mboost-dp1

Teredo anonymisering


Gå til bund
Gravatar #101 - kasperd
13. sep. 2012 12:26
fjols (100) skrev:
Det lyder meget usandsynligt.
Vi prøvede det på en af mine venners computer, og vi kunne ikke få det til at virke. State blev ved med at være offline og derefter stod der, at der var en "generel systemfejl". Han fandt en eller anden side (så vidt jeg husker under microsoft.com), som sagde at firewallen skulle være slået til.

Den opførte sig på samme måde uanset om den blev sat op til at bruge min Teredo server eller Microsofts egen.

Hvis der er nogen som har et bud på hvad årsagen kan være, så lytter jeg gerne.

Men jeg kan da se, at der er nogle Windows brugere, som har være i stand til at anvende min Teredo server. Er der også nogen, som har fået Windows til at bruge IPv6 som default mens Teredo var i brug?

En måde at løse det med at bruge Teredo som default ville være, hvis jeg også kører en DNS server. Den kan så lave alle domæner om til IPv6 only.

Hvis domænet har en AAAA record og ingen A record, så skal min DNS server bare sende de korrekte svar videre til klienten.

Hvis domænet har både AAAA record og A record, så skal min DNS server sende AAAA recorden til klienten og påstå at der ingen A record er.

Hvis domænet har A en record og ingen AAAA record, så skal min DNS server påstå at der ingen A record er og konstruere en syntetisk AAAA record vha. af well known NAT64 prefix som er 64:ff9b::/96.

Problemet med at bruge NAT64 er, at der så skal foretages NAT64 et eller andet sted, som alt trafikken skal igennem. Den gode nyhed er, at den NAT64 funktionalitet kan hostes på nærmest en vilkårlig computer med IPv4 adgang. Jeg skal bare pakke ping pakkerne ind i 6in4 eller UDP og sende dem over IPv4 til der hvor NAT64 hostes.

Hvis jeg selv skulle hoste NAT64 delen ville jeg gøre det over UDP og lade forbindelsen videre mod serveren gå gennem tor, så jeg ikke selv står som afsender af trafikken.
Gravatar #102 - kasperd
13. sep. 2012 20:27
kasperd (101) skrev:
En måde at løse det med at bruge Teredo som default ville være, hvis jeg også kører en DNS server. Den kan så lave alle domæner om til IPv6 only.
kasperd (101) skrev:
Hvis domænet har A en record og ingen AAAA record, så skal min DNS server påstå at der ingen A record er og konstruere en syntetisk AAAA record vha. af well known NAT64 prefix som er 64:ff9b::/96.
Jeg har nu undersøgt hvad bind9 kan. Den kan gøre begge dele. Bare ikke samtidigt.

Hvis man konfigurerer den til at både lave en syntetisk AAAA record udfra en A record og fjerne A recorden, så vil den fjerne A recorden før den prøver at lave AAAA recorden.

Det vil sige, at hvis jeg skulle gøre ovenstående vha. bind9, så ville det kræve to DNS servere. Man skulle sende forespørgslerne til den ene, som er konfigureret til at forwarde til den anden. Den anden laver så en syntetisk AAAA record før den sender svaret tilbage til den første DNS server, som så fjerner A recorden.

I øvrigt kan jeg slet ikke lide den måde bind fjerner A recorden fra svaret på. Den sender en authority record med, med et indhold som er helt forkert set med mine øjne. Derudover opfører den sig sært ved opslag med ANY type. Er der i svaret en A record sammen med andre typer records, så fjerner den alle records.
Gravatar #103 - kasperd
18. sep. 2012 16:54
kasperd (81) skrev:
Det er bare en midlertidig løsning indtil jeg har lavet passende integrering mellem min gateway og Miredo. Når det er gjort kommer der Teredo relay på testserveren.
Det er gjort. Nu kører der et Miredo relay på testserveren, og det er passende integreret med min gateway.

Ændringerne jeg har lavet i Miredo er ikke specielt pæne, så de skal laves pænere på et tidspunkt. Jeg har skrevet en email til Rémi Denis-Courmont for at høre hans holdning til, hvad der vil være den pæneste løsning.

kasperd (102) skrev:
I øvrigt kan jeg slet ikke lide den måde bind fjerner A recorden fra svaret på. Den sender en authority record med, med et indhold som er helt forkert set med mine øjne. Derudover opfører den sig sært ved opslag med ANY type. Er der i svaret en A record sammen med andre typer records, så fjerner den alle records.
I princippet skal der ikke ret mange ændringer til, før jeg kan opnå det ønskede resultat med bind9. Jeg kan slå dns64 til, og få den del til at virke som jeg ønsker. Derefter er alt hvad jeg mangler på den side er at fjerne A records fra svarene før de bliver sendt til klienten.

Hvis bare jeg kan finde det sted i koden, hvor den modsatte funktion ligger, så burde det være nemt.

Jeg har overvejet om ændring af svarene kunne gøres med en wrapper eller modifikation af UDP pakkerne der bliver sendt fra serveren. Men det synes jeg ikke bliver nogen særlig pæn løsning, og jeg kommer nok også ud i at jeg skal til at skrive kode, som kan huske, hvilke requests der hører til hvilke klienter.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login