Tengo un servidor web doméstico, direcciones IPv4 /29 (3 actualmente asignables desde el bloque debido a que tengo una subred enrutada con requisito de dirección de puerta de enlace) y dos direcciones ya asignadas a mis registros DNS. Además, tengo una subred IPv6 /64 con dos direcciones ya asignadas a mis registros DNS.
He modificado mi archivo sysconfig > network-scripts (administrado a través de Network Manager, no DHCP) para que todas las direcciones IPv4 estén disponibles para mi sistema, con la subred IPv6 asignada como secundaria, como se muestra (lo cual creo que es correcto, pero por favor dígame). yo si no es así):
IPV6ADDR=2a10:b900:10e4:1::2/64
IPV6ADDR_SECONDARIES=2a10:b900:10e4:1::/64
IPV6_DEFAULTGW=2a10:b900:10e4:1::
¿El problema? - Necesito modificar mis archivos de zona Bind para usar tanto la dirección IP adicional disponible como toda la subred IPv6. Supongo que podría agregar IPv4 como un registro A adicional (aunque he tenido problemas en los que eso ha causado problemas de conectividad en el pasado), pero ¿alguien aquí puede decirme cómo agregaría la subred IPv6?
Respuesta1
Para resumir los comentarios, no hay respuesta, porque la pregunta se basa enteramente en suposiciones erróneas.
[…] con la subred IPv6 asignada como secundaria, como se muestra
IPV6ADDR=2a10:b900:10e4:1::2/64 IPV6ADDR_SECONDARIES=2a10:b900:10e4:1::/64
En realidad, esto no asigna toda la subred. Asigna una única dirección (la dirección IID de todos ceros, 2a10:b900:10e4:1:0:0:0:0) y establece la "máscara de subred" en /64. El comportamiento es idéntico a asignar cualquier otra dirección; no hay ningún tratamiento especial para…:0:0:0:0. El /64 en ambos casos simplemente indica qué direcciones están "en enlace" (se puede alcanzar a nivel MAC a través de la interfaz física).
una conexión https:// no se puede compartir (es decir, podría tener 10 conexiones a través de la misma dirección IP si son http://, pero esas mismas conexiones requerirían 10 direcciones IP si fueran https://
No, no lo harían, porque el protocolo de transporte subyacente, TCP, ya tiene un mecanismo de multiplexación: la combinación de puerto local + puerto remoto. suponiendo que tienes
- un cliente,
- un servidor escuchando en un puerto,
En teoría, puedes tener hasta 65535 (local_addr, remote_addr, local_port, remote_port)combinaciones únicas variando el puerto_local. En la práctica, el número está entre ~32k o ~48k, dependiendo del rango de "puerto efímero" que haya configurado el sistema operativo.
Este mecanismo es independiente del protocolo de capa superior y un servidor puede aceptar tantas conexiones HTTPS al puerto 443 como conexiones HTTP en el puerto 80. En ambos casos, las pilas de red del cliente y del servidor identificarán de forma única cada paquete de cada conexión. .
Su historia todavía tendría algún sentido si se hubiera tratado de "hosts virtuales" HTTP(S) en lugar de "conexiones", es decir, compartirnombres de dominioen la misma dirección IP. Hace 10 o 20 años habría sido cierto que un servidor HTTPS (más exactamente, un servidor SSL/TLS) solo podría servir un certificado a través de una única dirección IP: puerto y, por lo tanto, solo podría servir tantos dominios como el certificado único hubiera sido. expedida por.
Sin embargo, ahora todos los clientes modernos admiten TLS 1.1+ "Indicación de nombre de servidor", que les permite solicitar un nombre de dominio específico durante el protocolo de enlace TLS, de modo que el servidor pueda elegir el certificado TLS correcto antes de iniciar el protocolo de enlace de la capa de aplicación.
En conclusión, para empezar, asignar una subred al servidor no es necesario.
Finalmente, la pregunta técnicamente principal:
Por lo tanto, estoy intentando crear una solución en la que BIND pueda acceder a un grupo de direcciones en caso de que sea necesario.
DNS no tiene esa característica: solo los registros AAAA pueden apuntar a direcciones IPv6, y cada uno de estos registros solo puede apuntar a una dirección. (Existen otros tipos, pero tienen usos diferentes y la mayoría del software simplementeno mirara ellos.)
Tendría que usar $GENERATEla función BIND, que es una macro que puede expandirse a muchos registros, o escribir un servidor DNS personalizado que generaría respuestas con registros AAAA aleatorios a pedido.