Ceci est un journal bookmark qui dénonce grave.
Depuis quelque jours je ne comprenais pas pourquoi je n'avais plus accès à Twitch (site de stream de jeux vidéo pour ceux qui ont du temps à perdre). Après enquête avec les metaexperts, il s'agissait du DNS d'Orange…
Je passe maintenant par le DNS de la FDN
L'internet neutre a de beaux jours devant lui !
Qu'est-ce qui peut pousser Orange à faire cela ?
Et toi, tu utilises le DNS de ton FAI ?
# Blocage administratif
Posté par Emeric . Évalué à 6.
Un blocage administratif chez SFR ça ressemble à ça :
dig libgen.is @192.168.1.1 +short
chez Orange ça ressemble à ça :
$ dig libgen.is @192.168.1.1 +short
127.0.0.1
Pour twitch.tv chez orange :
$ dig twitch.tv @192.168.1.1 +short
151.101.194.167
151.101.66.167
151.101.130.167
151.101.2.167
Étant chez Orange, s'il s'agissait d'un blocage intentionnel ils auraient répondu "127.0.0.1". Je penche donc plus pour un souci technique.
[^] # Re: Blocage administratif
Posté par claudex . Évalué à 6.
On voit que chez Orange (AS3215), les sondes atlas remontent pas mal d'erreur pour twitch.tv.
https://atlas.ripe.net/measurements/22766270/#!probes
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Blocage administratif
Posté par gUI (Mastodon) . Évalué à 5.
C'est quoi des sondes Atlas ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Blocage administratif
Posté par claudex . Évalué à 10.
Ce sont des sondes déployées par le RIPE1 qui permettent de faire des mesures basiques (ping, traceroute, DNS)2 sur des IP. Il est donc possible de faire des mesures à partir de plein de FAI dans le monde pour vérifier le fonctionnement d'Internet.
Ça peut être utilisé pour voir si on est le seul à avoir un problème ou pour vérifier qu'une adresse est bien joignable correctement dans le monde.
L'exemple que j'ai donné, c'est une mesure de 50 sondes RIPE dans le réseau Orange (AS3215) qui demande la résolution DNS www.twitch.tv.
C'est plus clair comme ça ?
c'est-à-dire que n'importe qui peut en demander une, c'est donné en fonction des besoins. ↩
il est possible de faire du HTTP et du SSL mais seulement sur des cibles particulières, les anchor, je ne vais pas m'étendre dessus. ↩
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Blocage administratif
Posté par gUI (Mastodon) . Évalué à 2.
C'est très clair, merci bcp !
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Blocage administratif
Posté par rahan . Évalué à 2.
Question bête sur les sondes atlas : comment fait-on pour pouvoir lancer une requête si on n'a pas de sonde soi-même ? Si j'ai bien compris, chaque requête coûte des crédits qui sont gagnés grâce aux sondes hébergées sur son réseau. Le RIPE a toujours refusé de m'envoyer une sonde. Du coup, je ne peux donc pas faire de requêtes.
C'est comme ça que ça marche ou j'ai loupé un épisode ?
[^] # Re: Blocage administratif
Posté par claudex . Évalué à 4.
Je peux te donner des crédits si tu veux.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Blocage administratif
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Je ne suis pas convaincu qu'il y a un problème. C'est plutôt l'affichage Web d'Atlas qui est trompeur. Quand on regarde le JSON des résultats (https://atlas.ripe.net/api/v2/measurements/22766270/results/), on n'a au contraire que des succès.
Par exemple, la sonde 12774 est marquée comme "undefined" dans l'interface graphique alors que, dans le fichier JSON, on voit qu'elle a eu un résultat positif d'un de ses résolveurs.
Je soupçonne que l'affichage trompeur vient des erreurs de connexion vers les résolveurs IPv6. C'est en tout cas ce qu'on voit dans les résultats bruts :
Toujours se méfier des jolies affichages graphiques !
https://labs.ripe.net/Members/stephane_bortzmeyer/creating-ripe-atlas-one-off-measurements-with-blaeu
[^] # Re: Blocage administratif
Posté par claudex . Évalué à 3.
Effectivement, je n'avais jamais vu ce comportement de merde de l'interface graphique. Par contre, ce qui m'a induit en erreur, c'est que j'avais une autre mesure et seulement les 3215 présentaient une erreur: https://atlas.ripe.net/measurements/22766261/#!probes
(accessoirement, je n'avais pas blaeu sur le PC sur lequel je faisais les tests, du coup je me suis rabattu sur l'interface web)
C'est un peu dommage que l'interface web ne donne pas pas une vue utilisable, ça empêche de partager les résultats facilement.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Blocage administratif
Posté par benoar . Évalué à 3.
Tiens, après frnog je vois passer ta constatation ici : je suppose que le problème est que le résolveur ici indiqué avec une adresse de liaison locale est mal utilisé par l'outil de la sonde Atlas, sans expliciter l'indice de la zone du lien (ça fait un peu bizarre en français) ; le nom de l'interface (sous Linux), quoi. C'est bien géré par un rdnssd qui l'ajoute correctement avec %eth0 dans /etc/resolv.conf (testé ici), mais peut-être que la sonde Atlas le fait mal. En tous cas « Invalid argument » est l'erreur renvoyée en cas d'utilisation d'adresse LL sans index de zone (vu souvent ici quand on utilise mDNS avec du link-local, qui ne fonctionne pas sous Linux depuis toujours, en attendant un changement d'API interne de la libc pour le corriger, depuis… des lustres).
[^] # Re: Blocage administratif
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 2.
Ce problème a été remonté aux développpeurs de RIPE Atlas, et ils cherchent une solution.
# Un bug ?
Posté par Ytterbium . Évalué à 2.
J'ai aussi remarqué ces soucis de DNS pour www.lemonde.fr (mais étrangement pas lemonde.fr), www.theguardian.com et www.reddit.com.
Donc à moins d'une volonté surprenante de censure des sites d'informations, je pencherais plus pour un problème technique. D'autant plus que le réseau mobile d'Orange re continue à bien fonctionner.
Par contre, je m’interroge sur la source du bug assez sélectif ; le reste d'Internet marche très bien.
[^] # Re: Un bug ?
Posté par redo_fr . Évalué à 2.
Mes parents sont passé chez Orange récemment et depuis, ils ont parfois des erreurs (temporaires) "Domaine introuvable" vers mon propre domaine (chez GANDI). Donc je suppose moi aussi un problème dans leurs DNS…
Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.
[^] # Re: Un bug ?
Posté par claudex . Évalué à 7.
Marrant, tous les www que tu cite sont des alias de fastly (contrairement au domaine sans www).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Merci pour les DNS FDN
Posté par Christophe B. (site web personnel) . Évalué à 3.
Vous en connaissez d'autres des DNS libres ?
[^] # Re: Merci pour les DNS FDN
Posté par lamanux . Évalué à -1.
Les dns OpenNIC qui permettent de résoudre par ailleurs d'autre TLD que ne gère l'IANA.
[^] # Re: Merci pour les DNS FDN
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 2.
Ce qui est justement une mauvaise idée.
[^] # Re: Merci pour les DNS FDN
Posté par Donk . Évalué à 2.
Celui que tu installes toi-même.
[^] # Re: Merci pour les DNS FDN
Posté par Christophe B. (site web personnel) . Évalué à 2.
Tout a fait d'accord :)
Mais il faut le maintenir … et la c'est moins drôle …
Et en cas de panne le reste de de la famille ne veux surtout pas entendre parler de planning, hors contrat etc .. bref tu dois réparer t'as pas le choix.
[^] # Re: Merci pour les DNS FDN
Posté par benoar . Évalué à 1.
Un OpenWRT ça tourne tout seul (avec dnsmasq en resolver). Une MàJ majeure tous les 3-4 ans — et encore — mais le reste du temps ça tourne tout seul.
[^] # Re: Merci pour les DNS FDN
Posté par Anonyme . Évalué à 5.
Traduction : un routeur troué sauf une fois tout les 3-4 ans.
[^] # Re: Merci pour les DNS FDN
Posté par benoar . Évalué à 2.
Même pas : je le fais avec un ou deux ans de retard, juste pour ne pas traîner des configurations trop anciennes qui deviendraient in-migrables. Si tu es si sûr que la box de ton FAI est bien mise-à-jour et sécurisée, bah mon impression c'est que ça n'est pas du tout le cas. (OK, impression seulement)
[^] # Re: Merci pour les DNS FDN
Posté par Big Pete . Évalué à 10. Dernière modification le 11 septembre 2019 à 14:12.
La maintenance c'est la vie. ça fait partie des taches ménagères. Et puis, c'est un peu limite, mais si notre conjoint nous propose d'aller descendre les poubelles, on peut alors lui répondre qu'on a pas le temps vu que l'on doit réparer internet qui est cassé et du coup, on peut mouler peinard sur linuxfr à la recherche de conseils avisés au lieu de se taper les autres corvées.
Et au final, on passe pour des héros alors qu'en fait on est juste de grosses feignasses.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
[^] # Re: Merci pour les DNS FDN
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 2.
Ceci dit, une fois installé, un résolveur ne tombe que très rarement en panne. Il n'y a que DNSSEC qui nécessite du soin.
[^] # Re: Merci pour les DNS FDN
Posté par Lutin . Évalué à 1.
Ceux de cloudflare ont bonne réputation point de vue vie privée, mais encore faut-il avoir confiance.
[^] # Re: Merci pour les DNS FDN
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Une bonne réputation ? Venue d'où ? Évaluée par qui ?
[^] # Re: Merci pour les DNS FDN
Posté par Anonyme . Évalué à 2.
Et pour Quad9 ?
Cloudflare est un cancer, on le sait, mais on t’as beaucoup moins vu poser des questions quand Quad9 est sortit (t’as fait un journal ici pour en faire la promo).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.