Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DHCPv6 und DNS im LAN

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 2 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      abaumann
      last edited by

      Hallo

      Ich betreibe pfsense 2.2 mit einem IPv6 Tunnel von he.net und im Moment 3 internen Netzen. DHCP und DHCPv6 sind aktiviert und funktionieren.
      Der DNS Resolver ist aktiviert und arbeitet als DNS forwarder für die internen Netze.
      Zudem habe ich die Option "Register DHCP leases in the DNS Resolver" aktiviert.
      Für IPv4 funktioniert das registrieren der Hosts im DNS Resolver einwandfrei und die Adresse/Namen werden richtig aufgelöst.
      Bei DHCPv6 bekommen die Clients korrekte IP's jedoch tragen sich diese nicht in den DNS Resolver ein.
      Wie kann ich das gleiche Verhalten wie bei IPv4 bewirken?

      Besten Dank für Eure Rückmeldungen
      Andreas

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hallo Andreas,

        Bei DHCPv6 bekommen die Clients korrekte IP's jedoch tragen sich diese nicht in den DNS Resolver ein.

        Mooment :)

        DHCP und DHCPv6 sind aktiviert und funktionieren.

        Woher nimmst du die Gewißheit bei DHCPv6? (nicht dass ich dir das abspreche, ich möchte es nur wissen)
        Und wie hast du den DHCPv6 Daemon eingestellt? Was provided er? RA? Assisted? Managed?

        Das "normale" Szenario ist eigentlich, dass der DHCP6 lediglich erweiterte Informationen an die Clients rausgibt, wie bspw. DNS, NTP, BootP etc., das Default GW announced der RADVD der pfSense auf Anfrage eh und die IPs generieren sich die Clients per SLAAC. Damit ergibt sich aber das Problem, dass der DHCP6 gar nicht wissen kann, wie die IP eines Clients ist. Ergo: kein DDNS für IPv6.

        Das ist kein Bug der pfSense, Unbound oder sonstwas, sondern bei IPv6 durch die Autokonfiguration ein "normales" übel. Da ein Client normalerweise auch noch mehrere IPv6 haben kann und wird, ist das ganze dann schließlich total vermanscht, so dass die DNS an der Stelle einfach nicht weiterbringt (bei Clients! wohlgemerkt).

        Der Konsens der "Experten" von v6 war: DNS interessiert und eigentlich eh nur am Server und der muss eh fixe IPs haben. Die Clients kommen aus einer Auto-Range oder zumindest beschränkten Range, so dass man denen einfach einen generischen Namen verpasst damit sie einen rDNS Eintrag haben und gut. Faktisch ist das zwar doof, in der Praxis aber durchaus richtig, denn ich hab selbst kaum mal den DNS Namen eines Clients gebraucht. Meist hat der betroffene Client dann noch ne zusätzlich "fixe" IPv6 und damit dann auch die Möglichkeit eines DNS Eintrags.

        Grüße

        Jens

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • A
          abaumann
          last edited by

          Hallo Jens

          Danke für deine Ausführungen.

          Folgende Beobachtungen lassen mich daran glauben dass der DHCPv6 Server IP's verteilt:

          • Die Adressen welche die Clients erhalten, liegen in dem Range den ich auf dem DHCPv6 Server definiert habe.
          • Unter Status "DHCPv6 Leases" sehe ich die Adressen welche den Clients zugewiesen wurden.

          Die Router Advertisements habe ich als "Managed" konfiguriert.

          Aus deiner Antwort wird mir nicht klar, ob mit DHCPv6 das gleiche Verhalten erreicht werden kann wie mit IPv4. Was DDNS anbelangt würde ich mir genau das wünschen.

          Für Antworten die Klarheit schaffen danke ich bestens.

          Grüsse
          Andreas

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Die Router Advertisements habe ich als "Managed" konfiguriert.

            OK dann sollte der DHCP die Adressen ausgeben, das ist dann durchaus richtig.

            Aus deiner Antwort wird mir nicht klar, ob mit DHCPv6 das gleiche Verhalten erreicht werden kann wie mit IPv4.

            Nein, definitiv nicht. Ja du kannst Adressen verteilen und deine Clients zum alten Verhalten zurückzwingen, aber meines bescheidenen Wissens ist trotzdem eine Integration in DNS nur über Umwege möglich (von denen ich nicht weiß ob sie pfSense + Unbound implementiert hat). Ggf. müsste man das im Int. Forum mal anfragen. Bei meinem Besuch einer v6 Schulung letztes Jahr war aber u.a. auch genau das als Stolperstein vorgekommen, dass Dynamic DNS wie bei v4 in v6 einfach nicht so ohne weiteres funktioniert und das auch keiner spezifiziert hat (sprich es kann auch schlecht implementiert werden, wenn es kein Spec gibt).
            Deshalb würde ich an der Stelle nicht unbedingt darauf bauen. Hier kann ich nur 2nd hand Wissen weitergeben:

            Zitat:

            • Im DNS gibts keine wesentlichen Änderungen für v6
            • DNS wird bei langen Adressen noch wichtiger als bei v4
            • Reverse Zonen werden noch unappetitlicher (weil schlimmer zu schreiben)
            • Problem: Autoconfig und DNS spielen nicht gut miteinander
            1. Wie kommen SLAAC Adressen ins DNS?
              Über dynamische DNS Updates

            2. Welche Implementierungen gibt es?
              Nicht Sache der Standardisierung.

            2.1 Für Unix experimentelle Ansätze verfügbar
            2.2 Alternative bei Windows Domains ist das AD
            2.3 Server von Hand eintragen (ganz normal), Clients ignorieren (werden meist eh nicht benötigt)

            Ergo: Man kann bei reiner DHCPv6 Vergabe wohl erzwingen lassen, dass DHCP das ins DNS pusht, ich weiß aber nicht, ob Unbound auf der pfSense das tut (oder nutzt) -> nachfragen.
            Aber: Man nimmt sich somit komplett den Autokonfig Part weg. -> eigentlich schlecht

            Besser: "Assisted", AutoKonfig des Clients und Rest per DHCP6, dann aber kein einfaches DynDNS Pushing möglich.

            Frage ist eben: braucht man zwingend Client-side DNS? (wenn ja für was?) und lohnt es sich dann sich zu beschneiden (da es einige Geräte gibt, die v6 können, aber bspw. kein dhcp6 machen, sondern sich eben partout SLAAC handeln wollen).

            Grüße
            Jens

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • A
              abaumann
              last edited by

              Hallo Jens

              Danke für Deine Rückmeldung.

              Ich werde die Frage mal im internationalen Forum stellen. Mal schauen was sich ergibt.

              Teilweise gebe ich Dir recht, dass es für Clients gar nicht so wichtig ist einen DNS Namen zu haben. Ich denke da an all die Smartphones und anderen Wireless clients von Gästen die in unseren WLAN's herumfunken.

              Andererseits ist genau das DDNS in IPv4 so schön praktisch. Die Mitarbeiter müssen mir nur den Namen Ihrer Workstation sagen und ich weiss was ich wissen muss. Mit IPv6 scheint mir der Aufwand in diesem Bereich einiges höher.

              Grüsse
              Andreas

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Hallo Andreas

                Mit IPv6 scheint mir der Aufwand in diesem Bereich einiges höher.

                das hängt immer stark von der Systemumgebung ab. Wenn das alles ordentlich automatisiert oder / und dokumentiert ist, braucht es da kein DNS als Nachschlagewerk ;) auch wenn es praktisch ist. Rechnername in ein Tool wie bspw. GLPI zusammen mit Hardware Daten und Leasing Terminen o.ä. eintragen und schon fluppt das auch so ordentlich :) Ist aufwändig, sicher, aber lässt sich mit der Zeit auch gut automatisieren (bspw. kann man in GLPI über Tools wie OCS Inventory und dessen Clients automatisiert die Hardware und Software des Clients scannen und eintragen lassen, dann hat man auch gleich den richtigen Stand mit Seriennummern etc.).

                Das aber nur als Tipp am Rande :) Ansonsten ist bei v6 wieder die Frage, was man genau möchte. Natürlich kann man da alte Dinge beibehalten (siehe DynDNS oder AD Integration), kann in diesem Zuge aber auch versuchen manchen alten Zopf loszuwerden und neu/sauber zu machen. Risiko, aber auch Chance :)

                Grüße
                Jens

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.