[dr Tr0jan]

Яндекс отдаёт AAAA-записи только на запросы к NS по IPv6 из какого-то одному ему известного набора ASок.

К примеру туда входит he.net.

При этом на ya.ru или yandex.ru никогда нету AAAA, оно бывает только на www.yandex.ru.

Короче говоря даже в 2013-м они до сих пор продолжают старательно рубить этой собаке хвост по частям.

Ах вон оно что - Яндекс почистил DNS view для AAAA-записей.

[rm_]

Ох лол "почистил DNS view", более кривого способа сформулировать "мы включили IPv6 ещё на полутора доменах куда никто не заходит" придумать было сложно.

[st_re]

лучше бы тындыкс починил свой dns.yandex.ru (в смысле те 6 IP, что в проекте заявлены) чтобы они не выдваали "Ой" на запросы. Я тут чтобы дочке парнуха не лезла включил ей. ага. то то "не найден", то се. А то пихают его во всякие железки, а оно не живое нихрена. В общем иногда %% до 20 доходят фейлы при запросах к 77.88.8.8. а ipv6, его и потом можно.

[dr Tr0jan]

мы включили IPv6 ещё на полутора доменах куда никто не заходит

Вообще-то на ya.ru пол-России заходит.

[rm_]

мы включили IPv6 ещё на полутора доменах куда никто не заходит

Вообще-то на ya.ru пол-России заходит.

Есть мнение (и не только моё (с)), что ya.ru утратил актуальность с появлением поиска напрямую из адресных или поисковых строк браузеров.

[izuware]

Если из адресной строки например бинг ищет, то всетаки проще набрать я.ру, чем лезать в потроха браузера.

[NN----NN]

А я со времен модемного интернета :) привык, когда-то было приятное открытие...

[-Ars-]

практический вопрос - ломаю голову, как к этому отнестись.

Дано: CPE с DualStack . Сам по себе IPv6 через него работает, все прекрасно. Но возникла вот какая ситуация:

СРЕ не получил IPv6 адрес, только IPv4 (это по условиям теста). СРЕ продолжает раздавать себя, как DNS сервер, компьютерам, подключенным в LAN и по IPv4, и по IPv6 (Stateless DHCPv6, отдается CPE-шный ULA ). Router Advertisement от CPE выходит в LAN с RouterLifetime=0. До сих пор - все хорошо.

Компьютер с Win7 подключен к CPE. Запускаю nslookup например на rambler.ru- и вижу, что компьютер пытается отрезольвить адрес через прежде всего через IPv6 DNS. Поскольку CPE в данном случае всего лишь DNS forwarder, а IPv6 подключения в интернет нет - логично, что ответа компьютер не получает. Только потом, через достаточно долгое время, компьютер начинает использовать IPv4 DNS. Понятно, что в реале это может привести (пока, насколько мне известно, не приводило, жалоб от клиентов не поступало ;) ) прежде всего к задержкам в открытии сайтов.

Вобщем, не могу понять: это глюк компьютера, баг или проблема дизайна? Признаюсь сразу - вопрос не доисследован ;) Мы не смотрели, воспроизводится ли это поведение на других компьютерах (повторюсь - жалоб на подобное поведение не поступало, но с дргугой стороны, возможно, у клиентов IPv6 работает и они не замечают проблемы). Доберемся до этого только во вторник. Своего мнения пока не составил, хотелось бы услышать чужие ;).

[none7]

Использование link-local адреса для DNS-сервера это не лучшая идёя и вообще для всех протоколов передающих адреса. Учитывая, что угадывание идентификфтора интерфейса не входит в обязанности ПО. Нормально link-local адреса будут работать только в link-local p2p, вроде SMB или MDNS. Если у IPv4 несколько интерфейсов с адресами 169.254.*, то там вероятно выползет таже самая проблема, этими адресами никто не пользуется, но и не учитывают последстия их использования. Проще говоря кто неподумав шорошенько начал использовать link-local адреса, тот сам дурак.

[-Ars-]

Link local, ULA - разница, все-таки есть, не? :-)

[none7]

Link local, ULA - разница, все-таки есть, не? :-)

Ох, "сам дурак" это в данном случае обо мне.

 

Как я понял речь о нерабочем DNS-резольвере по причине blackhole, IPv6 тут вообще нипричём. Но ведь у CPE должен быть IPv4-адрес резольвера, какой в CPE кривой DNS forwarder, если не пытается в случае ошибок отправки запроса к первому не пытается осуществить отправку второму. Никаких таймаутов в случае отсутсвия маршрута быть не должно, а если маршрут работает, но используя link-local, то это уже баг ОС.

[Ivan_83]

Компьютер с Win7 подключен к CPE. Запускаю nslookup например на rambler.ru- и вижу, что компьютер пытается отрезольвить адрес через прежде всего через IPv6 DNS.

Есть комп отправляет днс запросы по ипв6 на роутер, то роутер пусть отвечает на них, в чём проблема?

[-Ars-]

Но ведь у CPE должен быть IPv4-адрес резольвера, какой в CPE кривой DNS forwarder, если не пытается в случае ошибок отправки запроса к первому не пытается осуществить отправку второму. Никаких таймаутов в случае отсутсвия маршрута быть не должно, а если маршрут работает, но используя link-local, то это уже баг ОС.

 

 

Нет , секундочку, давайте разберёмся! CPЕ форвардит запросы, а не смешивает их. Если запрос приходит по IPv6 - он форвардится наружу. То же самое - для IPv4. Потом все так же возвращается оратно. Но "наружу" выхода по IPv6 нет. Я бы ожидал, что ОС не будет посылать запроса через IPv6, если нет роута наружу по IPv6. Мне это кажется логичным, но вот нигде не могу найти ни подтверждения, не опровержения этой логики ;)ю

 

Есть комп отправляет днс запросы по ипв6 на роутер, то роутер пусть отвечает на них, в чём проблема?

 

Отвечать чем? Роутер работает как DNS сервер только для локальных запросов. Все, что вне его - форвардится на внешний DNS сервер. Вопрос, собственно, какого хрена винда пытается по IPv6 что-то спрашивать, если ей потом никак не выйти наружу по IPv6 - нет роута.

[Ivan_83]

Собственно мне странно.

Есть днс резолвер (не рекурсивный) виндовый или неважно чей.

Ему напихали адресов вышестоящих днс.

Резолверу вообще пофик у кого спрашивать, ответы везде должны быть одинаковы. Да и не знает они ничего и знать не хочет, думать не его работа.

В DNS доках вроде нигде не упоминается что ответы должны различаться в зависимости от того на каком л3 приехал запрос.

 

Собственно когда я для себя делал резолвер там именно такая логика и была: есть список днс серверов у которых спрашивать, вот у них и спрашиваем. А то что в списке IPv4 и IPv6 могут быть вперемешку это вообще фигня.

Если один не отвечает вовремя, спрашиваем следующий. В независимости от того что спрашивают (A, AAAA, TXT, MX, SOA) запросы всё равно идут по ипв4 и ипв6, главное чтобы отвечало вовремя.

И для днс сервера примерно такая же логика: пришёл запрос - отвечаем. Откуда он пришёл - это вообще без разницы, хоть из pipe.

 

Моё мнение: ваш форвадер получая запросы через ипв6 и не имея в6 аплинка (соответственно и днс доступных по ипв6) должен форвадить дальше по любым доступным ипв4.

Те косяк именно в форвадере.

Воткните unbound, наверняка там получше с этим, не говоря о том, что днс провайдера вообще можно не прописывать :)

[zi_rus]

Нет , секундочку, давайте разберёмся! CPЕ форвардит запросы, а не смешивает их. Если запрос приходит по IPv6 - он форвардится наружу. То же самое - для IPv4

Секундочку, он форвадит запрос, а не пакет. запрос это то что находится внутри udp payload, и там нет ничего про ip, там только dns, просто одно имя, которое клиент хочет отрезолвить.

В общем правильно чуть выше написали

 

Но я подумал про другое, не возникнет ли ситуация когда клиент будет считать что у него есть ipv6 доступ, хотя его нет и не начнет ли он стучаться по ipv6 на сервера и в результате охреневать почему открывается только половина сайтов

[-Ars-]

Но я подумал про другое, не возникнет ли ситуация когда клиент будет считать что у него есть ipv6 доступ, хотя его нет

Не возникнет. Для этого и шлется RouterLifetime=0.

Моё мнение: ваш форвадер получая запросы через ипв6 и не имея в6 аплинка (соответственно и днс доступных по ипв6) должен форвадить дальше по любым доступным ипв4. Те косяк именно в форвадере

Секундочку, он форвадит запрос, а не пакет. запрос это то что находится внутри udp payload, и там нет ничего про ip, там только dns, просто одно имя, которое клиент хочет отрезолвить. В общем правильно чуть выше написали

Мне надо над этим подумать. Это, действительно, звучит логично. Тогда странно, что только сейчас я набрёл на этот глюк. Возможно и впрямь локальный баг проекта. Вобщем, во вторник покопаюсь. Спасибо всем за здравые мысли.

[Ivan_83]

Но я подумал про другое, не возникнет ли ситуация когда клиент будет считать что у него есть ipv6 доступ, хотя его нет и не начнет ли он стучаться по ipv6 на сервера и в результате охреневать почему открывается только половина сайтов

Роутер если шлюзом себя не анонсит то и слать клиенту будет пакеты некуда.

[zi_rus]

Но я подумал про другое, не возникнет ли ситуация когда клиент будет считать что у него есть ipv6 доступ, хотя его нет и не начнет ли он стучаться по ipv6 на сервера и в результате охреневать почему открывается только половина сайтов

Роутер если шлюзом себя не анонсит то и слать клиенту будет пакеты некуда.

я лишь предположил, отсюда не видно что он анонсит, а что нет, ни метода раздачи адресов, ни софта. теоретически возможно все

[-Ars-]

я лишь предположил, отсюда не видно что он анонсит, а что нет

Я несколько раз написал, что RouterLifetime=0. Это и значит, что он не анонсит себя шлюзом ;)

[zi_rus]

невнимательно читал

[-Ars-]

Вобщем, панику я поднимал раньше времени - все работает именно так, как и должно: СРЕ опрашивает все свои DNS-сервера безотносительно того, как к нему пришел запрос. Просто сетап был глючный ;)

Еще раз спасибо всем за ум.

[karpa13a]

а то что vk.com стал отдавать в6 по дефолту еще никто не ощутил? или я слоупочу?

[st_re]

Дык эта.. год назад оно уже отдавало.

[karpa13a]

хм, может oauth.vk.com недавно выкатили на в6, столкнулись седне с этой проблемой.

[st_re]

что там именно отдавалось - не помню. Помню что был в знакомом месте сквид, собранный с поддержкой ipv6... И тот при наличии ответа AAAA, но отсутствии v6 connectivity ломился всеравно по v6 и вываливал "опаньки". в общем на вконтакте и обнаружилось.