RE: [FRnOG] [TECH] Filtrage DNS chez SFR
> Baptiste Chappe a écrit : > Je suis un dingue en publiant dans le DNS des clients une IP privée ? J'ai > rarement la chance d'avoir > un DNS en local sur les sites (TPME 5 à 30 personnes). Ex : > imprimante.toto.com = 192.168.1.2 Tu n'est pas le seul, mais il y a plusieurs alternatives : 1. Tu mets un pi-hole et tu t'en sers en plus comme serveur DNS. D'une pierre deux coups. https://discourse.pi-hole.net/t/howto-using-pi-hole-as-lan-dns-server/533 2. Quand tu ouvres le VPN, tu pointes le DNS vers un serveur DNS dans le préfixe en question. 3. Cà devrait pas être compliqué de mettre un serveur DNS dans un serveur, NAS ou pare-feu que tu as sur site. En bref : ne pas avoir de DNS local, c'est une excuse mais pas terrible. Le problème avec les TPME c'est qu'elles ont souvent un portefeuille en peau de hérisson et qu'allonger 50 balles et une heure de ton temps pour un raspi c'est cher, mais quand même. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage DNS chez SFR
On 20/03/2020 20:53, Baptiste Chappe wrote: Bonsoir, J'ai eu la même ce jour avec un client sur une Freebox. Je monte le VPN avec un split. Seul le trafic vers le range precis passe dans le tunnel. Impossible de ping la ressource en DNS. Je change le DNS par Google et paf ca marche. Je suis un dingue en publiant dans le DNS des clients une IP privée ? J'ai rarement la chance d'avoir un DNS en local sur les sites (TPME 5 à 30 personnes). Ex : imprimante.toto.com = 192.168.1.2 Merci Messieurs merci de ne pas tous mélanger. Les résolveurs de Free sont connus pour filtrer les rfc1918. Les résolveurs de SFR/ex-NC semblent ok (et effectivement ne répondent que depuis le réseau SFR/ex-NC). A priori mais c'est à confirmer cela n'impacte qu'un certain type de box SFR (l'ingénierie SFR est sur le coup, merci à eux). PS : non ce n'est pas complètement fou comme pratique mais tu t'exposes à ce genre de problèmes. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage DNS chez SFR
Bonsoir, J'ai eu la même ce jour avec un client sur une Freebox. Je monte le VPN avec un split. Seul le trafic vers le range precis passe dans le tunnel. Impossible de ping la ressource en DNS. Je change le DNS par Google et paf ca marche. Je suis un dingue en publiant dans le DNS des clients une IP privée ? J'ai rarement la chance d'avoir un DNS en local sur les sites (TPME 5 à 30 personnes). Ex : imprimante.toto.com = 192.168.1.2 Merci Le ven. 20 mars 2020 à 19:59, Alarig Le Lay a écrit : > On ven. 20 mars 19:50:45 2020, Paul Rolland (ポール・ロラン) wrote: > > Hello, > > > > On Fri, 20 Mar 2020 19:43:17 +0100 > > Alarig Le Lay wrote: > > > > > [alarig@bsdcore3 ~]$ dig -t A roucool.int.no.swordarmor.fr @89.2.0.1 > > > > > > ; <<>> DiG 9.14.9 <<>> -t A roucool.int.no.swordarmor.fr @89.2.0.1 > > > ;; global options: +cmd > > > ;; connection timed out; no servers could be reached > > > > 89.2.0.1 ne repond apparemment que si tu es sur le reseau SFR. > > 54 [19:49] r...@riri.def:~> dig -t A www.google.fr @89.2.0.1 > > > > ; <<>> DiG 9.11.14-RedHat-9.11.14-2.fc31 <<>> -t A www.google.fr @ > 89.2.0.1 > > ;; global options: +cmd > > ;; connection timed out; no servers could be reached > > > > Paul > > La machine est bien sur le réseau de SFR, mais en fait le resolveur en > question, c’est celui de numéricâble ! > > [alarig@bsdcore3 ~]$ mtr -bzwe 89.2.0.1 > Start: 2020-03-20T19:53:55+0100 > HOST: bsdcore3.phaleon.org Loss% Snt > Last Avg Best Wrst StDev > 1. AS???192.168.1.1 0.0%10 > 0.3 0.4 0.3 0.5 0.1 > 2. AS??????100.010 > 0.0 0.0 0.0 0.0 0.0 > 3. AS15557 66.56.154.77.rev.sfr.net (77.154.56.66) 0.0%10 > 1.6 4.3 1.6 6.8 1.7 > 4. AS15557 210.61.6.109.rev.sfr.net (109.6.61.210) 0.0%10 > 1.8 3.2 1.8 6.5 1.4 > 5. AS15557 166.11.128.77.rev.sfr.net (77.128.11.166) 0.0%10 > 6.9 6.0 4.4 8.1 1.3 > 6. AS15557 217.10.136.77.rev.sfr.net (77.136.10.217) 0.0%10 > 18.1 18.3 16.1 20.1 1.2 > 7. AS15557 217.10.136.77.rev.sfr.net (77.136.10.217) 0.0%10 > 19.2 18.1 15.6 20.2 1.4 > 8. AS??????100.010 > 0.0 0.0 0.0 0.0 0.0 > [alarig@bsdcore3 ~]$ mtr -bzwe 109.0.66.10 > Start: 2020-03-20T19:56:01+0100 > HOST: bsdcore3.phaleon.org Loss% Snt > Last Avg Best Wrst StDev > 1. AS???192.168.1.10.0%10 > 0.4 0.4 0.3 0.5 0.0 > 2. AS?????? 100.010 > 0.0 0.0 0.0 0.0 0.0 > 3. AS15557 66.56.154.77.rev.sfr.net (77.154.56.66)0.0%10 > 5.2 7.3 1.5 35.4 10.0 > 4. AS15557 46.162.17.93.rev.sfr.net (93.17.162.46)0.0%10 > 17.4 17.8 15.9 19.7 1.4 > 5. AS15557 vip-dns-gp-primary.dns.sfr.net (109.0.66.10) 0.0%10 > 19.7 17.4 15.4 19.7 1.7 > [alarig@bsdcore3 ~]$ dig -t A roucool.int.no.swordarmor.fr @109.0.66.10 > > ; <<>> DiG 9.14.9 <<>> -t A roucool.int.no.swordarmor.fr @109.0.66.10 > ;; global options: +cmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51561 > ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 > > ;; QUESTION SECTION: > ;roucool.int.no.swordarmor.fr. IN A > > ;; ANSWER SECTION: > roucool.int.no.swordarmor.fr. 10800 IN A 10.0.4.0 > > ;; Query time: 114 msec > ;; SERVER: 109.0.66.10#53(109.0.66.10) > ;; WHEN: Fri Mar 20 19:55:52 CET 2020 > ;; MSG SIZE rcvd: 62 > > [alarig@bsdcore3 ~]$ dig -t A rfc1918.futomaki.net @109.0.66.10 > > ; <<>> DiG 9.14.9 <<>> -t A rfc1918.futomaki.net @109.0.66.10 > ;; global options: +cmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22396 > ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 > > ;; QUESTION SECTION: > ;rfc1918.futomaki.net. IN A > > ;; ANSWER SECTION: > rfc1918.futomaki.net. 1800IN A 192.168.0.43 > > ;; Query time: 64 msec > ;; SERVER: 109.0.66.10#53(109.0.66.10) > ;; WHEN: Fri Mar 20 19:57:37 CET 2020 > ;; MSG SIZE rcvd: 54 > > [alarig@bsdcore3 ~]$ > > Et donc au final, c’est même pas SFR qui fait du brin, c’est NC :D > > -- > Alarig > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage DNS chez SFR
On ven. 20 mars 19:50:45 2020, Paul Rolland (ポール・ロラン) wrote: > Hello, > > On Fri, 20 Mar 2020 19:43:17 +0100 > Alarig Le Lay wrote: > > > [alarig@bsdcore3 ~]$ dig -t A roucool.int.no.swordarmor.fr @89.2.0.1 > > > > ; <<>> DiG 9.14.9 <<>> -t A roucool.int.no.swordarmor.fr @89.2.0.1 > > ;; global options: +cmd > > ;; connection timed out; no servers could be reached > > 89.2.0.1 ne repond apparemment que si tu es sur le reseau SFR. > 54 [19:49] r...@riri.def:~> dig -t A www.google.fr @89.2.0.1 > > ; <<>> DiG 9.11.14-RedHat-9.11.14-2.fc31 <<>> -t A www.google.fr @89.2.0.1 > ;; global options: +cmd > ;; connection timed out; no servers could be reached > > Paul La machine est bien sur le réseau de SFR, mais en fait le resolveur en question, c’est celui de numéricâble ! [alarig@bsdcore3 ~]$ mtr -bzwe 89.2.0.1 Start: 2020-03-20T19:53:55+0100 HOST: bsdcore3.phaleon.org Loss% Snt Last Avg Best Wrst StDev 1. AS???192.168.1.1 0.0%100.3 0.4 0.3 0.5 0.1 2. AS??????100.0100.0 0.0 0.0 0.0 0.0 3. AS15557 66.56.154.77.rev.sfr.net (77.154.56.66) 0.0%101.6 4.3 1.6 6.8 1.7 4. AS15557 210.61.6.109.rev.sfr.net (109.6.61.210) 0.0%101.8 3.2 1.8 6.5 1.4 5. AS15557 166.11.128.77.rev.sfr.net (77.128.11.166) 0.0%106.9 6.0 4.4 8.1 1.3 6. AS15557 217.10.136.77.rev.sfr.net (77.136.10.217) 0.0%10 18.1 18.3 16.1 20.1 1.2 7. AS15557 217.10.136.77.rev.sfr.net (77.136.10.217) 0.0%10 19.2 18.1 15.6 20.2 1.4 8. AS??????100.0100.0 0.0 0.0 0.0 0.0 [alarig@bsdcore3 ~]$ mtr -bzwe 109.0.66.10 Start: 2020-03-20T19:56:01+0100 HOST: bsdcore3.phaleon.org Loss% Snt Last Avg Best Wrst StDev 1. AS???192.168.1.10.0%100.4 0.4 0.3 0.5 0.0 2. AS?????? 100.0100.0 0.0 0.0 0.0 0.0 3. AS15557 66.56.154.77.rev.sfr.net (77.154.56.66)0.0%105.2 7.3 1.5 35.4 10.0 4. AS15557 46.162.17.93.rev.sfr.net (93.17.162.46)0.0%10 17.4 17.8 15.9 19.7 1.4 5. AS15557 vip-dns-gp-primary.dns.sfr.net (109.0.66.10) 0.0%10 19.7 17.4 15.4 19.7 1.7 [alarig@bsdcore3 ~]$ dig -t A roucool.int.no.swordarmor.fr @109.0.66.10 ; <<>> DiG 9.14.9 <<>> -t A roucool.int.no.swordarmor.fr @109.0.66.10 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51561 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;roucool.int.no.swordarmor.fr. IN A ;; ANSWER SECTION: roucool.int.no.swordarmor.fr. 10800 IN A 10.0.4.0 ;; Query time: 114 msec ;; SERVER: 109.0.66.10#53(109.0.66.10) ;; WHEN: Fri Mar 20 19:55:52 CET 2020 ;; MSG SIZE rcvd: 62 [alarig@bsdcore3 ~]$ dig -t A rfc1918.futomaki.net @109.0.66.10 ; <<>> DiG 9.14.9 <<>> -t A rfc1918.futomaki.net @109.0.66.10 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22396 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;rfc1918.futomaki.net. IN A ;; ANSWER SECTION: rfc1918.futomaki.net. 1800IN A 192.168.0.43 ;; Query time: 64 msec ;; SERVER: 109.0.66.10#53(109.0.66.10) ;; WHEN: Fri Mar 20 19:57:37 CET 2020 ;; MSG SIZE rcvd: 54 [alarig@bsdcore3 ~]$ Et donc au final, c’est même pas SFR qui fait du brin, c’est NC :D -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage DNS chez SFR
Hello, On Fri, 20 Mar 2020 19:43:17 +0100 Alarig Le Lay wrote: > [alarig@bsdcore3 ~]$ dig -t A roucool.int.no.swordarmor.fr @89.2.0.1 > > ; <<>> DiG 9.14.9 <<>> -t A roucool.int.no.swordarmor.fr @89.2.0.1 > ;; global options: +cmd > ;; connection timed out; no servers could be reached 89.2.0.1 ne repond apparemment que si tu es sur le reseau SFR. 54 [19:49] r...@riri.def:~> dig -t A www.google.fr @89.2.0.1 ; <<>> DiG 9.11.14-RedHat-9.11.14-2.fc31 <<>> -t A www.google.fr @89.2.0.1 ;; global options: +cmd ;; connection timed out; no servers could be reached Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage DNS chez SFR
On 20/03/2020 19:43, Alarig Le Lay wrote: dig -t A roucool.int.no.swordarmor.fr @89.2.0.1 Non cela semble venir de la box. On debug en off et on vous donnera les conclusions quand on aura trouvé. Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage DNS chez SFR
On ven. 20 mars 12:04:19 2020, Raphael Mazelier wrote: > Bonjour David, enchanté. > > Je serais ravi d'échanger avec vous pour déboguer ce sujet. > > Les dns reçu en dhcp sont 89.2.0.1 et 89.2.0.2. Je ne sais pas si le > filtrage se situe au niveau de ces serveurs. > > J'en doute même cf l'exemple : > > Derrière box SFR : > > dig rfc1918.futomaki.net +short > timeout > > dig @9.9.9.9 rfc1918.futomaki.net +short> timeout > > Depuis ailleurs (disons une vm dans le cloud) : > > dig @9.9.9.9 rfc1918.futomaki.net +short > 192.168.0.43 > > Donc my guess c'est que la box intercepte d'une manière ou d'une autre les > requêtes DNS (ALG dns ?). Je pense que ça vient de ton setup DNS : [alarig@bsdcore3 ~]$ dig -t A roucool.int.no.swordarmor.fr @89.2.0.1 ; <<>> DiG 9.14.9 <<>> -t A roucool.int.no.swordarmor.fr @89.2.0.1 ;; global options: +cmd ;; connection timed out; no servers could be reached [alarig@bsdcore3 ~]$ dig -t A roucool.int.no.swordarmor.fr @9.9.9.9 ; <<>> DiG 9.14.9 <<>> -t A roucool.int.no.swordarmor.fr @9.9.9.9 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42233 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;roucool.int.no.swordarmor.fr. IN A ;; ANSWER SECTION: roucool.int.no.swordarmor.fr. 10800 IN A 10.0.4.0 ;; Query time: 116 msec ;; SERVER: 9.9.9.9#53(9.9.9.9) ;; WHEN: Fri Mar 20 19:42:33 CET 2020 ;; MSG SIZE rcvd: 73 -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage DNS chez SFR
On 20/03/2020 12:44, Paul Rolland (ポール・ロラン) wrote: d'une manière ou d'une autre les requêtes DNS (ALG dns ?). Questions cons : - est-ce que 192.168.0.x correspond au "lan local" de ta box ? - si oui, est-ce que tu as le meme comportement avec des adresses RFC1918 qui ne font pas partie de l'adressage de ce LAN local ? Non tu as le même comportement avec 10/8, 172/12 et 192.168/16. Testé et désapprouvé. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage DNS chez SFR
Bonjour, On Fri, 20 Mar 2020 12:04:19 +0100 Raphael Mazelier wrote: > Depuis ailleurs (disons une vm dans le cloud) : > dig @9.9.9.9 rfc1918.futomaki.net +short > 192.168.0.43 > Donc my guess c'est que la box intercepte d'une manière ou d'une autre > les requêtes DNS (ALG dns ?). Questions cons : - est-ce que 192.168.0.x correspond au "lan local" de ta box ? - si oui, est-ce que tu as le meme comportement avec des adresses RFC1918 qui ne font pas partie de l'adressage de ce LAN local ? Ca irait dans le sens d'une interception de la box... comme certaines ont maintenant la possibilite de "nommer" les machines qui sont sur le lan, je suppose que les infamies DNS doivent etre legion... Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage DNS chez SFR
Bonjour David, enchanté. Je serais ravi d'échanger avec vous pour déboguer ce sujet. Les dns reçu en dhcp sont 89.2.0.1 et 89.2.0.2. Je ne sais pas si le filtrage se situe au niveau de ces serveurs. J'en doute même cf l'exemple : Derrière box SFR : dig rfc1918.futomaki.net +short > timeout dig @9.9.9.9 rfc1918.futomaki.net +short> timeout Depuis ailleurs (disons une vm dans le cloud) : dig @9.9.9.9 rfc1918.futomaki.net +short > 192.168.0.43 Donc my guess c'est que la box intercepte d'une manière ou d'une autre les requêtes DNS (ALG dns ?). Cdt, -- Raphael Mazelier On 20/03/2020 11:01, GAVARRET, David wrote: Bonjour Raphael, pourriez-vous préciser les IP des resolvers SFR en question ? Je suis directement en charge de ces plateformes, et je peux vous assurer qu'on ne fait aucune bidouille dans le filtrage des réponses en dehors de nos obligations règlementaires. D'autre part, il n'y a aucun filtrage de trafic à destination de resolveurs tiers. Je vois mal comment nous pourrions en interdire l'usage ne serait-ce qu'à nos clients B2B/Transit IP. A disposition pour investiguer sur ce sujet. Cordialement, -- David Gavarret --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Filtrage DNS chez SFR
Bonjour Raphael, pourriez-vous préciser les IP des resolvers SFR en question ? Je suis directement en charge de ces plateformes, et je peux vous assurer qu'on ne fait aucune bidouille dans le filtrage des réponses en dehors de nos obligations règlementaires. D'autre part, il n'y a aucun filtrage de trafic à destination de resolveurs tiers. Je vois mal comment nous pourrions en interdire l'usage ne serait-ce qu'à nos clients B2B/Transit IP. A disposition pour investiguer sur ce sujet. Cordialement, -- David Gavarret -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Raphael Mazelier Envoyé : vendredi 20 mars 2020 10:38 À : frnog@frnog.org Objet : [FRnOG] [TECH] Filtrage DNS chez SFR Hello, c'est vendredi alors je me permets. Depuis cette semaine nous sommes tous en wfh et nous avons noté un comportement assez laid de la part de SFR. Comme beaucoup nous avons des zones dns publiques qui pointent sur des enregistrements rfc1918. Les résolveurs SFR filtrent ces réponses, soit. En revanche ce qui est inédit c'est que lorsqu'on set le resolveur de cloudflare, ou google, voir faire un dig @1.1.1.1 iprfc1918.pipo.net, cela timeout. C'est donc filtré à un endroit et ça c'est très laid, car cela veut sans doute dire qu'avec SFR on ne peut pas simplement changer de serveur dns, ou du moins être sur que c'est le serveur pointé qui te réponds. Ceci dit un dig @9.9.9.9 isitblocked.org renvoie bien un nxdomain, donc cela ne semble filtrait que les rfc1918. Qu'est ce que cela vous inspire ? C'est vendredi matin j'ai peut être raté quelque chose. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Filtrage DNS chez SFR
Hello, c'est vendredi alors je me permets. Depuis cette semaine nous sommes tous en wfh et nous avons noté un comportement assez laid de la part de SFR. Comme beaucoup nous avons des zones dns publiques qui pointent sur des enregistrements rfc1918. Les résolveurs SFR filtrent ces réponses, soit. En revanche ce qui est inédit c'est que lorsqu'on set le resolveur de cloudflare, ou google, voir faire un dig @1.1.1.1 iprfc1918.pipo.net, cela timeout. C'est donc filtré à un endroit et ça c'est très laid, car cela veut sans doute dire qu'avec SFR on ne peut pas simplement changer de serveur dns, ou du moins être sur que c'est le serveur pointé qui te réponds. Ceci dit un dig @9.9.9.9 isitblocked.org renvoie bien un nxdomain, donc cela ne semble filtrait que les rfc1918. Qu'est ce que cela vous inspire ? C'est vendredi matin j'ai peut être raté quelque chose. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/