¿Qué filtro Wireshark debo usar para rastrear anuncios de servidores DNS IPv6 en la red? No veo ningún tráfico DHCPv6 en mi red, por lo que supongo que la configuración de los clientes se realiza a través de anuncios de enrutador.
Sin embargo, cuando uso el siguiente filtro ( (icmpv6.type == 134 ) || dhcpv6) para ver todos los anuncios de enrutadores y mensajes DHCPv6 en Wireshark, puedo ver mi servidor DNS preferido anunciándose a través de anuncios de enrutadores.
ICMPv6 Option (Recursive DNS Server DNS:Server:Address)
Type: Recursive DNS Server (25)
Length: 3 (24 bytes)
Reserved
Lifetime: 118
Recursive DNS Servers: DNS:Server:Address
Mi enrutador también envía anuncios de enrutador, pero no hay ningún contenido RDNSS en esos mensajes. Hay algunos mensajes DHCPv6, pero son sólo solicitudes enviadas por clientes.
Veo clientes configurados con un servidor DNS diferente (la dirección de mi enrutador) además de mi servidor DNS preferido y me pregunto de dónde obtienen esa configuración.
¿Dónde más puedo buscar anuncios de DNSv6?
Actualizar: Como lo señala @vidarloabajo, lo que he estado viendo son opciones de RDNSS dentro de los anuncios de enrutadores ICMPv6, no de DHCPv6. Logré localizar la configuración en mi enrutador que deshabilita RDNSS, que se encuentra dentro de una interfaz denominada DHCP. Deshabilité esto y luego verifiqué con Wireshark para monitorearlos. El filtro Wireshark para paquetes que incluyen una opción RDNSS es icmpv6.opt.rdnssy puedo ver que mi enrutador ya no envía paquetes con este conjunto.
Sin embargo, tanto mis clientes de Windows como de macOS todavía deciden de vez en cuando usar el enrutador para la resolución DNS IPv6 e ignorar las opciones RDNSS enviadas por mi PiHole. Esto continúa sucediendo semanas después de deshabilitar la configuración RDNSS en el enrutador y no más paquetes con esa configuración, a pesar de que PiHole envió su propia dirección como una opción RDNSS, muchos reinicios de todo y la confirmación de que no hay configuraciones manuales implementadas.
Actualización 2: Después de alternar IPv6 en mi Mac, vi en el filtro Wireshark icmpv6.opt.rdnss || dhcpv6que tanto mi enrutador como mi servidor PiHole están respondiendo a las solicitudes de DHCPv6 con sus propias direcciones IP como servidor DNS, por lo que mis clientes usan el paquete que reciben primero: el DHCP clásico situación de carrera. Eso explica el problema. ¡Qué vergüenza, TP-Link, por no permitir desactivar DHCPv6 en todos sus enrutadores!
Respuesta1
Esto normalmente forma parte de los mensajes RA:
Esto debería ser enviado por el host que envía mensajes de anuncio de enrutador, y probablemente debería configurar el mecanismo utilizado para enviar RA con el servidor DNS apropiado.
Si no se configura ningún mensaje de este tipo, es probable que sus hosts tengan servidores DNS IPv6 definidos estáticamente o no estén usando DNS en IPv6.
Respuesta2
Utilice Wireshark para buscar anuncios de enrutadores DHCPv6 e ICMPv6 utilizando el siguiente filtro:
icmpv6.opt.rdnss || dhcpv6.option.type == 23
Luego podrá ver los detalles de todos los paquetes que pueden usar los clientes IPv6 para configurar qué servidores DNS usar.
Tenga en cuenta que es posible que solo vea paquetes DHCPv6 de esta naturaleza en respuesta a una solicitud de configuración de DHCPv6, por lo tanto, active IPv6 en un cliente para activar esto.