Windows DNS Server mehrere AAAA Records im IPv6 Netzwerk
Hallo zusammen,
mich beschäftigt zur Zeit folgendes Problem:
Ein Netzwerk ist vollständig IPv4 und IPv6 fähig. IPv4 läuft wie üblich in einer privaten Range via NAT.
Für IPv6 habe ich folgenden Weg gewählt: Unser Router erhält vom Provider ein /56er Präfix und verteilt daraus ein /64er Präfix per SLAAC an alle Clients.
Um bei einem Wechsel des GUA Präfixes (bspw. Providerwechsel) nicht vor Problemen zu stehen, haben wir ebenfalls ein /64er ULA (Unique Local Address) Präfix generiert.
Jeder Client erhält also im Endergebnis:
1x IPv4 Adresse
1x IPv6 Link Local Address
1x IPv6 Unique Local Address
1x IPv6 Global Unicast Address
Im Windows DNS Server der Domäne wird nun ein A Record auf die IPv4 Adresse angelegt. Für die IPv6 Link Local scheint der Windows DNS keine Einträge anzulegen. Für die ULA wird ein AAAA Record angelegt. Für die GUA wird (leider) ebenfalls ein AAAA record angelegt.
Somit ergeben sich zwei AAAA Records für einen Client / DNS-Namen.
Auf der einen Seite finde ich das nicht wirklich sauber, auf der anderen Seite bereitet uns das Probleme:
Clients greifen auf einen Server der per DNS aufgelöst wird nun manch mal über seine GUA Adresse zu, manch mal über seine ULA Adresse.
Gerade bei Webservern und auch bei einigen anderen Diensten sorgt das schnell für Probleme, wenn der jeweilige Port nur für eine IPv6 lauscht.
Insgesamt würden wir uns intern gerne ausschließlich auf die ULA's beschränken und die GUA's nur für Webzugriff nutzen, um von öffentlichen Präfixen unabhängig zu bleiben.
Bisher habe ich aber keine Möglichkeit gefunden, den Windows DNS Server dazu zu bringen, ausschließlich einen AAAA Record für die ULA anzulegen und die GUA genau so wie die Link Local zu ignorieren.
Geht das? Wie löst Ihr das?
Viele Grüße
Joshua
mich beschäftigt zur Zeit folgendes Problem:
Ein Netzwerk ist vollständig IPv4 und IPv6 fähig. IPv4 läuft wie üblich in einer privaten Range via NAT.
Für IPv6 habe ich folgenden Weg gewählt: Unser Router erhält vom Provider ein /56er Präfix und verteilt daraus ein /64er Präfix per SLAAC an alle Clients.
Um bei einem Wechsel des GUA Präfixes (bspw. Providerwechsel) nicht vor Problemen zu stehen, haben wir ebenfalls ein /64er ULA (Unique Local Address) Präfix generiert.
Jeder Client erhält also im Endergebnis:
1x IPv4 Adresse
1x IPv6 Link Local Address
1x IPv6 Unique Local Address
1x IPv6 Global Unicast Address
Im Windows DNS Server der Domäne wird nun ein A Record auf die IPv4 Adresse angelegt. Für die IPv6 Link Local scheint der Windows DNS keine Einträge anzulegen. Für die ULA wird ein AAAA Record angelegt. Für die GUA wird (leider) ebenfalls ein AAAA record angelegt.
Somit ergeben sich zwei AAAA Records für einen Client / DNS-Namen.
Auf der einen Seite finde ich das nicht wirklich sauber, auf der anderen Seite bereitet uns das Probleme:
Clients greifen auf einen Server der per DNS aufgelöst wird nun manch mal über seine GUA Adresse zu, manch mal über seine ULA Adresse.
Gerade bei Webservern und auch bei einigen anderen Diensten sorgt das schnell für Probleme, wenn der jeweilige Port nur für eine IPv6 lauscht.
Insgesamt würden wir uns intern gerne ausschließlich auf die ULA's beschränken und die GUA's nur für Webzugriff nutzen, um von öffentlichen Präfixen unabhängig zu bleiben.
Bisher habe ich aber keine Möglichkeit gefunden, den Windows DNS Server dazu zu bringen, ausschließlich einen AAAA Record für die ULA anzulegen und die GUA genau so wie die Link Local zu ignorieren.
Geht das? Wie löst Ihr das?
Viele Grüße
Joshua
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 448814
Url: https://administrator.de/contentid/448814
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
an einem ähnlichen Dilemma bastle ich schon eine Weile: IPv6 Konfiguration von Site-Site-VPN ohne feste IP - vielleicht hilfts weiter.
Mein Fazit:
ULAs sind vermutlich keine Lösung. Das Konzept der 64-bit IPv6-Adressen schließt die These ein, dass es genug IP-Adressen für alles gibt. siehe auch https://tools.ietf.org/html/rfc4193 - ULAs sind quasi ein Add-ON für IPv6 für spezielle Fälle, aber eben nicht die primäre Empfehlung.
Der Präfixwechsel durch den Provider hingegen dürfte kein Problem sein, da genau hierfür die Möglichkeit in IPv6 vorgesehen ist, mehrere Adressen an einen Node zu haben.
Grüße
lcer
an einem ähnlichen Dilemma bastle ich schon eine Weile: IPv6 Konfiguration von Site-Site-VPN ohne feste IP - vielleicht hilfts weiter.
Mein Fazit:
ULAs sind vermutlich keine Lösung. Das Konzept der 64-bit IPv6-Adressen schließt die These ein, dass es genug IP-Adressen für alles gibt. siehe auch https://tools.ietf.org/html/rfc4193 - ULAs sind quasi ein Add-ON für IPv6 für spezielle Fälle, aber eben nicht die primäre Empfehlung.
Der Präfixwechsel durch den Provider hingegen dürfte kein Problem sein, da genau hierfür die Möglichkeit in IPv6 vorgesehen ist, mehrere Adressen an einen Node zu haben.
Grüße
lcer
ULA ist ganz sicher keine Lösung, denn das sind Adressen die im Internet nicht geroutet werden. Da es bei v6 kein NAT gibt schafft das erhebliche Probleme. Das sind einzig nur Adressen für ein isoliertes Spiel- und Testnetzwerk, niemals aber etwas für ein produktives Netz.
Es macht nur Sinn den per PD vom Provider vergebenen Prefix als /64 im lokalen LAN weiterzugeben. SLAAC only hat den Nachteil das dort keine v6 Resolver Adresse propagiert wird an die Clients. Damit scheitert dann in der Regel ein v6 DNS Request. Besser ist es DHCPv6 zu verwenden. Siehe auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Ist zwar Cisco bezogen, gilt aber analog auch für alle anderen Router und Firewalls.
Es macht nur Sinn den per PD vom Provider vergebenen Prefix als /64 im lokalen LAN weiterzugeben. SLAAC only hat den Nachteil das dort keine v6 Resolver Adresse propagiert wird an die Clients. Damit scheitert dann in der Regel ein v6 DNS Request. Besser ist es DHCPv6 zu verwenden. Siehe auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Ist zwar Cisco bezogen, gilt aber analog auch für alle anderen Router und Firewalls.
ULA's führen ja nicht zwangsläufig zu einem v6 NAT.
Das ist richtig. Es sollte ja auch nur anmerken das diese Adressen rein nur lokal bzw. intern nutzbar sind. Das wäre dann aber wieder Unsinn denn du hast ja so oder so die Unique Local Unicast Adressen. Die haben dann auch noch den Vorteil das sie nicht rausgeroutet werden können. OK zugegeben die nützen nix in einem segmentierten Netz.Wenn du dazu noch ein offizielles Provider Subnetz per PD bekommst welchen tieferen Sinn sollten dann ULAs noch haben. Wäre nur eine sinnfreie Verkomplizierung des lokalen v6 Adressschemas ohne Grund.
Um Unabhängigkeit vom Provider zu bekommen lässt du dir offiziell immer fest einen Prefix zuteilen. Kein Mensch der ein strukturiertes und segmentiertes v6 Netzwerk hat macht sich von PDs vom Provider abhängig. Was die Abhängigkeit anbetrifft hast du also Recht, keinen Frage. Nicht was die Adressierung anbetrifft.
Ein offizielles v6 Subnetz bekommst du heute ohne Probleme wozu dann also so ein halbgares Konzept mit ULA Adressen was so oder so wieder verworfen wird und dann wieder einen Eingriff erfordert.
Aber ok, es gibt da sicher unterschiedliche Ansichten über ein ToDo.
Hilfreich ist da: https://www.amazon.de/IPv6-Address-Planning-Designing-Future/dp/14919027 ...
Hallo,
Na ja, ich glaube der Grundgedanke hinter IPv6 ist ein anderer als hinter IPv4. IPv4 war im Grunde das primäre Internetprotokoll, da ist eine Menge dazugekommen. Zum Beispiel DNS. Die Entwickler von IPv6 gingen sicherlich davon aus, das eine saubere DNS-Infrastruktur existiert (nebenbei, wie hieß noch mal die alte Namensauflösungsdingens …. ach ja WINS ). Auch wenn IPv6 natürlich ohne DNS lauffähig ist.
Der Präfixwechsel erfolgt unmittelbar - wird quasi ins Netzwerksegment hineingeschmissen. Die nodes sollten sich dann beim DNS-Server neu registrieren und die aktualisierte Adresse wird ausgegeben. DynDNS funktioniert doch auch (eigentlich …. meistens ….).
Problem entstehen durch fehlerhafte Implementationen der Protokolle. Ich würde auch nicht jedem Drucker zutrauen, dass er den Präfixwechsel sofort weitermeldet.
Nochmal, IPv4 ist historisch im arpanet verwurzelt. IPv6 ist eine komplette Neuentwicklung. Den Wechsel sieht man zum Beispiel gut, wenn man mal die Unterschiede zwischen DHCPv4 und DHCPv6 anschaut. Das ist ein völlig anderes Konzept! Deshalb dürfen wir bei Implementation von IPv6 nicht 1:1 die IPv4 Strukturen übernehmen. ULAs sind die Entsprechungen für private IPv4-IPs aber im IPv6-Kontext entbehrlich.
lies mal https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast und insbesondere https://de.wikipedia.org/wiki/IPv6#Site_Local_Unicast_(veraltet) Wir würden gerne private IPs verwenden. Dafür waren einmal Site Local Unicasts vorgesehen - die wurden aber verworfen! und jetzt wollen wir stattdessen ULAs verwenden, um sie doch noch zu realisieren? Das ist so bei IPv6 nicht vorgesehen!
Ich befürchte wir müssen da halt den Blickwinkel ändern und das Gesamtkonzept überdenken. Und zur Not muss langfristig auch Hardware getauscht werden, wenn der Hersteller keine saubere Implementation liefert.
Grüße
lcer
Edit: soll natürlich heißen, dass es keine Probleme gibt, wenn man FQDNs anstelle von IP-Adressen verwendet.
Zitat von @JoRu1407:
Sehe ich den Präfixwechsel eines Providers wirklich zu kritisch?
Wenn ich nen DB Server, nen Drucker o.ä. irgendwo per IPV6 Adresse anspreche - Dann muss ich bei einem Präfixwechsel doch sämtliche Druckertreiber, Datenbank-Connections etc. abändern, oder?
Sehe ich den Präfixwechsel eines Providers wirklich zu kritisch?
Wenn ich nen DB Server, nen Drucker o.ä. irgendwo per IPV6 Adresse anspreche - Dann muss ich bei einem Präfixwechsel doch sämtliche Druckertreiber, Datenbank-Connections etc. abändern, oder?
Na ja, ich glaube der Grundgedanke hinter IPv6 ist ein anderer als hinter IPv4. IPv4 war im Grunde das primäre Internetprotokoll, da ist eine Menge dazugekommen. Zum Beispiel DNS. Die Entwickler von IPv6 gingen sicherlich davon aus, das eine saubere DNS-Infrastruktur existiert (nebenbei, wie hieß noch mal die alte Namensauflösungsdingens …. ach ja WINS ). Auch wenn IPv6 natürlich ohne DNS lauffähig ist.
Der Präfixwechsel erfolgt unmittelbar - wird quasi ins Netzwerksegment hineingeschmissen. Die nodes sollten sich dann beim DNS-Server neu registrieren und die aktualisierte Adresse wird ausgegeben. DynDNS funktioniert doch auch (eigentlich …. meistens ….).
Problem entstehen durch fehlerhafte Implementationen der Protokolle. Ich würde auch nicht jedem Drucker zutrauen, dass er den Präfixwechsel sofort weitermeldet.
Nochmal, IPv4 ist historisch im arpanet verwurzelt. IPv6 ist eine komplette Neuentwicklung. Den Wechsel sieht man zum Beispiel gut, wenn man mal die Unterschiede zwischen DHCPv4 und DHCPv6 anschaut. Das ist ein völlig anderes Konzept! Deshalb dürfen wir bei Implementation von IPv6 nicht 1:1 die IPv4 Strukturen übernehmen. ULAs sind die Entsprechungen für private IPv4-IPs aber im IPv6-Kontext entbehrlich.
lies mal https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast und insbesondere https://de.wikipedia.org/wiki/IPv6#Site_Local_Unicast_(veraltet) Wir würden gerne private IPs verwenden. Dafür waren einmal Site Local Unicasts vorgesehen - die wurden aber verworfen! und jetzt wollen wir stattdessen ULAs verwenden, um sie doch noch zu realisieren? Das ist so bei IPv6 nicht vorgesehen!
Ich befürchte wir müssen da halt den Blickwinkel ändern und das Gesamtkonzept überdenken. Und zur Not muss langfristig auch Hardware getauscht werden, wenn der Hersteller keine saubere Implementation liefert.
Grüße
lcer
Edit: soll natürlich heißen, dass es keine Probleme gibt, wenn man FQDNs anstelle von IP-Adressen verwendet.
Kein v6 Endgerät "registriert" sich beim DNS Server ! Da hast du wohl grundlegend was verwechselt ! Woher hast du diese "Weisheit" ??
Du solltest besser mal was zu den IPv6 Grundlagen der Adressverteilung lesen.
Empfehlenswert ist die folgende kostenlose Lektüre:
https://danrl.com/projects/ipv6-workshop/
Du solltest besser mal was zu den IPv6 Grundlagen der Adressverteilung lesen.
Empfehlenswert ist die folgende kostenlose Lektüre:
https://danrl.com/projects/ipv6-workshop/
Das hat aber erst mal nichts mit einem DNS Server meiner Windows Domäne zu tun.
Da hast du zweifelsohne Recht !OK, dein "Registrierungs" Einwand hat was mit dynamisch generierten IP Adressen bzw. Hostnamen zu tun. Das ist aber eine Sache die per se erstmal mit dem eigentlich DNS Prozess des Adress Lookups nichts zu tun hat.
Du meinst mit "Registrieren" ja nur das dynmaische Einfügen von dynmaischen DHCP Hostnamen in den DNS Server. Letztlich wie gesagt nichts wa smit dem eigentlichen Lookup Prozess als solchem zu tun hat denn das muss man ja nicht machen im DNS wenn man es nicht unbedingt will.
Aber OK, in dem Umfeld hast du natürlich dann Recht mit dem "registrieren".