DNS64 Mise en place

Mise en place de DNS64

On a vu que pour le NAT64 le protocole qui permet de faire communiquer des machines seulement V6 à seulement V4 il faut des adresses biens spécifiques décrites par la rfc6052 : 64:ff9b::/96.

Le problème c’est que madame michu ne connait pas les adresses IP ! Encore moins IPv6 ainsi que les IP nat64.

Or, lorsqu’elle va sur ses sites favoris, elle veut que cela fonctionne simplement avec les noms DNS qu’elle tape, sans se soucier des IP. D’où la nécessité d’un serveur DNS, capable au cas où des domaine DNS ne répondent pas d’adresse IPv6 de renvoyer une adresse IPv6 nat64.

Fonctionnement du DNS64
le client demande l’adresse IPv6 de google.fr au routeur NAT64&DNS64
le routeur demande au serveur qui a autorité sur google.fr quelle est l’adresse IPv6 de google.fr

dig AAAA google.fr +short
2a00:1450:4007:80d::2003

OK, ici pas de problème google.fr a une adresse IPv6
Le client demande l’adresse IPv6 de leboncoin.fr au routeur NAT64&DNS64
le routeur demande au serveur qui a autorité sur leboncoin.fr quelle est l’adresse IPv6 de leboncoin.fr

dig AAAA leboncoin.fr +short

NOK, pas de réponse, le routeur DNS64 va exécuter une deuxième requête au serveur qui a autorité

dig A leboncoin.fr +short
193.164.197.11

c’est une adresse IPv4 et le routeur DNS64 sait que derrière il y a une machine qui a seulement une adresse IPv6, il ne peut donc pas donner cette réponse, de ce fait le routeur DNS64 va modifier cette adresse en adresse NAT64

64:ff9b::193.164.197.11 ou 64:ff9b::c1a4:c50b

et va renvoyer cette adresse au client

Des serveurs DNS sont déjà capables de faire cela, comme BIND à partir de la version 9.7.3 ou 9.8 en rajoutent celle ligne de configuration

options {
dns64 64:ff9b::/96 {
clients { plage adresse IP Seulement IPv6; };
};

Je vous conseille le billet du blog de M. Bortzmeyer http://www.bortzmeyer.org/6147.html qui détail cette RFC sur DNS64 ainsi que les problème qu’il peut engendrer sur la sécurisation du DNS.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.