Introdução
Redes de pilha dupla com conectividade IPv6 e IPv4 agora são comuns, mas ainda estão longe do universal. Para executar a próxima etapa da transição para o IPv6 e implantar redes somente IPv6, os operadores de rede ainda precisam preservar o acesso a redes e serviços somente IPv4. Há vários mecanismos de transição para fornecer acesso IPv6 ao IPv4. Uma opção cada vez mais conhecida com muitos operadores de rede é a NAT64. Usar um gateway do NAT64 com o recurso de tradução IPv4-IPv6 permite que clientes somente IPv6 se conectem a serviços somente IPv4 por meio de endereços IPv6 sintéticos que começam com um prefixo que os encaminha para o gateway do NAT64.
O DNS64 é um serviço de DNS que retorna registros AAAA com esses endereços IPv6 sintéticos para destinos somente IPv4 (com registros A, mas não AAAA no DNS). Isso permite que clientes somente IPv6 usem gateways NAT64 sem nenhuma outra configuração. O DNS64 público do Google oferece o DNS64 como um serviço global que usa o prefixo NAT64 reservado 64:ff9b::/96.
Importante: antes de começar
Antes de configurar seus sistemas para usar o DNS público do Google, considere as seguintes limitações que podem afetar seu uso do serviço:
O DNS64 público do Google é destinado para uso somente em redes com acesso a um gateway do NAT64 usando o prefixo NAT64 reservado
64:ff9b::/96. Não o use em redes que não podem alcançar tal gateway NAT64.O DNS64 público do Google não fornece acesso a domínios privados que não podem ser resolvidos da Internet pública, embora ele possa retornar registros AAAA para endereços IPv4 particulares (RFC 1918) retornados em respostas de DNS público.
O DNS66 público do Google não é necessário para redes ou hosts de pilha dupla, mas funciona, retornando AAAA sintetizado e registros A originais. Isso pode fazer com que o tráfego de hosts somente IPv4 passe pelo NAT64 e não diretamente pelo IPv4, mas geralmente só quando a conexão NAT64 é mais rápida.
Como configurar o DNS64 público do Google
Se os sistemas não tiverem problemas com as limitações do DNS público do Google acima, siga as instruções normais de primeiros passos do DNS público do Google, substituindo os endereços padrão do resolvedor pelo seguinte:
- 2001:4860:4860::6464
- 2001:4860:4860::64
Não configure outros endereços IPv6: isso não torna o DNS6 confiável. Se você também configurar endereços IPv4 do DNS público do Google (8.8.8.8 ou 8.8.4.4), os hosts de pilha dupla podem não receber registros AAAA sintetizados às vezes.
Alguns dispositivos usam campos separados para todas as oito partes de endereços IPv6 e não podem aceitar a sintaxe de abreviação do IPv6 ::. Para esses campos, digite:
- 2001:4860:4860:0:0:0:0:6464
- 2001:4860:4860:0:0:0:0:64
Expanda as entradas 0 para 0000 e a entrada 64 para 0064 se forem necessários quatro dígitos hexadecimais.
DNS64 seguro
O DNS64 público do Google é compatível com transportes DNS DNS sobre HTTPS (DoH) e DNS via TLS (DoT) usando o domínio dns64.dns.google em vez de dns.google.
Esse domínio é resolvido para os endereços IPv6 listados acima, e os serviços DoH e DoT
nas portas 443 e 853 para esses endereços têm certificados TLS para
dns64.dns.google.
O modelo de URI DoH RFC 8484 para DNS64 público do Google é
https://dns64.dns.google/dns-query{?dns}, e a API JSON também é compatível
com URLs como https://dns64.dns.google/resolve?name=ipv4only.arpa&type=AAAA (acessível somente de sistemas compatíveis com IPv6).
Testar as configurações do DNS64
Siga as etapas de teste no guia de primeiros passos para verificar se a configuração do DNS64 está funcionando. Se você não tiver acesso a um gateway NAT64, a Wikipédia lista várias implementações NAT64 que você pode implantar por conta própria.
Algumas implementações do NAT64 não funcionam com o DNS público do Google:
O MacOS X 10.11 e posteriores incorporam NAT64/DNS64, mas não podem transmitir IPv6, impedindo o acesso aos resolvedores DNS64 públicos do Google. Ele se destina a testar dispositivos somente IPv6 quando você tem apenas uma conexão IPv4 com a Internet e só funciona com o DNS64 incluído. Dispositivos somente IPv6 conectados a ele não podem usar o DNS público do Google diretamente, embora seja possível configurar o sistema MacOS X para usar as versões 8.8.8.8 e 8.8.4.4.
O Cisco ASA 9.0 e versões posteriores incorpora o NAT64, mas não oferece suporte ao prefixo conhecido
64:ff9b::/96e requer que você selecione seu próprio prefixo. Ele não implementa o DNS64, mas fornece inspeção e reescrita de NAT do tráfego de DNS que passa pelo gateway do NAT64.Os dispositivos somente IPv6 por trás de um Cisco ASA podem receber conectividade IPv4 usando o DNS público do Google configurando os seguintes endereços de resolvedor:
Prefixo NAT64
::0808:0808(8.8.8.8 via Cisco ASA NAT64)Prefixo NAT64
::0808:0404(8.8.4.4 via Cisco ASA NAT64)
Isso encaminha consultas para o DNS público do Google pelo Cisco ASA NAT64. Com algumas configurações adicionais do Cisco ASA, as consultas AAAA são convertidas em consultas A, e as respostas A são convertidas de volta para AAAA com o prefixo configurado.
O uso dos endereços NAT64 e dos endereços IPv6 do DNS público do Google (2001:4860:4860::8888 ou 2001:4860:4860::8844) não funciona, já que as respostas negativas de um deles não serão consultadas novamente Escolha a resolução de DNS IPv6 ou IPv4 para todas as consultas.