DHCPv6 und DNS im LAN
-
Hallo
Ich betreibe pfsense 2.2 mit einem IPv6 Tunnel von he.net und im Moment 3 internen Netzen. DHCP und DHCPv6 sind aktiviert und funktionieren.
Der DNS Resolver ist aktiviert und arbeitet als DNS forwarder für die internen Netze.
Zudem habe ich die Option "Register DHCP leases in the DNS Resolver" aktiviert.
Für IPv4 funktioniert das registrieren der Hosts im DNS Resolver einwandfrei und die Adresse/Namen werden richtig aufgelöst.
Bei DHCPv6 bekommen die Clients korrekte IP's jedoch tragen sich diese nicht in den DNS Resolver ein.
Wie kann ich das gleiche Verhalten wie bei IPv4 bewirken?Besten Dank für Eure Rückmeldungen
Andreas -
Hallo Andreas,
Bei DHCPv6 bekommen die Clients korrekte IP's jedoch tragen sich diese nicht in den DNS Resolver ein.
Mooment :)
DHCP und DHCPv6 sind aktiviert und funktionieren.
Woher nimmst du die Gewißheit bei DHCPv6? (nicht dass ich dir das abspreche, ich möchte es nur wissen)
Und wie hast du den DHCPv6 Daemon eingestellt? Was provided er? RA? Assisted? Managed?Das "normale" Szenario ist eigentlich, dass der DHCP6 lediglich erweiterte Informationen an die Clients rausgibt, wie bspw. DNS, NTP, BootP etc., das Default GW announced der RADVD der pfSense auf Anfrage eh und die IPs generieren sich die Clients per SLAAC. Damit ergibt sich aber das Problem, dass der DHCP6 gar nicht wissen kann, wie die IP eines Clients ist. Ergo: kein DDNS für IPv6.
Das ist kein Bug der pfSense, Unbound oder sonstwas, sondern bei IPv6 durch die Autokonfiguration ein "normales" übel. Da ein Client normalerweise auch noch mehrere IPv6 haben kann und wird, ist das ganze dann schließlich total vermanscht, so dass die DNS an der Stelle einfach nicht weiterbringt (bei Clients! wohlgemerkt).
Der Konsens der "Experten" von v6 war: DNS interessiert und eigentlich eh nur am Server und der muss eh fixe IPs haben. Die Clients kommen aus einer Auto-Range oder zumindest beschränkten Range, so dass man denen einfach einen generischen Namen verpasst damit sie einen rDNS Eintrag haben und gut. Faktisch ist das zwar doof, in der Praxis aber durchaus richtig, denn ich hab selbst kaum mal den DNS Namen eines Clients gebraucht. Meist hat der betroffene Client dann noch ne zusätzlich "fixe" IPv6 und damit dann auch die Möglichkeit eines DNS Eintrags.
Grüße
Jens
-
Hallo Jens
Danke für deine Ausführungen.
Folgende Beobachtungen lassen mich daran glauben dass der DHCPv6 Server IP's verteilt:
- Die Adressen welche die Clients erhalten, liegen in dem Range den ich auf dem DHCPv6 Server definiert habe.
- Unter Status "DHCPv6 Leases" sehe ich die Adressen welche den Clients zugewiesen wurden.
Die Router Advertisements habe ich als "Managed" konfiguriert.
Aus deiner Antwort wird mir nicht klar, ob mit DHCPv6 das gleiche Verhalten erreicht werden kann wie mit IPv4. Was DDNS anbelangt würde ich mir genau das wünschen.
Für Antworten die Klarheit schaffen danke ich bestens.
Grüsse
Andreas -
Die Router Advertisements habe ich als "Managed" konfiguriert.
OK dann sollte der DHCP die Adressen ausgeben, das ist dann durchaus richtig.
Aus deiner Antwort wird mir nicht klar, ob mit DHCPv6 das gleiche Verhalten erreicht werden kann wie mit IPv4.
Nein, definitiv nicht. Ja du kannst Adressen verteilen und deine Clients zum alten Verhalten zurückzwingen, aber meines bescheidenen Wissens ist trotzdem eine Integration in DNS nur über Umwege möglich (von denen ich nicht weiß ob sie pfSense + Unbound implementiert hat). Ggf. müsste man das im Int. Forum mal anfragen. Bei meinem Besuch einer v6 Schulung letztes Jahr war aber u.a. auch genau das als Stolperstein vorgekommen, dass Dynamic DNS wie bei v4 in v6 einfach nicht so ohne weiteres funktioniert und das auch keiner spezifiziert hat (sprich es kann auch schlecht implementiert werden, wenn es kein Spec gibt).
Deshalb würde ich an der Stelle nicht unbedingt darauf bauen. Hier kann ich nur 2nd hand Wissen weitergeben:Zitat:
- Im DNS gibts keine wesentlichen Änderungen für v6
- DNS wird bei langen Adressen noch wichtiger als bei v4
- Reverse Zonen werden noch unappetitlicher (weil schlimmer zu schreiben)
- Problem: Autoconfig und DNS spielen nicht gut miteinander
-
Wie kommen SLAAC Adressen ins DNS?
Über dynamische DNS Updates -
Welche Implementierungen gibt es?
Nicht Sache der Standardisierung.
2.1 Für Unix experimentelle Ansätze verfügbar
2.2 Alternative bei Windows Domains ist das AD
2.3 Server von Hand eintragen (ganz normal), Clients ignorieren (werden meist eh nicht benötigt)Ergo: Man kann bei reiner DHCPv6 Vergabe wohl erzwingen lassen, dass DHCP das ins DNS pusht, ich weiß aber nicht, ob Unbound auf der pfSense das tut (oder nutzt) -> nachfragen.
Aber: Man nimmt sich somit komplett den Autokonfig Part weg. -> eigentlich schlechtBesser: "Assisted", AutoKonfig des Clients und Rest per DHCP6, dann aber kein einfaches DynDNS Pushing möglich.
Frage ist eben: braucht man zwingend Client-side DNS? (wenn ja für was?) und lohnt es sich dann sich zu beschneiden (da es einige Geräte gibt, die v6 können, aber bspw. kein dhcp6 machen, sondern sich eben partout SLAAC handeln wollen).
Grüße
Jens -
Hallo Jens
Danke für Deine Rückmeldung.
Ich werde die Frage mal im internationalen Forum stellen. Mal schauen was sich ergibt.
Teilweise gebe ich Dir recht, dass es für Clients gar nicht so wichtig ist einen DNS Namen zu haben. Ich denke da an all die Smartphones und anderen Wireless clients von Gästen die in unseren WLAN's herumfunken.
Andererseits ist genau das DDNS in IPv4 so schön praktisch. Die Mitarbeiter müssen mir nur den Namen Ihrer Workstation sagen und ich weiss was ich wissen muss. Mit IPv6 scheint mir der Aufwand in diesem Bereich einiges höher.
Grüsse
Andreas -
Hallo Andreas
Mit IPv6 scheint mir der Aufwand in diesem Bereich einiges höher.
das hängt immer stark von der Systemumgebung ab. Wenn das alles ordentlich automatisiert oder / und dokumentiert ist, braucht es da kein DNS als Nachschlagewerk ;) auch wenn es praktisch ist. Rechnername in ein Tool wie bspw. GLPI zusammen mit Hardware Daten und Leasing Terminen o.ä. eintragen und schon fluppt das auch so ordentlich :) Ist aufwändig, sicher, aber lässt sich mit der Zeit auch gut automatisieren (bspw. kann man in GLPI über Tools wie OCS Inventory und dessen Clients automatisiert die Hardware und Software des Clients scannen und eintragen lassen, dann hat man auch gleich den richtigen Stand mit Seriennummern etc.).
Das aber nur als Tipp am Rande :) Ansonsten ist bei v6 wieder die Frage, was man genau möchte. Natürlich kann man da alte Dinge beibehalten (siehe DynDNS oder AD Integration), kann in diesem Zuge aber auch versuchen manchen alten Zopf loszuwerden und neu/sauber zu machen. Risiko, aber auch Chance :)
Grüße
Jens