Reverse DNS pour l'IPV6

Démarré par Frank, 19 Août 2013 à 18:09:24

« précédent - suivant »

0 Membres et 3 Invités sur ce sujet

Bonjour,

Encore un petit message pour savoir ou vous en etiez dans la délégation des zones de reverse DNS pour l'IPv6 ?

En effet, gmail semble avoir changé quelque chose et refuse maintenant d'accepter mails provenant d'une IPv6 n'ayant pas le bon reverse:
Citation<foo@gmail.com> host gmail-smtp-in.l.google.com[2a00:1450:400c:c03::1a]
    said: 550-5.7.1 [2a03:4980::11:0:5      16] The sender does not meet basic
    ipv6 550-5.7.1 sending guidelines of authentication and rdns resolution of
    sending 550-5.7.1 ip. Please review 550 5.7.1
    https://support.google.com/mail/answer/81126for more information.
    y12si4696812wij.13 - gsmtp (in reply to end of DATA command)

Serait-ce possible, s'il-vous-plait (pitié, même :D), de mettre en place le rdns pour l'IPv6 ? Voire de me déléguer la zone correspondant à mon subnet ?
Je veux bien faire le beta-test pour le rdns concernant l'IPv6, si vous le voulez, mais il me faut vraiment ce rdns  :'(

Merci, beaucoup pour votre réponse !  :D

Cordialement,

Frank

J'ai mis un rdns générique pour un gros subnet, il devrait résoudre toute les IP clients

Pour la déléguation DNS, ca pourrait être fait mais uniquement en manuel, alors bon
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Merci pour ta réponse,

Actuellement, avec un reverse absent ou pointant sur le mauvais domaine, gmail me refuse tous les mails  >:(

J'ai pas trop envie d'abuser, mais serait-il possible de faire une petite exception pour mon subnet (style un petit 3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN NS villaro-dixon.eu. dans la zone, ou équivalent ? :D) ? Ca serait super sympa de votre part !

Merci beaucoup,
Frank

C'est galère le reverse IPv6
Tu devrais avoir l'autorité sur ton subnet, désormais

Peux-tu confirmer ?
Je ne parviens pas à résoudre avec ton serveur, donne moi des retours ok ?
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

 :P

De mon coté, tout à l'air bon:
Citationdig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @villaro-dixon.eu
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12706
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 3

;; QUESTION SECTION:
;a.c.7.8.d.8.e.f.f.f.1.f.e.d.2.f.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR

;; ANSWER SECTION:
a.c.7.8.d.8.e.f.f.f.1.f.e.d.2.f.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 86400   IN PTR intersect-eth0.v6.villaro.ch.

;; AUTHORITY SECTION:
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 86400   IN NS villaro-dixon.eu.

;; ADDITIONAL SECTION:
villaro-dixon.eu.   3600   IN   A   178.250.210.95
villaro-dixon.eu.   3600   IN   AAAA   2a03:4980::11:0:5

;; Query time: 3 msec
;; SERVER: 2a03:4980::11:0:5#53(2a03:4980::11:0:5)
;; WHEN: Wed Aug 21 12:30:19 2013
;; MSG SIZE  rcvd: 217


Par contre, dans la hierarchie, ca semble toujours "bloquer" chez vous:

Citation$ dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns2.kwaoo.net +short
ipv6.ftth.cust.kwaoo.net.

Étrangement, suivant le serveur DNS, j'ai une réponse (ns2) ou aucune(ns1):
Citation
$ dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns1.kwaoo.net

; <<>> DiG 9.9.2-P2 <<>> -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns1.kwaoo.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 35374
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;a.c.7.8.d.8.e.f.f.f.1.f.e.d.2.f.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 10800   IN SOA ns1.kwaoo.net. hostmaster.kwaoo.net. 2013080801 21600 3600 604800 10800

;; Query time: 5 msec
;; SERVER: 2a03:4980::10:0:5#53(2a03:4980::10:0:5)
;; WHEN: Wed Aug 21 12:33:31 2013
;; MSG SIZE  rcvd: 161

Si tu veux faire des tests, 2a03:4980:1:3:f2de:f1ff:fe8d:87ca devrait toujours résoudre sur intersect-eth0.v6.villaro.ch.

Par contre, hier (vers 17h et qqes), ca marchait bien durant une dizaine de minutes  :o

Merci encore !

Frank

Ca à l'air de marcher !

Si c'est Ok pour vous, c'est aussi ok pour moi !

Merci beaucoup !

(je vous tiens au courant pour gmail et cie)

C'est super comme sujet, j'apprend plein de trucs

J'ai un piti problème, tu vas peut-être pouvoir m'aider;
Actuellement, la résolution fonctionne bien sur les deux NS :

root@ns1:/etc/bind# dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca +short
intersect-eth0.v6.villaro.ch.
root@ns2:/etc/bind# dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca +short
intersect-eth0.v6.villaro.ch.


La conf est la suivante (dans la le /32 de Knet) :

*.0.0.0.0.8.9.4.3.0.A.2.IP6.ARPA.       IN      PTR     ipv6.ftth.cust.kwaoo.net.

3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa.       IN NS villaro-dixon.eu.

Y'a deux problèmes :
- en l'état, le wildcard est pas pris en compte (la présence du NS le désactive)
- la résolution est possible uniquement depuis les IP de Knet (recursion limité, et j'ai pas envie de faire un DNS openbar)

Donc pour ton problème, ca marche depuis chez toi mais pas depuis le reste du monde (intérêt limité ..)
As-tu des idées ?


[jack:~]dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns1.kwaoo.net

; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2 <<>> -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns1.kwaoo.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38530
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;a.c.7.8.d.8.e.f.f.f.1.f.e.d.2.f.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 10800 IN NS villaro-dixon.eu.

;; Query time: 18 msec
;; SERVER: 178.250.208.37#53(178.250.208.37)
;; WHEN: Wed Aug 21 13:44:14 CEST 2013
;; MSG SIZE  rcvd: 131
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

#7
Ouais, idem ^^

C'est assez compliqué, les wildcards, sur bind.
Faudrait que je teste, mais peut-être qu'un truc comme cela marcherait:

*.1.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR ipv6.ftth.cust.kwaoo.net
*.2.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR ipv6.ftth.cust.kwaoo.net
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN NS blah blah
*.4.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR ipv6.ftth.cust.kwaoo.net
...
*.f.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR ipv6.ftth.cust.kwaoo.net

Ca parrait un peu crade, mais ca devrait peut-être (pas du tout testé :p), marcher..

Après, il faut voir la politique d'un rdns automatique pour les IPv6. C'est vrai que c'est "obligatoire" pour les v4, mais je me demande si il y a vraiment une RFC qui demande ca pour les v6 ?
Par ce que quand on y pense, ipv6.ftth.cust.kwaoo.net ne repointe pas vers l'IP demandée.. Peut-être que ca pourrait être utile pour les IPs d'interco, mais je me demande si ca l'est vraiment pour les subnets ?


Pour la résolution, il me semble que les serveurs vont pas récurser eux-mêmes, mais vont donner ou aller au client (le champ NS). La recursion faite dans les serveurs DNS est vraiment le truc à pas faire (sauf mécanisme de quotas), mais si c'est le serveur DNS qui dit ou aller, c'est le résolveur local qui se demerdera plus tard, et dans ce cas, pas de prob :p

Depuis une ip suisse, non k-net, ca marche pas mal:
Citationlogin@pc69240 >>~ dig -x 2a03:4980:1:3::dead:dead

; <<>> DiG 9.8.1-P1 <<>> -x 2a03:4980:1:3::dead:dead
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63461
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; QUESTION SECTION:
;d.a.e.d.d.a.e.d.0.0.0.0.0.0.0.0.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR

;; ANSWER SECTION:
d.a.e.d.d.a.e.d.0.0.0.0.0.0.0.0.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 86400   IN PTR mail.domain.tld

;; AUTHORITY SECTION:
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 5261 IN NS domain.tld
;; ADDITIONAL SECTION:
villaro-dixon.eu.   80861   IN   A   178.250.210.95
villaro-dixon.eu.   80861   IN   AAAA   2a03:4980::11:0:5

;; Query time: 28 msec
;; SERVER: 10.194.69.200#53(10.194.69.200)
;; WHEN: Wed Aug 21 15:15:24 2013
;; MSG SIZE  rcvd: 183

Je remonte honteusement le topic parce que j'en ai besoin aussi :
gmail refuse d'accepter du SMTP en IPv6 si les PTR ne sont pas corrects :
voir https://support.google.com/mail/?p=ipv6_authentication_error

Comment faut-il procéder ? Requête sur le forum, ou mail au support ?

Merci :)

Tu as un serveur DNS ?

Tu veux une délégation de ta zone, pour faire ce que tu veux chez toi, ou tu souhaites juste un PTR (mauvaise idée) ?

Dans tout les cas, tu es surement au meilleur endroit  8)
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

pour le DNS v6, ceux de google font l'affaire ?

Hum, je parlais d'un serveur que tu puisses configurer à ta guise.
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Il faut carrément un serveur DNS à la maison pour de l'IPv6 ??

Pour faire de l'IPv6, non, pour faire du mail, c'est mieux.
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Citation de: Nico_S le 12 Janvier 2014 à 13:39:38
Il faut carrément un serveur DNS à la maison pour de l'IPv6 ??

Non, mais si t'as envie de reverses DNS personalisés sur tes 2^64 IPs, c'est mieux que k-net délègue sur ton serveur au lieu de le faire sur le leur ;)

L'idée, c'est qu'on te file un subnet (/64, /56, etc..), et tu fais ce que tu veux dessus. Du coup, pour les reverse dns sur ta zone, ben c'est aussi toi qui doit t'en occuper... ...si tu as envie; tu peux très bien avoir une zone sans aucun reverse dessus.