Общедоступный DNS Google64

Введение

Сети с двумя стеками с возможностью подключения как IPv6, так и IPv4 сейчас широко распространены, но они все еще далеки от универсальности. Чтобы сделать следующий шаг по переходу на IPv6 и развернуть сети только для IPv6, сетевые операторы должны по-прежнему сохранять доступ к сетям и службам только для IPv4. Существует несколько механизмов перехода для обеспечения доступа IPv6 к IPv4 ; все более популярным выбором среди многих сетевых операторов является NAT64 . Использование шлюза NAT64 с возможностью преобразования IPv4-IPv6 позволяет клиентам, использующим только IPv6, подключаться к службам, поддерживающим только IPv4, через искусственные адреса IPv6, начинающиеся с префикса, который направляет их к шлюзу NAT64.

DNS64 — это служба DNS, которая возвращает записи AAAA с этими синтетическими адресами IPv6 для пунктов назначения только для IPv4 (с записями A, но не AAAA в DNS). Это позволяет клиентам только для IPv6 использовать шлюзы NAT64 без какой-либо другой конфигурации. Google Public DNS64 предоставляет DNS64 как глобальную службу с использованием зарезервированного префикса NAT64 64:ff9b::/96 .

Важно: прежде чем начать

Прежде чем настраивать свои системы для использования Google Public DNS64, примите во внимание следующие ограничения, которые могут повлиять на использование вами службы:

  • Google Public DNS64 предназначен для использования только в сетях с доступом к шлюзу NAT64 с использованием зарезервированного префикса NAT64 64:ff9b::/96 . Не используйте его в сетях, которые не могут подключиться к такому шлюзу NAT64 .

  • Google Public DNS64 не предоставляет доступ к частным доменам, которые не могут быть разрешены из общедоступного Интернета, хотя он может возвращать записи AAAA для частных (RFC 1918) IPv4-адресов, возвращенных в общедоступных ответах DNS.

  • Google Public DNS64 не требуется для сетей или хостов с двойным стеком, но он работает, возвращая как синтезированные записи AAAA, так и исходные записи A (это может привести к тому, что трафик на хосты только для IPv4 будет проходить через NAT64, а не напрямую через IPv4, но обычно только когда соединение NAT64 быстрее).

Настройка общедоступного DNS64 Google

Если в ваших системах нет проблем с указанными выше ограничениями Google Public DNS64 , вы можете следовать обычным инструкциям по началу работы с Google Public DNS, заменив стандартные адреса преобразователя на следующие:

  • 2001:4860:4860::6464
  • 2001:4860:4860::64

Не настраивайте никакие другие адреса IPv6 : это делает DNS64 ненадежным. Если вы также настроите IPv4-адреса Google Public DNS (8.8.8.8 или 8.8.4.4), хосты с двойным стеком могут иногда не получать синтезированные записи AAAA.

Некоторые устройства используют отдельные поля для всех восьми частей адресов IPv6 и не могут принимать синтаксис аббревиатуры :: IPv6. Для таких полей введите:

  • 2001:4860:4860:0:0:0:0:6464
  • 2001:4860:4860:0:0:0:0:64

Расширьте записи 0 до 0000 и запись 64 до 0064 , если требуются четыре шестнадцатеричных цифры.

Безопасный DNS64

Google Public DNS64 поддерживает безопасный транспорт DNS DNS через HTTPS (DoH) и DNS через TLS (DoT) с использованием домена dns64.dns.google вместо dns.google . Этот домен разрешается в перечисленные выше адреса IPv6, а службы DoH и DoT на портах 443 и 853 для этих адресов имеют сертификаты TLS для dns64.dns.google .

Шаблон RFC 8484 DoH URI для Google Public DNS64 — https://dns64.dns.google/dns-query{?dns} , а JSON API также поддерживается с такими URL-адресами, как https://dns64.dns.google/resolve? name=ipv4only.arpa&type=AAAA (доступно только из систем с поддержкой IPv6).

Проверьте настройки DNS64.

Вы можете выполнить тестовые шаги в руководстве по началу работы, чтобы убедиться, что ваша конфигурация DNS64 работает. Если у вас нет доступа к шлюзу NAT64, Википедия перечисляет несколько реализаций NAT64 , которые вы можете развернуть самостоятельно.

Известно, что некоторые реализации NAT64 не работают с Google Public DNS64:

  • MacOS X 10.11 и более поздние версии включают NAT64/DNS64, но не могут передавать IPv6, что препятствует доступу к распознавателям Google Public DNS64. Он предназначен для тестирования устройств только для IPv6, когда у вас есть только IPv4-подключение к Интернету, и работает только с включенным DNS64 (подключенные к нему устройства только для IPv6 не могут напрямую использовать общедоступный DNS Google, хотя вы можете настроить систему MacOS X для используйте 8.8.8.8 и 8.8.4.4).

  • Cisco ASA 9.0 и более поздние версии включают NAT64, но не поддерживают широко известный префикс 64:ff9b::/96 и требуют выбора собственного префикса. Он не реализует DNS64, но обеспечивает проверку и перезапись NAT трафика DNS, проходящего через шлюз NAT64.

    Устройства только для IPv6 за Cisco ASA могут получить подключение IPv4 с помощью Google Public DNS, настроив следующие адреса преобразователя:

    • Префикс NAT64 ::0808:0808 ( 8.8.8.8 через Cisco ASA NAT64 )

    • Префикс NAT64 ::0808:0404 ( 8.8.4.4 через Cisco ASA NAT64 )

    Это направляет запросы к Google Public DNS через Cisco ASA NAT64. При некоторой дополнительной конфигурации Cisco ASA запросы AAAA преобразуются в запросы A, а ответы A преобразуются обратно в AAAA с настроенным префиксом.

    Использование как адресов NAT64, так и адресов резолвера Google Public DNS IPv6 (2001:4860:4860::8888 или 2001:4860:4860::8844) не работает, поскольку отрицательные ответы ни от одного из них не будут повторно запрошены с другим. Для всех запросов необходимо выбрать разрешение DNS IPv6 или IPv4.