Willkommen im User-Forum von mailbox.org
 

imap.mailbox.org in NAT64/DNS64 Umgebung mit DNSSEC broken

Bjørn Bürger hat dies geteilt, 2 Jahren her
gelöst

Moin Moin,


Ich hoffe, daß dies die korrekte Stelle für so einen Bugreport ist. Falls nicht,

bitte gerne Rückmeldung auf die richtige Stelle. Lieben Dank für Eure Mühe.


Problembeschreibung:

Da imap.mailbox.org keine Dualstack Einträge im DNS hat, aber DNSSEC nutzt, ist der imap Service aus korrekt konfigurierten NAT64 Umgebungen mit einem DNSSEC aware resolver nicht nutzbar.


Testumgebung:

- IPv6-Only Netz mit NAT64/DNS64

- DNSSEC aware resolver auf dem Client (unbound)


Beobachtetes Fehlerbild:

- icedove kann imap.mailbox.org nicht zugreifen


Erwartetes Ergebnis:

- icedoce kann normal per imaps zugreifen


Debug:

- Normalerweise antwortet der DNS in einer NAT64/DNS64 Umgebung für jeden

ipv4-only host mit einem synthetisierten IPv6 Eintrag. Hier sieht das so aus:


imap.mailbox.org has address 80.241.60.199

imap.mailbox.org has IPv6 address 64:ff9b::50f1:3cc7


- Wenn die Zieldomain jedoch signierte Daten im DNS hat und der Resolver dies versteht, wird die Antwort nicht modifiziert. Das sieht dann so aus:


imap.mailbox.org has address 80.241.60.199


- Diese Adresse ist in einem IPv6-only Setup natürlich nicht erreichbar:


bbu@calvin:~# ping 80.241.60.199

connect: Network is unreachable


Vollständige Problemlösung:

Wenn imap.mailbox.org DNSSEC benutzt, muss es auch einen Dualstack A/AAAA Record im DNS aufweisen und beide Records müssen korrekt signiert sein. Anderenfalls ist imap.mailbox.org aus einem reinen IPv6 Netz nicht mehr erreichbar.


Vorrübergehender Workaround für Nutzer mit dem selben Problem:

Entweder Abschalten des validierenden Resolvers (geht mit unbound und dnssec-trigger-panel auch on the fly) oder Installation eines 464xlat clat auf dem Client (https://github.com/toreanderson/clatd). Letzteres ist allerdings nur eine relativ instabile Bastellösung und sollte nicht als Lösung empfohlen werden.


Fazit:

Bitte aktiviert IPv6 für imap.mailbox.org und signiert auch den AAAA.


Vielen Dank :-)


Liebe Grüße,

Bjørn

Kommentare (3)

Foto
2

Vielen Dank für diesen engagierten und anscheinend auch hochqualifizierten Kommentar.


Ich muß gestehen, daß ich bislang nie über IPv6-Only-Umgebungen nachgedacht habe und wenn, dann nicht mit Blick auf IPv4-NAT. Da habe ich gerade was neues gelernt, vielen Dank.


Klingt natürlich logisch und könnte vielleicht ein paar bislang nicht nachvollziehbare Erreichbarkeitsprobleme von Usern klären.


Wir schauen uns das an und setzen den passenden NAT-Record natürlich gerne. Ggf. aber erst nach dem Wochenende.

Foto
1

> Wir schauen uns das an und setzen den passenden NAT-Record natürlich gerne.


\o/ Danke für die Beschäftigung mit dem Thema :-)


Nur zur Sicherheit, damit wir uns nicht missverstehen: Die synthetisierten AAAA Records (im obigen Fall 64:ff9b::50f1:3cc7 oder in alternativer Schreibweise 64:ff9b::80.241.60.199) sehen je nach Prefix bei jedem Zielnetz unter Umständen anders aus, da das Prefix vom Admin frei gewählt werden kann. Ich habe bei uns die 64:ff9b::/96 gewählt, weil es in rfc6052 genau für diesen Zweck eingeführt wurde. Andere Admins reservieren unter Umständen einen Teil aus ihrem globalen Prefix für diesen Zweck.


Der AAAA Record für imap.mailbox.org müsste also ganz regulär auf die öffentliche IPv6-Adresse des/der mailbox.org imap server zeigen. Das Ergebnis: Ein Client aus einem IPv6-only Netz wird dann einfach direkt per IPv6 zugreifen. Da der ursprüngliche Nameserver in diesem Fall schon einen A und AAAA korrekt signiert ausliefert, würde der DNS64 Resolver nun auch nicht mehr eingreifen und der validierende Resolver ist auch glücklich.


Hintergrund:

Das Problem mit den synthetisierten Records entsteht tatsächlich nur im Zusammenhang mit DNSSEC, da ein validierender Resolver alle nicht korrekt signierten Records unterdrückt und der DNS64 wiederum natürlich nicht in der Lage ist, die frisch synthetisierten Records zu signieren.


LG,

Bjørn

Foto
1

Moin Moin,


Ein kurzer Nachtrag zu diesem Thema:


Das Wochenende hat dann zwar wohl doch noch etwas länger gedauert, als geplant ;-) Aber am Ende ist alles gut geworden. Seit Ihr die IPv6-Adressen Eurer Server wieder im DNS habt, funktioniert der Zugriff auch aus unserem v6-only Netz einwandfrei. Vielen Dank dafür :-)


Das Problem ist damit behoben.


Bjørn