IPv6 en wildcard DNS CNAME

!LET OP! Als in /etc/resolv.conf gezocht wordt binnen een domein met een wildcard CNAME treden gekke problemen met IPv6 op!

Stel host.domain.org heeft IN A 1.2.3.4 en een machine met IPv6 zoekt in searchdomain.com vanuit /etc/resolv.conf. Neem verder aan dat *.searchdomain.com IN CNAME searchdomain.com bestaat en dat searchdomain.com zelf gewoon een A-record en AAAA-record heeft.

Omdat er IPv6 connectiviteit bestaat, zullen programma’s zoals wget, apt of fetchmail proberen om een AAAA-record (of CNAME naar een AAAA-record) op te zoeken. Dit gaat mis, omdat bijvoorbeeld host.domain.org (alleen IPv4!) dan opgezocht zal worden als host.domain.org.searchdomain.com wat een CNAME naar searchdomain.com is.

Bijvoorbeeld:

$ cat /etc/resolv.conf
search searchdomain.com
nameserver 1.2.3.4

In combinatie met het volgende:

*.searchdomain.com. IN CNAME searchdomain.com.
searchdomain.com. IN A 1.2.3.4
searchdomain.com. IN AAAA ::1

Bij zoekopdrachten die normaliter alleen een IPv4 A-record (of CNAME naar een A-record) zullen teruggeven, zal nu als resultaat een CNAME naar een AAAA-record en dus uiteindelijk ::1 boven water komen.

Erg onverwacht maar vooral ongemakkelijk!

Tags: , ,

Comments are closed.