[FRnOG] Re: [ALERT] Soucis DNS teams zoom ?

[Stephane Bortzmeyer]

On Tue, Feb 02, 2021 at 10:35:37AM +0100,
 Stephane Bortzmeyer  wrote 
 a message of 14 lines which said:

> J'ai oublié de préciser qu'il y avait un long fil de discussion à ce
> sujet sur la liste dns-fr (ce n'est pas uniquement toi qui a des
> soucis).

Également détecté par Nagios 2.0 à savoir Twitter.

https://twitter.com/spiwit/status/1356535108044546048
https://twitter.com/slater0013/status/1356532436558045184
https://twitter.com/PhTruillet/status/1356527213278097409


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Soucis DNS teams zoom ?

[Stephane Bortzmeyer]

On Tue, Feb 02, 2021 at 10:34:21AM +0100,
 Stephane Bortzmeyer  wrote 
 a message of 21 lines which said:

> Bref, mauvaises pratiques de ces services.

J'ai oublié de préciser qu'il y avait un long fil de discussion à ce
sujet sur la liste dns-fr (ce n'est pas uniquement toi qui a des
soucis).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Soucis DNS teams zoom ?

[Stephane Bortzmeyer]

On Tue, Feb 02, 2021 at 09:52:38AM +0100,
 Laurent GUERBY  wrote 
 a message of 26 lines which said:

> Depuis renater et quelques autres fournisseurs zoom.us et
> teams.microsoft.com ne repondent plus en DNS.

Il faut utiliser du logiciel libre auto-hébergé, par exemple
BigBlueButton.

> Une idee de ce qu'il se passe ? 

zoom.us est sur AWS Route53 et on peut voir que les adresses IP sont
très proches. Donc, un souci de routage avec l'AS 16509 peut planter
la totalité des serveurs faisant autorité.

C'est encore pire pour s-msedge.net (destination des alias comme
teams.microsoft.com) : seulement deux serveurs, dans le même /24, pas
d'IPv6.

Bref, mauvaises pratiques de ces services.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] 1.1.1.1 sur France-IX

[Stephane Bortzmeyer]

On Wed, Jan 13, 2021 at 05:14:49PM +0100,
 Raphael Mazelier  wrote 
 a message of 18 lines which said:

> Je ne sais pas mais chez moi (cnx orange) 1.1.1.1 était pétave aussi.

Il doit s'agir de deux choses différentes. L'absence sur les serveurs
de route ne signifie pas injoignabilité (le transit est là) et
certaines Livebox ont un microcode qui fait des choses pas belles avec
1.1.1.1.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Règles de Nommage des zones DNS privées

[Stephane Bortzmeyer]

On Thu, Jan 07, 2021 at 04:21:29PM +0100,
 Jean-Yves LENHOF  wrote 
 a message of 72 lines which said:

> Autre point à checker, y-a-t-il des limitations aux champs pour saisir les
> adresses DNS J'ai un domaine en 3 parties lenhof.eu.org, pendant qq
> temps certains sites trop pointilleux sur les vérifications d'adresses email
> n'acceptaient que les champs en 2 parties,

De tels sites sont clairement totalement bogués. À fuir. (Outre les
departement.entreprise.example, il y a les TLD qui ne délèguent qu'au
troisième niveau comme .jp.) 
https://www.24joursdeweb.fr/2020/concevoir-des-formulaires-inclusifs/

Mais, de toute façon, on parlait ici de noms internes, donc les sites
Web extérieurs écrits par un amateur avec les pieds, ce n'est pas
grave.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Règles de Nommage des zones DNS privées

[Stephane Bortzmeyer]

On Thu, Jan 07, 2021 at 05:25:10PM +0100,
 Christophe Lohr  wrote 
 a message of 79 lines which said:

>Le working-group Homnet à mis plus de deux ans pour trouver un
>consensus pour .home.arpa.
>(rfc8375)
>qui veut tenter le coup pour un  .myorganization.arpa. ?

Je ne pense pas que cela soit comparable.

1) En cas de fusion/acquisition, bonjour la fusion des deux
myorganization.arpa.

2) Les foyers sont plus petits que les entreprises, donc le bordel
reste gérable.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6

[Stephane Bortzmeyer]

On Fri, Jan 08, 2021 at 11:29:49AM +,
 BRUYELLES ALEXANDRE  wrote 
 a message of 69 lines which said:

> Il y a des décennies, on pensait comme ça
> Après tout, il suffit d'avoir une liste des gens qu'on connait et puis basta

Ah oui, je me souviens d'une discussion avec le DSI d'une grosse boîte
dans les années 90. Je lui expliquait les beautés d'Internet, qu'on
pouvait se connecter au monde entier et il me répondait qu'on n'avait
pas besoin de se connecter au monde entier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6

[Stephane Bortzmeyer]

On Fri, Jan 08, 2021 at 10:36:27AM +,
 Philippe Bourcier  wrote 
 a message of 23 lines which said:

> Alors en fait, ne laisser passer que quelques sites (whitelist),
> c'est ce que font un grand nombre de banques, d'organismes et
> services publiques et de boîtes du CAC40... c'est loin d'être rare.

Cela présente des avantages : ça rend la DSI incontournable (pas le
droit de se fâcher avec eux, si on veut qu'ils acceptent d'ouvrir vers
le site dont on a besoin), ça rend les utilisateurs autonomes (ils
prennent l'habitude de tout faire avec Gmail et un abonnement Orange,
sans passer par l'infra de la boite), etc.

Ça me rappelle l'époque où la secrétaire d'État au numérique racontait
publiquement comment elle avait contourné le pare-feu de Matignon (où
était installé son secrétariat d'État) car un RSSI fasciste avait
trouvé que c'était une bonne idée de bloquer YouTube.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Panne au CA

['Stephane Bortzmeyer']

On Fri, Jan 08, 2021 at 10:47:15AM +0100,
 x.r...@sipleo.com  wrote 
 a message of 49 lines which said:

> Oui vu aussi juste après. Pour nous c'est surtout de la curiosité technique.

Voici de quoi la satisfaire :

https://www.lemagit.fr/actualites/252491819/Le-Credit-Agricole-refroidira-ses-serveurs-dans-des-bains-dhuile


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Panne au CA

[Stephane Bortzmeyer]

On Fri, Jan 08, 2021 at 09:39:47AM +0100,
 x.r...@sipleo.com  wrote 
 a message of 31 lines which said:

> Et sur Downdetector https://downdetector.fr/statut/credit-agricole/
> 
> Ça monte 
> 
> Qui aurait des informations ?

L'outil de supervision des Vrais Pros, à savoir Twitter, indique en
effet qu'il y a un problème :

https://twitter.com/KUHMFR/status/1347473253397389312
https://twitter.com/papyli1/status/1347472885691117569
https://twitter.com/FrederiquedeK/status/1347469209614376960

Réponse du CM (au milieu de plein d'autres réponses WTF comme de demander
des infos en DM) :

https://twitter.com/CALanguedoc/status/1347472138547163136


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6

[Stephane Bortzmeyer]

On Wed, Jan 06, 2021 at 08:58:01AM +0100,
 Vincent Bernat  wrote 
 a message of 19 lines which said:

> il était attendu (à ma connaissance) que les OS ne feraient du
> DHCPv6 que s'ils recevaient un RA qui disait de faire du DHCP |...]
> Pourquoi Windows fait-il du DHCPv6 sans avoir de RA qui lui dit d'en
> faire ?

Je ne crois pas qu'une telle règle existe. En tout cas, je ne trouve
pas de référence.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6

[Stephane Bortzmeyer]

On Wed, Jan 06, 2021 at 08:11:36AM +0100,
 David Ponzone  wrote 
 a message of 26 lines which said:

> Tu peux pas filtrer IPv6 en ingress sur tes switch ?

Si on sait faire ça, on peut aussi bien faire du RA-guard.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6

[Stephane Bortzmeyer]

On Wed, Jan 06, 2021 at 04:57:54AM +,
 Michel Py  wrote 
 a message of 117 lines which said:

> Toto aime bien écrire, mais il enfonce un peu des portes ouvertes;

Oui, la plupart des rapports d'audit, c'est une ou deux découvertes
utiles, délayées par des dizaines de pages de copier/coller de trucs
publics que tout le monde connait déjà (si on peut faire du MITM on
peut intercepter les communications, ah ben ça alors).

> En analysant un peu, ce n'est pas un problème nouveau; RFC7610 et
> DHCPv6-guard, çà n'existe pas pour rien; mais c'est loin d'être
> parfait.

Quand il va découvrir qu'on peut faire exactement la même attaque en
IPv4, Toto va angoisser.

https://www.bortzmeyer.org/7610.html

Ah, et bravo pour le titre « Les entreprises », comme si toutes
étaient pareilles et faisaient pareil. Je vais over-troller en citant
Marine Le Pen : « les français en ont assez d'IPv6 ».


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Bretagne Telecom change de nom

[Stephane Bortzmeyer]

On Mon, Jan 04, 2021 at 04:07:29PM +0100,
 Alain Bieuzent  wrote 
 a message of 40 lines which said:

> Apparemment le mec en charge de migrer la page "jobs" 
> (https://jobs.bt-blue.com/) a bu trop de chouchene (ou pas assez) ...

Et quand on est un mec sympa qui essaie de signaler le problème, via
leur formulaire de contact, on a un message :

Cannot find error page to redirect to. Please use your browser back
button.
Please correct the following errors:~~~ - This field is required~~~

(Et, oui, j'ai rempli tous les champs.)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Bretagne Telecom change de nom

[Stephane Bortzmeyer]

On Mon, Jan 04, 2021 at 03:46:10PM +0100,
 David Ponzone  wrote 
 a message of 27 lines which said:

> -terminer une phrase en anglais par « BLUE is french » …..

Sur Twitter, j'apprends qu'il parait que ce serait une référence au
titre anglais d'un film français, Biti Blue
.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Bretagne Telecom change de nom

[Stephane Bortzmeyer]

On Mon, Jan 04, 2021 at 03:46:10PM +0100,
 David Ponzone  wrote 
 a message of 27 lines which said:

> -terminer une phrase en anglais par « BLUE is french » …..

Ça devrait être en breton, en effet.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Re: [MISC] Bretagne Telecom change de nom

[Stephane Bortzmeyer]

On Mon, Jan 04, 2021 at 03:42:34PM +0100,
 Michel Hostettler  wrote 
 a message of 33 lines which said:

> "En près plus de 15 ans d’existence (création en 2005), il est temps
> pour Bretagne Télécom de tourner la page en devenant BTBLUE et
> passer le cap de la proximité Bretonne à la proximité NATIONALE".
> 
> Ils n'ont pas honte d'écrire n'importe quoi, avec des fautes de
> français.

D'un autre côté « Tout d’abord BLUE c’est la couleur par excellence
qui inspire un sentiment de sérénité, de sécurité et de
fiabilité ». Donc, moi, j'ai confiance et je reprends de la bûche au
chocolat.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Nouvelle version de FlowSpec

[Stephane Bortzmeyer]

On Fri, Jan 01, 2021 at 09:00:54PM +0100,
 Erwan David  wrote 
 a message of 10 lines which said:

> > Je ne sais pas qui ici utilise FlowSpec mais en tout cas la norme
> > vient d'être mise à jour :
> >
> À part Level 3 tu veux dire ?

Ça s'appelle toujours Lumen ou bien ça a encore changé de nom ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Bretagne Telecom change de nom

[Stephane Bortzmeyer]

On Mon, Jan 04, 2021 at 03:25:06PM +0100,
 Stéphane Dubosclard  wrote 
 a message of 17 lines which said:

> Surprise de la rentrée : Bretagne Telecom devient BT-Blue (désolé les
> Bretons)
> https://www.bt-blue.com/actualite/bretagne-telecom-devient-bt-blue

Fake news, ils ne sont même pas en .bzh


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Nouvelle version de FlowSpec

[Stephane Bortzmeyer]

Je ne sais pas qui ici utilise FlowSpec mais en tout cas la norme
vient d'être mise à jour :

RFC 8955: Dissemination of Flow Specification Rules
Résumé en https://www.bortzmeyer.org/8955.html

Et ça marche désormais en IPv6 !

RFC 8956: Dissemination of Flow Specification Rules for IPv6
Résumé en https://www.bortzmeyer.org/8956.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

[Stephane Bortzmeyer]

On Mon, Dec 14, 2020 at 01:38:46PM +0100,
 Stephane Bortzmeyer  wrote 
 a message of 13 lines which said:

> Apparemment, tout est retombé en marche.

https://techcrunch.com/2020/12/14/gmail-youtube-google-docs-and-other-services-go-down-simultaneously-in-multiple-countries/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

[Stephane Bortzmeyer]

On Mon, Dec 14, 2020 at 01:03:46PM +0100,
 Stephane Bortzmeyer  wrote 
 a message of 7 lines which said:

> YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
> services Google en carafe.

Apparemment, tout est retombé en marche.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

[Stephane Bortzmeyer]

On Mon, Dec 14, 2020 at 01:16:19PM +0100,
 Stephane Bortzmeyer  wrote 
 a message of 12 lines which said:

> On Mon, Dec 14, 2020 at 01:07:59PM +0100,
>  Raphael Mazelier  wrote 
>  a message of 15 lines which said:
> 
> > Yes au moins la console GCP, Gsuite, etc..
> 
> Chez certains, Gmail et Gdrive sont aussi arrêtés.

Tout est en rouge :

https://www.google.com/appsstatus#hl=fr=status


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

[Stephane Bortzmeyer]

On Mon, Dec 14, 2020 at 01:23:46PM +0100,
 raph  wrote 
 a message of 40 lines which said:

> En fait il semblerait que ce soit Google auth qui soit hs. Donc tout
> service qui se base dessus est impacté. On est pas loin du chômage
> technique par chez nous :)

Tant que la liste FRnog fonctionne...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

[Stephane Bortzmeyer]

On Mon, Dec 14, 2020 at 01:07:59PM +0100,
 Raphael Mazelier  wrote 
 a message of 15 lines which said:

> Yes au moins la console GCP, Gsuite, etc..

Chez certains, Gmail et Gdrive sont aussi arrêtés.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Qui a cassé Google ?

[Stephane Bortzmeyer]

YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
services Google en carafe.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] TNTSat - geolocalisation IP et sondes Atlas (titre un peu putaclic, c'est 'dredi)

[Stephane Bortzmeyer]

On Fri, Dec 04, 2020 at 03:48:14PM +0100,
 Frederic Dumas  wrote 
 a message of 53 lines which said:

> https://stat.ripe.net/51.158.0.0%2F15#tabId=routing
> 
> Malheureusement, son historique par les sondes Atlas ne remonte pas au-delà
> de 2018.

Puisqu'on est vendredi, on peut critiquer ?

Les données en  ne viennent pas des sondes
Atlas mais du RIS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Souci chez Orange ? (DNS ?)

[Stephane Bortzmeyer]

Personnellement, je ne vois pas de problème en utilisant les sondes
Atlas. Les résolveurs DNS d'Orange semblent marcher. Mais :

https://www.numerama.com/tech/208908-comment-changer-ses-dns-ubuntu-macos-windows.html
https://twitter.com/florentderue/status/1332336527557451777


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] FREE et/ou Internet saturé

[Stephane Bortzmeyer]

On Tue, Nov 17, 2020 at 10:28:59AM +0100,
 Daniel via frnog  wrote 
 a message of 19 lines which said:

> depuis hier fin d'après midi je remarque des lenteurs sur Internet et qu'en
> particulier FREE est injoignable depuis certains opérateurs (SFR, Orange,
> Hetzner DE, ...).

Et paf RIPE Atlas déconne, et on ne peut pas tester. COÏNCIDENCE ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] FREE et/ou Internet saturé

[Stephane Bortzmeyer]

On Tue, Nov 17, 2020 at 10:28:59AM +0100,
 Daniel via frnog  wrote 
 a message of 19 lines which said:

> FREE est injoignable depuis certains opérateurs (SFR, Orange,
> Hetzner DE, ...). Je possède 2 lignes fibres Rosace/AltitudeInfra
> dont une chez FREE qui est celle qui ne répond pas. En sortie via
> cette même ligne tout à l'air OK.

C'est-à-dire ? Les paquets sortent par cette ligne et arrivent au
destinataire. Mais, en sens inverse, ils n'arrivent pas ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] annonce letsencrypt

[Stephane Bortzmeyer]

On Sat, Nov 07, 2020 at 04:11:42AM +,
 Michel Py  wrote 
 a message of 27 lines which said:

> En plus que, même pour un site perso, on peut s'offrir un certificat
> commercial.

Sauf que le problème n'est en fait pas un problème de certificat. Un
Android pas mis à jour depuis cinq ans aura des tas d'autres problèmes
avec TLS, comme l'impossibilité d'utiliser les versions récentes ou
bien les algorithmes récents. J'ai chez moi une tablette Android pas
mettable à jour qui est d'ores et déjà inutilisable sur l'Internet car
limitée à TLS 1.0. Donc, le problème n'est pas spécifique à Let's
Encrypt.

[Note : SSLlabs.com vous affiche cela très bien, les versions
d'Android qui ne peuvent pas utiliser votre serveur.]


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Re: annonce letsencrypt

[Stephane Bortzmeyer]

On Fri, Nov 06, 2020 at 09:47:47PM -0500,
 Florent CARRÉ  wrote 
 a message of 79 lines which said:

> Android est connu pour avoir une politique d'update complètement
> déconnectée de la raison.

Android n'a pas de politique de mise à jour, ce sont les gens qui font
des solutions basées sur Android qui en ont (ou pas). Si un type prend
un logiciel disponible et en fait un truc pas mettable à jour, c'est
lui qui est responsable, pas le fournisseur du logiciel.

> Xiaomi, Samsung & co, sont plus que fautifs comme c'est leur job de faire
> les updates de l'OS pour leurs devices.

Précisément.

Et attendez de voir ce que ça va être avec tous les zobjets connectés,
conçus avec les pieds, jamais maintenus, et donc le fabricant a fait
faillite depuis longtemps. Là, vous allez voir des problèmes.

Tiens, deux RFC à lire :

https://www.bortzmeyer.org/8240.html
https://www.bortzmeyer.org/8576.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Re: [TECH] Transfert sortant de SOA et NS

[Stephane Bortzmeyer]

On Wed, Oct 21, 2020 at 04:19:43PM +0200,
 Daniel Caillibaud  wrote 
 a message of 40 lines which said:

> Ça c'est uniquement si on utilise la "glue registry" (je connais pas
> le terme fr) pour indiquer les NS au niveau du tld (indispensable si
> les NS utilisent la zone),

Non, qu'on utilise de la colle ou pas, la zone parente indique
toujours un enregistrement NS et c'est celui-ci qu'on ne peut pas
forcément changer si on a un BE qui est également hébergeur.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Transfert sortant de SOA et NS

[Stephane Bortzmeyer]

On Wed, Oct 21, 2020 at 12:24:03PM +0200,
 Daniel Caillibaud  wrote 
 a message of 38 lines which said:

> En pratique, pour régler le pb je fais toujours une màj NS chez
> l'ancien hébergeur DNS (indiquer les nouveaux NS) avant de changer
> de registrar, si les NS étaient chez lui…

C'est une ecellente idée mais un petit bémol : ça ne règle pas le
problème, ça le minimise. Les serveurs de la zone parente indiquent
l'ancien ensemble NS, et les résolveurs « parent-centric » les
utilisent.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Transfert sortant de SOA et NS

[Stephane Bortzmeyer]

On Tue, Oct 20, 2020 at 02:50:28PM +0200,
 Pierre DOLIDON  wrote 
 a message of 37 lines which said:

> En fait, je comprends pas bien ton interrogation ? a partir du
> moment où tu as changé les nserver dans les bases whois,

Ça n'existe pas, les « bases whois », whois est juste un protocole
d'interrogation.

> et que du coup, c'est le nouveau fournisseur de DNS qui prends le
> relai, tu t'en fiche de ce que peux en faire l'ancien, non ? (a
> partir du moment où l'entrée SERIAL a correctement été incrémentée).

Le numéro de série dans le SOA n'a rien à voir là-dedans, il ne sert
qu'entre les serveurs faisant autorité d'un même ensemble (l'ancien ou
le nouveau).

Et, non, on ne s'en fiche pas, en raison du délai de rejuvénation
(l'ancien ensemble NS est toujours dans la mémoire de certains
résolveurs, c'est pour cela que l'AFNIC demande que les anciens
serveurs restent en service 48 h).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Transfert sortant de SOA et NS

[Stephane Bortzmeyer]

On Tue, Oct 20, 2020 at 08:59:53AM +,
 Jérôme Quintard  wrote 
 a message of 124 lines which said:

> Dans mon cas c'est un .com
> 
> Il doit bien exister un document identique.

À première vue, non, ce cas ne semble pas spécifié



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Transfert sortant de SOA et NS

[Stephane Bortzmeyer]

On Tue, Oct 20, 2020 at 08:35:49AM +,
 Jérôme Quintard  wrote 
 a message of 14 lines which said:

> Dans le cas d'un transfert sortant d'une zone au profit d'un autre
> registrar avec des NS et donc une SOA qui diffère. Quel est le
> comportement d'un registrar qui officiait lui-même en tant que NS ?

En français : un BE (Bureau d'Enregistrement) qui était lui-même
hébergeur DNS.

> Il efface la zone dans son ensemble, il attend qu'on lui demande ?
> Il a procédure de nettoyage de la zone après le timer expire ?

Le guide des procédures de l'AFNIC

dit que « Après la validation finale du transfer, le bureau
d’enregistrement sortant a l’obligation de maintenir la configuration
technique ainsi que les signatures du nom de domaine et les
enregistrements DNSKEY pendant 48 heures. » Cela concerne .fr et les
autres TLD français. 

En pratique, je ne sais pas si c'est toujours fait…


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?

[Stephane Bortzmeyer]

On Tue, Oct 13, 2020 at 06:50:34PM +0200,
 Clement Cavadore  wrote 
 a message of 56 lines which said:

> Your email contains no technical information,

C'est faux.

> 1- Give more technical information, such as: 
>   - Spoofed IP(v4/v6) address

Tu es de mauvaise foi : c'était le cas.

>   - Resolver addresses used

Idem.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?

[Stephane Bortzmeyer]

On Tue, Oct 13, 2020 at 06:36:27PM +0200,
 Alarig Le Lay  wrote 
 a message of 17 lines which said:

> Je pense qu’il reste un créneau à prendre : faire un mail clair,

Le message des Mormons (qu'il ne faut pas confondre avec les Amish)
était très clair. J'ai plutôt l'impression que beaucoup de gens se
sont contentés de le survoler avant de râler sur FRnog (liste
d'habitude de haute tenue, et où on ne râle jamais).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?

[Stephane Bortzmeyer]

On Tue, Oct 13, 2020 at 12:05:48PM +0200,
 David Ponzone  wrote 
 a message of 8 lines which said:

> > Aucun besoin que le nom existe.
> 
> La vache, je n’ai vraiment pas cette tournure d’esprit, je n’aurais
> jamais pu être hacker ou anti-hacker :)

C'est plutôt l'expérience des réunions OARC et d'avoir lu plein
d'articles de chercheurs faisant des scans rigolos.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?

[Stephane Bortzmeyer]

On Tue, Oct 13, 2020 at 11:55:41AM +0200,
 David Ponzone  wrote 
 a message of 35 lines which said:

> ton résolveur va aller interroger leur autoritaire (si c’est dans
> aucun cache),

Pour éviter de taper dans le cache, la requête contient un nombre
aléatoire, et un encodage de l'adresse IP du résolveur.

> Je suppose qu’ils ont créé de entrées random dans une zone pour être
> sûr de pas être en cache.

Aucun besoin que le nom existe.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Re: [MISC] DSAV Project: sérieux ou scam ?

[Stephane Bortzmeyer]

On Tue, Oct 13, 2020 at 11:49:01AM +0200,
 Paul Rolland (ポール・ロラン)  wrote 
 a message of 33 lines which said:

> Moi, je lis : "... indicating that our spoofed queries successfully
> penetrated the network", et c'est cette partie-la qui m'intrigue... 
> 
> Sachant que la source a ete spoofee, peu de chance qu'ils puissent utiliser
> les reponses pour verifier que la query a bien penetree...

Je suis apparemment le seul à avoir lu en entier le message des
chercheurs. Ils le disent bien : ils regardent sur un serveur faisant
autorité si la requête a bien été acceptée et traitée par le
résolveur.

Donc, méthodologie :

1) Créer un domaine avec un serveur faisant autorité, mettons "ledomaine"

2) Y lancer tcpdump

3) Demander (avec adresse IP usurpée) au résolveur de résoudre
ID-54556.ledomaine

4) Si tcpdump montre une requête pour ID-54556.ledomaine, c'est que le
résolveur a reçu la requête avec l'adresse source usurpée.

En Scapy :

i = IPv6() 
i.src = "adresse source usurpée"
i.dst = "adresse résolveur"
d = 
TCP(sport=4978,dport=53)/DNS(rd=1,id=666,qd=DNSQR(qname="ID-54556.ledomaine"))
sr1(i/d)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?

[Stephane Bortzmeyer]

On Tue, Oct 13, 2020 at 11:33:51AM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 32 lines which said:

> J'ai testé avec OVH, Free et Gandi (ainsi que Linode) et tous filtrent
> (à juste titre) les paquets IPv6 dont l'adresse IP source est
> usurpée.

Ah, je n'ai reçu des rapports que pour IPv6 mais apparemment ils en
envoient aussi pour IPv4.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?

[Stephane Bortzmeyer]

On Tue, Oct 13, 2020 at 11:24:30AM +0200,
 David Ponzone  wrote 
 a message of 23 lines which said:

> Evidemment, pas facile de vérifier parce qu’il faut avoir accès à
> une machine qqpart chez un fournisseur qui fait pas du tout de SAV
> en egress.

J'ai testé avec OVH, Free et Gandi (ainsi que Linode) et tous filtrent
(à juste titre) les paquets IPv6 dont l'adresse IP source est
usurpée. (C'est une bonne nouvelle.)

J'ai trouvé un hébergeur qui ne filtre pas, mais seuls les paquets
ICMP usurpés passent, pas UDP (donc je n'ai pas pu tester en DNS).

Bref, pour tester, vous utilisez un compte chez un hébergeur
non-filtrant (pas facile à trouver) et vous lancez Scapy avec :

i = IPv6() 
i.src = "Une adresse IPv6 à vous"
i.dst = "Une cible chez vous"
ic = ICMPv6EchoRequest() 
sr1(i/ic)

Si, sur la cible, tcpdump montre que le paquet est arrivé, c'est que
vous avez un problème.

> D’ailleurs, on devrait leur demander qui est leur ISP à cette
> université :)

Il est logique que les chercheurs en sécurité aient un accès spécial,
permettant des tests rigolos.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?

[Stephane Bortzmeyer]

On Tue, Oct 13, 2020 at 10:41:51AM +0200,
 GUIOT Jean-Philippe  wrote 
 a message of 34 lines which said:

> Si j'ai bien compris la faille, il ne "faut" pas autoriser les
> récursions depuis ses propres IP externes/d'AS.

Pas du tout. Évidemment qu'on autorise la récursion pour ses propres
adresses. Ce qu'il ne faut pas autoriser, ce sont des paquets
*entrants* qui ont une adresse IP source *interne*.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?

[Stephane Bortzmeyer]

On Tue, Oct 13, 2020 at 10:34:44AM +0200,
 David Ponzone  wrote 
 a message of 10 lines which said:

> J’ai reçu un mail de DSAV Project (venant d'un labo d’une université
> US dans l’Utah), qui me semble surprenant.
> D’autres ont reçu un mail de leur part affirmant avoir détecté une faille 
> n’existant à priori pas ?

Ici aussi. Je me bats avec Scapy pour essayer de vérifier leurs
affirmations.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RFC 8886: Secure Device Install

[Stephane Bortzmeyer]

C'est pas encore mis en œuvre, à ma connaissance, mais c'est une idée
astucieuse pour améliorer la confidentialité de la config' d'un
routeur lorsqu'il est installé par des remote hands :

https://www.bortzmeyer.org/8886.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Une question BTP et câblage

[Stephane Bortzmeyer]

Je regarde un immeuble d'habitation en cours de construction, et je me
demande.

Dans un immeuble d'habitation moderne dans une grande ville, est-ce
qu'on pose toujours du câble de cuivre ou bien est-ce que tout est en
fibre et que les futurs habitants n'auront pas le choix ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] La question de la 5G mérite-t-elle autant de passions ?

[Stephane Bortzmeyer]

OK, c'est politique, mais c'est sur -misc donc ça va :-)

Spoiler : je ne dis pas si je suis pour ou contre la 5G.

https://www.bortzmeyer.org/pourquoi-controverse-5g.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Aujourd'hui, DNS Flag Day 2020

[Stephane Bortzmeyer]

Retardé par l'épidémie de Covid-19, voici le DNS Flag Day de cette
année. Il est cette année dédié à la fragmentation dont on sait
qu'hélas elle marche mal. Le conseil est donc de l'éviter (RFC 8900
 pour les détails). Le site du
DNS Flag Day  propose divers outils de
test, des serveurs faisant autorité comme des résolveurs.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] ICMP partiellement bloqué en IPv6 entre Free et OVH ?

[Stephane Bortzmeyer]

On Thu, Oct 01, 2020 at 09:37:27AM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 21 lines which said:

> Depuis deux ou trois jours, j'ai des alertes en IPv6 pour une machine
> chez OVH en venant de Free.

J'ignore quel est le problème mais j'ai trouvé la solution : envoyer
un message à FRnog. Depuis trois heures, la problème n'est plus
apparu.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] ICMP partiellement bloqué en IPv6 entre Free et OVH ?

[Stephane Bortzmeyer]

On Thu, Oct 01, 2020 at 09:37:27AM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 21 lines which said:

> Ça ne semble pas permanent. Parfois, ça repart, puis c'est à nnouveau
> bloqué pendant plusieurs heures.

Et ce n'est pas toujours à 100 %. Il y aurait un limiteur uniquement
sur l'interco entre Free et OVH ?

% ping -6 -c 5 2001:41d0:302:2200::180
PING 2001:41d0:302:2200::180(2001:41d0:302:2200::180) 56 data bytes
64 bytes from 2001:41d0:302:2200::180: icmp_seq=4 ttl=52 time=5.81 ms

--- 2001:41d0:302:2200::180 ping statistics ---
5 packets transmitted, 1 received, 80% packet loss, time 4003ms
rtt min/avg/max/mdev = 5.810/5.810/5.810/0.000 ms


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] ICMP partiellement bloqué en IPv6 entre Free et OVH ?

[Stephane Bortzmeyer]

Depuis deux ou trois jours, j'ai des alertes en IPv6 pour une machine
chez OVH en venant de Free. ping n'a plus de réponse. Le reste
(traceroute, HTTPS, SSH) fonctionne. En venant d'autres réseaux, tout
marche, y compris ping. Donc ce n'est pas un problème général de
routage IPv6 ni une coupure IPv6 entre Free et OVH.

Ça ne semble pas permanent. Parfois, ça repart, puis c'est à nnouveau
bloqué pendant plusieurs heures.

Les sondes Atlas montrent que ça marche depuis la plupart des réseaux :
% blaeu-reach -r 100 --by_probe 2001:41d0:302:2200::180
98 probes reported
Test #27329336 done at 2020-10-01T07:35:24Z
Tests: 93 successful probes (94.9 %), 5 failed (5.1 %), average RTT: 47 ms

Ça dit quelque chose à quelqu'un ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] cas d'utilisation 5G

[Stephane Bortzmeyer]

On Tue, Sep 29, 2020 at 09:48:54AM +,
 Julien GONTARD  wrote 
 a message of 82 lines which said:

> Massive mimo, beamforming, small Cells vont améliorer sensiblement
> les performances: les débits mais surtout la stabilité/ les latences
> et une meilleure pénétration des bâtiments.

Les cellules de petite taille vont aussi rendre plus difficile la
couverture, donc la 5G ne va pas aider dans les zones blanches.

> Quant aux nouveaux usages, ils arriveront logiquement avec la
> fiabilité de la techno (réalité augmentée, véhicule connectés

Même remarque : il y a peu de chances pour qu'on ait une couverture
complète le long de la route. Sauf si on est coincé dans un
embouteillage sur le périph parisien, le véhicule ne sera pas à la
portée d'une antenne 5G.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] cas d'utilisation 5G

[Stephane Bortzmeyer]

On Tue, Sep 29, 2020 at 09:33:09AM +0200,
 Emmanuel Jacquet  wrote 
 a message of 31 lines which said:

> Non, le cas d'usage télémédecine, c'est dans l'autre sens. Imagine
> un patient âgé au fin fond de la campagne,

Là où justement la 5G ne sera jamais déployée...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] cas d'utilisation 5G

[Stephane Bortzmeyer]

On Mon, Sep 28, 2020 at 11:07:05PM +0200,
 Lucas  wrote 
 a message of 65 lines which said:

> La télémédecine
> ===
> Il y a vraiment des hopitaux qu'on envisage d'utiliser pour de la
> télémédecine et qui ne sont pas connectés à Internet par de la fibre
> et/ou par un réseau FH ?
> 
> Le médecin en campagne
> ==
> C'est un autre argument que je ne comprends pas (surtout que ce use case
> n'est pas présenté de manière très précise, d'habitude).

Tout à fait d'accord. Les partisans et les adversaires de la 5G sont
lancés dans un concours à qui dira le plus de conneries (pour
l'instant, difficile de dire qui gagne) et l'argument de la
télémédecine est doublement con :

1) Comme vous le notez, les hôpitaux sont fibrés,

2) Et surtout, cet argument est du technosolutionnisme dans ce qu'il a
de plus affreux. On ferme des hôpitaux, on laisse s'installer des
déserts médicaux et on prétend qu'avec un coup de téléphone, on
résoudra le problème, qui est bien plus fondamental qu'une histoire de
technologie de connexion.

Je ne parle même pas de la téléchirurgie, pour laquelle il faudrait de
toute façon une salle d'opération (donc, fixe et fibrée) et qu'il
serait criminel de faire via un réseau radio, de toute façon.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] [FRnOG] Sécurité - Scan d'ip pu blique

[Stephane Bortzmeyer]

On Mon, Sep 28, 2020 at 04:32:31PM +0200,
 Alexandre DERUMIER  wrote 
 a message of 58 lines which said:

> Merci pour la news, enfin une solution opensource collaborative de blacklist 
> :)

C'est loin d'être la seule, par exemple les routeurs Turris Omnia fon
cela depuis longtemps.

https://www.turris.com/en/omnia/overview/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] NAT et IP hors RFC-1918

[Stephane Bortzmeyer]

On Wed, Sep 23, 2020 at 04:59:35PM +0200,
 A Gaillard  wrote 
 a message of 49 lines which said:

>- Trouver une solution à base de double NAT

Attention, la personne qui viendra maintenir celà dans N années va
vous maudire, et inventer le voyage dans le temps pour revenir dans le
passé vous agresser.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RFC 8906: A Common Operational Problem in DNS Servers: Failure To Communicate

[Stephane Bortzmeyer]

Normalement, le protocole DNS est très simple : le client écrit au
serveur, posant une question, et le serveur répond. Il peut répondre
qu'il ne veut pas ou ne sait pas répondre, mais il le dit
explicitement. Cela, c'est la théorie. En pratique, beaucoup de
serveurs DNS bogués (ou, plus fréquemment, situés derrière une
middlebox boguée) ne répondent pas du tout, laissant le client
perplexe se demander s'il doit réeessayer différemment ou pas. Ce
nouveau RFC documente le problème et ses conséquences. Il concerne
surtout la question des serveurs faisant autorité. Bref, si vous en
gérez, testez vos serveurs faisant autorité, vérifiez qu'ils répondent
bien (même si la réponse est « Zut ».

Mon résumé : https://www.bortzmeyer.org/8906.html

PS : j'ai testé très vite mais le domaine frnog.org semble OK.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

[Stephane Bortzmeyer]

On Thu, Sep 03, 2020 at 08:29:12AM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 22 lines which said:

> fait penser à une attaque (motivations inconnues) plutôt qu'à une
> panne

L'avis de l'ANSSI (avec le message du raquetteur) :

https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-006/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Re: [ALERT] Domaine.fr down ?

[Stephane Bortzmeyer]

On Tue, Sep 15, 2020 at 11:41:48AM +0200,
 Aurélien Bras  wrote 
 a message of 90 lines which said:

> domaines.fr. 172800 IN NS ns2.domaines.fr.

On parlait de domaine.fr.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Domaine.fr down ?

[Stephane Bortzmeyer]

On Mon, Sep 14, 2020 at 09:35:41PM +0200,
 Fabien Germain  wrote 
 a message of 11 lines which said:

> domaine.fr (au moins ses serveurs DNS) semble down.

Ici, ça marche

% check-soa -i domaine.fr
dns2.french-connexion.com.
216.15.153.90: OK: 2020090701 (144 ms)
dns40.domaine.fr.
5.135.136.43: OK: 2020090701 (12 ms)

> Quelqu’un aurait des infos ?

Pas moi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

[Stephane Bortzmeyer]

On Mon, Sep 14, 2020 at 04:37:44PM +0200,
 Daniel Caillibaud  wrote 
 a message of 26 lines which said:

> Mais ça remplace pas un resolver, dans le cas de la panne dns de SFR
> ça n'aurait pas réglé grand chose (sauf pour les domaines déjà dans
> le cache).

Un résolveur complet (cf. RFC 8499 pour la terminologie), sans
« forwarder » ?

Cela aurait l'avantage de contourner les résolveurs menteurs qui
bloquent, par exemple, SciHub. J'avais l'impression que la suggestion
portait sur un résolveur ayant une mémoire mais comptant sur des
« forwarders » installés chez le FAI.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Pb peering free/AWS

[Stephane Bortzmeyer]

On Mon, Sep 14, 2020 at 02:42:47PM +0200,
 Aurélien Bras  wrote 
 a message of 11 lines which said:

> On me signale des problèmes de peering entre Free et AWS Paris depuis une
> bonne heure, vous avez des infos à ce sujet ?

Reparti, non ?

https://framagit.org/-/snippets/5932


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Pb peering free/AWS

[Stephane Bortzmeyer]

On Mon, Sep 14, 2020 at 02:42:47PM +0200,
 Aurélien Bras  wrote 
 a message of 11 lines which said:

> On me signale des problèmes de peering entre Free et AWS Paris depuis une
> bonne heure, vous avez des infos à ce sujet ?

En tout cas, il y a plein de tweets.

https://twitter.com/gmagniez/status/1305475705602486272
https://twitter.com/ant_1/status/1305472799390261249
https://twitter.com/pbeyssac/status/1305479844659171333


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

[Stephane Bortzmeyer]

On Mon, Sep 14, 2020 at 02:12:44PM +0200,
 Daniel Caillibaud  wrote 
 a message of 36 lines which said:

> À ce sujet, pourquoi les OS ne proposent pas par défaut un resolver
> local (qui pourrait forwarder les questions pour lesquelles il n'a
> pas la réponse au dns fourni par le dhcp, si dhcp, 

Ce serait en effet une bonne idée.

> Vu ce que consomme un unbound, je suis étonné que les distrib linux
> n'en installent pas un par défaut,

Mais c'est souvent le cas (même si, hélas, c'est plus souvent un
dnsmasq qu'un Unbound).

> pour résoudre d'éventuel domaines spécifiques au lan ou au fai) ?

Là, attention, il y aurait quand même un problème avec DNSSEC.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

[Stephane Bortzmeyer]

On Thu, Sep 03, 2020 at 08:29:12AM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 22 lines which said:

> Il semble que le 1er septembre au soir, des pannes de résolveurs DNS
> aient touché plusieurs FAI français dont SFR

Et hop, mon avis :

https://www.afnic.fr/fr/ressources/blog/a-propos-de-l-attaque-sur-les-resolveurs-dns-de-fai-francais-1.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RFC 8900: IP Fragmentation Considered Fragile

[Stephane Bortzmeyer]

Un RFC  sur la fragmentation,
constatant que, comme vous le savez, elle marche mal. Ce RFC contient
également des conseils pour les opérateurs (ne pas bloquer les
fragments, ni l'ICMP).




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] IPv6 FreeboX & Routeur OpenWrt

[Stephane Bortzmeyer]

On Fri, Sep 11, 2020 at 05:03:30PM +0200,
 GMAIL  wrote 
 a message of 204 lines which said:

> J'essaie depuis quelques jours d'amener un des préfixes IPv6 d'une
> Freebox Mini4K vers mon LAN en passant par un routeur sous OpenWrt,
> sans succès.

Chez moi, c'est Revolution mais ça devrait être à peu près pareil. La
config' du routeur (un Turris Omnia) :

config interface 'lan'
option ip6assign '64'
option ip6addr '2001:db8:1:1::1:fe/64'
option ip6prefix '2001:db8:1:1::/64' # Préfixe alloué par Free, à 
récupérer sur la Freebox
option ip6gw '2001:db8:1:1::1'

config interface 'wan6'
option ip6addr '2001:db8:1:1::2/126'
option ip6gw '2001:db8:1:1::1'
option ip6prefix '2001:db8:1:1::/64'

config route6
option interface 'wan6'
option target '::/0'
option gateway 'fe80::f6ca:e5ff:fe4d:1f41'
# Ne pas oublier, sur la Freebox, de mettre l'adresse locale-au-lien du
# routeur OpenWrt en "Next hop" pour le préfixe Free


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] The 2020 National Internet Segment Reliability Research

[Stephane Bortzmeyer]

Bravo à tous les participants et participants à FRnog, la France est
plutôt bien placée dans le classement Qrator de la robustesse des
connexions Internet, grâce à vous.

https://radar.qrator.net/blog/2020-national-internet-segment-reliability

Bon, après, quand je lis "it is critical AS for IPv6 stub networks in
France and Belgium", je vous laisse deviner quel AS est le "it".


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Appel à témoignages et opinions: COVID-19 Network Impacts Workshop, november 2020

[Stephane Bortzmeyer]

[Je crois que j'avais déjà essayé de l'envoyer ici mais la modération
m'avait bloqué.]

L'IAB, qui organise des ateliers très intéressants sur les protocoles
Internet, demande des témoignages et opinions d'opérationnels (vous)
sur les conséquences de l'épidémie sur le réseau. Je vous recommande
de proposer un « position paper ». Les détails sont :

https://www.iab.org/activities/workshops/covid-19-network-impacts-workshop-2020/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] HELP Page facebook piratée

[Stephane Bortzmeyer]

On Tue, Sep 08, 2020 at 03:40:17PM +0200,
 David Ponzone  wrote 
 a message of 35 lines which said:

> Sérieux c’est vendredi déjà ?

Peut-être espérait-il qu'un employé de Facebook soit sur cette liste,
et lui répond en privé ?

(Après, je ne sais pas si Facebook aide les victimes de piratage d'un
compte.)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

[Stephane Bortzmeyer]

On Mon, Sep 07, 2020 at 09:15:48AM +,
 Philippe Bourcier  wrote 
 a message of 30 lines which said:

> sauf si Microsoft passe SMBv4 en QUIC aussi

Fait :-)

https://gitlab.com/wireshark/wireshark/-/merge_requests/123


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

[Stephane Bortzmeyer]

On Sat, Sep 05, 2020 at 01:04:24PM +,
 Philippe Bourcier  wrote 
 a message of 33 lines which said:

> Par contre, j'ai pas trouvé d'infos sur une variante de QUIC sur IP
> et non plus sur UDP.  C'est pour QUIC v2, v3 ou c'est déjà dispo
> quelque part ?

À ma connaissance, personne ne bosse là-dessus. Une telle techno
n'aurait probablement aucun espoir de déploiement, vu la prévalence de
middleboxes pourrites.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

[Stephane Bortzmeyer]

On Fri, Sep 04, 2020 at 03:44:58PM +,
 Philippe Bourcier  wrote 
 a message of 46 lines which said:

> Grâce à QUIC, le handshake (équivalent à celui de TCP) est en fait
> passé au Layer 4 et non au Layer 7... puis, il y a aussi un 2e
> handshake au L5/L7 avec la négo TLS.

Ce n'est pas ainsi que je le décrirais. Le principe de QUIC est au
contraire de n'avoir qu'une seule poignée de main, pour diminuer la
latence en évitant de voir attendre TCP *puis* TLS.

> Et d'ailleurs, en revenant sur QUIC, c'est peut-être ce qui va
> pouvoir éloigner DNS (legacy, en UDP) du qualificatif de cible
> facile, grâce à DoQ.

DoT ou même le traditionnel DNS sur TCP le faisait déjà. DoQ est une
idée cool mais le groupe de travail QUIC à l'IETF n'est pas
enthousiaste (ils sont très braqués sur HTTP/3 et ne cherchent pas la
domination mondiale en faisant tout passer sur QUIC).

> Perso, je verrais bien les serveurs (AXFR, etc) discuter entre eux
> en DoQ et la partie client (resolution) passer majoritairement en
> DoH... et DoT disparaîtrait de sa belle mort.

Ce serait dommage car DoT est techniquement plus raisonnable que
DoH. (Mais, si on prend en compte non pas ce que je préfère, mais ce
qui a le plus de chances d'être déployé, en effet, DoH gagnera sans
doute puisqu'il est plus difficile à bloquer.)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

[Stephane Bortzmeyer]

On Thu, Sep 03, 2020 at 04:54:46PM +0200,
 Olivier Cochard-Labbé  wrote 
 a message of 48 lines which said:

> Une solution facile est d'embarquer ta propre pile TCP modernisée
> dans ton logiciel client qui lui va encapsuler le tout dans de l'UDP
> en sortie pour limiter l'overhead.

C'est aussi l'idée derrière QUIC mais attention, si chacun et son
chien se croit capable de faire du TCP « optimisé », il y a un risque
sérieux d'écrouler l'Internet. Le contrôle de congestion, ce n'est pas
facile ! 

On serait vendredi, je proposerais la création d'un diplôme autorisant
à écrire du code TCP, avec interdiction de déploiement de ce qui n'a
pas été écrit par des diplômés.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

[Stephane Bortzmeyer]

On Thu, Sep 03, 2020 at 12:23:20PM +0200,
 Fabien H  wrote 
 a message of 52 lines which said:

> Par contre, ils ont refait dans HTTP/3 les mécanismes de protection
> d'usurpation d'IP et de retransmission de TCP ?

Évidement. C'est pour ça que dire « HTTP/3 tourne sur UDP » est
extrêmement trompeur, voire trollesque. C'est aussi absurde
techniquement que de dire « mon Dieu, HTTP tourne sur IP, qui n'a pas
de contrôle de congestion ».


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

[Stephane Bortzmeyer]

On Thu, Sep 03, 2020 at 08:15:01AM +,
 Philippe Bourcier  wrote 
 a message of 33 lines which said:

> C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture
> de HTTP (HTTP/3) risque bien d'être en UDP...

Bon, alors, come Michel Py est indisponible, je vais le remplacer :
cette phrase est la plus mauvaise présentation de QUIC possible et
elle est très trompeuse. Oui, QUIC tourne sur UDP (et HTTP/3 tourne
sur QUIC) mais c'est uniquement pour passer ces connes de
middleboxes. (Conceptuellement, QUIC pourrait parfaitement tourner sur
IP.) QUIC est bien plus proche de TCP et inclut tout ce qu'il faut,
test de retournabilité (et donc protection contre l'usurpation
d'adresse IP), contrôle de congestion, etc.

SCTP avait le même problème, et peut tourner sur UDP pour exactement
la même raison . Et pourtant
personne n'aurait l'idée de dire que SCTP est UDP !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Orange TN et SOA qui traine...

[Stephane Bortzmeyer]

On Thu, Sep 03, 2020 at 03:31:14PM +,
 Jérôme Quintard  wrote 
 a message of 17 lines which said:

> Résultat, un client Orange TN, qui souhaite m'envoyer un e-mail est
> redirigé vers le mauvais MX.

Une bonne raison de plus de ne PAS mélanger résolveur et serveur
faisant autorité :-(




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

[Stephane Bortzmeyer]

On Thu, Sep 03, 2020 at 09:56:44AM +0200,
 Mathias  wrote 
 a message of 59 lines which said:

> Une évolution protocolaire intéressante est SCTP, mais la mise en oeuvre est
> rare.

Puisqu'on parle de neutralité, quel pourcentage des box des FAI
français laisse passer SCTP en IPv4 ? (C'est sans doute mieux en
IPv6.)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

[Stephane Bortzmeyer]

On Thu, Sep 03, 2020 at 09:48:42AM +0200,
 Fabien H  wrote 
 a message of 45 lines which said:

> Ma question est simple et innocente : si tous les opérateurs
> mondiaux (et notamment les hébergeurs de serveurs VPS mais pas que)
> se mettaient d'accord sur des ACL (voir QoS rate limit sur certains
> flux UDP) bien pensées à appliquer en routeurs de bordure, peut-être
> pourrait on endiguer le phénomène ?

Si, déjà, ils pouvaient appliquer BCP 38, on résoudrait une grande
partie du problème. 

Pour le reste, les limiteurs de trafic, outre la charge qu'ils
représentent pour les routeurs (car il faut un état, ce qui rend le
routeur vulnérable à une autre DoS), sont difficiles à régler : le
seuil sera trop haut pour la majorité des utilisateurs et trop bas
pour ceux qui font de l'UDP intensif.

> Cela parait donc compromis. Mais n'y a t'il vraiment aucune solution
> technique simple et efficace si tout le monde se mettait d'accord en
> permettant malgré tout l'utilisation raisonnée des services UDP sur
> Internet ?

L'IA ?

> L'évolution du protocole UDP est bien entendue exclue, ça parait totalement
> impossible.

D'UDP oui, mais pas du DNS. DoT, DoH et le futur DoQ limitent pas
mal le problème.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

[Stephane Bortzmeyer]

On Thu, Sep 03, 2020 at 07:20:04AM +,
 Philippe Bourcier  wrote 
 a message of 22 lines which said:

> Chez Orange, depuis les box v3 au moins, c'est la box qui fait cache
> DNS vers les DNS du FAI.

Pareil chez Free.

> Le DHCP distribuant comme DNS uniquement l'IP interne de la box, si
> le malware qui DDoS les DNS depuis l'intérieur du FAI utilise l'IP
> du DNS fournie à l'OS, alors le malware va DDoS la box, côté LAN...

Hmmm, si le logiciel malveillant est malin, il va faire, par exemple,
du "random QNAME" et, dans ce cas, le relais dans la box va tout faire
suivre (forwarder) au « vrai » résolveur, qui s'en prendra donc autant
dans la figure.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

[Stephane Bortzmeyer]

Il semble que le 1er septembre au soir, des pannes de résolveurs DNS
aient touché plusieurs FAI français dont SFR


et Bouygues
. La
simultaneité ou proximité de ces pannes fait penser à une attaque
(motivations inconnues) plutôt qu'à une panne
.
 (Pas
de nouvelles sur Orange ou Free ; non touchés ?)

Si quelqu'un a des détails autres que ce qui est dan les articles
ci-dessus…

Comme d'habitude à chaque panne, cela a amené de nombreux utilisateurs
à migrer vers les résolveurs DNS des GAFA, d'où ils ne reviendront
probablement pas.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Questionnaire de thèse de fin d'étude sur l'hyperconnexion / sécurité des données

[Stephane Bortzmeyer]

On Mon, Aug 31, 2020 at 10:57:36AM +0400,
 Archange  wrote 
 a message of 98 lines which said:

> Et le TLD en est très probablement géré par l’AFNIC.

whois TF

dig {NS,SOA} tf


Pour avoir confirmation :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Trouble Level3/CenturyLink

[Stephane Bortzmeyer]

On Mon, Aug 31, 2020 at 09:24:42AM +0200,
 Garfieldairlines on lists  wrote 
 a message of 25 lines which said:

> Post-mortem de Cloudflare :

Et de Qrator
.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Trouble Level3/CenturyLink

[Stephane Bortzmeyer]

On Sun, Aug 30, 2020 at 02:24:14PM +0200,
 Romain Degez  wrote 
 a message of 113 lines which said:

> Ah ben voila, j'me sens moins seul : pareil chez nous, ça flappe de manière
> bien dégeu.
> 
> Merci CenturyLink de nous gâcher le poulet frite dominical ;-)

Et le football !

https://twitter.com/telefoothelp/status/1300084662602211328


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Trouble Level3/CenturyLink

[Stephane Bortzmeyer]

On Sun, Aug 30, 2020 at 01:54:33PM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 15 lines which said:

> Je pense que tout le monde, désormais, l'a vu, mais pour info,
> Level3/CenturyLink a des problèmes (uniquement IPv4, il semble),
> depuis 10:00 UTC.

Rassemblant tout son courage, le CM a écrit un tweet très informatif :

https://twitter.com/CenturyLinkHelp/status/1300063285652447234


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Trouble Level3/CenturyLink

[Stephane Bortzmeyer]

On Sun, Aug 30, 2020 at 02:08:18PM +0200,
 root  wrote 
 a message of 29 lines which said:

> Je confirme. Et en plus, on a beau couper les sessions BGP, les
> routes restent en ghost (vérifié via le route-server d'Opentransit
> à l'instant)

Même UTF-8 est affecté :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Trouble Level3/CenturyLink

[Stephane Bortzmeyer]

Je pense que tout le monde, désormais, l'a vu, mais pour info,
Level3/CenturyLink a des problèmes (uniquement IPv4, il semble),
depuis 10:00 UTC.

Conséquences : des problèmes de joignabilité, et des tweets mécontents







---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RFC 8811: DDoS Open Threat Signaling (DOTS) Architecture

[Stephane Bortzmeyer]

Pour celles et ceux qui veulent une vision « haut niveau » de DOTS, le
système IETF de coordination entre fournisseurs de solution
d'atténuation de dDoS et victimes.

Ce nouveau RFC décrit l'architecture du système DOTS
(Distributed-Denial-of-Service Open Threat Signaling), un ensemble de
mécanismes pour permettre aux victimes d'attaques par déni de service
de se coordonner avec les fournisseurs de solution
d'atténuation. C'est juste l'architecture, les protocoles concrets
sont dans d'autres RFC, comme le RFC 8782.

https://www.bortzmeyer.org/8811.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Orange - Filtrage IP - DNS faisant autorité pour ses reverses

[Stephane Bortzmeyer]

On Sun, Aug 16, 2020 at 11:13:42AM +0200,
 Jean-Claude MICHOT  wrote 
 a message of 22 lines which said:

> Je me répond a moi même, il manque juste des routes, comme l'a fait
> remarquer Stephane Bortzmeyer dans un autre thread de la liste.

<https://www.bortzmeyer.org/routage-divers.html> pour celles et ceux
qui ne sont pas sur la plage et qui s'intéressent à cet  « autre
thread de la liste » (je ne suis pas sûr que ce soit le même
problème).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Quelqu'un d'Orange pour regarder la joignabilité de 193.251.169.0/24 ?

[Stephane Bortzmeyer]

Le 193.251.169.0/24 ne semble pas joignable depuis l'AS 3215 (mais il
l'est depuis plusieurs autres AS). Cela ne semble pas un problème BGP,
il est visible de tous les routeurs du RIS (mais un préfixe plus
général est annoncé par OpenTransit).

Est-ce que quelqu'un qui a la main sur l'AS 3215 peut regarder ? Pour
tester : 193.251.169.83 et 193.251.169.84 répondent à l'ICMP Echo.

Avec les sondes RIPE Atlas :

% blaeu-reach --requested 100 --as 3215 193.251.169.84
96 probes reported
Test #26682501 done at 2020-08-13T12:12:04Z
Tests: 3 successful tests (1.0 %), 0 errors (0.0 %), 285 timeouts (99.0 %), 
average RTT: 139 ms

Alors que chez OVH, ça marche :

% blaeu-reach --requested 100 --as 16276 193.251.169.84
16 probes reported
Test #26682558 done at 2020-08-13T12:14:21Z
Tests: 48 successful tests (100.0 %), 0 errors (0.0 %), 0 timeouts (0.0 %), 
average RTT: 95 ms


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Panne Orange ?

[Stephane Bortzmeyer]

On Mon, Jul 27, 2020 at 09:22:37AM +,
 Christophe Roger  wrote 
 a message of 16 lines which said:

> Il semble que Orange ait des problèmes.

Pas évident d'après les sondes RIPE Atlas

% blaeu-reach -r 100 --as 3215 92.243.4.211 
98 probes reported
Test #26462557 done at 2020-07-27T09:27:37Z
Tests: 294 successful tests (100.0 %), 0 errors (0.0 %), 0 timeouts (0.0 %), 
average RTT: 16 ms


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Moratoire en faveur du déploiement de la 5G

[Stephane Bortzmeyer]

On Sat, Jul 18, 2020 at 08:57:06PM +0200,
 Toussaint OTTAVI  wrote 
 a message of 20 lines which said:

> De mieux en mieux :
> https://www.isula.corsica/assemblea/Un-rapport-en-faveur-d-un-moratoire-sur-le-deploiement-de-la-5G-en-Corse_a577.html

Avec du vilain plagiat non sourcé :

https://twitter.com/pbeyssac/status/1284803484756463617


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Re: Attention en touchant le routeur (surtout un vendredi)

[Stephane Bortzmeyer]

On Sat, Jul 18, 2020 at 12:10:06PM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 3 lines which said:

> "our network engineering team updated the configuration on a router in 
> Atlanta"
> 
> https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020/

Blague à part, une leçon utile dans cet excellent retex : "max
prefix", c'est pas uniquement pour les pairs externes. En interne
aussi, on laisse fuiter des routes.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Attention en touchant le routeur (surtout un vendredi)

[Stephane Bortzmeyer]

"our network engineering team updated the configuration on a router in Atlanta"

https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] La sobriété numérique, oui mais pour quoi faire ?

[Stephane Bortzmeyer]

On Fri, Jul 17, 2020 at 12:53:09PM +0200,
 frnog.kap...@antichef.net  wrote 
 a message of 199 lines which said:

> Or ces éléments ils ne tombent pas magiquement du ciel, il faut les
> fabriquer, les acheminer, les installer. Ce qui nécéssite des
> usines, l'extraction de matières premières, leur transformation,
> leur transport, etc.  Tout cela fait partie d'un tout,

Ce que dit l'article « Il semble également établi, jusqu’à preuve du
contraire — les données fiables sur la question sont rares en Europe
–, que la fabrication des terminaux mobiles reste une activité
consommatrice de ressources, il est donc utile d’utiliser les nôtres
le plus longtemps possible pour mieux en amortir ce coût fixe.  »

> Ce qui est indéniable c'est que la consommation globale des usages
> numériques augmente considérablement avec le temps, ce qui n'est pas
> tenable dans la durée et évolue dans la direction opposée à celle
> imposée par les mesures à prendre pour éviter le pire du changement
> climatique.

Il me semble que c'est une erreur de vouloir que la consommation du
numérique, isolée des autres secteurs, baisse. Si l'usage du numérique
fait baisser les consommations des autres (télétravail
vs. déplacements en voiture, courrier électronique vs. papier),
l'augmentation de la conso du numérique n'est plus un problème.

> comment doit on faire évoluer nos usages en conséquence ?

Installer un bloquer de publicités et NoScript, ça diminue déjà pas
mal la facture (mais ce n'est jamais mentionné par les organismes
officiels, c'est curieux).

> Pour l'anecdote historique l'email du 18ème siècle utilisait une
> infrastructure moins énergivore: le télégraphe optique

Vous n'êtes pas cohérent, ici. Si on choisit une approche holistique,
on doit le faire jusqu'au bout, et intégrer le coût (habillement,
logement, nourriture) de tous les signaleurs. Le télégraphe optique
était très consommateur de main d'œuvre (et de bâtiments, qu'il
fallait bien construire).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] La sobriété numérique, oui mais pour quoi faire ?

[Stephane Bortzmeyer]

[Je pense que la plupart des lecteurs et lectrices ici savent déjà
tout ça, mais cet article peut vous être utile si vous devez
argumenter avec quelqu'un.]

On a lu récemment beaucoup de choses sur la « sobriété numérique » et
sur la nécessité de diminuer notre usage de numérique pour sauver la
biospĥère. Cela a culminé avec la proposition du CNNum d’interdire les
tarifications forfaitaires sur l’Internet. Malheureusement, la plupart
des textes publiés sont très approximatifs (ah, ces consommations
indiquées en kWh/an…), voire franchement faux. Il est donc utile de
réviser ses fondamentaux. Combien consomme le numérique, où ça, et
comment diminuer cette consommation ?

https://signal.eu.org/blog/2020/07/15/la-sobriete-numerique-oui-mais-pour-quoi-faire/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RFC 8799: Limited Domains and Internet Protocols

[Stephane Bortzmeyer]

[De la technique, mais aussi de la politique dans ce RFC, avec des
questions du genre « à partir de quand un réseau n'est plus connecté à
l'Internet ».]

Il y a depuis longtemps un débat sur l'architecture de l'Internet :
dans quelle mesure faut-il un Internet uniforme, où tout est pareil
partout, et dans quelle mesure faut-il au contraire des particularités
qui ne s'appliquent que dans telle ou telle partie de l'Internet ?
Bien sûr, la réponse n'est pas simple, et ce nouveau RFC explore la
question et discute ses conséquences, par exemple pour le
développement des normes.

Sur le long terme, la tendance est plutôt au développement de règles
locales, et de services qui ne sont accessibles que d'une partie de
l'Internet. Le NAS avec les photos de famille accessible uniquement
depuis la maison, le site Web permettant aux employés d'indiquer leurs
demandes de congés, qu'on ne peut voir que depuis le réseau de
l'entreprise, parce qu'on y est présent physiquement, ou bien via le
VPN, les lois d'un pays qu'il essaie, avec plus ou moins de succès,
d'appliquer sur son territoire… Mais, d'abord, une précision : le
terme « local » ne signifie pas forcément une région géographique
précise. « Local » peut, par exemple, désigner le réseau d'une
organisation spécifique, qui y applique ses règles. « Local » peut
être un bâtiment, un véhicule, un pays ou bien un réseau s'étendant au
monde entier.

https://www.bortzmeyer.org/8799.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] récursion DNS en SERVFAIL pour outlook.office.com

[Stephane Bortzmeyer]

On Wed, Jun 24, 2020 at 10:12:34AM +0200,
 Nico CARTRON  wrote 
 a message of 51 lines which said:

> Solution de contournement provisoire: désactiver qname-minimization
> avec:
> 
>   qname-minimization=off

Débrayer une solution de protection de la vie privée parce que
Microsoft a fait n'importe quoi ? Le pouvoir des GAFA est vraiment
dingue.


---
Liste de diffusion du FRnOG
http://www.frnog.org/