DNS64 ציבורי של Google

מבוא

כיום, רשתות Wi-Fi עם קישוריות IPv6 ו-IPv4 הן תופעה נפוצה, אבל הן עדיין רחוקות מהאוניברסלי. כדי לבצע את השלב הבא של המעבר ל-IPv6 ולפרוס רשתות IPv6 בלבד, מפעילי רשתות עדיין צריכים לשמור על הגישה לרשתות ולשירותים של IPv4 בלבד. יש כמה מנגנוני העברה שמספקים גישה ל-IPv6 ל-IPv4. בחירת רשת פופולרית יותר ויותר בקרב מפעילי רשתות רבים היא NAT64. שימוש בשער NAT64 עם יכולת תרגום IPv4-IPv6 מאפשר ללקוחות המשתמשים ב-IPv6 בלבד להתחבר לשירותי IPv4 בלבד דרך כתובות IPv6 סינתטיות, שמתחילות בקידומת שמנתבת אותם לשער NAT64.

DNS64 הוא שירות DNS שמחזיר רשומות AAAA עם כתובות ה-IPv6 הסינתטיות האלה ליעדים מסוג IPv4 בלבד (עם DNS אבל לא את רשומות AAAA ב-DNS). כך לקוחות מסוג IPv6 בלבד יכולים להשתמש בשערי NAT64 בלי צורך בהגדרות נוספות. Google Public DNS64 מספק את DNS64 כשירות גלובלי באמצעות הקידומת NAT64 64:ff9b::/96.

חשוב: לפני שמתחילים

לפני שמגדירים את המערכות לשימוש ב-DNS ציבורי של Google, יש להביא בחשבון את המגבלות הבאות שעשויות להשפיע על השימוש בשירות:

  • פרוטוקול Google Public664 מיועד לשימוש רק ברשתות עם גישה לשער NAT64 שנעשה בו שימוש בקידומת NAT64 השמורה 64:ff9b::/96. אין להשתמש בו ברשתות שאין להן גישה לשער NAT64.

  • מערכת DNS ציבורית של Google לא מספקת גישה לדומיינים פרטיים שלא ניתן לפענח מהאינטרנט הציבורי, אך היא יכולה להחזיר רשומות AAAA לכתובות IP פרטיות (RFC 1918) שהוחזרו בתגובות DNS ציבוריות.

  • אין צורך ב-Google Public DNS64 עבור רשתות או מארחים של מחסנית כפולה, אבל היא פועלת, ומחזירה גם את רשומות AAAA המקוריות וגם את רשומות A המקוריות (פעולה זו יכולה לגרום לתנועה למארחים עם IPv4 בלבד שעוברים דרך NAT64, ולא ישירות דרך IPv4, אבל לרוב רק כשחיבור NAT64 מהיר יותר).

הגדרת Google Public DNS64

אם למערכות שלכם אין בעיות עם המגבלות הקודמות של Google Public DNS64, תוכלו לפעול לפי ההוראות הרגילות לתחילת העבודה ב-Google Public DNS, ולהחליף את הכתובות של המקודד הרגיל בתקן הבא:

  • 2001:4860:4860::6464
  • 2001:4860:4860::64

לא ניתן להגדיר כתובות IPv6 אחרות: כך ה-DNS64 לא יהיה אמין. אם תגדירו גם כתובות IP מסוג IPv4 של Google Public DNS (8.8.8.8 או 8.8.4.4), יכול להיות שמארחים של ערימה כפולה לא יקבלו לפעמים רשומות AAAA סינתטיות.

מכשירים מסוימים משתמשים בשדות נפרדים לכל שמונה החלקים של כתובות IPv6, ואינם יכולים לקבל את תחביר קיצור ה-IPv6 של ::. בשדות אלו יש להזין:

  • 2001:4860:4860:0:0:0:0:6464
  • 2001:4860:4860:0:0:0:0:64

מרחיבים את הרשומות של 0 ל-0000 ואת הערך של 64 ל-0064 אם צריך להזין ארבע ספרות הקסדצימליות.

DNS64 מאובטח

DNS ציבורי של Google DNS64 תומך ב-DNS ב-HTTPS (DoH) ובפרוטוקולים של DNS באמצעות TLS (DoT), שמשתמשים ב-DNS מאובטח באמצעות הדומיין dns64.dns.google, במקום dns.google. הדומיין הזה מעביר את הבעלות על כתובות IPv6 המפורטות למעלה, ועל שירותי DoH ו-DoT ביציאה 443 וב-853 לכתובות האלה יש אישורי TLS עבור dns64.dns.google.

תבנית ה-URI של RFC 8484 DoH עבור Google Public DNS64 היא https://dns64.dns.google/dns-query{?dns} וה-API של JSON נתמך גם עם כתובות URL כמו https://dns64.dns.google/answer?name=ipv4only.arpa&type=AAAA (נגיש רק ממערכות שתומכות ב-IPv6).

בדיקת הגדרות DNS64

אפשר לבצע את שלבי הבדיקה במדריך לתחילת העבודה כדי לוודא שתצורת DNS64 פועלת. אם אין לכם גישה לשער NAT64, תוכלו לראות בעצמכם כמה הטמעות של NAT64.

ידוע שחלק מההטמעות של NAT64 לא פועלות עם Google Public DNS64:

  • MacOS X 10.11 ואילך כוללת את NAT64/DNS64, אך לא יכולה לעבור את IPv6, ובכך מונעת גישה למקודדים של Google Public DNS64. הוא מיועד לבדיקת מכשירי IPv6 בלבד כשיש לך רק חיבור IPv4 לאינטרנט, והוא פועל רק עם DNS64 הכלול בו (מכשירים עם IPv6 בלבד שמחוברים אליו לא יכולים להשתמש ישירות ב-DNS ציבורי של Google, אבל אפשר להגדיר את המערכת של MacOS X לשימוש בגרסאות 8.8.8.8 ו-8.8.4.4).

  • Cisco ASA 9.0 ואילך משלב את NAT64, אבל לא תומך בקידומת המוכרת 64:ff9b::/96, ודורש לבחור קידומת משלכם. הוא לא מטמיע DNS64 אבל מספק בדיקה ושכתוב של NAT להעברת תנועה דרך שער NAT64.

    מכשירי IPv6 בלבד מאחורי Cisco ASA יכולים לקבל קישוריות IPv4 באמצעות DNS ציבורי של Google על ידי הגדרה של כתובות המקודדות הבאות:

    • קידומת NAT64::0808:0808 (8.8.8.8 דרך Cisco ASA NAT64)

    • קידומת NAT64::0808:0404 (8.8.4.4 דרך Cisco ASA NAT64)

    מערכת זו מנתבת את השאילתות ל-DNS ציבורי של Google דרך Cisco ASA NAT64. עם תצורה נוספת של Cisco ASA, שאילתות AAAA יתורגמו לשאילתות A, ותגובות A יתורגמו חזרה ל-AAAA עם הקידומת שהוגדרה.

    השימוש בכתובות NAT64 ובכתובות ה-URL של ה-IPv6 של DNS ציבורי של Google (2001:4860:4860::8888 או 2001:4860:4860::8844) לא פועל, מאחר שתגובות שליליות מאחת מהשאילתות לא יישלחו מחדש עם השאילתה השנייה. עליך לבחור ברזולוציית DNS6 או IPv4 עבור כל השאילתות.