[FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
On Fri, Jan 14, 2022 at 10:21:01AM +0100, Thierry Chich wrote a message of 39 lines which said: > Alors que les services DoH, en gros, 98% des utilisateurs vont > choisir parmi les quelques opérateurs proposés par le > navigateur. Dans le cas de firefox, en gros, couldfare. Mais DoH n'est pas forcément dans le navigateur (Windows 11 le met dans l'OS) et DoT n'est pas forcément dans le système d'exploitation. Il ne faut pas confondre un protocole, et la façon dont il est déployé. Mais, oui, c'est un argument pour avoir beaucoup de résolveurs DoT et DoH, pour éviter la concentration. PS : cela ne s'applique évidemment pas qu'au DNS, c'est pareil pour le courrier électronique, l'hébergement, la publication de vidéos (vive PeerTube !), la distribution de fichiers (vive BitTorrent !), etc. Vous l'avez compris, ce post-scriptum est là car j'ai déjà vu des organisations (au hasard, Comcast et British Telecom) se plaindre de la « centralisation » encouragée par la façon dont DoH est déployé, alors que ces mêmes organisations ont tout fait pour casser le pair-à-pair. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
Ben cette idée vient probablement du fait qu'on peut distribuer les IP des serveurs DNS par DHCP, et donc que c'est fait en beaucoup beaucoup d'endroit de rediriger sur un forwarder local. Alors que les services DoH, en gros, 98% des utilisateurs vont choisir parmi les quelques opérateurs proposés par le navigateur. Dans le cas de firefox, en gros, couldfare. Dans les faits, je ne vois pas comment ça n'aurait pas un effet centralisateur. Thierry -Message d'origine- De : frnog-requ...@frnog.org De la part de 'Stephane Bortzmeyer' Envoyé : jeudi 13 janvier 2022 15:21 À : Thierry Chich Cc : 'Stephane Bortzmeyer' ; 'Pierre-Yves Kerembellec' ; dwet...@atanar.com; frnog-t...@frnog.org Objet : [FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet On Thu, Jan 13, 2022 at 03:14:12PM +0100, Thierry Chich wrote a message of 30 lines which said: > Dans DoU ou DoT, il y a beaucoup de résolveurs récursifs > intermédiaires. Pour DoH, c'est quand même bien plus centralisé par > nature, non ? Non, et je me demande vraiment d'où vient cette idée. (Dans les trois cas, on peut avoir 0, 1 ou N résolveurs intermédiaires.) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
On Thu, Jan 13, 2022 at 03:14:12PM +0100, Thierry Chich wrote a message of 30 lines which said: > Dans DoU ou DoT, il y a beaucoup de résolveurs récursifs > intermédiaires. Pour DoH, c'est quand même bien plus centralisé par > nature, non ? Non, et je me demande vraiment d'où vient cette idée. (Dans les trois cas, on peut avoir 0, 1 ou N résolveurs intermédiaires.) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
Dans DoU ou DoT, il y a beaucoup de résolveurs récursifs intermédiaires. Pour
DoH, c'est quand même bien plus centralisé par nature, non ?
Thierry
-Message d'origine-
De : frnog-requ...@frnog.org De la part de Stephane
Bortzmeyer
Envoyé : jeudi 13 janvier 2022 14:46
À : Pierre-Yves Kerembellec
Cc : dwet...@atanar.com; Stephane Bortzmeyer ;
frnog-t...@frnog.org
Objet : [FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
On Thu, Jan 13, 2022 at 02:37:23PM +0100, Pierre-Yves Kerembellec
wrote a message of 99 lines which said:
> Dans le cas de DoH, le client qui se connecte directement au resolver
> ("over HTTPS"), le resolver « voit » donc directement l’IP réelle du
> client et peut faire du geo si besoin.
Rien de spécifique à DoH, dans toute communication IP, c'est pareil.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
[FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
On Thu, Jan 13, 2022 at 02:55:10PM +0100, Damien Wetzel wrote a message of 52 lines which said: > Les CDNs ou autres DNS intelligents routent selon l'IP du resolveur, > il faut que cette IP soit proche du client réel sinon le routage est > fantaisiste. Je ne dis pas le contraire (si on utilise des CDN) mais je demande quel rapport avec DoH (les résolveurs publics ne sont pas apparus avec DoH !) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
Stephane Bortzmeyer writes:
> On Thu, Jan 13, 2022 at 02:35:24PM +0100,
> Damien Wetzel wrote
> a message of 40 lines which said:
>
> > du coup ca doit etre extrement gourmand en memoire est ce pour cela
> > que peu de resolveurs operateur le gèrent ?
>
> Ou peut-être simplement parce qu'ils respectent la vie privée (qu'ECS
> menace sérieusement) ?
C'est plutot les DNS ouverts qui sont une menace pour la vie privée car ils
recoivent les adresses ips du enduser et en grosse quantité vs les serveurs DNS
authorité
>
> > > > est ce que cette option obligatoire avec l'arrivée du DoH
> > >
> > > Pardon ? Non, pas du tout, DoH n'a jamais imposé ECS.
> >
> > Si le resolveur au bout du DoH ne le gère pas alors les sites
> > sous CDN diregeront de manière fantaisiste le enduser et il me
> > faudra changer de metier ;)
>
> Je ne comprends toujours pas le rapport avec DoH. En quoi est-ce
> différent avec DoT ou avec n'importe quel résolveur public qu'on
> accède en UDP comme ça se fait depuis douze ans (mise en service de
> Google Public DNS, mais d'autres résolveurs publics existaient
> avant) ?
Les CDNs ou autres DNS intelligents routent selon l'IP du resolveur,
il faut que cette IP soit proche du client réel sinon le routage est
fantaisiste.
>
>
>
--
~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com . . `; -._)-;-,_`)
(v_,)' _ )`-.\ ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time - ((,.-' ((,/
~
---
Liste de diffusion du FRnOG
http://www.frnog.org/
[FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
On Thu, Jan 13, 2022 at 02:37:23PM +0100,
Pierre-Yves Kerembellec wrote
a message of 99 lines which said:
> Dans le cas de DoH, le client qui se connecte directement au
> resolver ("over HTTPS"), le resolver « voit » donc directement l’IP
> réelle du client et peut faire du geo si besoin.
Rien de spécifique à DoH, dans toute communication IP, c'est pareil.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
[FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
On Thu, Jan 13, 2022 at 02:35:24PM +0100, Damien Wetzel wrote a message of 40 lines which said: > du coup ca doit etre extrement gourmand en memoire est ce pour cela > que peu de resolveurs operateur le gèrent ? Ou peut-être simplement parce qu'ils respectent la vie privée (qu'ECS menace sérieusement) ? > > > est ce que cette option obligatoire avec l'arrivée du DoH > > > > Pardon ? Non, pas du tout, DoH n'a jamais imposé ECS. > > Si le resolveur au bout du DoH ne le gère pas alors les sites > sous CDN diregeront de manière fantaisiste le enduser et il me > faudra changer de metier ;) Je ne comprends toujours pas le rapport avec DoH. En quoi est-ce différent avec DoT ou avec n'importe quel résolveur public qu'on accède en UDP comme ça se fait depuis douze ans (mise en service de Google Public DNS, mais d'autres résolveurs publics existaient avant) ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
Stephane Bortzmeyer writes:
> On Thu, Jan 13, 2022 at 12:22:47PM +0100,
> Damien Wetzel wrote
> a message of 23 lines which said:
>
> > Mettent ils en dans la clé de cache l'adresse ip du client ?
>
> C'est obligatoire, sinon ça ne marcherait pas. RFC 7871, section 7.3
> ("Cache lookups are first done as usual for a DNS query, using the
> query tuple of . Then, the appropriate RRset MUST
> be chosen based on the longest prefix matching.")
Merci pour l'info, mais du coup ca doit etre extrement gourmand en memoire
est ce pour cela que peu de resolveurs operateur le gèrent ?
>
> > est ce que cette option obligatoire avec l'arrivée du DoH
>
> Pardon ? Non, pas du tout, DoH n'a jamais imposé ECS.
Si le resolveur au bout du DoH ne le gère pas alors les sites
sous CDN diregeront de manière fantaisiste le enduser et il me faudra changer
de metier ;)
>
--
~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com . . `; -._)-;-,_`)
(v_,)' _ )`-.\ ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time - ((,.-' ((,/
~
---
Liste de diffusion du FRnOG
http://www.frnog.org/
[FRnOG] Re: [TECH] question sur les DNS publics et edns client subnet
On Thu, Jan 13, 2022 at 12:22:47PM +0100,
Damien Wetzel wrote
a message of 23 lines which said:
> Mettent ils en dans la clé de cache l'adresse ip du client ?
C'est obligatoire, sinon ça ne marcherait pas. RFC 7871, section 7.3
("Cache lookups are first done as usual for a DNS query, using the
query tuple of . Then, the appropriate RRset MUST
be chosen based on the longest prefix matching.")
> est ce que cette option obligatoire avec l'arrivée du DoH
Pardon ? Non, pas du tout, DoH n'a jamais imposé ECS.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
