[gelöst] DNS over TLS mit systemd-resolved funktioniert nicht mit IPv6

[debmatrix]

Servus!

Bisher sah meine /etc/systemd/resolved.conf Datei so aus:

Code: Alles auswählen

DNSOverTLS=yes
DNS=5.1.66.255#dot.ffmuc.net
DNS=185.95.218.42#dns.digitale-gesellschaft.ch
DNS=89.233.43.71#unicast.uncensoreddns.org

Nun wollte ich stattdessen IPv6 Nameserver verwenden, also habe ich die IP-Adressen entsprechend angepasst:

Code: Alles auswählen

DNSOverTLS=yes
DNS=2001:678:e68:f000::#dot.ffmuc.net
#DNS=185.95.218.42#dns.digitale-gesellschaft.ch
DNS=2a01:3a0:53:53::#unicast.uncensoreddns.org

Leider funktioniert es egal was ich mache immer nur mit IPv4 aber nicht IPv6 Nameservern.

Was mache ich falsch?

[mat6937]

Leider funktioniert es egal was ich mache immer nur mit IPv4 aber nicht IPv6 Nameservern.

Teste mal mit:

Code: Alles auswählen

nping -6 -c 3 --tcp --flags syn --delay 500ms -g 12345 -p 853 2001:678:e68:f000::
kdig -6 aaaa +tls heise.de +short @2001:678:e68:f000::
nping -6 -c 3 --tcp --flags syn --delay 500ms -g 12346 -p 853 2a01:3a0:53:53::
kdig -6 aaaa +tls heise.de +short @2a01:3a0:53:53::

[debmatrix]

Klar doch. Das ich Wlan mit der Hotspot-Funktion des Handys nutze sollte eigentlich keine Rolle spielen. Andererseits fällt mir da ein dass ich noch nie eine öffentlich IPv6 IP-Adresse bei mir bemerkt habe. Aber über eine O2 Simkarte (LTE) sollte doch wahrscheinlich IPv6 möglich sein.

Code: Alles auswählen

user@host:~$ sudo nping -6 -c 3 --tcp --flags syn --delay 500ms -g 12345 -p 853 2001:678:e68:f000::

Starting Nping 0.7.93 ( https://nmap.org/nping ) at 2023-11-28 16:10 CET
sendto in send_packet: sendto(4, packet, 20, 0, 2001:678:e68:f000::, 28) => Network is unreachable
Offending packet: BOGUS!  Can't parse supposed IP packet
SENT (0.0180s) TCP :::12345 > 2001:678:e68:f000:::853 S seq=2872496491 win=1480 
sendto in send_packet: sendto(4, packet, 20, 0, 2001:678:e68:f000::, 28) => Network is unreachable
Offending packet: BOGUS!  Can't parse supposed IP packet
SENT (0.5186s) TCP :::12345 > 2001:678:e68:f000:::853 S seq=2872496491 win=1480 
sendto in send_packet: sendto(4, packet, 20, 0, 2001:678:e68:f000::, 28) => Network is unreachable
Offending packet: BOGUS!  Can't parse supposed IP packet
SENT (1.0192s) TCP :::12345 > 2001:678:e68:f000:::853 S seq=2872496491 win=1480 
 
Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 3 (60B) | Rcvd: 0 (0B) | Lost: 3 (100.00%)
Nping done: 1 IP address pinged in 2.06 seconds

Code: Alles auswählen

user@host:~$ kdig -6 aaaa +tls heise.de +short @2001:678:e68:f000::
;; WARNING: can't connect to 2001:678:e68:f000::@853(TCP)
;; ERROR: failed to query server 2001:678:e68:f000::@853(TCP)

Code: Alles auswählen

user@host:~$ sudo nping -6 -c 3 --tcp --flags syn --delay 500ms -g 12346 -p 853 2a01:3a0:53:53::

Starting Nping 0.7.93 ( https://nmap.org/nping ) at 2023-11-28 16:10 CET
sendto in send_packet: sendto(4, packet, 20, 0, 2a01:3a0:53:53::, 28) => Network is unreachable
Offending packet: BOGUS!  Can't parse supposed IP packet
SENT (0.0128s) TCP :::12346 > 2a01:3a0:53:53:::853 S seq=996090507 win=1480 
sendto in send_packet: sendto(4, packet, 20, 0, 2a01:3a0:53:53::, 28) => Network is unreachable
Offending packet: BOGUS!  Can't parse supposed IP packet
SENT (0.5129s) TCP :::12346 > 2a01:3a0:53:53:::853 S seq=996090507 win=1480 
sendto in send_packet: sendto(4, packet, 20, 0, 2a01:3a0:53:53::, 28) => Network is unreachable
Offending packet: BOGUS!  Can't parse supposed IP packet
SENT (1.0136s) TCP :::12346 > 2a01:3a0:53:53:::853 S seq=996090507 win=1480 
 
Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 3 (60B) | Rcvd: 0 (0B) | Lost: 3 (100.00%)
Nping done: 1 IP address pinged in 2.05 seconds

Code: Alles auswählen

user@host:~$ kdig -6 aaaa +tls heise.de +short @2a01:3a0:53:53::
;; WARNING: can't connect to 2a01:3a0:53:53::@853(TCP)
;; ERROR: failed to query server 2a01:3a0:53:53::@853(TCP)

[mat6937]

Andererseits fällt mir da ein dass ich noch nie eine öffentlich IPv6 IP-Adresse bei mir bemerkt habe. Aber über eine O2 Simkarte (LTE) sollte doch wahrscheinlich IPv6 möglich sein.

Kannst ja nachschauen mit:

Code: Alles auswählen

ip -6 a
ip -6 r g 2620:0:ccc::2
mtr -6nr -c 1 2620:0:ccc::2

und wenn vorhanden, auch mit:

Code: Alles auswählen

kdig -6 aaaa +short +notimeout myip.opendns.com @2620:0:ccc::2

testen.

[debmatrix]

Ich glaube es liegt wirklich doch am Handy oder ISP. Und ich dachte schon es wäre ohnehin längst IPv6 ausgerollt.

Code: Alles auswählen

user@host:/media/user/mystick/cfg/linux$ ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: wlp3s0: <BROADCAST,MULTICAST,DYNAMIC,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fe80::d2eb:3ff:fe61:88c8/64 scope link 
       valid_lft forever preferred_lft forever

Code: Alles auswählen

user@host:/media/user/mystick/cfg/linux$ ip -6 r g 2620:0:ccc::2
RTNETLINK answers: Network is unreachable

Code: Alles auswählen

user@host:/media/user/mystick/cfg/linux$ mtr -6nr -c 1 2620:0:ccc::2
mtr: udp socket connect failed: Network is unreachable

Code: Alles auswählen

user@host:/media/user/mystick/cfg/linux$ kdig -6 aaaa +short +notimeout myip.opendns.com @2620:0:ccc::2
;; WARNING: can't send query to 2620:0:ccc::2@53(UDP)
;; WARNING: can't send query to 2620:0:ccc::2@53(UDP)
;; WARNING: can't send query to 2620:0:ccc::2@53(UDP)
;; ERROR: failed to query server 2620:0:ccc::2@53(UDP)

[wanne]

Ich glaube es liegt wirklich doch am Handy oder ISP. Und ich dachte schon es wäre ohnehin längst IPv6 ausgerollt.

Falls du Android nutzt: Guck dir mal das an:
Settings->Network->Internet->[MOBILFUNKBETREIBER-☸]->Acess Point Names->APN->[MOBILFUNKBETREIBER]->APN-Protocol->IPv4/IPv6

[debmatrix]

Danke. Das war ein Volltreffer. Bloß das sich die Einstellung auf meinem Handy von alleine wieder auf "Nur IPv4" zurückstellt, nach der Veränderung.