merci pour vos réponses.
Sur le plan technique c'est à peu près ce à quoi je m'attendais.
mais un pb qui m'interpelle avec le DNS64 c'est que c'est en quelque
sorte un résolveur menteur.
Et certes, c'est pour la bonne cause, mais il n’empêche que même si
c'est pas malicieux, ça peut quand même être mal perçu voir générer des
alertes de sécurité.
est-ce qu'on modifie aussi les enregistrement spf avec des ip4: dedans ?
DNSSEC ?
Et puis un usager reste libre d'utiliser le résolveur de son choix. Ou
alors d'avoir une application qui au lieu d'employer la résolution de
nom configurée du réseau fait du DOH sur Cloudflare qui ne sera pas au
courant qu'il faut générer des AAAA dans le bon préfixe.
Du coup j'ai de sérieux doutes sur le fait que ça puisse se faire de
façon vraiment transparente et c'est sur ce point que les lumières de la
liste m'intéressent.
Le 27/01/2023 à 12:48, Willy Manga a écrit :
Bonjour,
On 27/01/2023 14:24, Pierre Colombier via frnog wrote:
Bonjour, j'aimerai savoir si certains d'entre vous on déjà essayé de
passer un LAN en ipv6 seul avec un nat 6to4 sur la gateway (voir
encore plusieurs sauts plus loin) pour aller consulter les sites qui
sont uniquement accessibles en v4 ?
Si possible il faudrait raccourcir le nombre de sauts (au moins avec
la passerelle NAT64); c'est au moins ce que peut permettre IPv6 dans
certains contextes.
Et si oui, comment gérez vous la problématique du DNS64 ? (C'est à
dire fournir les records AAAA dans le préfixe 6to4 pour les sites qui
n'ont que du A.)
Plusieurs résolveurs l'implémentent soit en se servant d'un préfixe
generique prevue ( 64:ff9b::/96 ) ou bien en choisissant un /96 dans
son propre bloc. Mais bien sur ceci n'est qu'à usage interne.
Ici: unbound,bind mais powerdns-recursor et knot-resolver font aussi
l'affaire.
Pour simplifier, l'hôte envoie une requête AAAA, le résolveur constate
qu'elle n'existe pas et 'fabrique' une réponse en AAAA en se servant
du préfixe configuré plus haut.
L'hôte se servira donc de cette adresse factice pour échanger à l'aide
de la passerelle NAT64.
Et finalement avec quel niveau de succès et/ou d'emmerdement ?
Tant que la resource à distance s'identifie avec un nom complètement
qualifié, ça juste marche.
Sinon il faut envisager une autre technique de transition du genre
464XLAT
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
