Problème de DNS avec Orange

Bonjour à tous,

Petit message pour vous faire part d’un souci que certains clients étant chez Orange (fibre ou téléphonie) ont. Quand ils essayent à se connecter à mes services, ils ont parfois une page « site introuvable » dans leur navigateur.
Cela me donne l’impression que leur connexion internet n’arrive pas à résoudre le domaine via mon DNS, voir que les domaines « sleto.net » et « sleto.fr » sont banis partiellement par Orange.
Ah oui, parce que la situation est aléatoire en plus: parfois ça marche et parfois non.

Au début, j’ai cru que c’était du à la configuration de mon « fail2ban » mais j’ai bien vérifié et aucune IP n’est bloqué par « http »
Ensuite, j’ai cru que c’était mon hébergeur (VPS chez https://www.magic.fr): l’IPv4 fixe était banis par certains serveurs d’Orange.
Mais hier, j’ai eu un autre client qui était aussi bloqué alors que ces service sont sur une VPS d’OVH.

En plus, n’étant pas chez Orange, je n’ai pas moyen de tester et comprendre d’où viens le souci :frowning:
Chez moi, tout marche bien et mon mécanisme de vérification d’état de mes services (hébergé chez Online - Dedibox) ne trouve aucun souci.

Du coup, je lance un appel au CHATONS:

  • Avez vous déjà eu le souci avec Orange ?
  • Avez vous un moyen de les contacter pour libérer mes domaines ?

Merci de votre aide :slight_smile:

Oui, j’ai déjà eu de nombreux soucis avec Orange et ses DNS en carton.

Pour le moment, tes enregistrements DNS ne semblent pas trop avoir de soucis (y a un truc chez OVH qui semble coincer)

En terme de résolution DNS :

Propagation DNS

Tu peux regarder là, et constater que certains prestataires DNS connaissent les IP associées à tes noms de domaines:
Google : DNS Lookup - Check All DNS Records for Any Domain
Cloudflare : DNS Lookup - Check All DNS Records for Any Domain
etc.

Par contre, il n’y a pas d’IPv6. Ce qui n’est pas un gros problème.

Il y a 10 ans, chez Orange il fallait plus d’un mois pour que leurs DNS se mettent à jour… (quelque soit la valeur du TTL).
Ça s’est amélioré avec le temps, mais Orange essaye régulièrement de détrôner SFR en terme de craditude.
Orange a bien les compétences et toute l’infrastructure qu’il faut, mais c’est réservé aux gros comptes. Même leur branche FAI n’y a pas accès. C’est dommage.

Alors oui, les utilisateurs sont bien plus prompte à se plaindre auprès de toi que de remettre en cause leur FAI.

Tu pourrais leur indiquer comment se passer des DNS de leur FAI, ça rendrait leur accès à Internet plus fiable et bien plus rapide (et ça leur éviterait de subir la censure des sites).

Merci de ton retour.

J’ai vu que j’avais laissé en DNS secondaire l’URL d’un DNS d’OVH.
Je vais le supprimé (il n’y a pas de raison qu’ils connaissent mieux que moi mes serveurs), c’est peut être une raison qui fait qu’Orange se plante parfois.

Ce n’est pas déconnant d’avoir plusieurs DNS. C’est même obligatoire d’en avoir 2.
(ça se contourne, cela dit).
Tu trouveras facilement des services de DNS secondaires, qui vont apprendre de ton DNS principal.
La plupart des registrar proposent ce service.

Il faudrait plutôt que tu trouves pourquoi le transfert des zones vers le DNS secondaire de OVH ne s’est pas bien passé. Probablement un port à ouvrir, et, des autorisations de transferts de zone. (différent du trransfers de nom de domaine)

Je sais qu’il est mieux d’avoir plusieurs serveurs DNS
J’ai donc réalisé cette configuration:

  • 1 serveur « master » sur un VPS OVH
  • 2 serveur « slave » sur un VPS magic.fr et online/dedibox

Ainsi, normalement, j’ai plusieurs serveurs DNS, hébergé dans différents datacenters

Le souci que je me suis apperçu, c’est que j’ai laissé le serveur OVH (en 4ème) dans la liste de serveurs DNS associés à mes domaines.
Je vais l’enlever: 3 serveurs DNS géré par mes soins devrait être suffisant

1 « J'aime »

Hmm. On a eu des soucis similaires à ceux que tu décris (site introuvable). Après vérification, les terminaux essayaient de se connecter en IPv6 seulement (nous c’était sur des réseaux mobiles). Du coup ça peut être à prendre en compte : est-ce qu’iels essaient de se connecter en IPv4 ou IPv6.

3 « J'aime »

Vu de chez moi, le serveur qui fait autorité est ns4.sleto.net. . Mais il n’est accessible qu’en IPv4. Pas grave. Sauf que la zone n’est pas signé DNSSEC ce qui peut (va?) induire «des effets de bords inattendu» sur certain navigateur et/ou certain os. Ensuite, parmi les autres serveurs dns annonçant sleto.net, il y en a deux qui sont accessibles en IPv6. Chouette ! Sauf que l’adresse IPv6 de ns5.sleto.net. utilise un prefixe qui n’est destinée à ça.
Peut-être modifier ce champ et signer la zone (DNSSEC chez ovh, mais je ne sais pas dans quelle mesure cela est aisé. :slight_smile: )

2 « J'aime »

Merci de votre retour.

En faite, je n’utilise pas du tout les serveurs DNS d’OVH mais bien mes propres instance bind9 (3 serveurs: ns4.sleto.net en « Master » et ns3 + ns5 en « Slave » de replication).
Du coup, je vais voir de mon coté pour ajouté le DNSSEC.

Ok, je vais voir pour mieux gérer aussi les IPv6 dans mon DNS (directive AAAA à ajouter, il me semble).

2 « J'aime »

Je m’auto-corrige, il y a bien une configuration à faire chez OVH pour le DNSSEC.
C’est expliqué ici : Sécuriser votre nom de domaine avec DNSSEC - OVHcloud

2 « J'aime »

Petite question @stephane, toi qui semble bien toucher sur ce sujet.
La signature DNSSEC, si j’ai bien compris, il faudrait la refaire à chaque modification de notre configuration DNS, c’est ça ?
Du coup, à chaque fois que j’ajoute un sous-domaine (ou que j’en enlève), je devrais regénérer mes clefs de sécurité: c’est bien cela ?

Pas toutafé. La création de la paire de clef publique|privé est faite une seule et unique fois. Tu peux créer et envoyer plusieurs clé publique|privé afin de parer à une perte, compromission, révocation,etc… C’est ton registrar qui se charge d’envoyer la clé publique en la signant avec sa propre clé privé vers le registre du top level domain, le tld. net. dans le cas de sleto.net. .Mais la signature de ta zone est à réaliser à chaque modification. Attention, je pourrais t’enduire d’erreurs car c’est un sujet que je maîtrisais il y a déja qq années. Je ne voudrais pas te dire de grosses bêtises en pensant toujours le maitriser :wink:

Si ton registrar est également SOA pour ton domaine sleto.net. il se chargera de modifier la signature de la zone et de la diffuser. C’est transparent pour toi. MAIS C’est pas ton cas.

Cependant, tu utilises bind9 pour gérer tes serveurs DNS. Il y a normalement les utilitaires associés pour créer les clés, signer, et vérifier les signatures, les zones, que sont dnssec-signzone et dnssec-keygen dans le meta package debian. Dès qu’on parle algo de chiffrement, une grande prudence est à observer même avec les choses les plus stables (J’en ai évoqué une par exemple avec la migration openssl 1.xx → openssl 3.xx)

Du coup, je corrige ce que je t’ai dit. Dans l’ordre, te mettre compliant IPv6 de partout. Puis la question DNSSEC viendra après, et potentiellement avec des personnes qui se sentent plus à l’aise. (En gros, ça me dérange pas de faire disparaitre des écrans un domaine que je gère parce que j’ai fait une bétise, ça me dérangerait de te le faire faire :smile_cat: )

Chez Hadoly, on l’a jamais fait. Pourtant, nous gérons nos dns, et sur des ip dont nous avons la délégation (gitoyen.net) et dont l’annonce est réalisé par Grenode.net . Mais j’ai jamais su si c’était faute d’interêt à l’instant t. Quand à l’instant t+1 ?

Merci @stephane de cette réponse.

Je vais déjà bien diffusé mes IPv6 dans mon DNS et je verais ensuite si je vais plus loin avec DNSSEC.

En tout cas, l’IPv6 sent plutot bon pour résoudre mon souci.
En effet, en les configurant, je me suis au début trompé d’adresse (inversé) et quand j’ai voulut accéder à 1 de mes domaines, j’ai eu une erreur signature SSL sur l’HTTPS : il mélangeait les adresses.
Du coup, j’en déduit que « le réseau » (je ne sais pas à quel niveau) préfère résoudre des domaines via IPv6 plutôt que par IPv4

Peut être qu’Orange ne fait alors que véhiculer des IPv6 sur son réseau, ce qui expliquerait mes soucis.
Je vais tester cette nouvelle configuration.

@Laurent : Si tu comptes configurer DNSSEC et que tu as bien ton propre master avec BIND sur un dérivé de Debian, tu peux checker ma note sur cette même config que j’ai faite récemment : Configurer DNSSEC sur ns1.club1.fr - Forum CLUB1

Après ça m’étonnerait que ça soit vraiment la source de ton problème, les zones de second niveau non signées c’est pas ça qui manque sur Internet.

3 « J'aime »

Merci du partage.
Oui, je pense plutot à un souci IPv6

Je pense que tu as encore un problème IPV6 sur un de tes serveurs

|ns5.sleto.net. |fe80::e8f2:e2ff:fe35:1a92|
|---|---|
|ns4.sleto.net. |2001:41d0:404:200::7154|

ns5 n’est pas joignable avec l’adresse que tu as renseigné

Merci, je vais désactivé celle de ns5: mieux vaux ne pas en avoir qu’en avoir une fausse

Bonjour Laurent,

J’ai hésité à intervenir parce que le souci était bien identifié dans ce message.
« sdns2.ovh.net » est listé dans les « NS » de tes zones. Lorsqu’un résolveur DNS le sélectionne pour faire une requête DNS dans tes zones, il répond une erreur, et le résolveur (quand c’est Orange, tu vois l’impact), va le garder en « cache négatif » pour toutes les requêtes suivantes ,pendant une certaine durée, potentiellement plusieurs heures.

1 « J'aime »