Vraag

donderdag 29 december 2022 21:54

Acties:
  • 0 Henk 'm!
  • Remi
  • Registratie: Januari 2001
  • Laatst online: 16-05 08:40

Remi

Moo!

Topicstarter
Mijn vraag:

TLDR; hoe configureer ik mijn UDM pro zodat hij het IPv6 DNS verkeer naar mijn pi-hole verstuurd?

Onlangs ontdekte ik dat ik mijn UDM pro niet goed/optimaal had geconfigureerd omdat ik per abuis het IP van mijn pi-hole had geconfigureerd aan de WAN zijde van de UDM. Natuurlijk niet handig als je setup onbereikbaar is bij het uitvallen van de pi-hole. Dit leverde natuurlijk ook problemen op in pi-hole omdat alle requests van de UDM kwamen en niet op client basis.

Dom dom dom, niet over nagedacht maar dit heb ik inmiddels aangepast naar enkele externe DNS clubs (openDNS en cloudflare).

Vervolgens heb ik aan de LAN zijde de DNS aangepast naar het static IPv4 adres van mijn pi-hole.

Helaas ben ik op het gebied van IPv6 wat minder ervaren en dit krijg ik ook niet geconfigureerd. Deze staat nu nog op auto waarmee, volgens mij, gewoon de DNS settings van KPN worden gebruikt en niet mijn pi-hole.

Ik dacht dat dit simpelweg een kwestie was door het vinkje bij DHCPv6/RDNSS DNS Control (Auto) weg te halen en een IPv6 adres van mijn pi-hole te vermelden maar zo simpel lijkt het toch niet te zijn.

Nu zag ik dat mijn pi-hole 'meerdere' IPv6 adressen heeft namelijk:

code:
1
2
3

        inet6 2a02:****:****::***  prefixlen 128  scopeid 0x0<global>
        inet6 fe80::****:****:****:****  prefixlen 64  scopeid 0x20<link>
        inet6 2a02:****:****:*:****:****:****:****  prefixlen 64  scopeid 0x0<global>


Ik heb het fe80 adres gebruikt in de configuratie van de UDM omdat dit volgens mijn informatie het IP zou zijn voor interne traffic (correct me if i'm wrong). Maar dit werkt dus niet.

Een paar vragen die ik heb...
Welk IP zou ik moeten gebruiken voor de UDM config?
Wat is de juiste manier om de UDM te configgen voor mijn vraagstelling en setup?
Moet ik ook nog iets wijzigen in mijn Pi-hole config? (IPv6 DNS servers zijn al aangevinkt)
Ik heb het IPv4 adres, van de pi-hole, als static/preferred gezet in de UDM pro, moet ik dit ook doen voor IPv6? En zo ja hoe?

Relevante software en hardware die ik gebruik
UDM Pro v1.12.33
Pi-hole v5.14.2
KPN glasvezel met IPv4/IPv6

UDM pro zit rechtstreeks op de converter dus geen Experiabox aanwezig.


Wat ik al gevonden of geprobeerd heb
Googlefu, Reddit en Unifi/pihole forums uitgespit. Er is veel informatie te vinden over beide onderwerpen icm IPv6 maar niet mijn specifieke vraagstelling.
No nuts, no glory tactics :P

Alle reacties

vrijdag 24 maart 2023 15:34

Acties:
  • +1 Henk 'm!
  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

Remi schreef op donderdag 29 december 2022 @ 21:54:
TLDR; hoe configureer ik mijn UDM pro zodat hij het IPv6 DNS verkeer naar mijn pi-hole verstuurd?
Opzich heb je het al voor elkaar :
Ik dacht dat dit simpelweg een kwestie was door het vinkje bij DHCPv6/RDNSS DNS Control (Auto) weg te halen en een IPv6 adres van mijn pi-hole te vermelden maar zo simpel lijkt het toch niet te zijn.

Nu zag ik dat mijn pi-hole 'meerdere' IPv6 adressen heeft namelijk:

code:
1
2
3

        inet6 2a02:****:****::***  prefixlen 128  scopeid 0x0<global>
        inet6 fe80::****:****:****:****  prefixlen 64  scopeid 0x20<link>
        inet6 2a02:****:****:*:****:****:****:****  prefixlen 64  scopeid 0x0<global>


Ik heb het fe80 adres gebruikt in de configuratie van de UDM omdat dit volgens mijn informatie het IP zou zijn voor interne traffic (correct me if i'm wrong). Maar dit werkt dus niet.
Is je IPv6 Link-Local adres wel een Interface waarop je Pi-Hole ook actief is :?

Dus FTLDNS a.k.a. DNSmasq die ergens in de config een regel heeft die dat aangeeft ?

Wat gebeurt er als je vanaf een PC/Laptop met een verse DHCPv6/SLAAC Lease een IPv6 DNS Record probeert te resolven/queriën ?!
Een paar vragen die ik heb...
Welk IP zou ik moeten gebruiken voor de UDM config?
Link-Local is het makkelijkst, want die verandert in principe nooit, tenzij je de NIC vervangt :)
Wat is de juiste manier om de UDM te configgen voor mijn vraagstelling en setup?
Volgens mij ben je er al, maar is er iets net niet lekker in je setup...
Moet ik ook nog iets wijzigen in mijn Pi-hole config? (IPv6 DNS servers zijn al aangevinkt)
FTLDNS moet dus ook actief zijn op IPv6 niveau :)
Ik heb het IPv4 adres, van de pi-hole, als static/preferred gezet in de UDM pro, moet ik dit ook doen voor IPv6? En zo ja hoe?
Geen idee wat je daarmee bedoelt... :?

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

vrijdag 24 maart 2023 16:09

Acties:
  • +1 Henk 'm!
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 19:08

RobertMe

nero355 schreef op vrijdag 24 maart 2023 @ 15:34:
Wat gebeurt er als je vanaf een PC/Laptop met een verse DHCPv6/SLAAC Lease een IPv6 DNS Record probeert te resolven/queriën ?!
Je bedoelt een AAAA query doen? Dat kan net zo goed tegen een DNS server die je via IPv4 aanspreekt. ;)
$ dig -t AAAA tweakers.net @192.168.1.53

; <<>> DiG 9.18.12-1-Debian <<>> -t AAAA tweakers.net @192.168.1.53
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53330
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;tweakers.net.                  IN      AAAA

;; ANSWER SECTION:
tweakers.net.           5       IN      AAAA    2001:9a8:0:e:1337:0:80:2

;; Query time: 19 msec
;; SERVER: 192.168.1.53#53(192.168.1.53) (UDP)
;; WHEN: Fri Mar 24 16:01:40 CET 2023
;; MSG SIZE  rcvd: 69

Enige manier om te testen is dus expliciet de DNS server benaderen op het IPv6 adres. (Dus in het voorbeeld van dig met @<ipv6 adres>). Geen idee hoe dat onder Windows moet, maar nslookup kan ook vast met een opgegeven DNS server babbelen en dan dat proberen met het IPv6 adres.

V.w.b. de vraag van @Remi: eens met wat @nero355 aangeeft: ziet er verder allemaal prima uit op het eerste gezicht. Wat je echter niet aangeeft is hoe je PiHole draait. Draait dit native? Of draait dit in Docker? En in het laatste geval: hoe het je dat ingeregeld? Met een port forward? Of met een macvlan interface? Docker doet namelijk in de standaard configuratie geen IPv6. En als je IPv6 aan zet maakt die nog steeds.geen IPv6 firewall regels aan. Snelste oplossing zonder moelijk gaan te doen met Docker en IPv6 is gebruik maken van macvlan. Dan krijgt de container een "publieke" ethernet interface en doet die gewoon DHCP voor IPv4 en SLAAC of whatever voor IPv6 en zijn dat beide IP adressen die direct op jouw netwerk bereikbaar zijn. Dan heb je geen port forwards meer nodig en voorkom je de "hell" die daarmee gepaard gaat.

vrijdag 24 maart 2023 17:40

Acties:
  • +1 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

Helemaal gemist deze schreeuw voor hulp ;)
Om te beginnen, IPv6 kent drie belangrijke types/soorten waaronder een adres kan vallen:

LLA:
Wikipedia: Link-local address

ULA:
Wikipedia: Unique local address

GUA:
Wikipedia: IPv6

LLA valt niet te routeren.

ULA valt alleen te routeren op je LAN en niet op Internet vergelijkbaar met IPv4 private adressen.

GUA is vergelijkbaar met IPv4 publieke adressen en valt wel te routeren naar Internet.

Ze zijn herkenbaar aan de prefix.
Ik vond onder mooi plaatje waar de blokjes helemaal onderaan de prefixes weergeven 2000:, fe80 etc:

Afbeeldingslocatie: https://tweakers.net/i/dzreUn8hbblyUNwi5pZl7wtvhUk=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/VO764vQDinGltw18n0HTweea.png?f=user_large
https://www.oreilly.com/l...a/9780134670584/ch05.html

Dus jouw beide 2a02 adressen zijn GUA's.
Deze wil je doorgaans niet adverteren omdat dit DNS verkeer helemaal geen route nodig heeft naar Internet en vica versa.
EDIT: Ow en dit GUA adres kan onderhevig zijn aan prefix veranderingen die via je ISP binnenkomen en waar je geen controle over hebt.
Dus kun je niet een vast IPv6 GUA adres adverteren voor DNS omdat deze zomaar kan veranderen en ook doen bij de meeste ISP's.
En het fe80 adres is een LLA.

Ik geloof dat voorkeur heeft om het ULA IPv6 adress vd Pi-hole host te adverteren (dit als je bv vlans hebt waar DNS gerouteerd moet worden):
https://discourse.pi-hole...ddresses-for-pi-hole/2127

Maar bij gebrek aan een ULA voldoet een LLA ook prima zoals boven al vermeldt.

En als ik zou moeten kiezen, ik heb namelijk geen IPv6 op m'n LAN, dan zou ik voor m'n LAN DNS alleen IPv4 toepassen ... KISS.
Clients kunnen namelijk via IPv4 DNS namen naar IPv6 adressen laten vertalen en vica versa.
Om voor de clients via IPv6 te kunnen verbinden met het bestemmings IP is het helemaal niet nodig dat het DNS verkeer ook via IPv6 gaat.

[ Voor 6% gewijzigd door deHakkelaar op 24-03-2023 18:50 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

vrijdag 24 maart 2023 17:42

Acties:
  • +1 Henk 'm!
  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

RobertMe schreef op vrijdag 24 maart 2023 @ 16:09:
Je bedoelt een AAAA query doen?

Dat kan net zo goed tegen een DNS server die je via IPv4 aanspreekt. ;)
Ik bedoel dan ook uiteraard dit :
Enige manier om te testen is dus expliciet de DNS server benaderen op het IPv6 adres.
(Dus in het voorbeeld van dig met @<ipv6 adres>). Geen idee hoe dat onder Windows moet, maar nslookup kan ook vast met een opgegeven DNS server babbelen en dan dat proberen met het IPv6 adres.
Mijn lieve bijdehand! O+ :P
Wat je echter niet aangeeft is hoe je PiHole draait.
Draait dit native?
Of draait dit in Docker?
Goed punt! Helemaal vergeten... :$ O-)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

vrijdag 24 maart 2023 18:20

Acties:
  • +2 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

Ow nog wat tips, heb je een Linux host waar je zaken op kunt installeren, bv je Pi-hole host?
Als je daarop onderstaande installeert:
code:
1

sudo apt install ndisc6

En onder draait (met je eigen interface naam uiteraard en mogelijk sudo of root powers nodig):
code:
1

rdisc6 <NETWORK_INTERFACE_NAME>

Dan kun je een aantal zaken inspecteren die worden geadverteerd via IPv6 RA:
$ rdisc6 eth0
[..]
 Prefix                   : fd00::/64
[..]
 Recursive DNS server     : fd00::3ea6:xxxx:xxxx:xxxx
[..]
 Source link-layer address: 3C:A6:2F:XX:XX:XX
 from fe80::3ea6:xxxx:xxxx:xxxx

Dat Source link-layer address boven is het MAC adres waarvan de RA afkomstig is en kun je opzoeken:
https://duckduckgo.com/?q...ddress+lookup&t=h_&ia=web

En je kunt testen op een Windows/MacOS/Linux client met het nslookup commando bv:
code:
1

nslookup tweakers.net fd00::3ea6:xxxx:xxxx:xxxx

There are only 10 types of people in the world: those who understand binary, and those who don't

vrijdag 24 maart 2023 21:17

Acties:
  • 0 Henk 'm!
  • stormfly
  • Registratie: Juli 2001
  • Laatst online: 10:38

stormfly

Het kan zijn dat je Pihole niet op fe80 kan antwoorden op port 53, ik zou die routable adressen aanroepen.

Wat je eigenlijk wilt is dat je clients een DNS IPv4 en IPv6 adres krijgen wat 100% het adres van je Pihole is. Dan krijg je alle clients via je Pihole ontsloten op het internet.

code:
1
2
3

In linux 

dig @2a02:****:****:*:****:****:****:**** nu.nl


In windows (uit mijn hoofd)

code:
1
2
3
4

CMD
nslookup
server 2a02:****:****:*:****:****:****:****
nu.nl


krijg je dan antwoord?


Het nadeel ervan is dat je niet meer weet wie welke client is, je ziet alleen de ellenlange adressen in de logs. Ik heb policies per client, dat lukt dan slecht. Ik ben toen terug gegaan naar een hybride model: PiHole heeft als upstream IPv6 DNS resolvers, en downstream naar de clients alleen IPv4. Zodat je veel makkelijker in DHCP een IPv4 reserveringen kan maken en dan op dat IP policies toepassen.

zaterdag 25 maart 2023 12:49

Acties:
  • +1 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

stormfly schreef op vrijdag 24 maart 2023 @ 21:17:
Het nadeel ervan is dat je niet meer weet wie welke client is, je ziet alleen de ellenlange adressen in de logs.
DHCPv4 heeft een mechanisme waarbij de client z'n eigen hostnaam kan adverteren naar de DHCP server.
Als Pi-hole DHCPv4 doet voor je LAN, dan zal de embedded dnsmasq code in de pihole-FTL binary deze hostnaam automatisch opvoeren in DNS.
De meeste routers doen iets vergelijkbaars.
Met puur en alleen IPv6 SLAAC of DHCPv6 bestaat zo'n mechanisme niet ... naar mijn weten.

Als je een dual stack hebt, IPv4+IPv6, dan kan pihole-FTL ook vaak de DHCPv4 geadverteerde hostnamen "slim" linken aan IPv6 adressen.

There are only 10 types of people in the world: those who understand binary, and those who don't

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq