Introduction
Les réseaux à double pile avec connectivité IPv6 et IPv4 sont désormais courants, mais ils sont encore loin d'être universels. Pour passer à l'étape suivante de la transition vers IPv6 et déployer des réseaux ne fonctionnant qu'avec IPv6, les opérateurs de réseaux doivent toujours conserver l'accès aux réseaux et services IPv4. Il existe plusieurs mécanismes de transition pour fournir l'accès IPv6 à l'IPv4. NAT64 est un choix de plus en plus populaire auprès de nombreux opérateurs réseau. L'utilisation d'une passerelle NAT64 avec une fonctionnalité de traduction IPv6-IPv6 permet aux clients utilisant uniquement le protocole IPv6 de se connecter à des services basés sur IPv4 uniquement via des adresses IPv6 synthétiques commençant par un préfixe qui les achemine vers la passerelle NAT64.
DNS64 est un service DNS qui renvoie les enregistrements AAAA avec ces adresses IPv6 synthétiques pour les destinations IPv4 uniquement (avec les enregistrements A, mais pas AAAA dans le DNS). Cela permet aux clients utilisant uniquement le protocole IPv6 d'utiliser des passerelles NAT64 sans aucune autre configuration. Google Public DNS64 fournit DNS64 en tant que service mondial avec le préfixe NAT64 réservé 64:ff9b::/96.
Important: Avant de commencer
Avant de configurer vos systèmes pour utiliser le DNS public 64 de Google, tenez compte des limitations suivantes qui peuvent affecter votre utilisation du service:
Google Public DNS64 est destiné à être utilisé uniquement sur les réseaux ayant accès à une passerelle NAT64 utilisant le préfixe NAT64 réservé
64:ff9b::/96. Ne l'utilisez pas sur des réseaux qui ne peuvent pas atteindre une telle passerelle NAT64.Google Public DNS64 ne fournit pas d'accès aux domaines privés qui ne peuvent pas être résolus à partir de l'Internet public, bien qu'il peut renvoyer des enregistrements AAAA pour les adresses IPv4 privées (RFC 1918) renvoyées dans les réponses DNS publiques.
Google Public DNS64 n'est pas nécessaire pour les réseaux ou les hôtes à double pile, mais il fonctionne, mais renvoie les enregistrements AAAA synthétisés et les enregistrements A d'origine. Cela peut entraîner un trafic vers les hôtes IPv4 uniquement via NAT64 plutôt que directement via IPv4, mais généralement uniquement lorsque la connexion NAT64 est plus rapide.
Configurer le DNS public 64 de Google
Si vos systèmes ne présentent aucun problème avec les limites DNS 64 ci-dessus de Google, vous pouvez suivre les instructions habituelles de mise en route du DNS public de Google en remplaçant les adresses des résolveurs standards par les suivantes:
- 2001:4860:4860::6464
- 2001:4860:4860::64
Ne configurez aucune autre adresse IPv6, car DNS64 ne serait pas fiable. Si vous configurez également des adresses IPv4 DNS publiques Google (8.8.8.8 ou 8.8.4.4), les hôtes à double pile peuvent parfois ne pas obtenir d'enregistrements AAAA synthétisés.
Certains appareils utilisent des champs distincts pour les huit parties des adresses IPv6 et ne peuvent pas accepter la syntaxe d'abréviation IPv6 ::. Pour ces champs, saisissez:
- 2001:4860:4860:0:0:0:0:6464
- 2001:4860:4860:0:0:0:0:64
Développez les entrées 0 pour 0000 et l'entrée 64 pour 0064 si quatre chiffres hexadécimaux sont requis.
DNS64 sécurisé
Google Public DNS64 est compatible avec les transports DNS sécurisés DNS sur HTTPS (DoH) et DNS sur TLS (DoT) à l'aide du domaine dns64.dns.google au lieu de dns.google.
Ce domaine résout les adresses IPv6 répertoriées ci-dessus, et les services DoH et DoT sur les ports 443 et 853 de ces adresses disposent de certificats TLS pour dns64.dns.google.
Le modèle d'URI RFC 8484 DoH pour Google Public DNS64 est https://dns64.dns.google/dns-query{?dns}. L'API JSON est également compatible avec les URL telles que https://dns64.dns.google/resolve?name=ipv4only.arpa&type=AAAA (uniquement accessible depuis les systèmes compatibles IPv6).
Tester vos paramètres DNS64
Vous pouvez suivre la procédure de test du guide de démarrage pour vérifier que votre configuration DNS64 fonctionne. Si vous n'avez pas accès à une passerelle NAT64, Wikipédia répertorie plusieurs implémentations NAT64 que vous pouvez déployer vous-même.
Certaines mises en œuvre NAT64 ne fonctionnent pas avec le DNS public 64 de Google:
MacOS X 10.11 et versions ultérieures intègrent NAT64/DNS64, mais ne peuvent pas transmettre IPv6, empêchant ainsi l'accès aux résolveurs publics DNS64 de Google. Il est destiné à tester les appareils utilisant uniquement le protocole IPv6 lorsque vous disposez d'une connectivité IPv4 à Internet et ne fonctionne qu'avec le DNS64 inclus (les appareils équipés d'IPv6 qui y sont connectés ne peuvent pas utiliser le DNS public de Google directement, mais vous pouvez configurer le système MacOS X pour qu'il utilise les versions 8.8.8.8 et 8.8.4.4).
Cisco ASA 9.0 et versions ultérieures intègrent la version NAT64, mais n'est pas compatible avec le préfixe bien connu
64:ff9b::/96. Vous devez donc sélectionner votre propre préfixe. Il n'implémente pas DNS64, mais fournit une inspection et une réécriture NAT du trafic DNS passant par la passerelle NAT64.Les appareils utilisant uniquement le protocole IPv6 derrière un Cisco ASA peuvent obtenir une connectivité IPv4 à l'aide du DNS public de Google en configurant les adresses de résolveur suivantes:
NAT64-prefix
::0808:0808(8.8.8.8 via Cisco ASA NAT64)NAT64-prefix
::0808:0404(8.8.4.4 via Cisco ASA NAT64)
Ce type de requête achemine les requêtes vers le DNS public de Google via Cisco ASA NAT64. Avec quelques configurations Cisco ASA supplémentaires, les requêtes AAAA sont converties en requêtes A, et les réponses A sont converties en AAAA avec le préfixe configuré.
L'utilisation d'adresses NAT64 et d'adresses de résolution IPv6 DNS publiques de Google (2001:4860:4860::8888 ou 2001:4860:4860::8844) ne fonctionne pas, car les réponses négatives de l'une ne sont pas renvoyées pour l'autre. Vous devez choisir une résolution DNS IPv6 ou IPv4 pour toutes les requêtes.