Welchen Wireshark-Filter sollte ich verwenden, um IPv6-DNS-Server-Anzeigen im Netzwerk aufzuspüren? Ich sehe keinen DHCPv6-Verkehr in meinem Netzwerk, daher gehe ich davon aus, dass die Konfiguration der Clients über Router-Anzeigen erfolgt.
Wenn ich jedoch den folgenden Filter ( (icmpv6.type == 134 ) || dhcpv6) verwende, um alle Router-Anzeigen und DHCPv6-Nachrichten in Wireshark anzuzeigen, kann ich sehen, dass mein bevorzugter DNS-Server sich selbst über Router-Anzeigen ankündigt.
ICMPv6 Option (Recursive DNS Server DNS:Server:Address)
Type: Recursive DNS Server (25)
Length: 3 (24 bytes)
Reserved
Lifetime: 118
Recursive DNS Servers: DNS:Server:Address
Mein Router sendet auch Router-Anzeigen, aber diese Nachrichten enthalten keinen RDNSS-Inhalt. Es gibt zwar einige DHCPv6-Nachrichten, aber das sind nur Anfragen, die von Clients gesendet werden.
Ich sehe Clients, die zusätzlich zu meinem bevorzugten DNS-Server mit einem anderen DNS-Server (der Adresse meines Routers) konfiguriert sind, und ich frage mich, woher sie diese Einstellung haben.
Wo kann ich sonst noch nach DNSv6-Anzeigen suchen?
Aktualisieren: Wie von @vidarlo hervorgehobenunten, was ich gesehen habe, ist eine RDNSS-Option in ICMPv6-Router-Anzeigen, nicht DHCPv6. Ich habe es geschafft, die Einstellung auf meinem Router aufzuspüren, die RDNSS deaktiviert. Sie befindet sich in einer Schnittstelle mit der Bezeichnung DHCP. Ich habe dies deaktiviert und dann mit Wireshark nachgesehen, um sie zu überwachen. Der Wireshark-Filter für Pakete, die eine RDNSS-Option enthalten, ist icmpv6.opt.rdnssund ich kann sehen, dass mein Router keine Pakete mehr mit dieser Einstellung sendet.
Allerdings entscheiden sich sowohl meine Windows- als auch meine macOS-Clients immer noch von Zeit zu Zeit, den Router für die IPv6-DNS-Auflösung zu verwenden und die von meinem PiHole gesendeten RDNSS-Optionen zu ignorieren. Dies passiert auch Wochen nach dem Deaktivieren der RDNSS-Einstellung im Router und es werden keine Pakete mehr mit dieser Einstellung gesendet, obwohl PiHole seine eigene Adresse als RDNSS-Option sendet, viele Neustarts von allem und die Bestätigung, dass keine manuellen Einstellungen vorhanden sind.
Aktualisierung 2: Nachdem ich IPv6 auf meinem Mac umgeschaltet hatte, sah ich im Wireshark-Filter, icmpv6.opt.rdnss || dhcpv6dass sowohl mein Router als auch mein PiHole-Server auf DHCPv6-Anfragen mit ihren eigenen IP-Adressen als DNS-Server antworten, sodass meine Clients das Paket verwenden, das sie zuerst erhalten – eine klassische DHCP-Race-Situation. Das erklärt das Problem. Schämt euch, TP-Link, dass ihr es nicht möglich macht, DHCPv6 in allen euren Routern zu deaktivieren!
Antwort1
Dies ist normalerweise Teil der RA-Nachrichten:
Dies sollte vom Host gesendet werden, der Router-Announcement-Nachrichten sendet, und Sie sollten wahrscheinlich den Mechanismus zum Senden von RAs mit dem entsprechenden DNS-Server konfigurieren.
Wenn keine solche Nachricht konfiguriert ist, verfügen Ihre Hosts wahrscheinlich entweder über statisch definierte IPv6-DNS-Server oder verwenden kein DNS auf IPv6.
Antwort2
Verwenden Sie Wireshark, um sowohl DHCPv6- als auch ICMPv6-Router-Anzeigen mit dem folgenden Filter zu finden:
icmpv6.opt.rdnss || dhcpv6.option.type == 23
Sie können dann die Details aller Pakete anzeigen, die möglicherweise von IPv6-Clients verwendet werden, um festzulegen, welche DNS-Server verwendet werden sollen.
Beachten Sie, dass Sie DHCPv6-Pakete dieser Art möglicherweise nur als Antwort auf eine DHCPv6-Anforderung für Einstellungen sehen. Um dies auszulösen, schalten Sie daher IPv6 auf einem Client um.