Konrad Rosenbaum konrad@silmor.de (Mi 13 Jun 2012 14:51:34 CEST):
Und ich kann mir gut vorstellen, daß es im Ermessen des Clients liegt, die Adresse als AAAA-Record dann in „seiner“ Domain einzutragen, wenn er erkennt, daß sie aus dem ULA-Bereich ist und daß damit voraussichtlich keine globale Erreichbarkeit gegeben ist.
Korrekt. Nur dass ich als Admin in einer Firma mit 24x7 Produktion keine Updates der zur ULA korrespondierenden DNS-Zone zulassen würde. Solche Probleme will man nicht diagnostizieren müssen.
ULA ist übrigens nicht nur "vorraussichtlich" nicht global erreichbar. Wenn ein ISP das durchläßt dann hat er einen fatalen Fehler gemacht.
Ich meine es derart, daß es kein verläßliches Ding ist, sich auf die ULA zu verlassen und dann zu meinen, man ist nicht erreichbar. Ähnlich, wie auf NAT sich keine Sicherheit aufbauen läßt.
Und zusätzlich kann ja auch dem DHCP-Server niemand verbieten, die Adresse zusätzlich auch als AAAA in der Domain der aktuellen Site einzutragen. Für den PTR-Records ist der DHCP-Betreiber aber sehr wahrscheinlich in jedem Falle zuständig.
Und woher soll der DHCPv6-Server wissen wo der PTR hinzeigen soll? Angenommen ich bin in einem Fremdnetz und bekomme per DHCP eine Adresse zugewiesen, dann schicke ich meinem DNS-Server zu Hause einen AAAA mit Adresse und meinem normalen Heim-FQDN. Der DHCPv6-Server kennt aber nur meine Adresse, meine MAC und meine DUID - er hat keine Chance einen sinnvollen PTR zu konstruieren.
Dein DHCPv6-Client kann(!) dem DHCPv6-Server seinen fqdn mitteilen. (Option fqdn.fqdn in der Konfiguration des ISC DHCP-Clients.)
Wahrscheinlicher ist sogar dass ich im Fremdnetz nur SLAAC und kein DHCP mache
- wenn der Router also nicht aktiv alle ICMP-Nachrichten mitsnifft, dann hat
er keine Ahnung wer ich bin (RS/RA tauscht nur die Net-ID aus, die Host-ID ist erst in der DAD zu sehen - man weiß ja nicht ob ich die EUI-64 oder Privacy Extension benutze).
Wenn Du nur SLAAC machst, dann steht es Dir frei, Dir einen AAAA-Record irgendwo einzutragen, und der Admin des Netzes, wo Du bist, hat eben Pech.
Das Sniffen wird ihm nichts nutzen, da Du in den ICMPv6-Messages Deinen Hostnamen/FQDN nicht verraten wirst. ICMPv6-Node-Info wird von Linuxen nicht nativ unterstützt, es gibt wohl einen Daemon, aber ob der installiert ist?