Eigener DNS bei einer IPv6 Konfiguration

[Maurice]

Aber Aufgrung des tieferens einsteigens in die thematik IP6 würde ich NIEMALS GUA Lokal verwenden und trotz der Privacy extensions nach Draussen Strippen.

Dann kann der Einstieg so tief nicht gewesen sein.

Täglich wechselnde Präfixe haben ISPs ersonnen, um statische Präfixe als "Business-Feature" teuer verkaufen zu können. Das Privacy-Argument ist nur vorgeschoben. Wie @meyergru schon sagte sind Cookies, Fingerprinting etc. in dieser Hinsicht viel relevanter als ein statisches IPv6-Präfix.

[Zapad]

Intern würde ich Services und Außengeräte ausschließlich über ULA adressieren und sie nicht direkt global erreichbar machen. Nur ein Reverse Proxy h

So mache ich das auch, Intern ULA nach draussen NAT.

ich habe nie gesagt das ich am WAN gegen feste IP weäre... wenn es aber
 nach ginge würde ich jeden Tag eine andere IP6 haben wollen, aber mein Provider hat mir Quasi feste vergeben.

Dann kann der Einstieg so tief nicht gewesen sein.

Tief genug um zu wissen warum IP6 sei 30j schatten dasein führt.

Werden die Private Extensions etwa über Zufallsgeneratoren generiert? die ja bekannte massen bug habe und berechenbar sind?

Es würde mich nicht wundern.

Alle sprechen über "kein NAT bei IP6" aber keiner hat je Probleme damit beschrieben.... es gibt in der Paxis nähmlich keine die man merkt/sieht....

Vorteile mein internes Netzwerk bleibt konsistent und kein Provider(wechsel) wurschtelt da rum.

[s.meier68]

Da gehts aber nur um die DNS Auflösung, wenn ein Name IPv6 GUA, IPV4 und IPv6 ULA hat, dann wird der Name in der Priorität aufgelöst bzw. vom Client in der Priorität benutzt.
Ist aber für DNS Infrastruktur kein Problem, DNS Server werden dem Client per IP mitgeteilt, dementsprechend ist IPv6 ULA zumindest dafür eine valide Lösung.

Ich will ja garnicht unbedingt klugscheißern, aber Nö. Wie meyergru auch schon schrieb, geht es um die grundsätzliche Priorisierung der Nutzung der entrsprechenden IP-Adresse durch den Netzwerkstack. IPv6 > IPv4 > IPv6 ULA. Das wirkt sich dann natürlich auf die Nutzung der vom DNS-Server zurückgelieferten IP aus.Diese wird vom Stack dann in der Priorität genutzt. Das gilt, wenn der Client sowohl ULA, GUA und IPv4 hat,auch für die IP-Adresse des DNS-Servers und damit für die Namensauflösung.
Der DNS-Infrastruktur ist das egal, ja.

[s.meier68]

Mal ganz abgesehen davon, dass der DNS-Server genauso gut per IPv4 genutzt / adressiert werden könnte - aber falls sowohl IPv4 als auch IPv6 angegeben werden, ist die Frage, welcher Server dann genutzt wird, undefiniert. All das gilt für Dual-Stack.

Undefiniert ist das nicht, sondern beruht auf der Prio des jeweiligen Stacks des Betriebssystems. Es wird ipv6 bevorzugt.

[s.meier68]

ULAs werden normalerweise nicht wegen der Angabe des DNS-Servers, sondern in dem Bestreben genutzt, bei dynamischen IPv6 Präfixen und gewünschtem weitgehenden Verzicht auf (legacy) IPv4 eine DNS-Eintragung vornehmen zu können - weil das mit den (dynamischen) GUAs eben nicht geht. Meine Bemerkung wies lediglich darauf hin, dass genau das bei Dual-Stack trotzdem nicht funktioniert, weil IPv6 ULAs bei gleichzeitiger Verfügbarkeit von IPv4 für DNS-Einträge aufgrund der geringeren Priorisierung gar nicht genutzt werden (viele denken, IPv6 würde "immer" vorgezogen - dem ist nicht so).

Genau aus dem Grund benutze ich ULA auch und hatte schon ein paar Merkwürdigkeiten mit IPv4 und den ULA,s die sich jetzt erklären

[Patrick M. Hausen]

https://blog.ipspace.net/2022/05/ipv6-ula-made-useless/

[Zapad]

Hallo Patrick,

der Beitrag ist durchaus bekannt. :)   ...keine ahnung wer der "experte" ist....

Es kommt drauf an wie du Google fütterst so kriegts du auch Antworten...

ULA useless, ULA usefull etc.

So wie ich Verstanden habe will TE eine Öffentliche IP6 über reverse Proxy an interne ULA's verdrahten...

Vor/Nachteile Reverse Proxy vs NAT!?

Es gibt ja noch NPTv6, Vor/nachtele vs NAT?

Wie hält man sein IP6 Netzwerk übersichtlich und konsistent? wenn zb Proveder wechsel etc.? Vlan Routing etc...

[Zapad]

Bilder sprechen mehr als Wörter...

You cannot view this attachment.

[Patrick M. Hausen]

der Beitrag ist durchaus bekannt. :)   ...keine ahnung wer der "experte" ist....

https://labs.ripe.net/history-of-networking/behind-the-iron-curtain-ivan-pepelnjak/

Wie hält man sein IP6 Netzwerk übersichtlich und konsistent? wenn zb Proveder wechsel etc.? Vlan Routing etc...

Meine Antwort kennst du: statische Adressen, SLAAC und kein NAT.

[s.meier68]

https://blog.ipspace.net/2022/05/ipv6-ula-made-useless/

Ich bin mir dessen durchaus bewusst. Beruflich verzichte ich auf ULA's und setze auf einen festen Ipv6 Prefix. Wenn ich aber privat Dienste freigeben möchte (DynDNS) und auch IPv6 filtern möchte, habe ich kaum eine andere Chance. Dynamische Prefixe sind mindestens genauso großer Mist wie ULAs. Ein fester IPv6 Prefix ist mir privat dann zu teuer....

[bimbar]

Da gehts aber nur um die DNS Auflösung, wenn ein Name IPv6 GUA, IPV4 und IPv6 ULA hat, dann wird der Name in der Priorität aufgelöst bzw. vom Client in der Priorität benutzt.
Ist aber für DNS Infrastruktur kein Problem, DNS Server werden dem Client per IP mitgeteilt, dementsprechend ist IPv6 ULA zumindest dafür eine valide Lösung.

Ich will ja garnicht unbedingt klugscheißern, aber Nö. Wie meyergru auch schon schrieb, geht es um die grundsätzliche Priorisierung der Nutzung der entrsprechenden IP-Adresse durch den Netzwerkstack. IPv6 > IPv4 > IPv6 ULA. Das wirkt sich dann natürlich auf die Nutzung der vom DNS-Server zurückgelieferten IP aus.Diese wird vom Stack dann in der Priorität genutzt. Das gilt, wenn der Client sowohl ULA, GUA und IPv4 hat,auch für die IP-Adresse des DNS-Servers und damit für die Namensauflösung.
Der DNS-Infrastruktur ist das egal, ja.

Ja, aber, die einzige Situation, wo das typischerweise relevant ist, ist im DNS Fall, wenn es für einen Namen Einträge für all diese Adresstypen gibt.

[meyergru]

...die Du brauchst, wenn das Gerät/Service auch für IPv4-only Clients genutzt werden soll. Und dann nehmen bei ULAs alle Clients die IPv4.

Sortieren wir es mal, es gibt drei Situationen:

1. Feste IPv6-Präfixe, so wie von der IETF vorgesehen. Man braucht keine ULAs, nur GUAs und IPv4-only Clients werden eben per Dual-Stack bedient (also interner DNS mit IPv4 und IPv6-Adressen bestückt). Alles ist gut - nur nicht für Hardware-Privacy-Experten, die dann auch noch ihre EUI-64 verschleiern wollen. Die Welt ist für die meisten Anderen schön.

2. Dynamische IPv6-Präfixe, aber keine Legacy-Clients: Dann kann man den internen DNS mit IPv6-only bestücken, was aber aufgrund der dynamischen Präfixe sinnvoll nur mit (festen) ULAs geht. Für Outbound IPv6 kann man zusätzlich GUAs verwenden, solange diese nicht im internen DNS auftauchen oder alternativ NAT64 machen (igitt). Ich mach' mir die Welt schön.

3. Dynamische IPv6-Präfixe und vorhandene IPv4-only Clients. Problematisch, außer mit internem IPv4 und outbound IPv6. Der interne DNS wird nur mit IPv4-Adressen gefüttert, weil das mit jedem Client geht. Andere Ansätze mit ULA usw. sind aufgrund der Priorisierung IPv4-vor-ULA unwirksam und clumsy, wie bereits dargestellt. Weil man diesen Ansatz eigentlich in allen drei Situationen fahren kann, ist das meine präferierte "Fits all"-Lösung (deswegen steht im Titel "just works"). Die Welt ist immer noch schön, aber nicht "modern".

[Zapad]

Variante 4, und die Welt ist Wwunderbar...

You cannot view this attachment.

[s.meier68]

Ja, aber, die einzige Situation, wo das typischerweise relevant ist, ist im DNS Fall, wenn es für einen Namen Einträge für all diese Adresstypen gibt.

Es ist doch insgesamt relevant wenn mit ULAs gearbeitet wird? Wenn ein interner Dienst (DNS, sonst irgendeiner) eine ULA und eine IPv4 hat, wird der IP-Stack des anfragenden Clients beim Neuaufbau der Verbindung den Aufbau über IPv4 bevorzugen.
Für ausgehende Verbindungen in das Internet. Der Client wird bei AAAA und A Records die IPv4 des Zielsystems benutzen. Wenn jetzt der Server im Internet nur einen AAAA Record hat, wird der Client mit seiner ULA bis zum DefaultGateway kommen....

Wenn intern Wenn man also mit ULA's arbeitet um das Problem mit dynamischen Prefixen zu umgehen, muss man halt entsprechend aufpassen. Andersherum kann man aber von der externen öffentlichen IPv6 auf die interne ULA NAT machen. Der IP-Stack wechselt die IP Variante nicht.

[bimbar]

Ja, aber, die einzige Situation, wo das typischerweise relevant ist, ist im DNS Fall, wenn es für einen Namen Einträge für all diese Adresstypen gibt.

Es ist doch insgesamt relevant wenn mit ULAs gearbeitet wird? Wenn ein interner Dienst (DNS, sonst irgendeiner) eine ULA und eine IPv4 hat, wird der IP-Stack des anfragenden Clients beim Neuaufbau der Verbindung den Aufbau über IPv4 bevorzugen.
Für ausgehende Verbindungen in das Internet. Der Client wird bei AAAA und A Records die IPv4 des Zielsystems benutzen. Wenn jetzt der Server im Internet nur einen AAAA Record hat, wird der Client mit seiner ULA bis zum DefaultGateway kommen....

Wenn intern Wenn man also mit ULA's arbeitet um das Problem mit dynamischen Prefixen zu umgehen, muss man halt entsprechend aufpassen. Andersherum kann man aber von der externen öffentlichen IPv6 auf die interne ULA NAT machen. Der IP-Stack wechselt die IP Variante nicht.

Das Szenario mit den mehreren Adresstypen gibt es halt normalerweise nur bei DNS.

Intern ULA only mit NAT halte ich für keine gute Idee, da ist es besser, ULA und GUA zu kombinieren, auch wenn die GUAs dynamisch sind.