Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Le 27/04/2023 à 14:45, Stephane Bortzmeyer a écrit : On Thu, Apr 27, 2023 at 02:17:21PM +0200, Jean-Claude MICHOT wrote a message of 18 lines which said: J'irais même plus loin que l'armoire... pas dans le même DC ! Si c'est dans le Global Switch à Clichy, ça va. T'en mets un à Global switch et un dans la région FR de GCP pour séparer --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Thu, Apr 27, 2023 at 02:17:21PM +0200, Jean-Claude MICHOT wrote a message of 18 lines which said: > J'irais même plus loin que l'armoire... pas dans le même DC ! Si c'est dans le Global Switch à Clichy, ça va. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 26, 2023 at 03:40:39PM +0200, Erwan David wrote a message of 27 lines which said: > Par contre avoir x.y.z.1 et x.y.z.2 comme DNS ne signifie pas qu'ils > sont au même endroit, beaucoup de possibilités de routage interne > qui peuvent envoyer sur des machines éloignées. (ça peut même être > anycasté d'ailleurs) Je pense que tout le monde ici le sait, mais : - déjà, si c'est dans le même préfixe BGP, cela fait un SPOF (comme noté par l'article sur RIPE Labs), - dans les cas français récents, la probabilité que les serveurs soient autre chose que deux PC dans le même local était quand même faible, - quant à l'anycast, c'est facile de voir qu'il n'en est rien (en mesurant le RTT depuis plusieurs points). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Le 26/04/2023 à 15:30, Stephane Bortzmeyer a écrit : On Wed, Apr 12, 2023 at 10:09:07AM +0200, Stephane Bortzmeyer wrote a message of 11 lines which said: meteofrance.com et meteo.fr en panne DNS totale. Seulement deux serveurs de noms, tous les deux au même endroit (réseau Celeste / Renater), injoignables. Rappel : ON NE MET PAS TOUS SES SERVEURS DE NOMS DANS LE MÊME AS ET EN TOUT CAS PAS DANS LA MÊME ARMOIRE ! Le RIPE-NCC vient de publier un article utile sur le blog des Labs. Ça se n'applique pas qu'à la Suède ! https://labs.ripe.net/author/robert-allen/how-to-ensure-robust-dns-services-for-the-public-sector/ Par contre avoir x.y.z.1 et x.y.z.2 comme DNS ne signifie pas qu'ils sont au même endroit, beaucoup de possibilités de routage interne qui peuvent envoyer sur des machines éloignées. (ça peut même être anycasté d'ailleurs) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 12, 2023 at 10:09:07AM +0200, Stephane Bortzmeyer wrote a message of 11 lines which said: > meteofrance.com et meteo.fr en panne DNS totale. Seulement deux > serveurs de noms, tous les deux au même endroit (réseau Celeste / > Renater), injoignables. > > Rappel : ON NE MET PAS TOUS SES SERVEURS DE NOMS DANS LE MÊME AS ET EN > TOUT CAS PAS DANS LA MÊME ARMOIRE ! Le RIPE-NCC vient de publier un article utile sur le blog des Labs. Ça se n'applique pas qu'à la Suède ! https://labs.ripe.net/author/robert-allen/how-to-ensure-robust-dns-services-for-the-public-sector/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Sun, Apr 16, 2023 at 06:55:58PM +0200, Pascal PETIT wrote a message of 48 lines which said: > child-centric ? est-ce que cela désigne les DNS récursifs qui font > confiance aux enregistrement faisant autorité et additionnels de la > zone elle-même plutôt qu'à ceux de la zone transmis par la zone > parente ? Oui, tout à fait. Désolé, le terme n'est pas courant, j'aurais dû expliquer. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Bonjour, Le mercredi 12 avril 2023 (11:48), Stephane Bortzmeyer écrivait : > On Wed, Apr 12, 2023 at 11:04:15AM +0200, > Richard Baret via frnog wrote > a message of 18 lines which said: > > > Les GLUE records sont là pour ça oui > > Pas du tout. La colle ne protège pas contre ça, notamment si le > résolveur est "child-centric" (la majorité des résolveurs). > child-centric ? est-ce que cela désigne les DNS récursifs qui font confiance aux enregistrement faisant autorité et additionnels de la zone elle-même plutôt qu'à ceux de la zone transmis par la zone parente ? Si j'interroge le dns faisant autorité pour bar. sur l'enregistrement A de www.foo.bar., il me retourne une réponse contenant des informations faisant autorité (les NS de foo.bar.) et des inforamtions additionnelles (les champs A et des DNS de foo.bar. qui ont un nom en foo.bar.). quand j'interroge l'un des dns de foo.bar. sur l'enregistrement A de www.foo.bar. il me retourne une réponse contenant la réponse à la question et des informations faisant autorité (les NS de foo.bar.) et des inforamtions additionnelles (les champs A et des DNS de foo.bar. qui ont un nom en foo.bar.). child-centric veut dire utiliser plutôt ce dernier jeu de réponse ? ou tout à fait autre chose ? Le problème ne se poserait pas si foo.bar. était définie comme une zone stub au niveau de bar. mais est-ce vraiment pratiqué ? cordialement -- Pascal Petit, éternel débutant Les courriers qui seraient envoyés en dehors de vos jours et heures de travail ne nécessitent pas de réponses en dehors de vos jours et heures de travail. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 12, 2023 at 10:09:07AM +0200, Stephane Bortzmeyer wrote a message of 11 lines which said: > meteofrance.com et meteo.fr en panne DNS totale. Seulement deux > serveurs de noms, tous les deux au même endroit (réseau Celeste / > Renater), injoignables. > > Rappel : ON NE MET PAS TOUS SES SERVEURS DE NOMS DANS LE MÊME AS ET EN > TOUT CAS PAS DANS LA MÊME ARMOIRE ! Et ça continue. Vendredi, service-public.fr. Samedi, impots.gouv.fr. Dimanche, caf.fr. Il peut évidemment s'agir de causes différentes. Néanmoins, tous ces domaines ont en commun la faiblesse de leurs configurations DNS, qui les rend vulnérables à diverses causes. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Je pense qu'on parle du software. En tout cas c'est ce que suggère la partie entre parenthèses. Mais ça peut pas faire de mal d'interpréter au plus large. Remarque : on pourrait peut-être réétiqueter ce fil en [TECH] ? non ? Le 14/04/2023 à 20:17, Erwan David a écrit : Practice 4 Authoritative and recursive DNS service *MUST NOT* coexist on the same DNS server. In the context of authoritative servers, this means you *MUST* disable recursive DNS resolution on servers configured to serve authoritative DNS data (if the software allows running both authoritative and recursive at the same time). Je me demande ce qu'ils entendent par "serveur" : serveur physique ? VMs dans un même cluster ? conteneur/jails différentes sur le même OS ? Différent services, sur des IP différentes arrivant sur la même instance d'OS+userland ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Le 12/04/2023 à 11:00, Phil Regnauld a écrit : Stephane Bortzmeyer (bortzmeyer) writes: Et pas sous le même domaine (parceque si on perd ce domaine là...) Pas faux mais c'est plus complexe que ça. (La recommandation officielle de l'ANSSI est au contraire de mettre tous les serveurs sous le nom qu'ils servent.) https://kindns.org/other-sld-zones/ - Practice 5 :) Quand je vois : Practice 4 Authoritative and recursive DNS service *MUST NOT* coexist on the same DNS server. In the context of authoritative servers, this means you *MUST* disable recursive DNS resolution on servers configured to serve authoritative DNS data (if the software allows running both authoritative and recursive at the same time). Je me demande ce qu'ils entendent par "serveur" : serveur physique ? VMs dans un même cluster ? conteneur/jails différentes sur le même OS ? Différent services, sur des IP différentes arrivant sur la même instance d'OS+userland ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Bonsoir, Dans la même lignée le notaires.fr était en panne deux heures cet après-midi. On attends la root cause du presta. Ludovic Le mer. 12 avr. 2023, 16:20, Stephane Bortzmeyer a écrit : > On Wed, Apr 12, 2023 at 04:13:16PM +0200, > Victor UETTWILLER wrote > a message of 27 lines which said: > > > Sa sens le "j'en est ras le cul, on migre le temps de savoir > > pourquoi sa déconne" > > Oui, une journée de cafouillage, avec des essais erronés. La > souveraineté numérique, vexée, tue un chaton. > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 12, 2023 at 04:13:16PM +0200, Victor UETTWILLER wrote a message of 27 lines which said: > Sa sens le "j'en est ras le cul, on migre le temps de savoir > pourquoi sa déconne" Oui, une journée de cafouillage, avec des essais erronés. La souveraineté numérique, vexée, tue un chaton. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 12, 2023 at 04:10:38PM +0200, Romain wrote a message of 77 lines which said: > T’aime pas les chats ? Il n'y a pas que ça :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
T’aime pas les chats ? Le mer. 12 avr. 2023 à 16:03, Stephane Bortzmeyer a écrit : > On Wed, Apr 12, 2023 at 10:09:07AM +0200, > Stephane Bortzmeyer wrote > a message of 11 lines which said: > > > meteofrance.com et meteo.fr en panne DNS totale. Seulement deux > > serveurs de noms, tous les deux au même endroit (réseau Celeste / > > Renater), injoignables. > > Toujours en panne. C'est curieux, les problèmes de l'infrastructure > logicielle de l'Internet (BGP, DNS, etc) durent plutôt une heure ou > deux, la plupart du temps. > > Ils viennent d'ajouter un troisième serveur, ce qui est une bonne > idée, mais lui non plus ne répond pas. > > (Si vous voulez rire, explorez le site Web du nom de domaine de leur > troisième serveur.) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 12, 2023 at 10:09:07AM +0200, Stephane Bortzmeyer wrote a message of 11 lines which said: > meteofrance.com et meteo.fr en panne DNS totale. Seulement deux > serveurs de noms, tous les deux au même endroit (réseau Celeste / > Renater), injoignables. Toujours en panne. C'est curieux, les problèmes de l'infrastructure logicielle de l'Internet (BGP, DNS, etc) durent plutôt une heure ou deux, la plupart du temps. Ils viennent d'ajouter un troisième serveur, ce qui est une bonne idée, mais lui non plus ne répond pas. (Si vous voulez rire, explorez le site Web du nom de domaine de leur troisième serveur.) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 12, 2023 at 11:04:15AM +0200, Richard Baret via frnog wrote a message of 18 lines which said: > Les GLUE records sont là pour ça oui Pas du tout. La colle ne protège pas contre ça, notamment si le résolveur est "child-centric" (la majorité des résolveurs). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Le 12/04/2023 à 11:02, Pascal PETIT a écrit : Bonjour, Le mercredi 12 avril 2023 (10:52), Erwan David écrivait : Et pas sous le même domaine (parceque si on perd ce domaine là...) Les enregistrements NS présents dans le domaine parent ne résolvent-ils pas ce soucis ? si tes NS sont ns1.toto.fr et ns2.toto.fr et que toto.fr est bloqué (dispute sur le nom par exemple) tu perds tes DNS. Ou aors il faut mettre un ns1.mon-domaine-a-moi.tld et mettre les glues, mais en général les hébergeurs mettent le nom de leurs NS. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Les GLUE records sont là pour ça oui Richard On 4/12/23 11:02, Pascal PETIT wrote: Bonjour, Le mercredi 12 avril 2023 (10:52), Erwan David écrivait : Et pas sous le même domaine (parceque si on perd ce domaine là...) Les enregistrements NS présents dans le domaine parent ne résolvent-ils pas ce soucis ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Bonjour, Le mercredi 12 avril 2023 (10:52), Erwan David écrivait : > > Et pas sous le même domaine (parceque si on perd ce domaine là...) > Les enregistrements NS présents dans le domaine parent ne résolvent-ils pas ce soucis ? -- Pascal Petit Les courriers qui seraient envoyés en dehors de vos jours et heures de travail ne nécessitent pas de réponses en dehors de vos jours et heures de travail. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Stephane Bortzmeyer (bortzmeyer) writes: > > Et pas sous le même domaine (parceque si on perd ce domaine là...) > > Pas faux mais c'est plus complexe que ça. (La recommandation > officielle de l'ANSSI est au contraire de mettre tous les serveurs > sous le nom qu'ils servent.) https://kindns.org/other-sld-zones/ - Practice 5 :) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 12, 2023 at 10:52:24AM +0200, Erwan David wrote a message of 19 lines which said: > > En plus détaillé : > > > > https://www.bortzmeyer.org/meteofrance-dns.html > > > > Et pas sous le même domaine (parceque si on perd ce domaine là...) Pas faux mais c'est plus complexe que ça. (La recommandation officielle de l'ANSSI est au contraire de mettre tous les serveurs sous le nom qu'ils servent.) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
Le 12/04/2023 à 10:46, Stephane Bortzmeyer a écrit : On Wed, Apr 12, 2023 at 10:09:07AM +0200, Stephane Bortzmeyer wrote a message of 11 lines which said: Rappel : ON NE MET PAS TOUS SES SERVEURS DE NOMS DANS LE MÊME AS ET EN TOUT CAS PAS DANS LA MÊME ARMOIRE ! En plus détaillé : https://www.bortzmeyer.org/meteofrance-dns.html Et pas sous le même domaine (parceque si on perd ce domaine là...) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 12, 2023 at 10:09:07AM +0200, Stephane Bortzmeyer wrote a message of 11 lines which said: > Rappel : ON NE MET PAS TOUS SES SERVEURS DE NOMS DANS LE MÊME AS ET EN > TOUT CAS PAS DANS LA MÊME ARMOIRE ! En plus détaillé : https://www.bortzmeyer.org/meteofrance-dns.html --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Temps pluvieux sur le DNS
On Wed, Apr 12, 2023 at 10:15:42AM +0200, Jacques MICHAU wrote a message of 18 lines which said: > Plus largement côté DNS je constate des curiosités sur plein de domaines : > des machines inconnues suivant d'où on résout... grosse panne DNS qq > part ? Pas à ma connaissance. Des détails concrets (les noms, les résultats) ? --- Liste de diffusion du FRnOG http://www.frnog.org/
