Google Açık DNS64

Giriş

Hem IPv6 hem de IPv4 bağlantısına sahip olan çift yığınlı ağlar artık yaygın şekilde kullanılabilmektedir ancak hâlâ evrensel değildir. IPv6'ya geçişin bir sonraki adımını atmak ve yalnızca IPv6 ağlarını dağıtmak için ağ operatörlerinin yalnızca IPv4 ağlarına ve hizmetlerine erişimi korumaya devam etmesi gerekir. IPv6'ya IPv4 erişimi sağlamak için çeşitli geçiş mekanizmaları vardır. Birçok ağ operatörüyle giderek daha popüler hale gelen bir seçenek de NAT64'tür. IPv4-IPv6 çeviri özelliği ile bir NAT64 ağ geçidi kullanmak, yalnızca IPv6 kullanan istemcilerin, IPv6 adresleriyle yalnızca IPv4 hizmetlerine bağlanmasına olanak tanır. Bu adreslerden başlayarak, istemcileri NAT64 ağ geçidine yönlendiren bir önek bulunur.

DNS64, yalnızca IPv4 hedefleri için bu yapay IPv6 adresleriyle birlikte AAAA kayıtlarını döndüren bir DNS hizmetidir (DNS'de AAAA kayıtlarıyla birlikte değil). Bu, yalnızca IPv6 istemcilerinin başka bir yapılandırma olmadan NAT64 ağ geçitlerini kullanmasına olanak tanır. Google Public DNS64, ayrılmış NAT64 ön ekini 64:ff9b::/96 kullanarak DNS64'ü küresel bir hizmet olarak sağlar.

Önemli: Başlamadan önce

Sistemlerinizi Google Public DNS64 kullanacak şekilde yapılandırmadan önce hizmet kullanımınızı etkileyebilecek aşağıdaki sınırlamaları göz önünde bulundurun:

  • Google Açık DNS64, yalnızca 64:ff9b::/96 NAT64 ön ekini kullanan bir NAT64 ağ geçidine erişimi olan ağlarda kullanılmak üzere tasarlanmıştır. Bu tür bir NAT64 ağ geçidine ulaşamayan ağlarda kullanmayın.

  • Google Açık DNS64, herkese açık internetten çözülemeyen özel alan adlarına erişim sağlamaz, ancak herkese açık DNS yanıtlarında döndürülen özel (RFC 1918) IPv4 adresleri için AAAA kayıtları dönebilir.

  • Google Genel DNS64, çift yığınlı ağlar veya ana makineler için gerekli değildir. Ancak hem birleşik AAAA hem de orijinal A kayıtlarını döndürür.

Google Açık DNS64'ü Yapılandırma

Sistemlerinizde yukarıdaki Google Açık DNS 44 sınırlamalarıyla ilgili sorun yoksa standart çözümleyici adreslerini aşağıdaki şekilde değiştirerek her zamanki Google Açık DNS başlangıç talimatlarını uygulayabilirsiniz:

  • 2001:4860:4860::6464
  • 2001:4860:4860::64

Başka IPv6 adresleri yapılandırma: Böyle olması DNS64'ü güvenilmez hale getirir. Google Açık DNS IPv4 adreslerini de (8.8.8.8 veya 8.8.4.4) yapılandırırsanız çift yığınlı ana makineler bazen sentetik AAAA kayıtlarını alamayabilir.

Bazı cihazlar, IPv6 adreslerinin sekiz bölümü için ayrı alanlar kullanır ve :: IPv6 kısaltma söz dizimini kabul edemez. Bu tür alanlar için şunları girin:

  • 2001:4860:4860:0:0:0:0:6464
  • 2001:4860:4860:0:0:0:0:64

Dört onaltılık basamak gerekiyorsa 0 girişlerini 0000 ve 64 girişlerini 0064 olarak genişletin.

Güvenli DNS64

Google Açık DNS64, dns.google yerine dns64.dns.google alanını kullanarak HTTPS üzerinden DNS (DoH) ve DNS üzerinden DNS (DoT)güvenli DNS aktarımlarını destekler. Bu alan, yukarıda listelenen IPv6 adreslerine çözümlenir ve bu adreslerin 443 ve 853 numaralı bağlantı noktalarındaki DoH ve DoT hizmetleri, dns64.dns.google için TLS sertifikalarına sahiptir.

Google Açık DNS64 için RFC 8484 DoH URI şablonu https://dns64.dns.google/dns-query{?dns} şeklindedir ve JSON API, https://dns64.dns.google/solutions?name=ipv4only.arpa&type=AAAA gibi URL'lerle de desteklenir (yalnızca IPv6 özellikli sistemlerden erişilebilir).

DNS64 ayarlarınızı test etme

DNS64 yapılandırmanızın çalıştığını doğrulamak için başlangıç kılavuzundaki test adımlarını uygulayabilirsiniz. Bir NAT64 ağ geçidine erişiminiz yoksa Wikipedia, dağıtabileceğiniz çeşitli NAT64 uygulamalarını listeler.

Bazı NAT64 uygulamalarının Google Public DNS64 ile çalışmadığı bilinmektedir:

  • MacOS X 10.11 ve sonraki sürümler, NAT64/DNS64'ü içerir ancak IPv6'yı geçemez. Bu da Google'ın Genel DNS64 çözümleyicilerine erişimi engeller. Yalnızca IPv4 internet bağlantısına sahip olduğunuzda yalnızca IPv6 cihazlarını test etmek için tasarlanmıştır ve yalnızca dahil edilen DNS64 ile çalışır (MacOS X sistemini 8.8.8.8 ve 8.8.4.4 kullanacak şekilde yapılandırabilirsiniz, ancak ona bağlı yalnızca IPv6 cihazlar doğrudan Google Açık DNS'i kullanamaz).

  • Cisco ASA 9.0 ve sonraki sürümleri NAT64'ü içerir, ancak iyi bilinen 64:ff9b::/96 önekini desteklemez ve kendi ön ekinizi seçmenizi gerektirir. DNS64'ü uygulamaz ancak NAT64 ağ geçidinden geçen DNS trafiğinin incelenmesini ve NAT'nin yeniden yazılmasını sağlar.

    Cisco ASA'nın arkasındaki yalnızca IPv6 cihazlar, aşağıdaki çözümleyici adreslerini yapılandırarak Google Açık DNS'yi kullanarak IPv4 bağlantısı elde edebilir:

    • NAT64 ön ek::0808:0808 (Cisco ASA NAT64 üzerinden 8.8.8.8)

    • NAT64 ön eki::0808:0404 (Cisco ASA NAT64 üzerinden 8.8.4.4)

    Bu işlem, sorguları Cisco ASA NAT64 üzerinden Google Açık DNS'e yönlendirir. Bazı ek Cisco ASA yapılandırmaları ile, AAAA sorguları A sorgularına dönüştürülür ve A yanıtları, yapılandırılmış ön ek ile tekrar AAAA biçimine dönüştürülür.

    Hem NAT64 adreslerini hem de Google Açık DNS IPv6 çözümleyici adreslerini kullanmak (2001:4860:4860::8888 veya 2001:4860:4860::8844) işe yaramaz. Tüm sorgular için IPv6 veya IPv4 DNS çözümlemesini seçmeniz gerekir.