DNS64 Mise en place

DNS64 Mise en place

Mise en place de DNS64

On a vu que pour le NAT64 le protocole qui permet de faire communiquer des machines seulement V6 à seulement V4 il faut des adresses biens spécifiques décrites par la rfc6052 : 64:ff9b::/96. Le problème c'est que madame michu ne connait pas les adresses IP ! Encore moins IPv6 ainsi que les IP nat64. Or, lorsqu'elle va sur ses sites favoris, elle veut que cela fonctionne simplement avec les noms DNS qu'elle tape, sans se soucier des IP. D'où la nécessité d'un serveur DNS, capable au cas où des domaine DNS ne répondent pas d'adresse IPv6 de renvoyer une adresse IPv6 nat64. Fonctionnement du DNS64 le client demande l'adresse IPv6 de google.fr au routeur NAT64&DNS64 le routeur demande au serveur qui a autorité sur google.fr quelle est l'adresse IPv6 de google.fr
dig AAAA google.fr +short 2a00:1450:4007:80d::2003
OK, ici pas de problème google.fr a une adresse IPv6 Le client demande l'adresse IPv6 de leboncoin.fr au routeur NAT64&DNS64 le routeur demande au serveur qui a autorité sur leboncoin.fr quelle est l'adresse IPv6 de leboncoin.fr
dig AAAA leboncoin.fr +short
NOK, pas de réponse, le routeur DNS64 va exécuter une deuxième requête au serveur qui a autorité
dig A leboncoin.fr +short 193.164.197.11
c'est une adresse IPv4 et le routeur DNS64 sait que derrière il y a une machine qui a seulement une adresse IPv6, il ne peut donc pas donner cette réponse, de ce fait le routeur DNS64 va modifier cette adresse en adresse NAT64 et va renvoyer cette adresse au client
64:ff9b::193.164.197.11 ou 64:ff9b::c1a4:c50b
Des serveurs DNS sont déjà capables de faire cela, comme BIND à partir de la version 9.7.3 ou 9.8 en rajoutent celle ligne de configuration
options { dns64 64:ff9b::/96 { clients { plage adresse IP Seulement IPv6; }; };
Je vous conseille le billet du blog de M. Bortzmeyer http://www.bortzmeyer.org/6147.html qui détail cette RFC sur DNS64 ainsi que les problème qu'il peut engendrer sur la sécurisation du DNS.