Se usó la API de Cloud Translation para traducir esta página.

Google DNS64 público

Introducción

Las redes de doble pila con conectividad IPv6 y también IPv4 son comunes, pero aún están lejos de ser universales. Para dar el siguiente paso de la transición a IPv6 y, luego, implementar redes solo de IPv6, los operadores de red deben conservar el acceso a las redes y los servicios solo de IPv4. Hay varios mecanismos de transición para proporcionar acceso IPv6 a IPv4; una opción cada vez más popular con muchos operadores de red es NAT64. El uso de una puerta de enlace NAT64 con capacidad de traducción de IPv4-IPv6 permite que los clientes que solo usan IPv6 se conecten a servicios solo IPv4 a través de direcciones IPv6 sintéticas que comienzan con un prefijo que las enruta a la puerta de enlace NAT64.

DNS64 es un servicio DNS que muestra registros AAAA con estas direcciones IPv6 sintéticas para destinos solo IPv4 (con registros A, pero no AAAA en el DNS). Esto permite que los clientes que solo usan IPv6 usen puertas de enlace NAT64 sin ninguna otra configuración. El DNS6 público de Google proporciona DNS64 como un servicio global mediante el prefijo NAT64 reservado 64:ff9b::/96.

Importante: Antes de comenzar

Antes de configurar tus sistemas para usar el DNS64 público de Google, ten en cuenta las siguientes limitaciones que pueden afectar el uso del servicio:

El DNS64 público de Google está diseñado para usarse solo en redes con acceso a una puerta de enlace NAT64 mediante el prefijo 64:ff9b::/96 de NAT64 reservado. No la uses en redes que no puedan alcanzar una puerta de enlace NAT64.
El DNS64 público de Google no proporciona acceso a dominios privados que no se puedan resolver desde la Internet pública, aunque puede mostrar registros AAAA para direcciones IPv4 privadas (RFC 1918) que se muestran en respuestas de DNS públicas.
El DNS64 público de Google no es necesario para hosts o redes de pila doble, pero sí funciona y muestra registros AAAA y original A sintetizados (esto puede generar tráfico a hosts solo IPv4 que pasen por NAT64 en lugar de directamente por IPv4, pero, en general, solo cuando la conexión NAT64 es más rápida).

Configura el DNS64 público de Google

Si tus sistemas no tienen problemas con las limitaciones anteriores de DNS64 de Google Public, puedes seguir las instrucciones habituales para comenzar a usar el DNS público de Google y reemplazar las direcciones de resolución estándar por las siguientes:

2001:4860:4860::6464
2001:4860:4860::64

No configure ninguna otra dirección IPv6: Si lo hace, el DNS64 no será confiable. Si también configuras direcciones IPv4 de DNS público de Google (8.8.8.8 o 8.8.4.4), es posible que, a veces, los hosts de pila doble no obtengan registros AAAA sintetizados.

Algunos dispositivos usan campos separados para las ocho partes de las direcciones IPv6 y no pueden aceptar la sintaxis de abreviatura :: de IPv6. Para esos campos, ingresa lo siguiente:

2001:4860:4860:0:0:0:0:6464
2001:4860:4860:0:0:0:0:64

Expande las entradas 0 a 0000 y la entrada 64 a 0064 si se requieren cuatro dígitos hexadecimales.

DNS64 seguro

El DNS64 público de Google es compatible con los transportes DNS seguros de DNS por HTTPS (DoH) y DNS por TLS (DoT) mediante el dominio dns64.dns.google en lugar de dns.google. Este dominio se resuelve en las direcciones IPv6 mencionadas anteriormente, y los servicios de DoH y DoT en los puertos 443 y 853 para esas direcciones tienen certificados TLS para dns64.dns.google.

La plantilla de URI RFC 8484 DoH para Google DNS64 público es https://dns64.dns.google/dns-query{?dns} y la API de JSON también es compatible con URL como https://dns64.dns.google/resolve?name=ipv4only.arpa&type=AAAA (solo se puede acceder desde sistemas compatibles con IPv6).

Cómo probar la configuración de DNS64

Puedes seguir los pasos de prueba en la guía de introducción para verificar que tu configuración de DNS64 funcione. Si no tienes acceso a una puerta de enlace NAT64, Wikipedia enumera varias implementaciones de NAT64 que puedes implementar por tu cuenta.

Se sabe que algunas implementaciones de NAT64 no funcionan con el DNS64 público de Google:

MacOS X 10.11 y versiones posteriores incluyen NAT64/DNS64, pero no pueden pasar IPv6, lo que evita el acceso a los agentes de resolución de DNS64 públicos de Google. Está diseñada para probar dispositivos solo IPv6 cuando solo tienes conectividad IPv4 a Internet y solo funciona con el DNS64 incluido (los dispositivos que solo cuentan con IPv6 conectados no pueden usar el DNS público de Google directamente, aunque puedes configurar el sistema MacOS X para que use 8.8.8.8 y 8.8.4.4).
Cisco ASA 9.0 y las versiones posteriores incorporan NAT64, pero no admiten el prefijo 64:ff9b::/96 conocido y requieren que selecciones tu propio prefijo. No implementa DNS64, pero proporciona inspección y reescritura de NAT del tráfico de DNS que pasa por la puerta de enlace NAT64.

Los dispositivos solo IPv6 detrás de un Cisco ASA pueden obtener conectividad IPv4 mediante el DNS público de Google mediante la configuración de las siguientes direcciones de agente de resolución:
- NAT64-prefix::0808:0808 (8.8.8.8 mediante Cisco ASA NAT64)
- NAT64-prefix::0808:0404 (8.8.4.4 a través de Cisco ASA NAT64)
Esto enruta las consultas al DNS público de Google a través de Cisco ASA NAT64. Con alguna configuración de Cisco ASA adicional, las consultas AAAA se traducen en consultas A, y las respuestas A se traducen en AAAA con el prefijo configurado.

El uso de direcciones NAT64 y de resolución de IPv6 de DNS público de Google (2001:4860:4860::8888 o 2001:4860:4860::8844) no funciona, ya que las respuestas negativas de cualquiera de ellas no se volverán a consultar con la otra. Debes elegir la resolución DNS IPv6 o IPv4 para todas las consultas.