Réseau qui perd a moitié son DNS ?

Le
pierre-alain
Attention suivi positionné sur le forum fr.comp.sys.mac.communication
Notamment car les forums réseaux semble peu actif.

Bonjour,
Je souhaite partager ici un problème récurrent et très étrange que je
rencontre régulièrement à la maison.

Contexte
--
Connextion Free ADSL lente (bout de ligne), débit environ 1,2 Mbps.
Vielle maison à la campagne avec murs épais, avec pas trop de
possibilité de connection filaire, donc plutot sans fils du coup.

Box : Free Mini 4K avec boitier Android TV relié en CPL.

2 réseaux :
* wifi sans fil avec répéteur pour les ordinateurs
- 1 imac
- 1 ipad
- PC windows 10
- PC Linux Debian
* CPL pour la box android TV

Problématique
-
Par moment perte d'internet sur certains poste, notamment les postes
MacOS et Linux (rarement Windows). Cette perte se traduit par un
phénomène fort bizarre. Les sites internet ne répondent pas (firefox
retourne une erreur de non connection) ; par contre certains sites
internet marchent, notamment google, wikipedia et facebook (même si ils
sont plus lent que d'habitude). En général sur le PC Windows ça tout
fonctionne correctement

Le standard de config c'est les DNS par défaut de free, j'ai aussi
essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner
mieux.

Pour revenir à la normale il y a cas possibles (mais ça semble surtout
aléatoire) :
* parfois un simple redémarrage d ela box suffit
* parfois une resynchro des boitiers CPL
* parfois rien n'y fait faut attendre plusieurs jours

Du coup au final ça ressemble un soucis DNS, mais uniquement sur MacOS
et Linux mélé peut être à un soucis entre wifi et CPL

Si vous avez des pistes, je suis preneur car c'est fort agaçant quand se
produit.

--
Pierre-Alain Dorange Moof <http://clarus.chez-alice.fr/>

Ce message est sous licence Creative Commons "by-nc-sa-2.0"
<http://creativecommons.org/licenses/by-nc-sa/2.0/fr/>
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
JKB
Le #26531270
Le Mon, 18 Nov 2019 10:08:17 +0100,
Pierre-Alain Dorange
Attention suivi positionné sur le forum fr.comp.sys.mac.communication
Notamment car les forums réseaux semble peu actif.

Xpost, je ne suis pas abonné à fcsmc. Fu2: fr.comp.reseaux.ip
Bonjour,

Bonjour,
Je souhaite partager ici un problème récurrent et très étrange que je
rencontre régulièrement à la maison.
Contexte
--------
Connextion Free ADSL lente (bout de ligne), débit environ 1,2 Mbps.
Vielle maison à la campagne avec murs épais, avec pas trop de
possibilité de connection filaire, donc plutot sans fils du coup.

Même chose, mais pas avec le même FAI (Nérim) et avec 6Mbps.
Pas de TV, pas de CPL, tout en filaire.
Box : Free Mini 4K avec boitier Android TV relié en CPL.
2 réseaux :
* wifi sans fil avec répéteur pour les ordinateurs
- 1 imac
- 1 ipad
- PC windows 10
- PC Linux Debian
* CPL pour la box android TV
Problématique
-------------
Par moment perte d'internet sur certains poste, notamment les postes
MacOS et Linux (rarement Windows). Cette perte se traduit par un
phénomène fort bizarre. Les sites internet ne répondent pas (firefox
retourne une erreur de non connection) ; par contre certains sites
internet marchent, notamment google, wikipedia et facebook (même si ils
sont plus lent que d'habitude). En général sur le PC Windows ça tout
fonctionne correctement...
Le standard de config c'est les DNS par défaut de free, j'ai aussi
essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner
mieux.

Même constatation chez moi. La configuration est un peu différente :
- modem Philips ;
- routeur NetBSD (qui fait tourner un proxy squid et qui sert de
DNS).
Les postes Linux tapant sur le squid se prennent des timeout
aléatoires. La résolution de nom se fait correctement (squid donne
l'adresse IP). Pas de problème visible sous FreeBSD. Pas de problème
de MTU.
Chose intéressante. J'ai un VPN qui tape sur un broker IPv6. Les
sites IPv6 ne montrent pas le dysfonctionnement. Pour être tout à
fait honnête, j'utilise un serveur à 500 bornes que j'héberge et qui
est aussi sur une connexion Nérim.
Pour revenir à la normale il y a cas possibles (mais ça semble surtout
aléatoire) :
* parfois un simple redémarrage d ela box suffit
* parfois une resynchro des boitiers CPL
* parfois rien n'y fait faut attendre plusieurs jours
Du coup au final ça ressemble un soucis DNS, mais uniquement sur MacOS
et Linux mélé peut être à un soucis entre wifi et CPL...
Si vous avez des pistes, je suis preneur car c'est fort agaçant quand se
produit.

Lorsqu'un site part en timeout, les autres fonctionnent toujours.
Je suspecte donc soit une table NAT du modem pleine (mais cela ne
semble pas être le cas), soit un problème de collecte.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange
(pas le choix). Votre collecte est-elle Free ou Orange ?
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
pierre-alain
Le #26531285
JKB Merci de votre retour rapide.
[...]
Lorsqu'un site part en timeout, les autres fonctionnent toujours.
Je suspecte donc soit une table NAT du modem pleine (mais cela ne
semble pas être le cas), soit un problème de collecte.

C'est une piste intéressante.
Toutefois je suis pas sur que ce soit une histoire de timeout. Car quand
le problème survient ça concerne tout les sites, sauf Google, wikipedia
et facebook (a priori aucun rapport entre les 3). Bien sur j'ai pas
testé tout les sites possibles.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange
(pas le choix). Votre collecte est-elle Free ou Orange ?

Par contre si je suis bien informaticien à la base (formation initiale)
c'est plutot dans le domaine du développement logiciel... En réseau je
suis plutot une bille et si "Table NAT" me dis bien quelquechose, je
sais pas trop ce que c'est. Quand à la "collecte" je sais pas du tout ce
que c'est...
--
Pierre-Alain Dorange Moof Ce message est sous licence Creative Commons "by-nc-sa-2.0"
JKB
Le #26531330
Le Mon, 18 Nov 2019 17:46:08 +0100,
Pierre-Alain Dorange
JKB Merci de votre retour rapide.
[...]
Lorsqu'un site part en timeout, les autres fonctionnent toujours.
Je suspecte donc soit une table NAT du modem pleine (mais cela ne
semble pas être le cas), soit un problème de collecte.

C'est une piste intéressante.
Toutefois je suis pas sur que ce soit une histoire de timeout. Car quand
le problème survient ça concerne tout les sites, sauf Google, wikipedia
et facebook (a priori aucun rapport entre les 3). Bien sur j'ai pas
testé tout les sites possibles.

Google, wikipedia et facebook utilisent des caches internet.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange
(pas le choix). Votre collecte est-elle Free ou Orange ?

Par contre si je suis bien informaticien à la base (formation initiale)
c'est plutot dans le domaine du développement logiciel... En réseau je
suis plutot une bille et si "Table NAT" me dis bien quelquechose, je
sais pas trop ce que c'est. Quand à la "collecte" je sais pas du tout ce
que c'est...

La collecte, c'est le réseau d'acheminement. Ce n'est pas parce que
vous payez un abonnement à Free que vous avez une collecte Free.
Vous pouvez très bien avoir une collecte Orange. Dans mon cas, j'ai
une collecte Orange, mais un abonnement Nerim.
Ce qui me met la puce à l'oreille, c'est que j'ai déjà vu des
proxies transparents dans ces centraux téléphoniques (en plein
Paris, Free était à une époque un champion, j'ai des photos).
Je suspecte, sur la collecte Orange, un proxy transparent quelque part
qui peine à répondre de temps en temps parce que j'ai évacué le problème
de table NAT (la translation d'adresse IPv4 entre le réseau public et
le réseau privé). Pourquoi ? Lorsque j'observe ce dysfonctionnement,
la seule chose qui merdoie sont les ports http/https alors que la
table NAT peut encore recevoir de nouvelles adresses. Je peux
aussi pinger le serveur injoignable sur http/https. J'ai comme
dans l'idée qu'il y a un proxy assez près de chez moi pour faire
croire qu'il y a un débit considérable pour certains services.
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Pascal Hambourg
Le #26531336
Le 19/11/2019 à 20:40, JKB a écrit :
Je suspecte, sur la collecte Orange, un proxy transparent quelque part
qui peine à répondre de temps en temps (...)
Pourquoi ? Lorsque j'observe ce dysfonctionnement,
la seule chose qui merdoie sont les ports http/https

On peut faire du proxy transparent sur du HTTPS ?
Pascal Hambourg
Le #26531337
Le 18/11/2019 à 10:08, Pierre-Alain Dorange a écrit :
Attention suivi positionné sur le forum fr.comp.sys.mac.communication

La discussion s'étant établie ici, je rejette le suivi sans crossposter.
Le standard de config c'est les DNS par défaut de free, j'ai aussi
essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner
mieux.

(...)
Du coup au final ça ressemble un soucis DNS

Comment arrivez-vous à cette conclusion après avoir écrit que le
changement de DNS n'avait pas d'impact ? Identifier un problème de
résolution DNS, c'est assez simple, en faisant des tests croisés comme
souvent : on fait des requêtes DNS pures d'une part et d'autres types de
requêtes (ping, HTTP(S)...) vers des adresses IP (pour ne pas faire
intervenir la résolution DNS) connues pour répondre en temps normal
d'autre part. Si les requêtes DNS pures n'aboutissent pas alors que les
autres types de requêtes aboutissent, alors on peut effectivement
soupçonner un problème de DNS.
JKB
Le #26531351
Le Tue, 19 Nov 2019 21:54:28 +0100,
Pascal Hambourg
Le 19/11/2019 à 20:40, JKB a écrit :
Je suspecte, sur la collecte Orange, un proxy transparent quelque part
qui peine à répondre de temps en temps (...)
Pourquoi ? Lorsque j'observe ce dysfonctionnement,
la seule chose qui merdoie sont les ports http/https

On peut faire du proxy transparent sur du HTTPS ?

Je n'ai pas mis en oeuvre mais il y a la doc pour cela dans squid.
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Marc SCHAEFER
Le #26531355
JKB
On peut faire du proxy transparent sur du HTTPS ?

Je n'ai pas mis en oeuvre mais il y a la doc pour cela dans squid.

Avec du proxy transparent et les bonnes API, on peut obtenir l'adresse IP
destination originale avant réécriture DNAT et donc faire comme si le client
était au courant du proxy et avait fait un CONNECT ip:port, et établir
un tunnel transparent avec terminaison de l'HTTPS sur le vrai serveur.
Toutefois, avec cette technique on ne peut que filtrer sur la base
des adresses IP destination, pas de nom de domaine ni du contenu. Il y
a longtemps je travaillais sur listes blanches d'ailleurs.
Pour aller plus loin, on peut utiliser SNI (l'indication du nom
de domaine avant la négociation HTTPS), et filtrer également par
nom de domaine -- si SNI activé: il faut peut-être laisser la
connexion débuter (comme ci-dessus) et bloquer au moment où le
SNI est envoyé (*) spécifiant un domaine interdit.
Mais pour filtrer sur le contenu, il n'y a pas le choix, il faut
créer un faux certificat autosigné à déployer sur les clients,
et faire du man-in-the-middle (pas bien); c'est ce que font certains
IDS par exemple pour les écoles en Suisse quand Swisscom les connecte;
ou installer un plugin dans le navigateur AVANT chiffrement.
(*) cela veut dire aussi qu'une capture de trafic vous montrera
à quel domaine HTTPS SNI vous parlez, mais pas le contenu,
certains IDS utilisent cela pour bloquer.
Publicité
Poster une réponse
Anonyme