Telenet ipv6 DNS servers advertising

Heb je vragen of opmerkingen over deze provider via de kabel? Post dan je vragen hier.
Plaats reactie
cyberbozzo
Premium Member
Premium Member
Berichten: 727
Lid geworden op: 27 sep 2007, 23:31
Uitgedeelde bedankjes: 23 keer
Bedankt: 25 keer

Dag Iedereen,

Sinds een paar weken zie ik sporadisch volgende gebeuren:
- We hebben een eigen DNS server in gebruik alsook DHCP. Onze eigen DNS werkt enkel via ipv4. We gebruiken ipv6 voor niets intern en het is ook niet nodig.
- In het netwerk zit een TN AP (die misschien verkeerd geconfigureerd is, dat kan > ik ken het product niet en heb het afgekoppeld).
- Toch krijgen clients ipv enkel onze eigen DNS (die via het DHCP offer komen), onze eigen DNS + ipv6 DNS servers van Telenet toegewezen.

Gevolg: name resolution loopt soms fout. Als we dan de TN AP uitschakelen, dan verdwijnen de ipv6 uit de clients na een reboot. Wanneer we de TN AP weer aanzetten, dan komen die ipv6 DNS servers weer terug bij clients.

Hoe komt dit? Ik dacht dat een DNS server enkel static ingesteld kon worden of via het DHCP offer komt? Werkt dat bij ipv6 anders (ik las iets over advertisement)?

Hoe kan je zulks gedrag vermijden?

Bedankt!
Pieter
blatruwe
Plus Member
Plus Member
Berichten: 127
Lid geworden op: 12 nov 2018, 17:24
Uitgedeelde bedankjes: 15 keer
Bedankt: 29 keer

Je kan in IPv6 de DNS servers uitdelen via DHCP (stateful) of via de SLAAC (stateless). Bij het 2e zit in een periodiek "router advertisment" bericht de optie met de DNS servers erin.

Het zou dus kunnen dat die access point van telenet die RA berichten uitstuurt. Eventueel kun je eens proberen op een PC een wireshark trace op te zetten en te filteren op icmpv6 om te zien als er dergelijke berichten te zien zijn met een DNS ingevuld, en te bekijken wie de afzender is.


Afbeelding
cyberbozzo
Premium Member
Premium Member
Berichten: 727
Lid geworden op: 27 sep 2007, 23:31
Uitgedeelde bedankjes: 23 keer
Bedankt: 25 keer

Hello,

Bedankt voor je reactie!
Het komt idd via SLAAC vermoed ik (https://www2.telenet.be/nl/business/kla ... he-uitleg/).

Intussen hebben we die AP er al vantussen gegooid hoor (teveel gedoe mee, het impacteert meerdere mensen, we sluiten dinsdag zelf een enterprise grade AP aan). Maar dit is wel interessant om te weten.
Ook bij een thuisgebruiker overlaatst gezien (zelfde issue), die kreeg ook zulks SLAAC adres, hij had een VPN openstaan naar het werk, maar toch kon hij resources van zijn werk niet bereiken.

Via een NSLOOKUP erachter gekomen dat de DNS requests voor zijn work resources, gebeurden via TN ipv6 DNS ipv via onze eigen DNS server (die user nochtans meekrijgt door het maken van een VPN verbinding). Ik vermoed dat dit gedrag komt doordat Win10 ipv6 prefereert ipv ipv4 indien ipv6 beschikbaar is. Onze eigen DNS servers zijn nergens ipv6 ready (gaat over internal networks/private subclasses).

Enig idee wat je kan doen tegen dit soort gedrag? Dit is wel héél irritant: als alles zo wordt, zijn onze VPN oplossingen morgen waardeloos :cry:
Is er een mogelijkheid om SLAAC uit te schakelen in Windows? We zouden natuurlijk ipv6 compleet kunnen disablen, maar dit vind ik precies wat verregaand.
bogon
Starter
Starter
Berichten: 15
Lid geworden op: 19 dec 2020, 14:23
Bedankt: 2 keer

blatruwe schreef:Je kan in IPv6 de DNS servers uitdelen via DHCP (stateful) of via de SLAAC (stateless). Bij het 2e zit in een periodiek "router advertisment" bericht de optie met de DNS servers erin.
Niet helemaal correct. RA's bevatten het routeradres en of de client zijn adres via SLAAC, via stateless DHCPv6 of via stateful DHCPv6 moet verkrijgen. Optioneel bevatten RA's ook DNS servers, wat alleen nuttig is bij SLAAC. Daarbij is er namelijk geen verdere communicatie meer nodig met de client; die stelt zijn adres volledig zelf in.
cyberbozzo schreef:Enig idee wat je kan doen tegen dit soort gedrag? Dit is wel héél irritant: als alles zo wordt, zijn onze VPN oplossingen morgen waardeloos :cry:
Die VPN is slecht geconfigureerd. Als de client gegevens lekt is dat een serieuze blunder. De oplossing is ofwel dat fixen, of beter nog: IPv6 implementeren.

Heb je een eigen router staan, of gebruik je die van Telenet met DHCP uitgeschakeld? Want dit probleem zie ik vaak in dat laatste scenario.
cyberbozzo
Premium Member
Premium Member
Berichten: 727
Lid geworden op: 27 sep 2007, 23:31
Uitgedeelde bedankjes: 23 keer
Bedankt: 25 keer

bogon schreef: Die VPN is slecht geconfigureerd. Als de client gegevens lekt is dat een serieuze blunder. De oplossing is ofwel dat fixen, of beter nog: IPv6 implementeren.

Heb je een eigen router staan, of gebruik je die van Telenet met DHCP uitgeschakeld? Want dit probleem zie ik vaak in dat laatste scenario.
Ik kan het probleem niet exact reconstrueren op dit moment, maar het lijkt me sterk dat dit aan de VPN client ligt.
Ik heb 2 screenshots in bijlage gestoken. Op de plaats waar de WiFi adapter zijn DNS servers ingevuld staan (verkregen via DHCP) staan dan ipv6 adressen ingevuld indien dat issue zich voordoet.

Ik denk dat het ook komt doordat ik niet goed begrijp hoe Windows met DNS omgaat indien er meerdere DNS'en beschikbaar zijn. Nogmaals: zonder ipv6 heb ik hier nooit problemen mee, het issue begint wanneer de client ipv6 DNS adressen krijgt (Windows heeft die er dan via SLAAC ingezet). Dit issue doet zich voor zowel over de VPN als zonder VPN: wanneer er ipv6 adressen gedefinieerd zijn (via SLAAC) dan lijkt de client de ipv4 DNS server die hij via zijn DHCP offer verkregen heeft, te negeren.
Bijlagen
Screenshot VPN adapter.png
Screenshot VPN adapter
(68.8 KiB) Nog niet gedownload
Screenshot WiFi Adapter.png
Screenshot WiFi Adapter
(61.52 KiB) Nog niet gedownload
bogon
Starter
Starter
Berichten: 15
Lid geworden op: 19 dec 2020, 14:23
Bedankt: 2 keer

cyberbozzo schreef:Ik kan het probleem niet exact reconstrueren op dit moment, maar het lijkt me sterk dat dit aan de VPN client ligt.
Ik heb 2 screenshots in bijlage gestoken. Op de plaats waar de WiFi adapter zijn DNS servers ingevuld staan (verkregen via DHCP) staan dan ipv6 adressen ingevuld indien dat issue zich voordoet.

Ik denk dat het ook komt doordat ik niet goed begrijp hoe Windows met DNS omgaat indien er meerdere DNS'en beschikbaar zijn. Nogmaals: zonder ipv6 heb ik hier nooit problemen mee, het issue begint wanneer de client ipv6 DNS adressen krijgt (Windows heeft die er dan via SLAAC ingezet). Dit issue doet zich voor zowel over de VPN als zonder VPN: wanneer er ipv6 adressen gedefinieerd zijn (via SLAAC) dan lijkt de client de ipv4 DNS server die hij via zijn DHCP offer verkregen heeft, te negeren.
Windows gaat DNS-servers in volgorde af (indien verkregen via DHCP / RDNSS volgt het de volgorde van de DHCP/RA-server.) IPv6 heeft altijd voorrang op IPv4. Dat gezegd zijnde, reken niet op volgorde. Als een DNS-server met "voorrang" niet reageert, kan Windows een volgende nemen en het resultaat daarvan cachen. Zorg dat alle ingestelde DNS-servers op elke query altijd het zelfde resultaat geven.

Optie 1: configureer uw VPN om IPv6 ook te tunnelen / te blokkeren. Google "$mijn_vpn_software ipv6 leak"
Optie 2: als het bij u thuis / op uw kantoor is: zoek het apparaat dat RA's uitstuurt en zet die RA's af, of filter ze met een tussenliggend toestel.

By the way: let er ook op dat een DNS-server via IPv4 ook AAAA-records kan antwoorden en een DNS-server via IPv6 ook A-records kan antwoorden.
Plaats reactie

Terug naar “Telenet (Base, Chello, UPC)”