Google Public DNS64

Introduzione

Le reti a doppio stack con connettività IPv6 e IPv4 sono ora comuni, ma sono ancora tutt'altro che universali. Per compiere il passo successivo nella transizione a IPv6 ed eseguire il deployment di reti solo IPv6, gli operatori di rete devono comunque mantenere l'accesso alle reti e ai servizi solo IPv4. Esistono diversi meccanismi di transizione per fornire l'accesso IPv6 a IPv4; una scelta sempre più popolare con molti operatori di rete è NAT64. L'utilizzo di un gateway NAT64 con funzionalità di traduzione IPv4-IPv6 consente ai client solo IPv4 di connettersi ai servizi solo IPv4 tramite indirizzi IPv6 sintetici che iniziano con un prefisso che li instrada al gateway NAT64.

DNS64 è un servizio DNS che restituisce i record AAAA con questi indirizzi IPv6 sintetici per le destinazioni solo IPv4 (con record A, ma non AAAA nel DNS). Questo consente ai client solo IPv6 di utilizzare gateway NAT64 senza altre configurazioni. Google Public DNS64 fornisce DNS64 come servizio globale utilizzando il prefisso NAT64 prenotato 64:ff9b::/96.

Importante: prima di iniziare

Prima di configurare i tuoi sistemi per l'utilizzo di Google Public DNS64, tieni conto delle seguenti limitazioni che potrebbero influire sull'uso del servizio:

  • Google Public DNS64 è destinato a essere utilizzato solo su reti con accesso a un gateway NAT64 utilizzando il prefisso NAT64 riservato 64:ff9b::/96. Non utilizzarlo su reti che non possono raggiungere un gateway NAT64.

  • Google Public DNS64 non fornisce accesso a domini privati che non possono essere risolti dalla rete Internet pubblica, anche se può restituire record AAAA per gli indirizzi IPv4 privati (RFC 1918) restituiti nelle risposte DNS pubbliche.

  • Google Public DNS64 non è necessario per reti o host a doppio stack, ma funziona, restituendo sia record AAAA sintetizzati che originali A (questo può causare il traffico verso host solo IPv4 tramite NAT64 anziché direttamente tramite IPv4, ma in genere solo quando la connessione NAT64 è più veloce).

Configurazione di Google Public DNS64

Se i tuoi sistemi non hanno problemi con le limitazioni di Google Public DNS64 riportate sopra, puoi seguire le consuete istruzioni introduttive di Google Public DNS, sostituendo gli indirizzi dei resolver standard con i seguenti elementi:

  • 2001:4860:4860::6464
  • 2001:4860:4860::64

Non configurare altri indirizzi IPv6: altrimenti il DNS64 non sarà affidabile. Se configuri anche indirizzi IPv4 Google Public (8.8.8.8 o 8.8.4.4), gli host a doppio stack potrebbero non ricevere i record AAAA sintetizzati.

Alcuni dispositivi utilizzano campi separati per tutte e otto le parti dell'indirizzo IPv6 e non possono accettare la sintassi di abbreviazione IPv6 ::. Per questi campi inserisci:

  • 2001:4860:4860:0:0:0:0:6464
  • 2001:4860:4860:0:0:0:0:64

Espandi le voci 0 in 0000 e la voce 64 in 0064 se sono richieste quattro cifre esadecimali.

DNS64 sicuro

Google Public DNS64 supporta i protocolli DNS DNS su HTTPS (DoH) e DNS su TLS (DoT) utilizzando il dominio dns64.dns.google anziché dns.google. Questo dominio si risolve negli indirizzi IPv6 elencati sopra e i servizi DoH e DoT alle porte 443 e 853 per questi indirizzi hanno certificati TLS per dns64.dns.google.

Il modello di URI DoH RFC 8484 per Google Public DNS64 è https://dns64.dns.google/dns-query{?dns} e l'API JSON è supportata anche con URL come https://dns64.dns.google/resolve?name=ipv4only.arpa&type=AAAA (accessibile solo dai sistemi compatibili con IPv6).

Testare le impostazioni DNS64

Puoi seguire i passaggi di test della guida introduttiva per verificare che la configurazione DNS64 funzioni. Se non hai accesso a un gateway NAT64, Wikipedia elenca diverse implementazioni NAT64 di cui puoi eseguire il deployment.

Alcune implementazioni NAT64 sono note per non funzionare con Google Public DNS64:

  • MacOS X 10.11 e versioni successive incorporano NAT64/DNS64 ma non possono passare IPv6, impedendo l'accesso ai resolver Google Public DNS64. È progettato per testare i dispositivi solo IPv6 quando disponi solo della connettività IPv4 a Internet e funziona solo con il DNS64 incluso (i dispositivi solo IPv4 collegati non possono utilizzare direttamente Google Public DNS, anche se puoi configurare il sistema MacOS X in modo che utilizzi 8.8.8.8 e 8.8.4.4).

  • Cisco ASA 9.0 e versioni successive incorporano NAT64 ma non supportano il prefisso noto 64:ff9b::/96 e richiedono la selezione di un prefisso personalizzato. Non implementa DNS64 ma fornisce ispezione e riscrittura NAT del traffico DNS attraverso il gateway NAT64.

    I dispositivi solo IPv6 dietro un Cisco ASA possono ottenere la connettività IPv4 utilizzando Google Public DNS configurando i seguenti indirizzi del resolver:

    • Prefisso NAT64::0808:0808 (8.8.8.8 tramite Cisco ASA NAT64)

    • Prefisso NAT64::0808:0404 (8.8.4.4 tramite Cisco ASA NAT64)

    Questo indirizza le query a Google Public DNS tramite Cisco ASA NAT64. Con alcune configurazioni aggiuntive di Cisco ASA, le query AAAA vengono tradotte in query A e le risposte A vengono ritradotte in AAAA con il prefisso configurato.

    L'utilizzo di indirizzi NAT64 e del resolver IPv6 di Google Public DNS (2001:4860:4860::8888 o 2001:4860:4860::8844) non funziona, poiché le risposte negative di entrambi non verranno interrogate con l'altro. Devi scegliere la risoluzione DNS IPv6 o IPv4 per tutte le query.