IPv6 Online avec délégation DNS

Online change son adressage IPv6 et son fonctionnement. Voici un petit guide pour mettre en place l’IPv6 sur une machine Debian/Ubuntu avec délégation DNS pour la zone reverse.

Mise en place de l’IPv6

Première étape : Commander un bloc IPv6 commençant par 2001 dans la console Online.
Note : Si vous avez un bloc IPv6 qui commence par 2a01, il faut d’abord le résilier dans « Mon compte ». Puis commander un nouveau bloc IPv6.

Il y a un bloc IPv6 par client, mais il est possible de créer 1 sous-réseau par machine. L’idée est donc de créer un sous-réseau /56 par machine (ou plus selon vos besoins, par exemple des VM). Dans cet exemple, ça sera 2001:0bc8:dead:100::/56

Une fois que l’on obtient le bloc, il faut faire une requête DHCPv6 pour coller le préfixe à la machine.

Pour cela, créer /etc/dhcp/dhclient6.conf, puis y mettre le DUID fourni dans la console Online.

interface "eth0" {        
    send dhcp6.client-id DUID;
    request;
}

Dans /etc/network/interfaces, ajouter une adresse IPv6 (en respectant votre préfixe), le masque de sous-réseau et la requête DHCPv6 via la commande pre-up.

iface eth0 inet6 static
    address 2001:0bc8:dead:100::42
    netmask 56
    pre-up dhclient -cf /etc/dhcp/dhclient6.conf -6 -P eth0
    pre-down dhclient -x -pf /var/run/dhclient6.pid

Si vous avez un pare-feu iptables, il faudra autoriser le trafic DHCPv6.

/sbin/ip6tables -t filter -A INPUT -i eth0 -p udp --dport 546 -d fe80::/64 -j ACCEPT
/sbin/ip6tables -t filter -A OUTPUT -o eth0 -p udp --dport 547 -j ACCEPT

Au cas où, s’assurer qu’il n’y a pas d’autoconf sur l’interface eth0.

# sysctl -w net.ipv6.conf.eth0.autoconf=0
# echo "net.ipv6.conf.eth0.autoconf=0" >> /etc/sysctl.conf

Puis relancer le réseau.

# ifdown eth0 && ifup eth0

Mise en place de la délégation DNS

Online ne propose pas encore de personnaliser les reverse d’une adresse IPv6. Par contre, on peut déléguer la zone du bloc IPv6 /48 à d’autres serveurs DNS. On va donc s’en servir pour déléguer la zone sur nos serveurs DNS et attribuer un reverse à notre adresse IPv6 (dans cet exemple 2001:0bc8:dead:100::42).

Déclarez votre zone dans votre bind et créez le fichier de zone.

 zone "d.a.e.d.8.c.b.0.1.0.0.2.ip6.arpa" {
        type master;
        file "/etc/bind/db.ip6.2001_0bc8_dead";
};

 

;
; BIND reverse data file for reverse 2001:0bc8:dead::/48
;
@ IN SOA dns1.domain.fr. webmaster.domain.fr. (
2013112022 ; Serial
1h ; Refresh
30m ; Retry
1w ; Expire
1d ) ; Negative Cache TTL
;
@ NS dns1.domain.fr.
@ NS dns2.domain.fr.
2.4.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0 IN PTR machine.domain.fr.

Rechargez votre zone et voilà ! On pourra tester avec un dig -x 2001:0bc8:dead:100::42 @dns1.domain.fr

Si tout est OK, ajoutez vos serveurs DNS dans la console Online.

Sources :
Wiki Online
Wiki Evolix

5 replies on “IPv6 Online avec délégation DNS”

  1. Tout d’abord, merci pour ce tuto qui répond à la plupart de mes questions.
    Mon cas de figure : J’ai une Dédibox à laquelle j’ai affecté un subnet /64 de mon bloc IPv6. Le serveur tourne sous Plesk. Après avoir paramétré dibbler et les interfaces, Plesk reconnait toutes les IP que j’ai configurées, ce qui me permet de les affecter à chaque site web hébergé. Chaque site a son IPv6, et ça fonctionne.

    Suite à la lecture de ce tuto, j’ai vu qu’il faut modifier la config de bind. Hors, Plesk utilise Bind pour gérer les DNS. Je me suis dit que si Plesk configure correctement bind pour l’IPv4, pourquoi pas pour l’IPv6 ! Et bien bingo ! Un dig en local me renvoie les bonnes infos ! 😀

    Conclusion : Plesk gère très bien les reverse DNS IPv6 et peut servir de délégation.

    Mon problème, maintenant : Je n’ai QUE mon serveur dédié comme serveur DNS. Pour l’IPv4, j’utilise le DNS secondaire d’Online pour palier à ce problème. Le souci, c’est que sauf erreur de ma part, le DNS secondaire d’Online ne gère pas l’IPv6.

    Hors, pour pouvoir configurer la délégation DNS chez Online, il faut impérativement indiquer deux serveurs DNS…

    Y aurait-il un moyen quelconque pour palier à ce problème ?

    Merci d’avance pour la réponse ! 🙂

    Cdlt,
    David M.

    1. Même cas que vous David, j’ai envoyé un ticket au support pour savoir ce qu’il en ai de l’IPv6 de nssec.

      En tout cas très bon tuto, sa marche à la perfection !

  2. Zut, j’ai trouvé une solution, mais pas moyen de la poster… Je pense que c’est parce que mon exemple contient des URL, et que s’il y en a trop, ça ne passe pas.

    J’essaie de poster en plusieurs messages 🙂

    Le début :

    J’ai trouvé une parade. Pas très propre, mais à défaut de mieux :
    Histoire d’avoir des DNS “à moi” dans la config des domaines de mes clients, j’ai la config suivante :
    Deux “Glue records” :
    ns.masociete.fr, pointant sur une des IPFO assignée à mon serveur (Permet de basculer automatiquement en cas de changement de serveur via un simple déplacement de l’IPFO)
    ns1.masociete.fr, pointant sur l’IP de nssec

    1. Ces deux sous-domaines (ns et ns1) sont également définis dans la zone DNS du domaine de ma société.

      Comme ça, les DNS des domaines que j’héberge, c’est ns.masociete.fr et ns1.masociete.fr. Bref, ça, c’est purement esthétique et commercial.

      A côté de cela, masociete.fr pointe sur une autre IPFO de mon serveur, dédiée au site de ma société. Du coup, on a le domaine sur une IP, et le sous-domaine “ns” sur une autre IP, mais au final, le même serveur derrière, c’est à dire le mien, et qui gère très bien le DNS IPv6

      Du coup, pour ma délégation DNS IPv6, j’ai mis le domaine et le sous-domaine “ns”.
      Ca permet de biaiser le système. Il le voit comme deux serveurs DNS différents, alors qu’en fait, c’est le même. ^^ Pas ultra propre, car au final, il n’y a pas deux vrais serveurs DNS, mais à défaut d’avoir mieux, ça permet au moins d’avoir un reverse opérationnel.

      Maintenant, il ne manque plus que la possibilité de définir une délégation pour un bloc /64 plutôt que pour le /48 entier. ^^ Comme ça, un bloc /64 par serveur, avec chacun sa délégation… (Ca serait le must !)

  3. C’est bon, c’est passé !
    Du coup, c’est un peu moins lisible, car j’ai tout appelé Le sous-domaine “ns” au lieu de marquer directement ns.masociete.fr, mais au moins, tout y est. ^^

    En espérant que mon explication est compréhensible. ^^

Comments are closed.