Re: [FRnOG] [misc] Reportage : ces ingénieurs gardiens de la qualité du réseau Orange

2016-04-24 Par sujet Alexis Lameire 
Hello

Moi qui croyais naïvement que c'était le cas partout.

Je trouve pourtant que c'est un moyen plutôt ludique de faire un peu gaffe
niveau sécurité.

Pour une fois que c'est facile pourquoi  s en priver

Alexis
Le 24 avr. 2016 12:43 PM, "Christophe LUCAS"  a
écrit :

Bonjour,

Je ne sais pas si c'est de vigueur chez Orange, mais chez certains ca
vaudrait un super petit-dej (croissants, ...) le lendemain.
Désolé, trolldi est déjà loin en ce dimanche.

Cdt,
Christophe

- Mail original -
De: "Raphael Jacquot" 
À: frnog@frnog.org
Envoyé: Dimanche 24 Avril 2016 12:09:34
Objet: Re: [FRnOG] [misc] Reportage : ces ingénieurs gardiens de la qualité
du réseau Orange

Le 23/04/16 11:45, Benjamin Boudoir a écrit :
> Le vendredi 22 avril 2016, 11:13:05 Barthélémy DELUY a écrit :
>> Bah normal, on nous fait évacuer pour les photos ou quand il y a des
>> visites ^^
>
> Et on vous demande aussi de laisser vos sessions déverrouillées ? :)
>

les écrans ne peuvent pas etre verouillés... d'ailleurs l'économiseur
d'écran est désactivé ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

2016-04-24 Par sujet Stephane Bortzmeyer 
On Sun, Apr 24, 2016 at 03:52:17PM +0200,
 yann assouline  wrote 
 a message of 24 lines which said:

> D’où cela peut il venir ?

Et ma synthèse (une fois qu'on connait le nom de domaine en cause,
l'analyse est bien plus facile) :

http://www.bortzmeyer.org/free-dnssec-reloaded.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

2016-04-24 Par sujet Stephane Bortzmeyer 
On Sun, Apr 24, 2016 at 03:52:17PM +0200,
 yann assouline  wrote 
 a message of 24 lines which said:

> Cela fait des mois je ne trouve aucune solution, car c'est très
> aléatoire, ça marche chez certaine personne et d'autre non,

Un petit test avec les deux cents sondes RIPE Atlas sur le réseau de
Free semble indiquer qu'en effet, cela ne touche qu'une partie des
résolveurs de Free :

% atlas-resolve -r 500 --as 12322 -t A test-yann.myshopify.com
[ERROR: SERVFAIL] : 61 occurrences 
[23.227.38.68 23.227.38.69 23.227.38.70 23.227.38.71] : 133 occurrences 
[TIMEOUT(S)] : 1 occurrences 
Test #3682131 done at 2016-04-24T14:57:13Z

> D’où cela peut il venir ?

Les résolveurs DNS de Free sont bogués, clairement. Le problème est
connu (cf. mon article signalé il y a cinq minutes) mais n'a jamais
été corrigé. Trois solutions : adopter une config DNSSEC plus
conservatrice (le CNAME semble être un élément déclencheur) ou bien
dire à tous vos clients de ne pas utiliser les résolveurs DNS de Free
ou encore appeler Rani.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS)

2016-04-24 Par sujet Stephane Bortzmeyer 
On Sun, Apr 24, 2016 at 02:35:31PM +,
 Duchet Rémy  wrote 
 a message of 72 lines which said:

> Depuis une ligne free, le dig ne passe pas :
> dig test-yann.myshopify.com
...
> Si j'ajoute +cd , j'ai une réponse:

Ce qui signale typiquement un problème DNSSEC. Mais ne sautons pas
trop vite aux conclusions : ni Zonemaster
 ni moi ne voyons de
problèmes DNSSEC dans cette zone.

> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
> test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.

Ce CNAME répété n'est *pas* dans la zone originelle. Il n'est
d'ailleurs pas vu par tous les résolveurs de Free, seulement par
certains.

Cela ressemble beaucoup à cette bogue des résolveurs DNS de Free qui
n'a jamais été corrigée
 À part que je
pensais qu'elle était spécifique à NSEC3 alors qu'elle se produit
apparemment aussi avec NSEC. Le problème peut venir en fait de la
taille élevée de la réponse, > la MTU d'Ethernet.

> Peut-être un début de réponse ici
> http://dnsviz.net/d/test-yann.myshopify.com/dnssec/

Non, juste des avertissements, rien de grave.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Site inaccessible avec le réseau Free (DNS)

2016-04-24 Par sujet Duchet Rémy 
Bonjour,

Depuis une ligne free, le dig ne passe pas :
dig test-yann.myshopify.com

; <<>> DiG 9.10.3-P4 <<>> test-yann.myshopify.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 9308
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;test-yann.myshopify.com.   IN  A

;; Query time: 68 msec
;; SERVER: 212.27.40.240#53(212.27.40.240)
;; WHEN: Sun Apr 24 16:27:40 W. Europe Daylight Time 2016
;; MSG SIZE  rcvd: 52

Si j'ajoute +cd , j'ai une réponse:

dig test-yann.myshopify.com +cd

; <<>> DiG 9.10.3-P4 <<>> test-yann.myshopify.com +cd
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12917
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 10, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;test-yann.myshopify.com.   IN  A

;; ANSWER SECTION:
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
test-yann.myshopify.com. 1800   IN  CNAME   shops.shopify.com.
shops.shopify.com.  1800IN  A   23.227.38.69
shops.shopify.com.  1800IN  A   23.227.38.70
shops.shopify.com.  1800IN  A   23.227.38.71
shops.shopify.com.  1800IN  A   23.227.38.68

;; AUTHORITY SECTION:
shopify.com.64085   IN  NS  ns1.p19.dynect.net.
shopify.com.64085   IN  NS  ns2.p19.dynect.net.
shopify.com.64085   IN  NS  ns3.p19.dynect.net.
shopify.com.64085   IN  NS  ns4.p19.dynect.net.

;; Query time: 78 msec
;; SERVER: 212.27.40.240#53(212.27.40.240)
;; WHEN: Sun Apr 24 16:32:23 W. Europe Daylight Time 2016
;; MSG SIZE  rcvd: 300


Peut-être un début de réponse ici 
http://dnsviz.net/d/test-yann.myshopify.com/dnssec/

Rémy.

-Original Message-
From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of 
yann assouline
Sent: dimanche 24 avril 2016 15:52
To: frnog-t...@frnog.org
Subject: [FRnOG] [TECH] Site inaccessible avec le réseau Free (DNS)

Bonjour,

Je reviens encore une fois par rapport à mon soucis d’inaccessibilité de mon 
site sous le réseau Free que ce soit en wifi ou sur mobile, www.wee-bot.com.

C'est un site qui tourne sous shopify, donc l'url d'origine est 
test-yann.myshopify.com, c'est celle la que Free n'arrive pas à y accéder.

Cela fait des mois je ne trouve aucune solution, car c'est très aléatoire, ça 
marche chez certaine personne et d'autre non, et en actualisant, cela peut 
fonctionner à nouveau.

D’où cela peut il venir ?

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Site inaccessible avec le réseau Free (DNS)

2016-04-24 Par sujet yann assouline 
Bonjour,

Je reviens encore une fois par rapport à mon soucis d’inaccessibilité de
mon site sous le réseau Free que ce soit en wifi ou sur mobile,
www.wee-bot.com.

C'est un site qui tourne sous shopify, donc l'url d'origine est
test-yann.myshopify.com, c'est celle la que Free n'arrive pas à y accéder.

Cela fait des mois je ne trouve aucune solution, car c'est très aléatoire,
ça marche chez certaine personne et d'autre non, et en actualisant, cela
peut fonctionner à nouveau.

D’où cela peut il venir ?

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [misc] Reportage : ces ingénieurs gardiens de la qualité du réseau Orange

2016-04-24 Par sujet Christophe LUCAS 
Bonjour,

Je ne sais pas si c'est de vigueur chez Orange, mais chez certains ca vaudrait 
un super petit-dej (croissants, ...) le lendemain.
Désolé, trolldi est déjà loin en ce dimanche.

Cdt,
Christophe

- Mail original -
De: "Raphael Jacquot" 
À: frnog@frnog.org
Envoyé: Dimanche 24 Avril 2016 12:09:34
Objet: Re: [FRnOG] [misc] Reportage : ces ingénieurs gardiens de la qualité du 
réseau Orange

Le 23/04/16 11:45, Benjamin Boudoir a écrit :
> Le vendredi 22 avril 2016, 11:13:05 Barthélémy DELUY a écrit :
>> Bah normal, on nous fait évacuer pour les photos ou quand il y a des
>> visites ^^
>
> Et on vous demande aussi de laisser vos sessions déverrouillées ? :)
>

les écrans ne peuvent pas etre verouillés... d'ailleurs l'économiseur 
d'écran est désactivé ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [misc] Reportage : ces ingénieurs gardiens de la qualité du réseau Orange

2016-04-24 Par sujet Raphael Jacquot 



Le 23/04/16 11:45, Benjamin Boudoir a écrit :

Le vendredi 22 avril 2016, 11:13:05 Barthélémy DELUY a écrit :

Bah normal, on nous fait évacuer pour les photos ou quand il y a des
visites ^^


Et on vous demande aussi de laisser vos sessions déverrouillées ? :)



les écrans ne peuvent pas etre verouillés... d'ailleurs l'économiseur 
d'écran est désactivé ;)



---
Liste de diffusion du FRnOG
http://www.frnog.org/