我们的生产 ipv6 网络采用双地址模型 - 我们在 fd00::/8 中有一个内部站点到站点 vpn 连接的 ULA 范围,我们在 2001::/16 中也有 IPv6 外部寻址。我们将这两个地址前缀路由通告给我们的客户。
我的问题就是这样。我们不想将外部地址添加到 DNS 中,这意味着内部流量将绕过互联网,而不是通过我们的加密 VPN 路由。为此,我正在尝试找到一种方法来配置机器(希望通过组策略),以避免在机器的 DNS 中发布 2001::/16 地址。
我尝试设置两个路由通告,使得 2001::/16 地址没有首选生存期,但有有效生存期。这实现了我想要的 DNS 功能(它没有注册该地址),但 Windows 现在不会使用该地址,因为它认为该地址已被弃用。
所以我正在寻找:
- 通过 GPO 配置 DNS 自动注册的方法,我可以告诉自动注册不注册某些地址,或者
- 一种方法是使 Windows 使用仍然具有有效生命周期的弃用地址,也可以通过 GPO 推送。
有什么建议么?
答案1
您能否将寻址分离到每台计算机上的不同 NIC 上?据我所知,Windows 仅允许您禁用每个 NIC 的 DNS 注册 - 而不是每个 IP。
如果失败的话,您可以定期清理 DNS 服务器,每隔几分钟(或根据需要)运行一次脚本,删除与公共寻址方案匹配的任何记录。
再次失败,正如@RichVel 所说...为什么首先要使用单独的寻址方案?如果正确划分子网,您肯定可以轻松地只使用公共寻址方案,并且任何边缘路由器都会强制内部机器通过 VPN 进行与其他站点匹配的连接?边缘(互联网之前)肯定在您的控制之下,因此请让路由为您工作。