Re: bind9 und non-functional but existing IPv6 default Route
Am So., 27. Okt. 2019 um 08:35 Uhr schrieb Heiko Schlittermann
<hs@schlittermann.de>:
>
> Moin,
>
> ich habe hier ein einfaches Setup:
>
> - IPv4 mit default GW: funktioniert
> - IPv6 mit default GW fe80::1/64, meine eigene IPv6-Adressen
> ist auch nur eine link-local fe80::/64
> - fe80::1 ist anpingbar, andere Hosts, außerhalb fe80::/64
> logischerweise nicht, weil ich keine öffentliche IPv6 Adresse habe
>
> - getent ahosts heise.de
> berichtet nichts von IPv6-Adressen (was es aber tun würde, wenn
> das IPv6 wirklich ginge)
>
> Nun starte ich einen eben frisch installierten Bind. Der schreibt nach
> relativ kurzer Zeit (10s) ins Log:
>
> Okt 27 07:59:33 marta systemd[1]: Started BIND Domain Name Server.
> Okt 27 07:59:33 marta named[12877]: running
> Okt 27 07:59:43 marta named[12877]: managed-keys-zone: Unable to fetch DNSKEY set '.': timed out
> Okt 27 07:59:43 marta named[12877]: resolver priming query complete
>
> Erkennbarer DNS-Traffic sieht so aus
>
> 07:59:33.900085 IP6 fe80::6497:64ff:fe0b:7e58.51744 > 2001:503:c27::2:30.53: 18555% [1au] DNSKEY? . (40)
> 07:59:33.900215 IP6 fe80::6497:64ff:fe0b:7e58.46920 > 2001:503:c27::2:30.53: 53653 [1au] NS? . (40)
> 07:59:34.700263 IP6 fe80::6497:64ff:fe0b:7e58.50995 > 2001:503:ba3e::2:30.53: 44617% [1au] DNSKEY? . (40)
> 07:59:34.700407 IP6 fe80::6497:64ff:fe0b:7e58.57398 > 2001:503:ba3e::2:30.53: 38762 [1au] NS? . (40)
> …
> 07:59:42.703153 IP6 fe80::6497:64ff:fe0b:7e58.56693 > 2001:500:1::53.53: 41611 NS? . (17)
> 07:59:43.503356 IP6 fe80::6497:64ff:fe0b:7e58.42666 > 2001:500:2::c.53: 39455 DNSKEY? . (17)
> 07:59:43.503837 IP6 fe80::6497:64ff:fe0b:7e58.52642 > 2001:500:2::c.53: 33058 NS? . (17)
>
> Ja, auschließlich IPv6. Die Queries werden logischerweise nicht
> beantwortet, weil die Source-IP nichts taugt.
>
> Fragen beantwortet er jetzt, auch die DNSSec-Valdierung funktioniert
> (die Keys, die er hat, sind ja noch gültig).
>
> Meine Frage nun - ist das erwartetes Verhalten? Und was ist die
> Konsequenz? In meinen Augen wird er die Keys für die Root-Zone nun nicht
> mehr managen, also auch nicht aktualisieren, was sicher kurzfristig
> nicht ins Gewicht fällt, aber doch aus meiner Sicht nicht schön ist.
>
> Meinungen dazu?
>
>
> Best regards from Dresden/Germany
> Viele Grüße aus Dresden
> Heiko Schlittermann
> --
> SCHLITTERMANN.de ---------------------------- internet & unix support -
> Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
> gnupg encrypted messages are welcome --------------- key ID: F69376CE -
> ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -
Hallo Heiko,
in meinem privaten IPv4-only-Netzwerk sieht das so aus (Ausgabe
teilweise gekürzt):
$ ip a
[...]
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
state UP group default qlen 1000
link/ether b8:27:eb:d5:eb:08 brd ff:ff:ff:ff:ff:ff
inet 192.168.87.10/24 brd 192.168.87.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::ba27:ebff:fed5:eb08/64 scope link
valid_lft forever preferred_lft forever
$ ip r
default via 192.168.87.1 dev eth0 proto static
192.168.87.0/24 dev eth0 proto kernel scope link src 192.168.87.10
$ ip -6 r
::1 dev lo proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
$ getent ahosts heise.de
193.99.144.80 STREAM heise.de
193.99.144.80 DGRAM
193.99.144.80 RAW
2a02:2e0:3fe:1001:302:: STREAM
2a02:2e0:3fe:1001:302:: DGRAM
2a02:2e0:3fe:1001:302:: RAW
$ ping6 heise.de
connect: Das Netzwerk ist nicht erreichbar
Ich habe keine Default-Route im IPv6 und nur link-local, kann dann
natürlich auch nichts erreichen im Internet per IPv6.
Wenn du nur link-local im IPv6 nutzt und per IPv6 keine öffentliche
IP-Adresse benutzen kannst, dann entferne doch die Default Route IPv6.
Matthias
Reply to: