen DNS wirkungslos. Stattdessen erhöhst Du die Komplexität, weil Du für den externen IPv6-Zugriff nun auch noch NAT64 benötigst. Was gewinnst Du also nochmal genau gegenüber Variante 3 durch die ULAs?

Und make no mistake: Deine Grafik aus #32 beweist lediglich, dass Deine Clients IPv6 nutzen. Ich vermute, das sind (externe) GUAs, keine ULAs - denn: interne Zugriffe müssten so zwangsläufig auf die IPv4 des Service laufen.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Today at 02:00:00 PM #61
Quote from: meyergru on Today at 11:48:08 AMUnd make no mistake: Deine Grafik aus #32 beweist lediglich, dass Deine Clients IPv6 nutzen. Ich vermute, das sind (externe) GUAs, keine ULAs - denn: interne Zugriffe müssten so zwangsläufig auf die IPv4 des Service laufen.

Natürlich ist WAN GUA, die Clients intern nutzen ULA über Sense KEA mit RA.

wenn die Clients IP4 DNS abfragen sollen wie denn? natürlich IP6 DNS.

...aber wenn es deine Welt durcheinander bringt....

You cannot view this attachment.


Today at 02:04:40 PM #62
@meyergru Es gibt noch eine weitere Variante: DNS so konfigurieren, dass Clients, die Queries per IPv6 schicken nur AAAA-Records genannt bekommen. Das umgeht u. A. das Problem der Priorität von IPv4 vs. ULAs.

Gelöst habe ich das bei mir so:
Die internen DNS-Zonen sind in Bind (OPNsense-Plugin) angelegt. Dort gibt es AAAA-Records (ULAs) und A-Records (RFC1918).
Als Rekursiver Resolver läuft Unbound, mit Forwardings zu Bind für die internen Zonen. DNS64 und AAAA-only-Modus sind aktiv.
Über RAs und DHCPv6 wird die IPv6-Adresse von Unbound als DNS-Server verteilt. IPv6-Clients bekommen somit ausschließlich AAAA-Records (der AAAA-only-Modus filtert A-Records).
Über DHCPv4 wird die IPv4-Adresse von Bind als DNS-Server verbreitet, IPv4-Clients befragen also direkt Bind und bekommen somit auch A-Records.

Die NAT64-Aversion wirst Du auch noch überwinden, mittelfristig kommt ohnehin niemand daran vorbei. ;)
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
Print
Go Up Pages 1 ... 3 4 5
User actions