PDA

Bekijk Volledige Versie : Nameservers geschikt maken voor IPv6?



Mr. Jinx
20/05/11, 18:25
Ik ben bezig om een aantal websites IPv6 geschikt te maken (dualstack). Dat is allemaal goed gelukt, de websites werken over IPv6 en volgens de diverse validation sites is alles OK.

Om het af te maken wilde ik ook de nameservers IPv6 geschikt maken, maar volgens de test op ip6.nl werkt dit nog niet. Deze geeft aan 'IPv6-only DNS - Doesn't work (?)'

Ik heb de nameservers een aaaa record gegeven en in named.conf heb ik de regel 'listen-on-v6 { any; };' toegevoegd. De nameservers zijn in iedergeval pingable op IPv6.

Zie ik nog iets over het hoofd? Moet ik soms ook nog iets doen met glue records? Ik weet het even niet meer.

ps: Ik gebruik CentOS 5.6 en DirectAdmin

Yourwebhoster
20/05/11, 18:52
Heb je al dig vanaf een externe server naar het IPv6 adres gedaan? Kleine gok dat het de firewall is.

Randy
20/05/11, 19:58
Kijk hier (http://weblog.aklmedia.nl/tag/directadmin/) voor uitleg (Named op IPv6 laten luisteren).

Update meteen je bind versie even zodra je op CentOS 5.6 zit. (yum remove bind && yum install bind97).

Bart L
20/05/11, 20:34
Voor de meelezers onder ons, en google enzo :) Wel even yum.conf checken als je een DA installatie hebt ;)

Mr. Jinx
20/05/11, 20:52
Heb je al dig vanaf een externe server naar het IPv6 adres gedaan? Kleine gok dat het de firewall is.
Als ik een dig naar het ipv6 nummer doe vanaf een andere server dan krijg ik 1 query te zien en verder niet veel info. Als firewall gebruik ik CSF, daarin heb ik tcp/udp 53 voor ipv6 openstaan. Uitgaand staat alles open.


Kijk hier voor uitleg (Named op IPv6 laten luisteren).
Update meteen je bind versie even zodra je op CentOS 5.6 zit. (yum remove bind && yum install bind97).
Dit heb ik ook gechecked, named staat te luisteren op 53.
Dank voor de tip voor het updaten van Bind! Ik moest overigens de dependencies ook nog even verwijderen (bind-libs en bind-utils).


Voor de meelezers onder ons, en google enzo Wel even yum.conf checken als je een DA installatie hebt
Wat bedoel je precies, waar moet ik op letten? Bind wordt niet ge-exluded, maar wel bind-chroot.

visser
20/05/11, 21:48
Ik ben bezig om een aantal websites IPv6 geschikt te maken (dualstack). Dat is allemaal goed gelukt, de websites werken over IPv6 en volgens de diverse validation sites is alles OK.

Om het af te maken wilde ik ook de nameservers IPv6 geschikt maken, maar volgens de test op ip6.nl werkt dit nog niet. Deze geeft aan 'IPv6-only DNS - Doesn't work (?)'

Ik heb de nameservers een aaaa record gegeven en in named.conf heb ik de regel 'listen-on-v6 { any; };' toegevoegd. De nameservers zijn in iedergeval pingable op IPv6.

Zie ik nog iets over het hoofd? Moet ik soms ook nog iets doen met glue records? Ik weet het even niet meer.

ps: Ik gebruik CentOS 5.6 en DirectAdmin

Post dan de nameserver waar het om gaat (domein, record wat zou moeten werken, en V6 IP adres van de nameserver). Zucht.

Ik weet niet wat er getest wordt voor ip6-only .

Test vanaf een ander V6 connected systeem :

dig AAAA jouw.aaa.record.jouwdomein @2001:jouw v6 IP::1

Nu weet je of je DNS op V6 antwoord geeft.
Je kunt trouwens evengoed dig www.jouwdomein.invalid @2001:jouw v6 IP
testen, de inhoud van de records die je opvraagt (A of AAAA of PTR of...) staat los van het transport protocol.

Misschien dat de test (ook) eist het hele DNS pad via IPv6 kan werken.
In dat geval moet de NS hosts in de toplevel zone (.nl ?) naast IPv4 naast een A ook een IPv6 AAAA record hebben, dat de nameservers van je domein dus (zichtbaar) dual stack zijn.
Als dat nameservers van je ISP zijn, en die niet via V6 bereikbaar houdt het voor jou even op; Of je moet je DNS'en ergens anders neer gaan zetten.

Als trouwens je V6 connectivity van vage kwaliteit is zou ik er nog even geen belangrijke services van afhankelijk maken. Falende (en ge-retry-de) dns lookups geven een hinderlijke vertraging.

Mr. Jinx
20/05/11, 23:14
Bedankt voor de extra uitleg over dig (ja nu val ik door de mand :)).
Vanaf een andere ipv6 connected server krijg ik de melding 'connection timed out; no servers could be reached' als ik een dig doe. Doe ik het op de nameserver zelf dan werkt het wel.

Het gaat om ns1.interennet.nl 2001:1af8:4100:a021:2::108 en dan bijvoorbeeld www.interennet.nl als record.

visser
21/05/11, 00:52
Bedankt voor de extra uitleg over dig (ja nu val ik door de mand :)).
Vanaf een andere ipv6 connected server krijg ik de melding 'connection timed out; no servers could be reached' als ik een dig doe. Doe ik het op de nameserver zelf dan werkt het wel.

Het gaat om ns1.interennet.nl 2001:1af8:4100:a021:2::108 en dan bijvoorbeeld www.interennet.nl als record.

Van buitenaf (HE tunnel) kan ik dat IP adres niet pingen.
Een traceroute gaat goed tot in Leaseweb, maar niet verder.
Ik zou je firewall iets verder open zetten.
ping is niet erg, en sommige icmp messages zijn echt nodig.

Je nameserver doet het nu bij een directe query:

dig AAAA www.interennet.nl @2001:1af8:4100:a021:2::108

;; QUESTION SECTION:
;www.interennet.nl. IN AAAA

;; ANSWER SECTION:
www.interennet.nl. 14400 IN AAAA 2001:1af8:4100:a021:2::112

Maar de glue records in de NL zone geven nu alleen A records voor ns1/ns2:

ipv6 van ns2.nic.nl :
dig AAAA ns2.nic.nl.

dig NS interennet.nl @2001:7b8:606::28

en dan komen alleen A records mee voor ns1 en ns2.

Lientje M
21/05/11, 10:57
Hier kan je zien of je ipv6 werkt.

http://centralops.net/co/Traceroute.aspx


Lien Meyvaert

The Good, The Bad and The Ugly -> Linux, Windows en Dos

Mr. Jinx
21/05/11, 13:34
Van buitenaf (HE tunnel) kan ik dat IP adres niet pingen.
Een traceroute gaat goed tot in Leaseweb, maar niet verder.
...
Je nameserver doet het nu bij een directe query:
Wazig, bij mij is het precies omgekeerd.
Vanaf een HE tunnel doet een ping naar 2001:1af8:4100:a021:2::108 het wel.
Maar 'dig AAAA www.interennet.nl @2001:1af8:4100:a021:2::108' geeft een connection time out.

Ik heb de firewall tijdens de test eens helemaal uitgezet, maar dan nogsteeds werkt het niet.
Toch moet het ergens worden geblokkeerd, want lokaal op de nameserver zelf gaat het wel goed.

@Lientje: bedankt voor de link. IPv6 werkt verder prima, maar ik wilde een stapje verder gaan en ook de nameserver op ipv6 laten werken zodat deze test ook goed gaat : www.ip6.nl

visser
21/05/11, 15:23
Wazig, bij mij is het precies omgekeerd.
Vanaf een HE tunnel doet een ping naar 2001:1af8:4100:a021:2::108 het wel.
Maar 'dig AAAA www.interennet.nl @2001:1af8:4100:a021:2::108' geeft een connection time out.

Ik heb de firewall tijdens de test eens helemaal uitgezet, maar dan nogsteeds werkt het niet.
Toch moet het ergens worden geblokkeerd, want lokaal op de nameserver zelf gaat het wel goed.

@Lientje: bedankt voor de link. IPv6 werkt verder prima, maar ik wilde een stapje verder gaan en ook de nameserver op ipv6 laten werken zodat deze test ook goed gaat : www.ip6.nl

Ik kon net (ca 14:20) je nameserver pingen, en ook queryen, en even daarna (ca 14:22) niet meer.
Je hebt toch niet icmpv6 volledig dicht gezet ? Je weet wat NDP is en waarvoor het dient ?

visser
22/05/11, 21:53
Ik kon net (ca 14:20) je nameserver pingen, en ook queryen, en even daarna (ca 14:22) niet meer.
Je hebt toch niet icmpv6 volledig dicht gezet ? Je weet wat NDP is en waarvoor het dient ?

Je (tav Mr Jinx) nameserver doet het nu nog steeds (ping en directe query).
Als je nu nog udp poort 33434:33524 openzet in de firewall, werkt klassiek (unix/cisco) udp gebaseerde traceroute ook helemaal.
ICMP gebaseerde traceroute (traceroute6 -I ) werkt al wel, maar vereist root privileges.

Als je IPv6 connectivity nu stabiel is (en blijft), moet je voor de complete check van www.ip6.net inderdaad glue records met AAAA entry in de nl. zone hebben, zo zag ik in de help van ip6.net .

Mr. Jinx
23/05/11, 12:46
De firewall blokkeerde nogal al snel na een ping/dig. Dit werd gezien als een portscan waardoor het ip-nr tijdelijk werd geblocked. Vandaar dat het eerst af en toe wel/niet werkte.
UDP 33424:33524 ook opengezet.
De volgende stap (glue) ga ik doen als alles goed blijft draaien zo.
Tot zover hartstikke bedankt voor de tips!

visser
23/05/11, 14:00
De firewall blokkeerde nogal al snel na een ping/dig. Dit werd gezien als een portscan waardoor het ip-nr tijdelijk werd geblocked. Vandaar dat het eerst af en toe wel/niet werkte.
UDP 33424:33524 ook opengezet.
De volgende stap (glue) ga ik doen als alles goed blijft draaien zo.
Tot zover hartstikke bedankt voor de tips!

Mooi, 'gewoon' traceroute6 doet het nu inderdaad:

2 gige-g2-20.core1.ams1.he.net (2001:470:0:7d::1) 19.156 ms 19.366 ms 19.323 ms
3 crs-evo.leaseweb.net (2001:7f8:1::a501:6265:1) 27.532 ms 27.742 ms 28.196 ms
4 po100.sr1.evo.leaseweb.net (2001:1af8::a) 27.909 ms 28.114 ms 27.591 ms
5 2001:1af8:4100:a021:2::108 (2001:1af8:4100:a021:2::108) 27.054 ms 27.005 ms 26.458 ms

Om het nog verder af te maken zou je nog naar een reverse dns naam moeten kijken ook ;-)

(dig -x v6 ip @nameserver)
dig -x 2001:1af8:4100:a021:2::108 @2001:1af8:4100:a021:2::108
kent nog geen PTR.