security.d.o ne répond plus ?

Salut,

steve a écrit :

Depuis hier impossible de contacter ce serveur :

Impossible d'initialiser la connexion à security.debian.org: 80
(2001:a78::16). - connect (101 Le réseau n'est pas accessible.) [IP :
2001:a78::16 80]

Pareil chez vous ?

$ host security.debian.org
security.debian.org has address 212.211.132.250
security.debian.org has address 195.20.242.89
security.debian.org has address 212.211.132.32
security.debian.org has IPv6 address 2001:a78::1a
security.debian.org has IPv6 address 2001:a78::16
security.debian.org mail is handled by 10 klecker.debian.org.

$ telnet security.debian.org http
Trying 2001:a78::16...
Connected to security.debian.org.

Chez moi ça marche. Tu as bien une connexion IPv6 opérationnelle ?
Sinon, le programme (lequel ?) devrait normalement réessayer en IPv4.
Par défaut un programme compatible IPv4+IPv6 devrait essayer toutes les
adresses retournées par le resolver jusqu'à la première qui marche, en
commençant par les adresses IPv6.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le 26-08-2009, à 11:36:23 +0200, Pascal Hambourg (pascal.mail@plouf.fr.eu.org) a écrit :

Salut,

steve a écrit :
>
> Depuis hier impossible de contacter ce serveur :
>
> Impossible d'initialiser la connexion à security.debian.org: 80
> (2001:a78::16). - connect (101 Le réseau n'est pas accessible.) [IP :
> 2001:a78::16 80]
>
> Pareil chez vous ?

$ host security.debian.org
security.debian.org has address 212.211.132.250
security.debian.org has address 195.20.242.89
security.debian.org has address 212.211.132.32
security.debian.org has IPv6 address 2001:a78::1a
security.debian.org has IPv6 address 2001:a78::16
security.debian.org mail is handled by 10 klecker.debian.org.

$ telnet security.debian.org http
Trying 2001:a78::16...
Connected to security.debian.org.

Chez moi ça marche. Tu as bien une connexion IPv6 opérationnelle ?

Comment je vérifie ça ?

Sinon, le programme (lequel ?) devrait normalement réessayer en IPv4.
Par défaut un programme compatible IPv4+IPv6 devrait essayer toutes les
adresses retournées par le resolver jusqu'à la première qui marche, en
commençant par les adresses IPv6.

Tout ce que j'essaie de faire est une mise à jour du système avec
aptitude. Toutes les autres entrées dans le sources.list sont atteintes
sauf security. Il ne me semble pas avoir modifié quoique ce soit depuis
la dernière fois (quand, je ne me rappelle plus). Comment corriger cela
?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

steve a écrit :

Tu as bien une connexion IPv6 opérationnelle ?

Comment je vérifie ça ?

Normalement tu dois déjà savoir si tu es censé avoir une connexion IPv6
via ton FAI, un tunnel broker, un tunnel automatique 6to4 ou Teredo...
Dans ce cas tu testes la connectivité IPv6 effective avec les outils de
type ping6 et traceroute6.

Tout ce que j'essaie de faire est une mise à jour du système avec
aptitude. Toutes les autres entrées dans le sources.list sont atteintes
sauf security.

Seuls les serveurs qui ont au moins une adresse IPv6 sont affectés.
C'est le cas de security.debian.org, mais pas de ftp.fr.debian.org par
exemple qui n'a qu'une adresse IPv4.

Que donnent chez toi les commandes host et telnet que j'ai utilisées
dans ma première réponse ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le 26-08-2009, à 12:23:17 +0200, Pascal Hambourg (pascal.mail@plouf.fr.eu.org) a écrit :

steve a écrit :
>>
>> Tu as bien une connexion IPv6 opérationnelle ?
>
> Comment je vérifie ça ?

Normalement tu dois déjà savoir si tu es censé avoir une connexion IPv6
via ton FAI, un tunnel broker, un tunnel automatique 6to4 ou Teredo...

Hum..

Dans ce cas tu testes la connectivité IPv6 effective avec les outils de
type ping6 et traceroute6.

$ ping6 www.debian.org
connect: Network is unreachable

Donc non ?

> Tout ce que j'essaie de faire est une mise à jour du système avec
> aptitude. Toutes les autres entrées dans le sources.list sont atteintes
> sauf security.

Seuls les serveurs qui ont au moins une adresse IPv6 sont affectés.
C'est le cas de security.debian.org, mais pas de ftp.fr.debian.org par
exemple qui n'a qu'une adresse IPv4.

Que donnent chez toi les commandes host et telnet que j'ai utilisées
dans ma première réponse ?

$ host security.debian.org
security.debian.org has address 195.20.242.89
security.debian.org has address 212.211.132.32
security.debian.org has address 212.211.132.250
security.debian.org has IPv6 address 2001:a78::1a
security.debian.org has IPv6 address 2001:a78::16
security.debian.org mail is handled by 10 klecker.debian.org.


$ telnet security.debian.org http
Trying 212.211.132.250...
Connected to security.debian.org.
Escape character is '^]'.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

steve a écrit :

Normalement tu dois déjà savoir si tu es censé avoir une connexion IPv6
via ton FAI, un tunnel broker, un tunnel automatique 6to4 ou Teredo...

Hum..

On va dire que ça veut dire non.

$ ping6 www.debian.org
connect: Network is unreachable

Donc non ?

Il semble bien.

Que donnent chez toi les commandes host et telnet que j'ai utilisées
dans ma première réponse ?

$ host security.debian.org

[même chose que chez moi, il y a bien des adresses IPv4]

$ telnet security.debian.org http
Trying 212.211.132.250...
Connected to security.debian.org.
Escape character is '^]'.

J'obtiens bien la même chose si je supprime la route IPv6 par défaut,
telnet se rabat sur une des adresses IPv4 comme prévu. Et mon aptitude
se comporte de même, sans erreur. Curieusement ton aptitude se comporte
différemment. Ma machine est encore en etch, mais je doute qu'il y ait
un aussi gros bug dans l'aptitude de lenny qui serait passé inaperçu.

Je pense que tu peux contourner le problème en blackistant le module
ipv6 du noyau (il faut redémarrer ensuite), mais ce n'est pas une vraie
solution. Il y a peut-être une option dans apt qui permet de forcer les
connexions en IPv4.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le aoû 26 2009, Pascal Hambourg (pascal.mail@plouf.fr.eu.org) a écrit :

steve a écrit :
>
>> Normalement tu dois déjà savoir si tu es censé avoir une connexion IPv6
>> via ton FAI, un tunnel broker, un tunnel automatique 6to4 ou Teredo...
>
> Hum..

On va dire que ça veut dire non.

Voilà.

> $ ping6 www.debian.org
> connect: Network is unreachable
>
> Donc non ?

Il semble bien.

C'est bon à savoir..

>> Que donnent chez toi les commandes host et telnet que j'ai utilisées
>> dans ma première réponse ?
>
> $ host security.debian.org
[même chose que chez moi, il y a bien des adresses IPv4]

Oui.

> $ telnet security.debian.org http
> Trying 212.211.132.250...
> Connected to security.debian.org.
> Escape character is '^]'.

J'obtiens bien la même chose si je supprime la route IPv6 par défaut,
telnet se rabat sur une des adresses IPv4 comme prévu. Et mon aptitude
se comporte de même, sans erreur. Curieusement ton aptitude se comporte
différemment. Ma machine est encore en etch, mais je doute qu'il y ait
un aussi gros bug dans l'aptitude de lenny qui serait passé inaperçu.

Effectivement ce serait très étonnant.

Je pense que tu peux contourner le problème en blackistant le module
ipv6 du noyau

$ uname -r
2.6.30-1-amd64

# modinfo ipv [tab] [tab]

rien

# lsmod | grep ipv6

rien

et pourtant :

localhost:/lib/modules/2.6.30-1-amd64# find . -name ipv* -print
./kernel/net/ipv4
./kernel/net/netfilter/ipvs
./kernel/net/ipv6


Est-ce que ce module serait en dur dans le noyau ?

Oui :

localhost:/boot# grep -i ipv6 config-2.6.30-1-amd64
CONFIG_IPV6=y
CONFIG_IPV6_PRIVACY=y
CONFIG_IPV6_ROUTER_PREF=y
CONFIG_IPV6_ROUTE_INFO=y
CONFIG_IPV6_OPTIMISTIC_DAD=y
CONFIG_IPV6_MIP6=y
CONFIG_IPV6_SIT=m
CONFIG_IPV6_NDISC_NODETYPE=y
CONFIG_IPV6_TUNNEL=m
CONFIG_IPV6_MULTIPLE_TABLES=y
CONFIG_IPV6_SUBTREES=y
CONFIG_IPV6_MROUTE=y
CONFIG_IPV6_PIMSM_V2=y
# CONFIG_IP_VS_IPV6 is not set
# IPv6: Netfilter Configuration
CONFIG_NF_CONNTRACK_IPV6=m
CONFIG_IP6_NF_MATCH_IPV6HEADER=m


Ou puis-je le voir effectivement chargé dans le noyau ?

(il faut redémarrer ensuite)

J'essaie plus tard alors.

mais ce n'est pas une vraie
solution. Il y a peut-être une option dans apt qui permet de forcer les
connexions en IPv4.

Rien trouvé ni dans le man d'apt-get ni dans celui d'aptitude.

Je suis donc bloqué, ni aptitude ni apt-get ne me permettent de faire
une mise à jour de sécurité. Première fois que ça m'arrive en 10 ans de
Debian il me semble. Je vais essayer de blacklister le module ipv6 et de
redémarrer, mais en ce moment je ne peux pas, je ferai cela ce soir. Et
si ça ne marche pas, on fait quoi?

Merci de ton aide et de tes explications Pascal.

--
steve - perplexe

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Steve a écrit :

Je pense que tu peux contourner le problème en blackistant le module
ipv6 du noyau

[...]

Est-ce que ce module serait en dur dans le noyau ?

Oui :

localhost:/boot# grep -i ipv6 config-2.6.30-1-amd64
CONFIG_IPV6=y

Enfer et damnation ! C'est une nouveauté, jusqu'ici les noyaux Debian
avaient l'IPv6 en module. Mais au fait, ce n'est pas le noyau de lenny,
ça. Tu ne serais pas en testing ou unstable avec une version d'apt pas
finie ?

Je suis donc bloqué, ni aptitude ni apt-get ne me permettent de faire
une mise à jour de sécurité. Première fois que ça m'arrive en 10 ans de
Debian il me semble. Je vais essayer de blacklister le module ipv6 et de
redémarrer, mais en ce moment je ne peux pas, je ferai cela ce soir.

Désactiver l'IPv6 reste peut-être possible en décommentant la ligne

# alias net-pf-10 off # IPv6

qui figure dans je ne sais plus quel fichier de configuration de
module-init-tools. Pas testé, mon IPv6 marche alors pourquoi je voudrais
le désactiver, hein ?

Et si ça ne marche pas, on fait quoi?

Solution crade et nécessairement temporaire : définir l'adresse IPv4 du
serveur dans /etc/hosts afin de court-circuiter la résolution DNS IPv6.

Autre possibilité non testée : modifier dans /etc/gai.conf la precedence
pour favoriser les adresses IPv4 (préfixe ::ffff:0:0/96) par rapport aux
adresses IPv6 natives (préfixe ::/0). Y a un man mais pas très bien
foutu, et comme ce n'est pas encore disponible dans etch je peux pas
tester, mais ça doit être en remplaçant 10 par 45 par exemple.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

> >> Je pense que tu peux contourner le problème en blackistant le module
>> ipv6 du noyau
[...]
> Est-ce que ce module serait en dur dans le noyau ?
>
> Oui :
>
> localhost:/boot# grep -i ipv6 config-2.6.30-1-amd64
> CONFIG_IPV6=y

Enfer et damnation ! C'est une nouveauté, jusqu'ici les noyaux Debian
avaient l'IPv6 en module. Mais au fait, ce n'est pas le noyau de lenny,
ça. Tu ne serais pas en testing ou unstable avec une version d'apt pas
finie ?

Si, version 2.6.30 de testing. Concernant apt, c'est la version de
lenny.

> Je suis donc bloqué, ni aptitude ni apt-get ne me permettent de faire
> une mise à jour de sécurité. Première fois que ça m'arrive en 10 ans de
> Debian il me semble. Je vais essayer de blacklister le module ipv6 et de
> redémarrer, mais en ce moment je ne peux pas, je ferai cela ce soir.

Désactiver l'IPv6 reste peut-être possible en décommentant la ligne

# alias net-pf-10 off # IPv6

qui figure dans je ne sais plus quel fichier de configuration de
module-init-tools.

Dans /etc/modprobe.d/alias

E si je décommentais, il faudrait aussi redémarrer ?

Pas testé, mon IPv6 marche alors pourquoi je voudrais
le désactiver, hein ?

On pourrait disserter à ce sujet pendant des heures, mais plus tard hein
;-)

> Et si ça ne marche pas, on fait quoi?

Solution crade et nécessairement temporaire : définir l'adresse IPv4 du
serveur dans /etc/hosts afin de court-circuiter la résolution DNS IPv6.

Hé hé, mais ça marche !

Autre possibilité non testée : modifier dans /etc/gai.conf la precedence
pour favoriser les adresses IPv4 (préfixe ::ffff:0:0/96) par rapport aux
adresses IPv6 natives (préfixe ::/0). Y a un man mais pas très bien
foutu, et comme ce n'est pas encore disponible dans etch je peux pas
tester, mais ça doit être en remplaçant 10 par 45 par exemple.

Mais je ne vois pas trop où et je ne comprends pas vraiment ce qui est
écrit. Je vais donc rester avec ce dirty hack et essayer de blacklister
ipv6 histoire de voir si cela change quelque chose (mais ça devrait non
?)

En tous cas merci pour ton aide.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

steve wrote:

Salut,

Depuis hier impossible de contacter ce serveur :

Impossible d'initialiser la connexion à security.debian.org: 80
(2001:a78::16). - connect (101 Le réseau n'est pas accessible.) [IP :
2001:a78::16 80]

Pareil chez vous ?

steve

Pour ma part, depuis Teredo ça semble fonctionner.

osaka:~# ping6 security.debian.org
PING security.debian.org(2001:a78::16) 56 data bytes
64 bytes from 2001:a78::16: icmp_seq=1 ttlY time1 ms
64 bytes from 2001:a78::16: icmp_seq=2 ttlY time‰.7 ms

--- security.debian.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 4319ms
rtt min/avg/max/mdev = 89.759/135.718/181.677/45.959 ms



--
Best regards,

--

Jean-Bernard Yata
System Engineer
debian.revolsys.fr mirror maintainer
--

IRC : irc.revolsys.fr/#linux
WWW1 : http://debian.revolsys.fr

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Steve a écrit :

Désactiver l'IPv6 reste peut-être possible en décommentant la ligne

# alias net-pf-10 off # IPv6

qui figure dans je ne sais plus quel fichier de configuration de
module-init-tools.

Dans /etc/modprobe.d/alias

E si je décommentais, il faudrait aussi redémarrer ?

Probablement. Mais je ne garantis pas l'efficacité, ça ne marche
peut-être que si ipv6 est en module parce que là comme ça j'ai du mal à
voir comment modprobe pourrait affecter une fonction qui n'est pas en
module.

Solution crade et nécessairement temporaire : définir l'adresse IPv4 du
serveur dans /etc/hosts afin de court-circuiter la résolution DNS IPv6.

Hé hé, mais ça marche !

Evidemment que ça marche, sauf pour les tordus qui auraient donné la
priorité à la résolution DNS par rapport au fichier hosts.

Autre possibilité non testée : modifier dans /etc/gai.conf la precedence
pour favoriser les adresses IPv4 (préfixe ::ffff:0:0/96) par rapport aux
adresses IPv6 natives (préfixe ::/0). Y a un man mais pas très bien
foutu, et comme ce n'est pas encore disponible dans etch je peux pas
tester, mais ça doit être en remplaçant 10 par 45 par exemple.

Mais je ne vois pas trop où et je ne comprends pas vraiment ce qui est
écrit.

gai.conf est le fichier de configuration de la fonction getaddrinfo() du
resolver de la libc. En gros on peut régler l'ordre de tri des adresses
retournées en fonction du préfixe. Par défaut les adresses IPv6 sont en
premier et en général l'application essaie les adresses dans l'ordre
dans lequel elle les récupère. Encore faut-il que l'application utilise
cette fonction pour la résolution de noms.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org