subject:"\[FRnOG\] Re\: \[TECH\] Site inaccessible avec le réseau Free \(DNS\)"

Re: [FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

2016-04-25 Par sujet Frédéric GANDER

bon on ma dit de regarder ici 
donc en résumé:

- si cache vide requette recursive => réponse correcte des recursifs

;; ANSWER SECTION:
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
shops.shopify.com.  1800IN  A   23.227.38.69
shops.shopify.com.  1800IN  A   23.227.38.68
shops.shopify.com.  1800IN  A   23.227.38.70
shops.shopify.com.  1800IN  A   23.227.38.71


- on attend 61 seconde et la serverfail et le récursif ne refait pas de 
requettes jusqu’à attendre les 1800 secondes (ou 600 si je vire le "force ttl") 
et ca remarche pendant 60 secondes.

et donc j'ai des question pour mr dns
en regardant de plus prêt 


dig +trace  test-yann.myshopify.com


;; Received 401 bytes from 192.33.14.30#53(b.gtld-servers.net) in 239 ms

  test-yann.myshopify.com. 600  IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 600IN  RRSIG   CNAME 5 2 600 20160519013040 
20160419013040 12663 myshopify.com. 
K3oRwkmXUkzNYbFO1jNLGLrSkhaRRBnKeGvld9YdcZo+nUOpJzGUECTz 
rzOTBGpbGXdJB5M3nJ6pebAGpr46m5RkHfG3+FOdgCRS+CG5lpu0+KC8 
w80718ywOFO8LROdIjwmh4swblM+0Aft4o1lj5ChnCBefWgn2Cs4qSqM T0g=
test-yann.myshopify.com. 600IN  RRSIG   CNAME 5 2 600 20160519013040 
20160419013040 39852 myshopify.com. 
lBsyv5zrQ4twd4LNzLrdQpHWyxL9SQGM2wfhVR/GfnWETXNV3wyW5bIw 
RDySbmdRg9RLiz9h1sBFByIeITYEJeKv7daLBZSwoI7551mz0jJX5fMg 
EuW7FEFOP25pYb6p5o1r1VFvc47+X8qTLaV5j0Uz+PXJjFBvF7GB4i3g Fb0=
test-winkel.myshopify.com. 60   IN  NSECtest1012345.myshopify.com. 
CNAME RRSIG NSEC
test-winkel.myshopify.com. 60   IN  RRSIG   NSEC 5 3 60 20160519013040 
20160419013040 12663 myshopify.com. 
BHS+QE4Pdu0qFdTW2XHN4Z6mbiqu3eb89UhwO3f5/C7WvpQmlNEmuYNl 
UlAHgUWbXvCwmDr+9k0bVZuiZh0UuSCppveXWvYzr6nJjCRy5CZoUJy6 
C60Dyt1LfW2kCNTXUdjXVp8HwMlKN0np6jxe2o/ryU/BphzdYA1OEmqp 9/0=
test-winkel.myshopify.com. 60   IN  RRSIG   NSEC 5 3 60 20160519013040 
20160419013040 39852 myshopify.com. 
I8LqnvjOSLhivVteqv6gqeeytZ9YZU9heYIj/hNfYUz+vOQ2PQBCk7N0 
ujbI9vWpFkj+3YSNnsxBshxjVZfWQoLpCpde8Ir+zP8WK95/04VQBpU1 
HjI7QBAARkPCD0YCnTBYU/hTVe6gcB43c9CFAUaJ5qynRmnTZFIsvtcG Bz8=
;; Received 831 bytes from 204.13.251.19#53(ns4.p19.dynect.net) in 28 ms



nsec ??? 60 sec ? test-winkel.myshopify.com  et test1012345.myshopify.com 
??! 
et 60sec

après je dis pas que unbound  ne répond pas de la merde si le domaine est 
invalidé mais que fait ce nsec dans les authoritative namesservers ?
 

A+


- Mail original -
> De: "Stephane Bortzmeyer" <bortzme...@nic.fr>
> À: "yann assouline" <yannassoul...@gmail.com>
> Cc: frnog-t...@frnog.org


> Envoyé: Dimanche 24 Avril 2016 18:20:16
> Objet: [FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)
> 
> On Sun, Apr 24, 2016 at 03:52:17PM +0200,
>  yann assouline <yannassoul...@gmail.com> wrote
>  a message of 24 lines which said:
> 
> > D’où cela peut il venir ?
> 
> Et ma synthèse (une fois qu'on connait le nom de domaine en cause,
> l'analyse est bien plus facile) :
> 
> http://www.bortzmeyer.org/free-dnssec-reloaded.html
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

2016-04-24 Par sujet Stephane Bortzmeyer

On Sun, Apr 24, 2016 at 03:52:17PM +0200,
 yann assouline  wrote 
 a message of 24 lines which said:

> D’où cela peut il venir ?

Et ma synthèse (une fois qu'on connait le nom de domaine en cause,
l'analyse est bien plus facile) :

http://www.bortzmeyer.org/free-dnssec-reloaded.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

2016-04-24 Par sujet Stephane Bortzmeyer

On Sun, Apr 24, 2016 at 03:52:17PM +0200,
 yann assouline  wrote 
 a message of 24 lines which said:

> Cela fait des mois je ne trouve aucune solution, car c'est très
> aléatoire, ça marche chez certaine personne et d'autre non,

Un petit test avec les deux cents sondes RIPE Atlas sur le réseau de
Free semble indiquer qu'en effet, cela ne touche qu'une partie des
résolveurs de Free :

% atlas-resolve -r 500 --as 12322 -t A test-yann.myshopify.com
[ERROR: SERVFAIL] : 61 occurrences 
[23.227.38.68 23.227.38.69 23.227.38.70 23.227.38.71] : 133 occurrences 
[TIMEOUT(S)] : 1 occurrences 
Test #3682131 done at 2016-04-24T14:57:13Z

> D’où cela peut il venir ?

Les résolveurs DNS de Free sont bogués, clairement. Le problème est
connu (cf. mon article signalé il y a cinq minutes) mais n'a jamais
été corrigé. Trois solutions : adopter une config DNSSEC plus
conservatrice (le CNAME semble être un élément déclencheur) ou bien
dire à tous vos clients de ne pas utiliser les résolveurs DNS de Free
ou encore appeler Rani.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

2016-04-24 Par sujet Stephane Bortzmeyer

On Sun, Apr 24, 2016 at 02:35:31PM +,
 Duchet Rémy  wrote 
 a message of 72 lines which said:

> Depuis une ligne free, le dig ne passe pas :
> dig test-yann.myshopify.com
...
> Si j'ajoute +cd , j'ai une réponse:

Ce qui signale typiquement un problème DNSSEC. Mais ne sautons pas
trop vite aux conclusions : ni Zonemaster
 ni moi ne voyons de
problèmes DNSSEC dans cette zone.

> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.

Ce CNAME répété n'est *pas* dans la zone originelle. Il n'est
d'ailleurs pas vu par tous les résolveurs de Free, seulement par
certains.

Cela ressemble beaucoup à cette bogue des résolveurs DNS de Free qui
n'a jamais été corrigée
 À part que je
pensais qu'elle était spécifique à NSEC3 alors qu'elle se produit
apparemment aussi avec NSEC. Le problème peut venir en fait de la
taille élevée de la réponse, > la MTU d'Ethernet.

> Peut-être un début de réponse ici
> http://dnsviz.net/d/test-yann.myshopify.com/dnssec/

Non, juste des avertissements, rien de grave.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

[FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

[FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

[FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

4 matches

Site Navigation

Mail list logo

Footer information