Re: [FRnOG] Re: [TECH] récursion DNS en SERVFAIL pour outlook.office.com

2020-06-24 Par sujet Eric Belhomme (FRnOG) 

Le 24/06/2020 à 10:27, Nico CARTRON a écrit :

Débrayer une solution de protection de la vie privée parce que
Microsoft a fait n'importe quoi ? Le pouvoir des GAFA est vraiment
dingue.


Oui, il l'est. Comment veux-tu expliquer à ton utilisateur que non, il 
n'accèdera pas à sa messagerie *pro* parce que MS fait de la merde ? 
C'est in-entendable. Hélas.




Non, le problème a été causé par l'introduction de la fonction
qname-minimization dans PowerDNS Recursor, cf. l'issue GH:

"With the introduction of qname minimization, a function
doResolveNoQNameMinimization() was introduced. This function is
called by doResolve() with depth incremented. Due to the recursive
nature of the resursor algortihm (Nomen est Omen) we end up
incrementing the depth too much"


Il s'agit donc d'un bug de pdns. Et au passage un grand merci pour la 
solution de contournement, elle fonctionne :D


La suite est HC ici, mais je me demande bien pourquoi la limite de 
récursion appliquée aux CNAME est codée en dur et ne tient pas compte de 
la conf...


--
Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] récursion DNS en SERVFAIL pour outlook.office.com

2020-06-24 Par sujet Nico CARTRON 
On 24-Jun-2020 10:17 CEST,  wrote:

> On Wed, Jun 24, 2020 at 10:12:34AM +0200,
>  Nico CARTRON  wrote 
>  a message of 51 lines which said:
> 
> > Solution de contournement provisoire: désactiver qname-minimization
> > avec:
> > 
> >   qname-minimization=off
> 
> Débrayer une solution de protection de la vie privée parce que
> Microsoft a fait n'importe quoi ? Le pouvoir des GAFA est vraiment
> dingue.

Non, le problème a été causé par l'introduction de la fonction
qname-minimization dans PowerDNS Recursor, cf. l'issue GH:

"With the introduction of qname minimization, a function
doResolveNoQNameMinimization() was introduced. This function is
called by doResolve() with depth incremented. Due to the recursive
nature of the resursor algortihm (Nomen est Omen) we end up
incrementing the depth too much"

-- 
Nico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] récursion DNS en SERVFAIL pour outlook.office.com

2020-06-24 Par sujet Stephane Bortzmeyer 
On Wed, Jun 24, 2020 at 10:12:34AM +0200,
 Nico CARTRON  wrote 
 a message of 51 lines which said:

> Solution de contournement provisoire: désactiver qname-minimization
> avec:
> 
>   qname-minimization=off

Débrayer une solution de protection de la vie privée parce que
Microsoft a fait n'importe quoi ? Le pouvoir des GAFA est vraiment
dingue.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] récursion DNS en SERVFAIL pour outlook.office.com

2020-06-24 Par sujet Nico CARTRON 
On 24-Jun-2020 09:57 CEST,  wrote:

> On Wed, Jun 24, 2020 at 09:48:48AM +0200,
>  Eric Belhomme (FRnOG)  wrote 
>  a message of 112 lines which said:
> 
> > Bonjour la liste : je suis confronté à un problème de récursion DNS que je
> > ne sais pas comprendre, et donc que je n'arrive pas à résoudre, lorsque des
> > clients de mon réseau local tentent d'accéder à 'outlook.office.com' :
> > $ dig @172.16.81.10 outlook.office.com
> 
> Ce nom a sept (7 !!!) alias à la suite. Une chaîne aussi longue a de
> bonnes chances d'être interrompue par des résolveurs DNS prudents qui
> veulent éviter les attaques d'épuisement comme iDNS
> 
> ou NXNSAttack .
> 
> C'est Microsoft, quoi…

Et en effet, 7 alias de suite, comment dire...

-- 
Nico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] récursion DNS en SERVFAIL pour outlook.office.com

2020-06-24 Par sujet Nico CARTRON 
Hello,

On 24-Jun-2020 09:48 CEST,  wrote:

> Bonjour la liste : je suis confronté à un problème de récursion DNS que je
> ne sais pas comprendre, et donc que je n'arrive pas à résoudre, lorsque des
> clients de mon réseau local tentent d'accéder à 'outlook.office.com' :
> $ dig @172.16.81.10 outlook.office.com
> 
> [...]
>
> On se mange un SERVFAIL la plupart du temps (mais pas tout le temps, il y a
> des fois où àa arrive à passer, là non plus, je ne sais pas par quel
> miracle)
> 
> Le serveur DNS en 172.16.81.10 est un PowerDNS--recursor 4.3.1, qui tourne
> sur une Debian 10. Sa configuration spécifique ce résume à ces quelques
> primitives:
> 
> allow-from=127.0.0.0/8, 172.16.80.0/23, ::1/128, fc00::/7, fe80::/10
> api-key=uotCEgO01KQYX2W1dHXfOsmhnPgcwGOl
> forward-zones-file=/etc/powerdns/forward-zones.conf
> local-address=0.0.0.0
> max-recursion-depth=0
> 
> J'ai rajouté le "max-recursion-depth=0" pour tenter de résoudre mon présent
> problème (la limite de récursion étant par défaut de 40)
> 
> J'ai tracé coté pdns les questions-réponses générées par le dig plus haut,
> ça m'a craché plus de 800 lignes de log que je ne sais pas interpréter. J'ai
> collé ça sur pastiebin ici : https://www.pastiebin.com/5ef30139ea1ee
> [...]

Problème connu avec la 4.3.1: https://github.com/PowerDNS/pdns/pull/9192

Solution de contournement provisoire: désactiver qname-minimization
avec:

  qname-minimization=off

dans recursor.conf

Cheers,

-- 
Nico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] récursion DNS en SERVFAIL pour outlook.office.com

2020-06-24 Par sujet Stephane Bortzmeyer 
On Wed, Jun 24, 2020 at 09:48:48AM +0200,
 Eric Belhomme (FRnOG)  wrote 
 a message of 112 lines which said:

> Bonjour la liste : je suis confronté à un problème de récursion DNS que je
> ne sais pas comprendre, et donc que je n'arrive pas à résoudre, lorsque des
> clients de mon réseau local tentent d'accéder à 'outlook.office.com' :
> $ dig @172.16.81.10 outlook.office.com

Ce nom a sept (7 !!!) alias à la suite. Une chaîne aussi longue a de
bonnes chances d'être interrompue par des résolveurs DNS prudents qui
veulent éviter les attaques d'épuisement comme iDNS

ou NXNSAttack .

C'est Microsoft, quoi…




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] récursion DNS en SERVFAIL pour outlook.office.com

2020-06-24 Par sujet Eric Belhomme (FRnOG) 
Bonjour la liste : je suis confronté à un problème de récursion DNS que 
je ne sais pas comprendre, et donc que je n'arrive pas à résoudre, 
lorsque des clients de mon réseau local tentent d'accéder à 
'outlook.office.com' :

$ dig @172.16.81.10 outlook.office.com

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @172.16.81.10 
outlook.office.com

; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 53342
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;outlook.office.com.        IN    A

;; ANSWER SECTION:
outlook.office.com.    9    IN    CNAME substrate.office.com.
substrate.office.com.    300    IN    CNAME substrate.ms-acdc.office.com.
substrate.ms-acdc.office.com. 8    IN    CNAME afd-k.office.com.
afd-k.office.com.    8    IN    CNAME 
outlook-office-com.k-0002.k-msedge.net.
outlook-office-com.k-0002.k-msedge.net.    188 IN CNAME 
outlook.ha.office365.com.

outlook.ha.office365.com. 60    IN    CNAME outlook.ms-acdc.office.com.

;; Query time: 213 msec
;; SERVER: 172.16.81.10#53(172.16.81.10)
;; WHEN: Wed Jun 24 08:10:19 CEST 2020
;; MSG SIZE  rcvd: 232

On se mange un SERVFAIL la plupart du temps (mais pas tout le temps, il 
y a des fois où àa arrive à passer, là non plus, je ne sais pas par quel 
miracle)


Le serveur DNS en 172.16.81.10 est un PowerDNS--recursor 4.3.1, qui 
tourne sur une Debian 10. Sa configuration spécifique ce résume à ces 
quelques primitives:


allow-from=127.0.0.0/8, 172.16.80.0/23, ::1/128, fc00::/7, fe80::/10
api-key=uotCEgO01KQYX2W1dHXfOsmhnPgcwGOl
forward-zones-file=/etc/powerdns/forward-zones.conf
local-address=0.0.0.0
max-recursion-depth=0

J'ai rajouté le "max-recursion-depth=0" pour tenter de résoudre mon 
présent problème (la limite de récursion étant par défaut de 40)


J'ai tracé coté pdns les questions-réponses générées par le dig plus 
haut, ça m'a craché plus de 800 lignes de log que je ne sais pas 
interpréter. J'ai collé ça sur pastiebin ici : 
https://www.pastiebin.com/5ef30139ea1ee


J'ai bien compris qu'il y a moult indirections de CNAME en CNAME, je 
vois bien dans les logs que pdns remonte la piste jusqu'à ce qu'il en 
ait marre en ligne 809 et lache l'affaire en retournant un SERVFAIL. Le 
message est clair: "but recursing too deep"


Pourtant j'ai désactivé la limite de profondeur de récursion

Pourtant si je demande aux DNS de cloudflare ou de google, eux savent 
résoudre :


$ dig @1.1.1.1 outlook.office.com

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> @1.1.1.1 outlook.office.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47479
;; flags: qr rd ra; QUERY: 1, ANSWER: 10, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;outlook.office.com.        IN    A

;; ANSWER SECTION:
outlook.office.com.    52    IN    CNAME substrate.office.com.
substrate.office.com.    292    IN    CNAME substrate.ms-acdc.office.com.
substrate.ms-acdc.office.com. 52 IN    CNAME afd-k.office.com.
afd-k.office.com.    52    IN    CNAME 
outlook-office-com.k-0002.k-msedge.net.
outlook-office-com.k-0002.k-msedge.net.    232 IN CNAME 
outlook.ha.office365.com.

outlook.ha.office365.com. 52    IN    CNAME outlook.ms-acdc.office.com.
outlook.ms-acdc.office.com. 52    IN    CNAME CDG-efz.ms-acdc.office.com.
CDG-efz.ms-acdc.office.com. 2    IN    A    52.97.233.66
CDG-efz.ms-acdc.office.com. 2    IN    A 40.101.136.242
CDG-efz.ms-acdc.office.com. 2    IN    A    52.97.150.2

;; Query time: 25 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Wed Jun 24 09:45:01 CEST 2020
;; MSG SIZE  rcvd: 320

Alors, je me doute bien que je dois être un sombre idiot à rester planté 
sur un truc praeil, mais là je suis sec, alors une âme charitable 
pouvait me mettre sur la piste, je lui en serait vraiement reconnaissant :)



--

Rico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] ASR1000 et 10G-BD

2020-06-24 Par sujet Mathieu HUSSON 
Bonjour Jérôme, David,

De même pour les QSFP28 LR, il existe des modules qui tiennent 3.5, d'autres à 
4.5W, et encore d'autres à plus de 4.5W.

C'est un des éléments de différenciations entre les modules.
Cela dépend à la fois du chip laser utilisé et de la qualité du design.

Cordialement,

Mathieu HUSSON
www.infractive.fr

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Philippe 
Bolle
Envoyé : jeudi 18 juin 2020 16:23
À : Jérôme Nicolle 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] ASR1000 et 10G-BD

Cher vous deux,

Nous avons un sfp+ bidi 80 km réel avec 1,5 watt max de 0 à 70 degré.

Br

Sent from my iphone
Philippe bolle 
+32 498 88 34 00
philippe.bo...@skylaneoptics.com

> On 18 Jun 2020, at 16:10, Jérôme Nicolle  wrote:
> 
> Plop,
> 
>> Le 18/06/2020 à 15:49, David Ponzone a écrit :
>> SolidOptics me suggère que concrètement, le SFP+ BIDIR marchera, mais 
>> en étant reconnu par l’ASR comme un 10G-LR standard.
>> 
>> Qqun qui en utilise peut confirmer si oui ou non ça passe ?
> 
> Oui, ça passe, une fois codé en LR.
> 
> Par contre tu ne monteras pas à plus de 2W sur le slot, donc peu de 
> 80km fonctionneront.
> 
> @+
> 
> --
> Jérôme Nicolle
> +33 6 19 31 27 14
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/