date:20221024

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

2022-10-24 Par sujet David Ponzone

> Le 24 oct. 2022 à 21:19, Florent Rivoire  a écrit :
> 
> 
> On Mon, Oct 24, 2022 at 5:58 PM David Ponzone  wrote:
>> 
>> A mon avis, si virer la LB n’est pas possible, il vaut mieux mettre un petit 
>> routeur (genre MK à 20/30€) sur le LAN pour fair serveur DHCP, qui donnera 
>> les DNS et la gateway que tu veux.
> 
> Yep tout à fait d'accord techniquement, je vois bien comment corriger
> de mon côté (même s'il y a quand même plusieurs inconvénients:
> maintenance, double-nat, perte d'ipv6, waf, etc.).
> Mon email était vraiment ciblé sur le problème DNS, pour le
> comprendre, et corriger la root-cause.
> 

Ah non non.
J’ai pas dit de mettre le MK en routeur derrière la LB.
Juste en serveur DHCP: il fournit aux clients une IP avec l’IP de la LB comme 
gw par défaut et les DNS que tu veux (donc pa ceux d’Orange).
Evidemment, il faut couper le serveur DHCP de la LB4.
Si ça aussi c’est pas possible, faut mettre un switch qui sait faire du DHCP 
snooping par port pour bloquer les réponses DHCP qui viennent de la LB4.

Maintenance ? Eu tu as une idée du temps que tu viens de perdre parce que 
Orange arrive pas à avoir des resolvers qui marchent aussi bien sans incidents 
que Quad1 ou Quad9 ou Quad8 ?

Mais le mieux du mieux, c’est de virer la LB4.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Debug resolution DNS (orange vs mpsa.com)

2022-10-24 Par sujet Florent Rivoire

On Mon, Oct 24, 2022 at 6:13 PM Stephane Bortzmeyer  wrote:
> Étant donné que ni Zonemaster, ni DNSviz ne voient de problème avec
> les zones mpsa.com et vpn.mpsa.com, que toutes les sondes Atlas, sauf
> une partie de celles qui sont chez Orange, peuvent résoudre le nom
> eu-ouest-vpn.mpsa.com, j'ai tendance à penser que les résolveurs
> d'Orange déconnent.
>
> % blaeu-resolve -r 100 --as 3215 --type A eu-ouest-vpn.mpsa.com
> [194.250.98.235] : 41 occurrences
> [194.104.188.240] : 38 occurrences
> [ERROR: SERVFAIL] : 15 occurrences
> Test #46240159 done at 2022-10-24T16:06:35Z

Merci pour vos différents tests, notamment Stéphane pour le test avec
les sondes Atlas (auxquels je n'ai pas accès, mais je vais essayer de
m'y mettre d'ailleurs), c'est forcément plus exhaustif que mes
quelques tests manuels :)

J'espère que quelqu'un d'Orange a vu / verra notre thread d'emails ici
et pourra intervenir sur le problème.

 Ici, la situation semble s'améliorer:
- résolution avec la livebox: ok (après un timeout quand même)
- résolution avec les serveurs orange: un ok, l'autre ko, mais l'inverse de Paul


On Mon, Oct 24, 2022 at 5:58 PM David Ponzone  wrote:
>
> A mon avis, si virer la LB n’est pas possible, il vaut mieux mettre un petit 
> routeur (genre MK à 20/30€) sur le LAN pour fair serveur DHCP, qui donnera 
> les DNS et la gateway que tu veux.

Yep tout à fait d'accord techniquement, je vois bien comment corriger
de mon côté (même s'il y a quand même plusieurs inconvénients:
maintenance, double-nat, perte d'ipv6, waf, etc.).
Mon email était vraiment ciblé sur le problème DNS, pour le
comprendre, et corriger la root-cause.

Bonne soirée !

-- 
Florent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Debug resolution DNS (orange vs mpsa.com)

2022-10-24 Par sujet Stephane Bortzmeyer

On Mon, Oct 24, 2022 at 05:40:19PM +0200,
 Florent Rivoire  wrote 
 a message of 167 lines which said:

> J'aimerai des conseils sur le debug d'un soucis DNS:
> => soucis observé uniquement sur ce domaine *et* avec les résolveurs Orange
> => toutes les autres combinaisons testées fonctionnent normalement (autres
> domaines sur Orange, ou ce domaine sur autres résolveurs)

Étant donné que ni Zonemaster, ni DNSviz ne voient de problème avec
les zones mpsa.com et vpn.mpsa.com, que toutes les sondes Atlas, sauf
une partie de celles qui sont chez Orange, peuvent résoudre le nom
eu-ouest-vpn.mpsa.com, j'ai tendance à penser que les résolveurs
d'Orange déconnent.

% blaeu-resolve -r 100 --as 3215 --type A eu-ouest-vpn.mpsa.com
[194.250.98.235] : 41 occurrences 
[194.104.188.240] : 38 occurrences 
[ERROR: SERVFAIL] : 15 occurrences 
Test #46240159 done at 2022-10-24T16:06:35Z

Seule chose que mpsa.com pourrait améliorer, ne pas mettre tous les
serveurs faisant autorité dans le même AS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

2022-10-24 Par sujet David Ponzone

Depuis une carte SIM Orange:

root@Teltonika-RUT240:~# nslookup eu-ouest-vpn.mpsa.com 81.253.149.6
Server:81.253.149.6
Address 1: 81.253.149.6

Name:  eu-ouest-vpn.mpsa.com
Address 1: 194.250.98.235

-> mais la réponse prend 3/4 secondes)

root@Teltonika-RUT240:~# nslookup eu-ouest-vpn.mpsa.com  80.10.246.136
Server:80.10.246.136
Address 1: 80.10.246.136 dns-rtc-gpe1-b.wanadoo.fr

Name:  eu-ouest-vpn.mpsa.com
Address 1: 194.250.98.235

-> réponse normale

Y a encore un truc moisi sur les DNS d’Orange, c’est récurrent.


A mon avis, si virer la LB n’est pas possible, il vaut mieux mettre un petit 
routeur (genre MK à 20/30€) sur le LAN pour fair serveur DHCP, qui donnera les 
DNS et la gateway que tu veux.


> Le 24 oct. 2022 à 17:40, Florent Rivoire  a écrit :
> 
> Bonjour,
> 
> J'aimerai des conseils sur le debug d'un soucis DNS:
> => soucis observé uniquement sur ce domaine *et* avec les résolveurs Orange
> => toutes les autres combinaisons testées fonctionnent normalement (autres
> domaines sur Orange, ou ce domaine sur autres résolveurs)
> 
> NB: le contexte: une connexion FTTH grand-public Orange, une Livebox 4,
> tous les tests ci-dessous depuis la même machine: un macOs
> 
> 
> 
> # Resolveur par défaut: la livebox
> 
> $ dig eu-ouest-vpn.mpsa.com
> ;; communications error to 192.168.1.1#53: timed out
> ;; communications error to 192.168.1.1#53: timed out
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39864
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ; COOKIE: 75cff3507bae17a001006356ab569cea0b2741c6a9d7 (good)
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; Query time: 4 msec
> ;; SERVER: 192.168.1.1#53(192.168.1.1) (UDP)
> ;; WHEN: Mon Oct 24 17:12:53 CEST 2022
> ;; MSG SIZE  rcvd: 78
> 
> 
> 
> # Resolveurs d'Orange (les deux mentionnés dans la Livebox)
> 
> $ dig eu-ouest-vpn.mpsa.com  @81.253.149.6
> ;; communications error to 81.253.149.6#53: timed out
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @81.253.149.6
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 61578
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ; COOKIE: 631365c01f525d1e01006356ab60ddd2c927addc43f5 (good)
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; Query time: 3033 msec
> ;; SERVER: 81.253.149.6#53(81.253.149.6) (UDP)
> ;; WHEN: Mon Oct 24 17:13:03 CEST 2022
> ;; MSG SIZE  rcvd: 78
> 
> 
> $ dig eu-ouest-vpn.mpsa.com  @80.10.246.136
> ;; communications error to 80.10.246.136#53: timed out
> ;; communications error to 80.10.246.136#53: timed out
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @80.10.246.136
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 60901
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ; COOKIE: 3943a48e9b1ccacc01006356aba3d218fafa2c612255 (good)
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; Query time: 4 msec
> ;; SERVER: 80.10.246.136#53(80.10.246.136) (UDP)
> ;; WHEN: Mon Oct 24 17:13:45 CEST 2022
> ;; MSG SIZE  rcvd: 78
> 
> 
> 
> # Resolveurs publics connus:
> 
> $ dig eu-ouest-vpn.mpsa.com  @1.1.1.1
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @1.1.1.1
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64391
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; ANSWER SECTION:
> eu-ouest-vpn.mpsa.com. 85616 IN CNAME eu-ouest.vpn.mpsa.com.
> eu-ouest.vpn.mpsa.com. 600 IN A 194.104.188.240
> 
> ;; Query time: 7 msec
> ;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
> ;; WHEN: Mon Oct 24 17:13:49 CEST 2022
> ;; MSG SIZE  rcvd: 93
> 
> 
> $ dig eu-ouest-vpn.mpsa.com  @9.9.9.9
> 
> ; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @9.9.9.9
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25843
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1232
> ;; QUESTION SECTION:
> ;eu-ouest-vpn.mpsa.com. IN A
> 
> ;; ANSWER SECTION:
> eu-ouest-vpn.mpsa.com. 43200 IN CNAME eu-ouest.vpn.mpsa.com.
> eu-ouest.vpn.mpsa.com. 600 IN A 194.250.98.235
> 
> ;; Query time: 36 msec
> ;; SERVER: 9.9.9.9#53(9.9.9.9) (UDP)
> ;; WHEN: Mon Oct 24 17:13:57 CEST 2022
> ;; MSG SIZE  rcvd: 93
> 
> 
> Mon analyse:
> - la livebox semble hors de cause, puisque ses résolveurs "parents" ne
> répondent pas non plus à cette requête
> - les résolveurs Orange ne sont pas KO

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

2022-10-24 Par sujet Paul Rolland (ポール・ロラン)

Hello,

On Mon, 24 Oct 2022 17:40:19 +0200
Florent Rivoire  wrote:

> NB: le contexte: une connexion FTTH grand-public Orange, une Livebox 4,
> tous les tests ci-dessous depuis la même machine: un macOs

Meme condition, mais Linux a la place de MacOS.

> # Resolveur par défaut: la livebox
> 
> $ dig eu-ouest-vpn.mpsa.com

--> ca marche

> # Resolveurs d'Orange (les deux mentionnés dans la Livebox)
> 
> $ dig eu-ouest-vpn.mpsa.com  @81.253.149.6

--> ca marche

> $ dig eu-ouest-vpn.mpsa.com  @80.10.246.136

ca marche pas.

Ta LB a peut-etre interroge le "ca marche pas", a retenu que "ca marche
pas", et te sert le "ca marche pas", mais ca n'explique pas que le "ca
marche" ne marche pas pour toi...

Les 'ca marche' me repondent :
;; ANSWER SECTION:
eu-ouest-vpn.mpsa.com.  47646   IN  CNAME   eu-ouest.vpn.mpsa.com.
eu-ouest.vpn.mpsa.com.  366 IN  A   194.250.98.235

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

2022-10-24 Par sujet Florent Rivoire

Bonjour,

J'aimerai des conseils sur le debug d'un soucis DNS:
=> soucis observé uniquement sur ce domaine *et* avec les résolveurs Orange
=> toutes les autres combinaisons testées fonctionnent normalement (autres
domaines sur Orange, ou ce domaine sur autres résolveurs)

NB: le contexte: une connexion FTTH grand-public Orange, une Livebox 4,
tous les tests ci-dessous depuis la même machine: un macOs



# Resolveur par défaut: la livebox

$ dig eu-ouest-vpn.mpsa.com
;; communications error to 192.168.1.1#53: timed out
;; communications error to 192.168.1.1#53: timed out

; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39864
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 75cff3507bae17a001006356ab569cea0b2741c6a9d7 (good)
;; QUESTION SECTION:
;eu-ouest-vpn.mpsa.com. IN A

;; Query time: 4 msec
;; SERVER: 192.168.1.1#53(192.168.1.1) (UDP)
;; WHEN: Mon Oct 24 17:12:53 CEST 2022
;; MSG SIZE  rcvd: 78



# Resolveurs d'Orange (les deux mentionnés dans la Livebox)

$ dig eu-ouest-vpn.mpsa.com  @81.253.149.6
;; communications error to 81.253.149.6#53: timed out

; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @81.253.149.6
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 61578
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 631365c01f525d1e01006356ab60ddd2c927addc43f5 (good)
;; QUESTION SECTION:
;eu-ouest-vpn.mpsa.com. IN A

;; Query time: 3033 msec
;; SERVER: 81.253.149.6#53(81.253.149.6) (UDP)
;; WHEN: Mon Oct 24 17:13:03 CEST 2022
;; MSG SIZE  rcvd: 78


$ dig eu-ouest-vpn.mpsa.com  @80.10.246.136
;; communications error to 80.10.246.136#53: timed out
;; communications error to 80.10.246.136#53: timed out

; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @80.10.246.136
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 60901
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 3943a48e9b1ccacc01006356aba3d218fafa2c612255 (good)
;; QUESTION SECTION:
;eu-ouest-vpn.mpsa.com. IN A

;; Query time: 4 msec
;; SERVER: 80.10.246.136#53(80.10.246.136) (UDP)
;; WHEN: Mon Oct 24 17:13:45 CEST 2022
;; MSG SIZE  rcvd: 78



# Resolveurs publics connus:

$ dig eu-ouest-vpn.mpsa.com  @1.1.1.1

; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64391
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;eu-ouest-vpn.mpsa.com. IN A

;; ANSWER SECTION:
eu-ouest-vpn.mpsa.com. 85616 IN CNAME eu-ouest.vpn.mpsa.com.
eu-ouest.vpn.mpsa.com. 600 IN A 194.104.188.240

;; Query time: 7 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
;; WHEN: Mon Oct 24 17:13:49 CEST 2022
;; MSG SIZE  rcvd: 93


$ dig eu-ouest-vpn.mpsa.com  @9.9.9.9

; <<>> DiG 9.18.8 <<>> eu-ouest-vpn.mpsa.com @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25843
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;eu-ouest-vpn.mpsa.com. IN A

;; ANSWER SECTION:
eu-ouest-vpn.mpsa.com. 43200 IN CNAME eu-ouest.vpn.mpsa.com.
eu-ouest.vpn.mpsa.com. 600 IN A 194.250.98.235

;; Query time: 36 msec
;; SERVER: 9.9.9.9#53(9.9.9.9) (UDP)
;; WHEN: Mon Oct 24 17:13:57 CEST 2022
;; MSG SIZE  rcvd: 93


Mon analyse:
- la livebox semble hors de cause, puisque ses résolveurs "parents" ne
répondent pas non plus à cette requête
- les résolveurs Orange ne sont pas KO globalement (cf d'autres queries qui
fonctionnent)
- les serveurs faisant autorité semblent au moins partiellement
fonctionnels, cf: les résolutions fonctionnelles avec CloudFlare/Quad9, et
les tests zonemaster qui ne montrent rien de choquant selon moi (
https://zonemaster.net/result/5a42c23c3ea38832 &
https://zonemaster.net/result/6e5781fce5d483b0)

NB: pour l'anecdote, j'ai déjà demandé au support Orange (notamment le
workaround de changer de résolveur sur la Livebox), mais il ne répondent
évidemment pas
cf: https://twitter.com/florent_rivoire/status/1584523328009605120


Donc, j'aimerai vos conseils pour trouver le "coupable" (histoire de savoir
qui prévenir) :
=> résolveurs récursifs Orange ou serveurs faisant autorité de mpsa.com ?

Merci :)

-- 
Florent

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

[FRnOG] Re: [TECH] Debug resolution DNS (orange vs mpsa.com)

[FRnOG] Re: [TECH] Debug resolution DNS (orange vs mpsa.com)

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

Re: [FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

[FRnOG] [TECH] Debug resolution DNS (orange vs mpsa.com)

6 matches

Site Navigation

Mail list logo

Footer information