Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

[David Ponzone]

Alors oui je sais ça, « je » suis justement un FAI alternatif.
Je sais aussi qu’il y a des gens (clients, prestas/intégrateurs) qui pensent 
que Orange c’est mieux, essentiellement parce qu’on pourra jamais leur 
reprocher d’avoir choisi l’opérateur historique (ça s’appelle le double-effet 
Cisco). De la part d’un client c’est de l'ignorance normal, de la part d’un 
prestataire, c’est fréquemment du pantouflardisme doublé d’incompétence).
Donc je disais de virer la LB4 parce que ça sent ce cas de figure: y a du 
Orange et faut faire avec.

Donc faut virer la LB4 et le jour où il y a un problème de support, tu la 
remets.
Mais franchement, les LB apportent plus de problèmes de que solutions.

David Ponzone



> Le 27 oct. 2022 à 18:53, Julien RICHER  a écrit :
> 
> 
> 
> Le lun. 24 oct. 2022 à 21:35, David Ponzone  > a écrit :
> Mais le mieux du mieux, c’est de virer la LB4.
> 
> 
> Dans le process Orange il y a une livebox,
> la remplacer c'est sympa techniquement mais c'est aussi dévier du process du 
> fournisseur
> et donc ajouter de l'aléa dans le service (ex: changement de l'ingénierie de 
> l'accès par Orange) ou pour le support.
> 
> Le mieux du mieux si tu ne veux pas de box Orange est de souscrire chez un 
> FAI qui n'impose pas sa box, par exemple un FAI alternatif/entreprise.
> 
> 
> 
> 
>  

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

[Julien RICHER]

Le lun. 24 oct. 2022 à 21:35, David Ponzone  a
écrit :

> Mais le mieux du mieux, c’est de virer la LB4.
>
>
Dans le process Orange il y a une livebox,
la remplacer c'est sympa techniquement mais c'est aussi dévier du process
du fournisseur
et donc ajouter de l'aléa dans le service (ex: changement de l'ingénierie
de l'accès par Orange) ou pour le support.

Le mieux du mieux si tu ne veux pas de box Orange est de souscrire chez un
FAI qui n'impose pas sa box, par exemple un FAI alternatif/entreprise.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

[David Ponzone]

> Le 24 oct. 2022 à 21:19, Florent Rivoire  a écrit :
> 
> 
> On Mon, Oct 24, 2022 at 5:58 PM David Ponzone  wrote:
>> 
>> A mon avis, si virer la LB n’est pas possible, il vaut mieux mettre un petit 
>> routeur (genre MK à 20/30€) sur le LAN pour fair serveur DHCP, qui donnera 
>> les DNS et la gateway que tu veux.
> 
> Yep tout à fait d'accord techniquement, je vois bien comment corriger
> de mon côté (même s'il y a quand même plusieurs inconvénients:
> maintenance, double-nat, perte d'ipv6, waf, etc.).
> Mon email était vraiment ciblé sur le problème DNS, pour le
> comprendre, et corriger la root-cause.
> 

Ah non non.
J’ai pas dit de mettre le MK en routeur derrière la LB.
Juste en serveur DHCP: il fournit aux clients une IP avec l’IP de la LB comme 
gw par défaut et les DNS que tu veux (donc pa ceux d’Orange).
Evidemment, il faut couper le serveur DHCP de la LB4.
Si ça aussi c’est pas possible, faut mettre un switch qui sait faire du DHCP 
snooping par port pour bloquer les réponses DHCP qui viennent de la LB4.

Maintenance ? Eu tu as une idée du temps que tu viens de perdre parce que 
Orange arrive pas à avoir des resolvers qui marchent aussi bien sans incidents 
que Quad1 ou Quad9 ou Quad8 ?

Mais le mieux du mieux, c’est de virer la LB4.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

[David Ponzone]

Depuis une carte SIM Orange:

root@Teltonika-RUT240:~# nslookup eu-ouest-vpn.mpsa.com 81.253.149.6
Server:81.253.149.6
Address 1: 81.253.149.6

Name:  eu-ouest-vpn.mpsa.com
Address 1: 194.250.98.235

-> mais la réponse prend 3/4 secondes)

root@Teltonika-RUT240:~# nslookup eu-ouest-vpn.mpsa.com  80.10.246.136
Server:80.10.246.136
Address 1: 80.10.246.136 dns-rtc-gpe1-b.wanadoo.fr

Name:  eu-ouest-vpn.mpsa.com
Address 1: 194.250.98.235

-> réponse normale

Y a encore un truc moisi sur les DNS d’Orange, c’est récurrent.


A mon avis, si virer la LB n’est pas possible, il vaut mieux mettre un petit 
routeur (genre MK à 20/30€) sur le LAN pour fair serveur DHCP, qui donnera les 
DNS et la gateway que tu veux.


> Le 24 oct. 2022 à 17:40, Florent Rivoire  a écrit :
> 
> Bonjour,
> 
> J'aimerai des conseils sur le debug d'un soucis DNS:
> => soucis observé uniquement sur ce domaine *et* avec les résolveurs Orange
> => toutes les autres combinaisons testées fonctionnent normalement (autres
> domaines sur Orange, ou ce domaine sur autres résolveurs)
> 
> NB: le contexte: une connexion FTTH grand-public Orange, une Livebox 4,
> tous les tests ci-dessous depuis la même machine: un macOs
> 
> 
> 
> # Resolveur par défaut: la livebox
> 
> $ dig eu-ouest-vpn.mpsa.com
> ;; communications error to 192.168.1.1#53: timed out
> ;; communications error to 192.168.1.1#53: timed out
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39864
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ; COOKIE: 75cff3507bae17a001006356ab569cea0b2741c6a9d7 (good)
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; Query time: 4 msec
> ;; SERVER: 192.168.1.1#53(192.168.1.1) (UDP)
> ;; WHEN: Mon Oct 24 17:12:53 CEST 2022
> ;; MSG SIZE  rcvd: 78
> 
> 
> 
> # Resolveurs d'Orange (les deux mentionnés dans la Livebox)
> 
> $ dig eu-ouest-vpn.mpsa.com  @81.253.149.6
> ;; communications error to 81.253.149.6#53: timed out
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @81.253.149.6
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 61578
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ; COOKIE: 631365c01f525d1e01006356ab60ddd2c927addc43f5 (good)
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; Query time: 3033 msec
> ;; SERVER: 81.253.149.6#53(81.253.149.6) (UDP)
> ;; WHEN: Mon Oct 24 17:13:03 CEST 2022
> ;; MSG SIZE  rcvd: 78
> 
> 
> $ dig eu-ouest-vpn.mpsa.com  @80.10.246.136
> ;; communications error to 80.10.246.136#53: timed out
> ;; communications error to 80.10.246.136#53: timed out
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @80.10.246.136
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 60901
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ; COOKIE: 3943a48e9b1ccacc01006356aba3d218fafa2c612255 (good)
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; Query time: 4 msec
> ;; SERVER: 80.10.246.136#53(80.10.246.136) (UDP)
> ;; WHEN: Mon Oct 24 17:13:45 CEST 2022
> ;; MSG SIZE  rcvd: 78
> 
> 
> 
> # Resolveurs publics connus:
> 
> $ dig eu-ouest-vpn.mpsa.com  @1.1.1.1
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @1.1.1.1
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64391
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; ANSWER SECTION:
> eu-ouest-vpn.mpsa.com. 85616 IN CNAME eu-ouest.vpn.mpsa.com.
> eu-ouest.vpn.mpsa.com. 600 IN A 194.104.188.240
> 
> ;; Query time: 7 msec
> ;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
> ;; WHEN: Mon Oct 24 17:13:49 CEST 2022
> ;; MSG SIZE  rcvd: 93
> 
> 
> $ dig eu-ouest-vpn.mpsa.com  @9.9.9.9
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @9.9.9.9
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25843
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; ANSWER SECTION:
> eu-ouest-vpn.mpsa.com. 43200 IN CNAME eu-ouest.vpn.mpsa.com.
> eu-ouest.vpn.mpsa.com. 600 IN A 194.250.98.235
> 
> ;; Query time: 36 msec
> ;; SERVER: 9.9.9.9#53(9.9.9.9) (UDP)
> ;; WHEN: Mon Oct 24 17:13:57 CEST 2022
> ;; MSG SIZE  rcvd: 93
> 
> 
> Mon analyse:
> - la livebox semble hors de cause, puisque ses résolveurs "parents" ne
> répondent pas non plus à cette requête
> - les résolveurs Orange ne sont pas 

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

[Paul Rolland (ポール・ロラン)]

Hello,

On Mon, 24 Oct 2022 17:40:19 +0200
Florent Rivoire  wrote:

> NB: le contexte: une connexion FTTH grand-public Orange, une Livebox 4,
> tous les tests ci-dessous depuis la même machine: un macOs

Meme condition, mais Linux a la place de MacOS.
 
> # Resolveur par défaut: la livebox
> 
> $ dig eu-ouest-vpn.mpsa.com

--> ca marche

> # Resolveurs d'Orange (les deux mentionnés dans la Livebox)
> 
> $ dig eu-ouest-vpn.mpsa.com  @81.253.149.6

--> ca marche

> $ dig eu-ouest-vpn.mpsa.com  @80.10.246.136

ca marche pas.

Ta LB a peut-etre interroge le "ca marche pas", a retenu que "ca marche
pas", et te sert le "ca marche pas", mais ca n'explique pas que le "ca
marche" ne marche pas pour toi...

Les 'ca marche' me repondent :
;; ANSWER SECTION:
eu-ouest-vpn.mpsa.com.  47646   IN  CNAME   eu-ouest.vpn.mpsa.com.
eu-ouest.vpn.mpsa.com.  366 IN  A   194.250.98.235

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/