Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / DNS64
- - Od pflajshans.moje Dne 2016-06-06 18:02
Dobrý den,
inspiroval jsem se dnešní přednáškou na IPv6 a snažím se rozchodit DNS64 od Googlu. Nicméně narážím na problém, kdy si už myslím, že unbound v Turrisu ignoruje forward DNS servery a jede vždy přímo.
Na Turrisu v /etc/unbound/unbound.conf mám uvedené tyto forward DNS servery:

...
forward-zone:
        name: "."
        forward-first: yes
        forward-addr: 2001:4860:4860::64
        forward-addr: 2001:4860:4860::6464
...


Nicméně z nějakého důvodu mi unbound vrací, že daný AAAA záznam pro kteroukoliv "A only" doménu neexistuje.
Když na klientu zkusím přímý dotaz, tak mi vrátí AAAA záznam:

Pavel-MBPR-2:~ pf$ dig AAAA idnes.cz @2001:4860:4860::64

; <<>> DiG 9.8.3-P1 <<>> AAAA idnes.cz @2001:4860:4860::64
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63513
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;idnes.cz.      IN  AAAA

;; ANSWER SECTION:
idnes.cz.    299  IN  AAAA  64:ff9b::b911:7721

;; Query time: 28 msec
;; SERVER: 2001:4860:4860::64#53(2001:4860:4860::64)
;; WHEN: Mon Jun  6 18:54:40 2016
;; MSG SIZE  rcvd: 54


Pokud se ale zeptám Turrise, který má forwarding na výše uvedený server (který při přímém dotazu vrátí správný AAAA záznam), tak dostanu následující:

Pavel-MBPR-2:~ pf$ dig AAAA idnes.cz @2001:xxxx:xxxx:5004::1

; <<>> DiG 9.8.3-P1 <<>> AAAA idnes.cz @2001:xxxx:xxxx:5004::1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28366
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;idnes.cz.      IN  AAAA

;; AUTHORITY SECTION:
idnes.cz.    127  IN  SOA  ns.mafra.cz. hostmaster.mafra.cz. 2016053101 300 900 604800 300

;; Query time: 132 msec
;; SERVER: 2001:xxxx:xxxx:5004::1#53(2001:xxxx:xxxx:5004::1)
;; WHEN: Mon Jun  6 18:56:35 2016
;; MSG SIZE  rcvd: 82


Dokáže někdo poradit?
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2016-06-06 19:27 Upraveno 2016-06-08 13:15 Hlasů 2
Unbound má plnohodnotnou podporu DNS64, není žádný důvod takovou věc přeposílat na Google – ani to nemůže fungovat, protože Googlí DNS64 v souladu se specifikací neprovádí DNS64 pro DNSSEC validující klienty.

Chcete-li DNS64, vytvořte soubor /etc/unbound/unbound-dns64.conf s následujícím obsahem:

server:
        module-config: "dns64 validator iterator"
        dns64-prefix: 64:ff9b::/96


A do /etc/config/unbound přidejte
list include_path '/etc/unbound/unbound-dns64.conf'

Po restartu unbounda vám bude pro všechny neexistující AAAA záznamy syntetizovat odpověď s použitím dobře známého prefixu. Aby to bylo k něčemu dobré, potřebujete ještě NAT64, nejjednodušší je TAYGA. Po instalaci stačí přidat do /etc/config/network


config interface 'nat64'
        option proto 'tayga'
        option ipv4_addr '10.64.0.1'
        option ipv6_addr '2001:db8:1234::64'
        option prefix '64:ff9b::/96'
        option dynamic_pool '10.64.0.0/16'


Kde 2001:db8:1234::64 je nějaká vaše IPv6 adresa (používá se pro ICMPv6 zprávy) a prefix 10.64.0.0/16 ve vaší síti není směrován. Na závěr je potřeba povolit ve firewallu, nejlépe přidáním rozhraní nat64 do zóny lan. (opraveno - opravdu lan, nikoli wan)
Nadřazený - - Od pflajshans.moje Dne 2016-06-08 07:58
Děkuji za radu, hned vyzkouším.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2016-06-08 13:14
Vidím, že se mi vloudila chyba, rozhraní nat64 je třeba přidat do zóny lan, nikoli wan.

Sepsal jsem k tomu návod do oficiální dokumentace, ale ještě bude chvíli trvat, než bude otestován a vystaven.
Nadřazený - - Od hybner Dne 2016-06-30 15:07
Je mozne unbound nastavit tak, aby provadel DNS64 jen pro nektere zdrojove adresy? Jde mi konkretne o to, ze mam dve wifi site. Jedna je ciste ipv6 only s DNS64 a NAT64. Druha je dualstack a tady bych chtel, aby na neexistujici AAAA zaznamy unbound neprovadel DNS64.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2016-06-30 15:27
To bohužel možné není. Doporučuji to vyřešit použitím Google Public DNS64 na IPv6-only síti.
Nahoru Téma Majitelé routerů / Technická podpora / DNS64

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill