On Monday 25 April 2011, Luca Bertoncello wrote:
a) die externe Auflösung versteht kein IPv6 (z.B. weil keine IPv6- Konnektivität besteht)
Wenigstens mir zu sagen, WELCHER Server für die Domain zuständig ist, sollte es aber...
host ist nicht so komfortabel. dig gibt Dir mehr Möglichkeiten.
Wenn ich das gleiche mit ipv6.google.com mache, bekomme ich eine Antwort...
Weil:
ipv6.google.com ist ein CNAME für ipv6.l.google.com. und l.google.com. wird ausschließlich von IPv4-basierten Nameservers ausgeliefert.
Du musst hier zwischen dem DNS-Server und der ausgelieferten Adresse unterscheiden. Der Server liefert RRs (Resource Records) aus. Für den Server sind RRs nur Daten (bis darauf dass von Resolvern ab und zu mal einer interpretiert wird um die Serverhierarchie abzuklappern). Ihm ist es auch egal ob er die RRs via IPv4 oder IPv6 ausliefert.
In der Konsequenz bedeutet das dass im Moment noch jeder DNS-Server IPv4 sprechen können muss, damit jeder Resolver arbeiten kann - auch der dumme IPv4-basierte Resolver bei Deinem Provider. Genau! Der den Du als Forwarder benutzt, um IPv6-Adressen aufzulösen, die Du dann am Provider vorbei tunnelst... ;-)
b) Port 53/tcp6 Deines PC ist von außen nicht erreichbar
Hier meine Firewallregeln:
/sbin/ip6tables -A INPUT -p tcp -m multiport --dports domain -j ACCEPT /sbin/ip6tables -A INPUT -p udp -m multiport --dports domain -j ACCEPT
Dann gibt es selbstverständlich einen DROP, aber diese Regeln sollten schon reichen, oder? Aber komischerweise sehe ich KEINE Anfrage auf die Port 53...
Das weißt sehr deutlich darauf hin dass der anfragende Resolver kein IPv6 kann.
Ich habe das Problem gelöst, indem ich einen externen (per IPv4 erreichbaren) DNS-Server zum Slave gemacht habe. Ein wenig aufpassen muss man mit den Synchronisationen.
Und das habe ich auch gerade gemacht. Erstmal geht, aber ich denke, daß das Problem gerade bei der Firewall ist...
Nö. Die Firewallregeln sehen gut aus - es sei denn Du hast noch ein DROP weiter oben. Ich tippe auf Forwarder/Resolver beim Provider.
Kannst du mir sagen, was ich falsches mache? Eigentlich ist nichts anderes als was ich schon für IPv4 mache...
Mit der kleinen Schwierigkeit dass noch nicht alle Hosts da sind wo sie hin sollen.
Übrigens: kannst du mich anpingen?
Ja, 75ms RTT. Laut Traceroute 17 Hops (inklusive beider Home-Router) - wir sind bei unterschiedlichen SixXS-Tunnelservern (bei gleichem Server sind es 50ms und 5 Hops, die Zeit geht im Tunnel verloren).
Konrad