<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-GB link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Hi,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>First apologies for the length of the post.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Following on from my experiments with UDP/TCP I have been trying to verify that the private addresses for IPV6 I have set up were working as expected. <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> private-address: ::/128 # Unspecified address<o:p></o:p></p><p class=MsoNormal> private-address: ::1/128 # Loopback Localhost<o:p></o:p></p><p class=MsoNormal> private-address: 2001:db8::/32 # Documentation network IPv6<o:p></o:p></p><p class=MsoNormal> private-address: 2001:10::/28 # Overlay Routable Cryptographic Hash IDentifiers (ORCHID) addresses<o:p></o:p></p><p class=MsoNormal> private-address: fc00::/7 # Unique local address (ULA) part of "fc00::/7", not defined yet<o:p></o:p></p><p class=MsoNormal> private-address: fe80::/10 # Link-local address (LLA)<o:p></o:p></p><p class=MsoNormal>? private-address: ::ffff:0:0/96<o:p></o:p></p><p class=MsoNormal>? private-address: ::ffff/96<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>? = not sure which is correct.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>From this page I gleaned (and I hope I have this correct):<o:p></o:p></p><p class=MsoNormal>https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6-address-types<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>That the addresses above should never appear on the internet and as such are “private” and setting them in the config file as above should ensure that DNS rebinding attacks cannot happen on IPV6. At least that is what I think this is all about. <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>(<o:p></o:p></p><p class=MsoNormal>For IPV4, I am happy that I have these correctly configured and my checks bear this out.<o:p></o:p></p><p class=MsoNormal> private-address: 127.0.0.0/8 # Loopback Localhost<o:p></o:p></p><p class=MsoNormal> private-address: 10.0.0.0/8<o:p></o:p></p><p class=MsoNormal> private-address: 172.16.0.0/12<o:p></o:p></p><p class=MsoNormal> private-address: 192.168.0.0/16<o:p></o:p></p><p class=MsoNormal> private-address: 169.254.0.0/16<o:p></o:p></p><p class=MsoNormal>)<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>As you may have gathered I am not really an expert in the set up so I try to verify what I am doing from what I can glean from commands I can use, the internet and helpful people like yourselves.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>To this end I thought OK lets turn off unbound’s IPV4 capability (My router and network support IPV6) but as you can see below by pinging the root servers. However when I try to do a lookup unbound gives me a SRVFAIL<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>C:\>nslookup www.adobe.com<o:p></o:p></p><p class=MsoNormal>Server: localhost<o:p></o:p></p><p class=MsoNormal>Address: ::1<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>*** localhost can't find www.adobe.com: Server failed<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>C:\>dig www.adobe.com<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>; <<>> DiG 9.12.2-P1 <<>> www.adobe.com<o:p></o:p></p><p class=MsoNormal>;; global options: +cmd<o:p></o:p></p><p class=MsoNormal>;; Got answer:<o:p></o:p></p><p class=MsoNormal>;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 24704<o:p></o:p></p><p class=MsoNormal>;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; OPT PSEUDOSECTION:<o:p></o:p></p><p class=MsoNormal>; EDNS: version: 0, flags:; udp: 4096<o:p></o:p></p><p class=MsoNormal>;; QUESTION SECTION:<o:p></o:p></p><p class=MsoNormal>;www.adobe.com. IN A<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; Query time: 1187 msec<o:p></o:p></p><p class=MsoNormal>;; SERVER: 127.0.0.1#53(127.0.0.1)<o:p></o:p></p><p class=MsoNormal>;; WHEN: Sat Aug 11 16:04:02 GMT Summer Time 2018<o:p></o:p></p><p class=MsoNormal>;; MSG SIZE rcvd: 42<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>C:\>ping 2001:503:d414::30<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Pinging 2001:503:d414::30 with 32 bytes of data:<o:p></o:p></p><p class=MsoNormal>Reply from 2001:503:d414::30: time=152ms<o:p></o:p></p><p class=MsoNormal>Reply from 2001:503:d414::30: time=152ms<o:p></o:p></p><p class=MsoNormal>Reply from 2001:503:d414::30: time=152ms<o:p></o:p></p><p class=MsoNormal>Reply from 2001:503:d414::30: time=151ms<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Ping statistics for 2001:503:d414::30:<o:p></o:p></p><p class=MsoNormal> Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),<o:p></o:p></p><p class=MsoNormal>Approximate round trip times in milli-seconds:<o:p></o:p></p><p class=MsoNormal> Minimum = 151ms, Maximum = 152ms, Average = 151ms<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>The address above is one of the root servers: f.gtld-servers.net.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>C:\>dig -x 2001:503:d414::30<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>; <<>> DiG 9.12.2-P1 <<>> -x 2001:503:d414::30<o:p></o:p></p><p class=MsoNormal>;; global options: +cmd<o:p></o:p></p><p class=MsoNormal>;; Got answer:<o:p></o:p></p><p class=MsoNormal>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2502<o:p></o:p></p><p class=MsoNormal>;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 1<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; OPT PSEUDOSECTION:<o:p></o:p></p><p class=MsoNormal>; EDNS: version: 0, flags:; udp: 4096<o:p></o:p></p><p class=MsoNormal>;; QUESTION SECTION:<o:p></o:p></p><p class=MsoNormal>;0.3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.4.d.3.0.5.0.1.0.0.2.ip6.arpa. IN PTR<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; ANSWER SECTION:<o:p></o:p></p><p class=MsoNormal>0.3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.1.4.d.3.0.5.0.1.0.0.2.ip6.arpa. 86303 IN PTR f.gtld-servers.net.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; AUTHORITY SECTION:<o:p></o:p></p><p class=MsoNormal>4.1.4.d.3.0.5.0.1.0.0.2.ip6.arpa. 86301 IN NS a3.verisigndns.com.<o:p></o:p></p><p class=MsoNormal>4.1.4.d.3.0.5.0.1.0.0.2.ip6.arpa. 86301 IN NS a2.verisigndns.com.<o:p></o:p></p><p class=MsoNormal>4.1.4.d.3.0.5.0.1.0.0.2.ip6.arpa. 86301 IN NS a1.verisigndns.com.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; Query time: 15 msec<o:p></o:p></p><p class=MsoNormal>;; SERVER: ::1#53(::1)<o:p></o:p></p><p class=MsoNormal>;; WHEN: Sat Aug 11 16:08:28 GMT Summer Time 2018<o:p></o:p></p><p class=MsoNormal>;; MSG SIZE rcvd: 199<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Doing a lookup using my routers DNS server you can see works (but that is using IPV4) but the info returned shows that the ping works. IPV6 is alive and kicking.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>C:\>nslookup www.microsoft.com 192.168.10.1<o:p></o:p></p><p class=MsoNormal>Server: Router<o:p></o:p></p><p class=MsoNormal>Address: 192.168.10.1<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Non-authoritative answer:<o:p></o:p></p><p class=MsoNormal>Name: e13678.dspb.akamaiedge.net<o:p></o:p></p><p class=MsoNormal>Addresses: 2a02:26f0:13b:38b::356e<o:p></o:p></p><p class=MsoNormal> 2a02:26f0:13b:38f::356e<o:p></o:p></p><p class=MsoNormal> 84.53.169.145<o:p></o:p></p><p class=MsoNormal>Aliases: www.microsoft.com<o:p></o:p></p><p class=MsoNormal> www.microsoft.com-c-3.edgekey.net<o:p></o:p></p><p class=MsoNormal> www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>So we can see <a href="http://www.microsoft.com">www.microsoft.com</a> is pingable via IPV6<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>C:\>ping 2a02:26f0:13b:38f::356e<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Pinging 2a02:26f0:13b:38f::356e with 32 bytes of data:<o:p></o:p></p><p class=MsoNormal>Reply from 2a02:26f0:13b:38f::356e: time=9ms<o:p></o:p></p><p class=MsoNormal>Reply from 2a02:26f0:13b:38f::356e: time=9ms<o:p></o:p></p><p class=MsoNormal>Reply from 2a02:26f0:13b:38f::356e: time=10ms<o:p></o:p></p><p class=MsoNormal>Reply from 2a02:26f0:13b:38f::356e: time=9ms<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Ping statistics for 2a02:26f0:13b:38f::356e:<o:p></o:p></p><p class=MsoNormal> Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),<o:p></o:p></p><p class=MsoNormal>Approximate round trip times in milli-seconds:<o:p></o:p></p><p class=MsoNormal> Minimum = 9ms, Maximum = 10ms, Average = 9ms<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Then I thought lets try this to ty and prove IPV6 can do DNS resolution<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>C:\>dig @f.gtld-servers.net. -6 www.microsoft.com<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>; <<>> DiG 9.12.2-P1 <<>> @f.gtld-servers.net. -6 www.microsoft.com<o:p></o:p></p><p class=MsoNormal>; (1 server found)<o:p></o:p></p><p class=MsoNormal>;; global options: +cmd<o:p></o:p></p><p class=MsoNormal>;; Got answer:<o:p></o:p></p><p class=MsoNormal>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9354<o:p></o:p></p><p class=MsoNormal>;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 9<o:p></o:p></p><p class=MsoNormal>;; WARNING: recursion requested but not available<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; OPT PSEUDOSECTION:<o:p></o:p></p><p class=MsoNormal>; EDNS: version: 0, flags:; udp: 4096<o:p></o:p></p><p class=MsoNormal>;; QUESTION SECTION:<o:p></o:p></p><p class=MsoNormal>;www.microsoft.com. IN A<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; AUTHORITY SECTION:<o:p></o:p></p><p class=MsoNormal>microsoft.com. 172800 IN NS ns3.msft.net.<o:p></o:p></p><p class=MsoNormal>microsoft.com. 172800 IN NS ns1.msft.net.<o:p></o:p></p><p class=MsoNormal>microsoft.com. 172800 IN NS ns2.msft.net.<o:p></o:p></p><p class=MsoNormal>microsoft.com. 172800 IN NS ns4.msft.net.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; ADDITIONAL SECTION:<o:p></o:p></p><p class=MsoNormal>ns3.msft.net. 172800 IN A 193.221.113.53<o:p></o:p></p><p class=MsoNormal>ns3.msft.net. 172800 IN AAAA 2620:0:34::53<o:p></o:p></p><p class=MsoNormal>ns1.msft.net. 172800 IN A 208.84.0.53<o:p></o:p></p><p class=MsoNormal>ns1.msft.net. 172800 IN AAAA 2620:0:30::53<o:p></o:p></p><p class=MsoNormal>ns2.msft.net. 172800 IN A 208.84.2.53<o:p></o:p></p><p class=MsoNormal>ns2.msft.net. 172800 IN AAAA 2620:0:32::53<o:p></o:p></p><p class=MsoNormal>ns4.msft.net. 172800 IN A 208.76.45.53<o:p></o:p></p><p class=MsoNormal>ns4.msft.net. 172800 IN AAAA 2620:0:37::53<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>;; Query time: 156 msec<o:p></o:p></p><p class=MsoNormal>;; SERVER: 2001:503:d414::30#53(2001:503:d414::30)<o:p></o:p></p><p class=MsoNormal>;; WHEN: Sat Aug 11 15:45:47 GMT Summer Time 2018<o:p></o:p></p><p class=MsoNormal>;; MSG SIZE rcvd: 302<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>C:\><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Also this seems to work OK:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>C:\>nslookup<o:p></o:p></p><p class=MsoNormal>Default Server: localhost<o:p></o:p></p><p class=MsoNormal>Address: ::1<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>> server 2001:503:d414::30<o:p></o:p></p><p class=MsoNormal>Default Server: f.gtld-servers.net<o:p></o:p></p><p class=MsoNormal>Address: 2001:503:d414::30<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>> www.adobe.com<o:p></o:p></p><p class=MsoNormal>Server: f.gtld-servers.net<o:p></o:p></p><p class=MsoNormal>Address: 2001:503:d414::30<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Name: www.adobe.com<o:p></o:p></p><p class=MsoNormal>Served by:<o:p></o:p></p><p class=MsoNormal>- adobe-dns-03.adobe.com<o:p></o:p></p><p class=MsoNormal> 193.104.215.45<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>- adobe-dns-01.adobe.com<o:p></o:p></p><p class=MsoNormal> 192.150.11.56<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>- adobe-dns-04.adobe.com<o:p></o:p></p><p class=MsoNormal> 192.147.130.168<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>- adobe-dns-05.adobe.com<o:p></o:p></p><p class=MsoNormal> 103.43.113.56<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>- a10-64.akam.net<o:p></o:p></p><p class=MsoNormal> 96.7.50.64<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>- a28-67.akam.net<o:p></o:p></p><p class=MsoNormal> 95.100.173.67<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>- a26-66.akam.net<o:p></o:p></p><p class=MsoNormal> 23.74.25.66<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>- a7-64.akam.net<o:p></o:p></p><p class=MsoNormal> 23.61.199.64<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>- a1-217.akam.net<o:p></o:p></p><p class=MsoNormal> 193.108.91.217<o:p></o:p></p><p class=MsoNormal> 2600:1401:2::d9<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>- a13-65.akam.net<o:p></o:p></p><p class=MsoNormal> 2.22.230.65<o:p></o:p></p><p class=MsoNormal> adobe.com<o:p></o:p></p><p class=MsoNormal>><o:p> </o:p></p><p class=MsoNormal>> exit<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>So the question is am I tripping myself up somewhere along the line or is unbound not working for DNS resolution on IPV6 only?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>The log file verbosity 4 is here:<o:p></o:p></p><p class=MsoNormal>https://1drv.ms/u/s!As73rPtzISrUjyCR6j9ArQPW5i5d<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='mso-fareast-language:EN-GB'>Regards<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-GB'>Ray<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>