Google Public DNS64

Einführung

Dual-Stack-Netzwerke mit IPv6- und IPv4-Konnektivität sind mittlerweile weit verbreitet, aber weit voneinander entfernt. Für den nächsten Schritt der Umstellung auf IPv6 und die Bereitstellung von Nur-IPv6-Netzwerken müssen Netzwerkbetreiber weiterhin Zugriff auf Nur-IPv4-Netzwerke und -Dienste haben. Es gibt mehrere Umstellungsmechanismen, um IPv6-Zugriff auf IPv4 zu ermöglichen. Eine beliebte Wahl bei vielen Netzwerkbetreibern ist NAT64. Wenn Sie ein NAT64-Gateway mit IPv4-IPv6-Übersetzungsfunktion verwenden, können Nur-IPv6-Clients über synthetische IPv6-Adressen eine Verbindung zu reinen IPv4-Diensten herstellen, die mit einem Präfix beginnen, das sie zum NAT64-Gateway weiterleitet.

DNS64 ist ein DNS-Dienst, der AAAA-Einträge mit diesen synthetischen IPv6-Adressen für Nur-IPv4-Ziele zurückgibt (mit A-, aber nicht AAAA-Einträgen im DNS). Dadurch können Nur-IPv6-Clients NAT64-Gateways ohne weitere Konfiguration verwenden. Google Public DNS64 bietet DNS64 als globalen Dienst mit dem reservierten NAT64-Präfix 64:ff9b::/96.

Wichtig: Bevor Sie beginnen

Beachten Sie vor der Konfiguration Ihrer Systeme für die Verwendung von Google Public DNS64 die folgenden Einschränkungen, die sich auf die Nutzung des Dienstes auswirken können:

  • Google Public DNS64 ist nur für Netzwerke mit Zugriff auf ein NAT64-Gateway mit dem reservierten NAT64-Präfix 64:ff9b::/96 vorgesehen. Verwenden Sie es nicht in Netzwerken, die ein solches NAT64-Gateway nicht erreichen können.

  • Google Public DNS64 bietet keinen Zugriff auf private Domains, die nicht aus dem öffentlichen Internet aufgelöst werden können. Es kann jedoch AAAA-Einträge für private (RFC 1918) IPv4-Adressen zurückgeben, die in öffentlichen DNS-Antworten zurückgegeben werden.

  • Google Public DNS64 wird für Dual-Stack-Netzwerke oder -Hosts nicht benötigt. Es funktioniert jedoch, da sowohl synthetisierte AAAA- als auch ursprüngliche A-Einträge zurückgegeben werden. Dies kann dazu führen, dass Traffic an Nur-IPv4-Hosts durch NAT64 und nicht direkt über IPv4 geht, in der Regel aber nur, wenn die NAT64-Verbindung schneller ist.

Google Public DNS64 konfigurieren

Wenn Ihre Systeme keine Probleme mit den oben genannten Einschränkungen von Google Public DNS64 haben, können Sie der üblichen Anleitung für die ersten Schritte in Google Public DNS folgen und die standardmäßigen Resolver-Adressen durch Folgendes ersetzen:

  • 2001:4860:4860::6464
  • 2001:4860:4860::64

Keine anderen IPv6-Adressen konfigurieren: DNS64 ist sonst unzuverlässig. Wenn Sie auch Google Public DNS-IPv4-Adressen (8.8.8.8 oder 8.8.4.4) konfigurieren, werden Dual-Stack-Hosts mitunter nicht synthetisierte AAAA-Einträge erhalten.

Einige Geräte verwenden separate Felder für alle acht Teile von IPv6-Adressen und können die IPv6-Abkürzungssyntax :: nicht akzeptieren. Geben Sie für solche Felder Folgendes ein:

  • 2001:4860:4860:0:0:0:0:6464
  • 2001:4860:4860:0:0:0:0:64

Erweitern Sie die Einträge 0 auf 0000 und den Eintrag 64 auf 0064, wenn vier Hexadezimalziffern erforderlich sind.

Sicheres DNS64

Google Public DNS64 unterstützt sichere DNS-Transporte mit DNS über HTTPS (DoH) und DNS über TLS (DoT) über die Domain dns64.dns.google anstelle von dns.google. Diese Domain wird in die oben aufgeführten IPv6-Adressen aufgelöst und die DoH- und DoT-Dienste an den Ports 443 und 853 für diese Adressen haben TLS-Zertifikate für dns64.dns.google.

Die RFC 8484-DoH-URI-Vorlage für Google Public DNS64 lautet https://dns64.dns.google/dns-query{?dns}. Die JSON API wird auch mit URLs wie https://dns64.dns.google/resolve?name=ipv4only.arpa&type=AAAA unterstützt (nur über IPv6-fähige Systeme zugänglich).

DNS64-Einstellungen testen

Folgen Sie den Testschritten im Startleitfaden, um zu prüfen, ob Ihre DNS64-Konfiguration funktioniert. Wenn Sie keinen Zugriff auf ein NAT64-Gateway haben, finden Sie in Wikipedia verschiedene NAT64-Implementierungen, die Sie selbst bereitstellen können.

Einige NAT64-Implementierungen funktionieren nicht mit Google Public DNS64:

  • Unter macOS 10.11 und höher ist NAT64/DNS64 integriert, kann aber nicht IPv6 übergeben, wodurch der Zugriff auf die Google Public DNS64-Resolver verhindert wird. Die Funktion ist zum Testen von Nur-IPv6-Geräten vorgesehen, wenn Sie nur eine IPv4-Verbindung zum Internet haben, und funktioniert nur mit dem enthaltenen DNS64. Nur mit IPv6 verbundene Geräte können Google Public DNS nicht direkt verwenden, Sie können das MacOS X-System jedoch so konfigurieren, dass es 8.8.8.8 und 8.8.4.4 verwendet.

  • Cisco ASA 9.0 und höher enthält NAT64, unterstützt aber das bekannte Präfix 64:ff9b::/96 nicht. Sie müssen deshalb ein eigenes Präfix auswählen. DNS64 wird nicht implementiert, sondern ermöglicht die Prüfung und NAT-Umschreibung von DNS-Traffic, der über das NAT64-Gateway geleitet wird.

    Reine IPv6-Geräte hinter einer Cisco ASA können IPv4-Konnektivität über Google Public DNS erhalten, wenn die folgenden Resolver-Adressen konfiguriert werden:

    • NAT64-prefix::0808:0808 (8.8.8.8 über Cisco ASA NAT64)

    • NAT64-prefix::0808:0404 (8.8.4.4 über Cisco ASA NAT64)

    Dadurch werden Abfragen über das Cisco ASA NAT64 an Google Public DNS weitergeleitet. Bei einigen zusätzlichen Cisco ASA-Konfigurationen werden AAAA-Abfragen in A-Abfragen und A-Antworten in AAAA mit dem konfigurierten Präfix umgewandelt.

    Die Verwendung von NAT64-Adressen und IPv6-Adressen von Google Public DNS (2001:4860:4860::8888 oder 2001:4860:4860::8844) funktioniert nicht, da negative Antworten von beiden nicht zusammen mit der anderen abgefragt werden. Sie müssen für alle Abfragen entweder die IPv6- oder die IPv4-DNS-Auflösung auswählen.