blog.keesmeijs.nl

Eerder schreef ik over problemen met IPv6 en wildcard records. Blijkbaar gaat het probleem nog veel verder, zie deze Debian bug in PowerDNS.

Hopelijk snel meer (over een oplossing)!

!LET OP! Als in /etc/resolv.conf gezocht wordt binnen een domein met een wildcard CNAME treden gekke problemen met IPv6 op!

Stel host.domain.org heeft IN A 1.2.3.4 en een machine met IPv6 zoekt in searchdomain.com vanuit /etc/resolv.conf. Neem verder aan dat *.searchdomain.com IN CNAME searchdomain.com bestaat en dat searchdomain.com zelf gewoon een A-record en AAAA-record heeft.

Omdat er IPv6 connectiviteit bestaat, zullen programma’s zoals wget, apt of fetchmail proberen om een AAAA-record (of CNAME naar een AAAA-record) op te zoeken. Dit gaat mis, omdat bijvoorbeeld host.domain.org (alleen IPv4!) dan opgezocht zal worden als host.domain.org.searchdomain.com wat een CNAME naar searchdomain.com is.

Bijvoorbeeld:

$ cat /etc/resolv.conf
search searchdomain.com
nameserver 1.2.3.4

In combinatie met het volgende:

*.searchdomain.com. IN CNAME searchdomain.com.
searchdomain.com. IN A 1.2.3.4
searchdomain.com. IN AAAA ::1

Bij zoekopdrachten die normaliter alleen een IPv4 A-record (of CNAME naar een A-record) zullen teruggeven, zal nu als resultaat een CNAME naar een AAAA-record en dus uiteindelijk ::1 boven water komen.

Erg onverwacht maar vooral ongemakkelijk!

Onlangs leek het me een goed idee om eens wat met NSTX te testen. Toen ik me bedacht dat er geen enkele vorm van authenticatie in het product is verwerkt, leek het alternatief iodine me wel wat.

Binnenkort eens in het wild testen bij een niet nader te noemen telecommunicatiemaatschappij… 😉