Discussion:
[dns-fr] resolution DNS en echec sur livebox
Jehan Procaccia
2015-10-15 15:26:19 UTC
Permalink
bonjour,

nous avons des utilisateurs qui se plaignent sporadiquement de ne pas
accéder a un de nos serveurs: si-etudiants.tem-tsp.eu
apparemment seuls les utilisateurs de livebox on le pb
apres relevés d'info sur une livebox nous constatons que les serveurs
DNS des livebox sont :
primaire: 81.253.149.9 dns-adsl-gpe3-m.orange.fr
secondaire: 80.10.246.1 dns-adsl-gpe1-a.wanadoo.fr

avec le primaire la résolution échoue

C:\Users\>nslookup
Serveur par dÚfaut : livebox.home
Address: 192.168.1.1
server 81.253.149.9
Serveur par dÚfaut : dns-adsl-gpe3-m.orange.fr
Address: 81.253.149.9
si-etudiants.tem-tsp.eu
Serveur : dns-adsl-gpe3-m.orange.fr
Address: 81.253.149.9

**** dns-adsl-gpe3-m.orange.fr ne parvient pas à trouver
si-etudiants.tem-tsp.eu*
*: Server failed*

Si on force le secondaire
server 80.10.246.1
Serveur par dÚfaut : dns-adsl-gpe1-a.wanadoo.fr
Address: 80.10.246.1
si-etudiants.tem-tsp.eu
Serveur : dns-adsl-gpe1-a.wanadoo.fr
Address: 80.10.246.1

Réponse ne faisant pas autorité :
Nom : icare.micro.int-evry.fr
*Address: 157.159.10.180**
**Aliases: si-etudiants.tem-tsp.eu*

cela marche.
Hélas on ne peu interroger ces serveurs que depuis le réseau
livebox/orange .

Un autre serveur public (verisign) , réssoud bien

$ dig @64.6.65.6 si-etudiants.tem-tsp.eu +short
icare.micro.int-evry.fr.
157.159.10.180

peut-on en conclure que c'est le serveur DNS primaire d'orange qui a un
problÚme ? pourquoi cela marcherait quand pour certains !?
en effet on a des utilisateurs de livebox pour qui cela marche (je
soupçonne quand même qu'ils aient peut-être résolu l'IP depuis le campus
et de retour @home avec le portable disposent déjà de la résolution dans
le cache ... juste une hypothÚse)

Bref comment trouver le coupable et qui alerter ? ***@orange.fr
@wanadoo.fr @xxxx ?

Merci .
Stephane Bortzmeyer
2015-10-15 15:45:53 UTC
Permalink
On Thu, Oct 15, 2015 at 05:26:19PM +0200,
Post by Jehan Procaccia
nous avons des utilisateurs qui se plaignent sporadiquement de ne pas
accéder a un de nos serveurs: si-etudiants.tem-tsp.eu
En vrac, mes observations :

Ce nom est un alias vers un nom, icare.micro.int-evry.fr, qui est dans
une zone avec un seul serveur de noms (diamant.int-evry.fr). C'est
déjà chercher des ennuis.

On ne dit pas "primaire" et "secondaire" pour des résolveurs.

Les sondes RIPE Atlas confirment un problème qui n'est pas forcément
purement Livebox. Chez Orange :

Measurement #2814037 for si-etudiants.tem-tsp.eu/A uses 126 probes
[157.159.10.180] : 83 occurrences
[ERROR: SERVFAIL] : 35 occurrences
Test done at 2015-10-15T15:41:12Z

Chez nos voisins allemands :

Measurement #2814038 for si-etudiants.tem-tsp.eu/A uses 499 probes
[157.159.10.180] : 376 occurrences
[] : 1 occurrences
[ERROR: REFUSED] : 2 occurrences
[ERROR: SERVFAIL] : 87 occurrences

Beaucoup de SERVFAIL même chez les allemands, qui ne doivent pas
avoir autant de clients Orange que ça.
Stephane Bortzmeyer
2015-10-15 18:53:32 UTC
Permalink
On Thu, Oct 15, 2015 at 05:45:53PM +0200,
Post by Stephane Bortzmeyer
Les sondes RIPE Atlas confirment un problème qui n'est pas forcément
Et en interrogeant explicitement les deux résolveurs d'Orange, depuis
les sondes RIPE Atlas situées dans l'AS 3215, on ne trouve pas trace
d'une différence significative entre les deux résolveurs :

Measurement #2814533 for si-etudiants.tem-tsp.eu/A uses 127 probes
Nameserver 81.253.149.9
[157.159.10.180] : 43 occurrences Average RTT 38 ms
[ERROR: SERVFAIL] : 77 occurrences Average RTT 48 ms
Test done at 2015-10-15T18:43:38Z

Measurement #2814546 for si-etudiants.tem-tsp.eu/A uses 127 probes
Nameserver 80.10.246.1
[157.159.10.180] : 48 occurrences Average RTT 47 ms
[ERROR: SERVFAIL] : 73 occurrences Average RTT 43 ms
Test done at 2015-10-15T18:46:28Z

Avec un nom de domaine sérieux :-) tout marche bien :

Measurement #2814562 for www.bortzmeyer.org/A uses 128 probes
Nameserver 80.10.246.1
[204.62.14.153] : 122 occurrences Average RTT 43 ms
Test done at 2015-10-15T18:50:29Z

Measurement #2814574 for www.bortzmeyer.org/A uses 128 probes
Nameserver 81.253.149.9
[204.62.14.153] : 117 occurrences Average RTT 78 ms
Test done at 2015-10-15T18:52:51Z
Yannick
2015-10-15 19:19:23 UTC
Permalink
Post by Jehan Procaccia
bonjour,
nous avons des utilisateurs qui se plaignent sporadiquement de ne pas
accéder a un de nos serveurs: si-etudiants.tem-tsp.eu
Salut,



$ dig ns tem-tsp.eu
tem-tsp.eu. 172421 IN NS diamant.int-evry.fr.
tem-tsp.eu. 172421 IN NS ns1.int-evry.fr.
tem-tsp.eu. 172421 IN NS shiva.jussieu.fr.
$

$ dig si-etudiants.tem-tsp.eu. @diamant.int-evry.fr. +short
dig: couldn't get address for 'diamant.int-evry.fr.': not found
$

Aie


$ dig diamant.int-evry.fr +short @127.0.0.1
$

(Unbound local)



$ dig ns int-evry.fr @e.ext.nic.fr

; AUTHORITY SECTION:
int-evry.fr. 172800 IN NS shiva.jussieu.fr.
int-evry.fr. 172800 IN NS dns.univ-orleans.fr.
int-evry.fr. 172800 IN NS ns2.nic.fr.
int-evry.fr. 172800 IN NS ns1.int-evry.fr.
int-evry.fr. 172800 IN NS ns4.enst.fr.
int-evry.fr. 172800 IN NS diamant.int-evry.fr.

-> 6 serveurs

$ dig ns int-evry.fr @dns.univ-orleans.fr.
;; ANSWER SECTION:
int-evry.fr. 172800 IN NS dns.univ-orleans.fr.
int-evry.fr. 172800 IN NS shiva.jussieu.fr.
int-evry.fr. 172800 IN NS ns1.int-evry.fr.
int-evry.fr. 172800 IN NS diamant.int-evry.fr.

-> 4 serveurs.. On a "perdu" 2 serveurs DNS.?






$ dig ns int-evry.fr @ns4.enst.fr.
dig: couldn't get address for 'ns4.enst.fr.': not found
$


$ dig ns enst.fr

enst.fr. 172800 IN NS ns1.enst.fr.
enst.fr. 172800 IN NS ns2.enst.fr.
enst.fr. 172800 IN NS ns3.enst.fr.
enst.fr. 172800 IN NS ns-master.enst.fr.
enst.fr. 172800 IN NS ns7-ext.enst.fr.
enst.fr. 172800 IN NS ns8-ext.enst.fr.


$ dig ns4.enst.fr @ns1.enst.fr. +short
$ dig ns4.enst.fr @ns2.enst.fr. +short
$ dig ns4.enst.fr @ns3.enst.fr. +short
$ dig ns4.enst.fr @ns-master.enst.fr. +short
^C$ dig ns4.enst.fr @ns7-ext.enst.fr. +short
$ dig ns4.enst.fr @ns8-ext.enst.fr. +short
$

$ dig ns4.enst.fr. @8.8.8.8 +short
$


Donc si je résume ces quelques tests rapides,

- si-etudiants.tem-tsp.eu. utilsie 2 DNS en x.int-evry.fr
- int-evry.fr. est configué dans les DNS de l'afnic (.fr) pour utiliser
entre autres, le serveur ns4.enst.fr.
- ns4.enst.fr. semble inconnu au bataillon

Je ne sais pas si c'est le problème, mais c'est pas forcément terrible
non plus de pointer vers un serveur qui n'existe pas.. ?
--
Yannick
Stephane Bortzmeyer
2015-10-15 19:43:38 UTC
Permalink
On Thu, Oct 15, 2015 at 09:19:23PM +0200,
Post by Yannick
dig: couldn't get address for 'diamant.int-evry.fr.': not found
$
Aie
Comme vous l'avez découvert, int-evry.fr est en effet en médiocre
état. Concernant spécifiquement ce nom diamant.int-evry.fr, les
serveurs faisant autorité répondent en effet NXDOMAIN mais les gérants
de int-evry.fr ont oublié de supprimer la colle gardée à l'AFNIC et
les serveurs de .fr répondent donc toujours pour ce nom.

% dig +nodnssec @d.nic.fr A diamant.int-evry.fr

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> +nodnssec @d.nic.fr A diamant.int-evry.fr
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58353
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 8
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;diamant.int-evry.fr. IN A

;; AUTHORITY SECTION:
int-evry.fr. 172800 IN NS dns.univ-orleans.fr.
int-evry.fr. 172800 IN NS ns1.int-evry.fr.
int-evry.fr. 172800 IN NS ns2.nic.fr.
int-evry.fr. 172800 IN NS ns4.enst.fr.
int-evry.fr. 172800 IN NS shiva.jussieu.fr.
int-evry.fr. 172800 IN NS diamant.int-evry.fr.

;; ADDITIONAL SECTION:
dns.univ-orleans.fr. 172800 IN A 194.167.30.130
ns1.int-evry.fr. 172800 IN A 157.159.11.52
ns2.nic.fr. 172800 IN A 192.93.0.4
shiva.jussieu.fr. 172800 IN A 134.157.0.129
diamant.int-evry.fr. 172800 IN A 157.159.10.12
ns1.int-evry.fr. 172800 IN AAAA 2001:660:3203:110:1::1
ns2.nic.fr. 172800 IN AAAA 2001:660:3005:1::1:2

;; Query time: 21 msec
;; SERVER: 2001:678:c::1#53(2001:678:c::1)
;; WHEN: Thu Oct 15 21:41:27 CEST 2015
;; MSG SIZE rcvd: 320

Cela peut donc permettre à certains résolveurs d'apprendre l'adresse
IP de diamant. Quand on demande aux sondes RIPE Atlas :

Measurement #2814740 for diamant.int-evry.fr/A uses 500 probes
[] : 1 occurrences
[92.242.140.68] : 1 occurrences
[ERROR: REFUSED] : 1 occurrences
[198.105.244.117 198.105.254.17] : 1 occurrences
[ERROR: NXDOMAIN] : 260 occurrences
[ERROR: FORMERR] : 1 occurrences
[92.242.132.15] : 2 occurrences
[92.242.132.16] : 1 occurrences
[157.159.10.12] : 216 occurrences
[54.72.52.58] : 2 occurrences
[92.242.140.21] : 3 occurrences
[31.199.53.9] : 1 occurrences
[ERROR: SERVFAIL] : 1 occurrences
Test done at 2015-10-15T19:33:12Z

Presque autant de réponses avec la bonne adresse que de NXDOMAIN (les
autres adresses IP comme 31.199.53.9 viennent de résolveurs menteurs
qui réécrivent les NXDOMAIN).

Donc, en effet, il faudrait sérieusement réparer int-evry.fr et
micro.int-evry.fr avant d'accuser les Livebox.
Jehan Procaccia
2015-10-15 20:27:47 UTC
Permalink
Post by Stephane Bortzmeyer
On Thu, Oct 15, 2015 at 09:19:23PM +0200,
Post by Yannick
dig: couldn't get address for 'diamant.int-evry.fr.': not found
$
Aie
Comme vous l'avez découvert, int-evry.fr est en effet en médiocre
état. Concernant spécifiquement ce nom diamant.int-evry.fr, les
serveurs faisant autorité répondent en effet NXDOMAIN mais les gérants
de int-evry.fr ont oublié de supprimer la colle gardée à l'AFNIC et
les serveurs de .fr répondent donc toujours pour ce nom.
cette infra DNS date ... j'ai souvenir que les anciens sysadmins
voulaient avoir un serveur Interne et un externe (ns1.int-evry.fr.)
visible/ouvert au reste du monde.
Maintenant il existe bien in record A pour "diamant" dans mon fichier
zone master

[***@diamant etc]# grep diamant /var/named/data/int-evry.hosts
int-evry.fr IN SOA diamant.int-evry.fr. admin.int-evry.fr. (
NS diamant.int-evry.fr.
diamant A 157.159.10.12
NS diamant
micro NS diamant

qu'est ce qui manque ?

pour la zone micro.int-evry.fr effectivement

zone "micro.int-evry.fr" in {
type master;

n'est servie que par un seul NS (diamant.int-evry.fr) , s'etait voulu,
c'est un sous domaine dynamique pour une infra Microsoft qui necessite
des mises a jours dynamique (via DHCP) des records quand les postes
clients Windows apparaissent sur le reseau. On voulais garder ça sur le
LAN sans communiquer largement ce sous domaine au monde entier .
Maintenant le service web etudiant (si-etudiants.tem-tsp.eu qui au final
est effectivement un CNAME de icare.micro.int-evry.fr) qui est servit
par une techno .NET doit être visible de l’extérieur. Certes on se
contredit, mais on en est là maintenant et il ne sera pas possible a
court terme de renommer ce serveur en le sortant du sous domaine
.micro.int-evry.fr .

Qu'est ce qui explique que beaucoup de serveurs ne resolvent pas ce nom
icare.micro.int-evry.fr
ils refuseraient de le prendre en compte parce qu'il n'a qu'un seul NS !?
a cause de la mauvaise declaration de "diamant", pour disposant d'un A
record dans la zone master , que faire d'autre ?
Post by Stephane Bortzmeyer
Cela peut donc permettre à certains résolveurs d'apprendre l'adresse
c'est un service public en ligne "Les sondes RIPE Atlas" ?,
si oui , quel est URL ?
Post by Stephane Bortzmeyer
Donc, en effet, il faudrait sérieusement réparer int-evry.fr et
micro.int-evry.fr avant d'accuser les Livebox.
oui !

Merci .
Yannick
2015-10-15 21:00:47 UTC
Permalink
Post by Jehan Procaccia
Maintenant il existe bien in record A pour "diamant" dans mon fichier
zone master
Ton master c'est 157.159.10.12 ?

Oui, lui, il a l'IP
$ dig diamant.int-evry.fr @157.159.10.12 +short
157.159.10.12
$

Mais ses potes secondaires qui sont j'imagine ? les suivants:

$ dig diamant.int-evry.fr @shiva.jussieu.fr. +short
$ dig diamant.int-evry.fr @dns.univ-orleans.fr. +short
$ dig diamant.int-evry.fr @ns1.int-evry.fr. +short
$

Eux n'ont pas l'IP.


Les serial ont l'air d'être les même:

$ dig soa int-evry.fr @shiva.jussieu.fr. +short
diamant.int-evry.fr. admin.int-evry.fr. 2014026062 7200 3600 1209600 172800
$ dig soa int-evry.fr @157.159.10.12 +short
diamant.int-evry.fr. admin.int-evry.fr. 2014026062 7200 3600 1209600 172800
$

Le serial du master a bien été modifié lors de par exemple l'ajout de
l'IP 157.159.10.12 ?

Les secondaires ont bien les droits pour se connecter sur le master ?
--
Yannick
Jehan Procaccia
2015-10-16 08:24:22 UTC
Permalink
Post by Yannick
Post by Jehan Procaccia
Maintenant il existe bien in record A pour "diamant" dans mon fichier
zone master
Ton master c'est 157.159.10.12 ?
oui
Post by Yannick
Oui, lui, il a l'IP
157.159.10.12
$
$
Eux n'ont pas l'IP.
diamant.int-evry.fr. admin.int-evry.fr. 2014026062 7200 3600 1209600 172800
diamant.int-evry.fr. admin.int-evry.fr. 2014026062 7200 3600 1209600 172800
$
je corrige ça à la main (oui Stéphane ce serai mieux avec des automates
... je verrai ça plus tard ...)

$ dig soa int-evry.fr @shiva.jussieu.fr. +short
diamant.int-evry.fr. admin.int-evry.fr. 2015101501 7200 3600 1209600 172800
$ dig soa int-evry.fr @dns.univ-orleans.fr. +short
diamant.int-evry.fr. admin.int-evry.fr. 2015101501 7200 3600 1209600 172800
$ dig soa int-evry.fr @157.159.10.12 +short
diamant.int-evry.fr. admin.int-evry.fr. 2015101501 7200 3600 1209600 172800

ça à l'air mieux !
Post by Yannick
Le serial du master a bien été modifié lors de par exemple l'ajout de
l'IP 157.159.10.12 ?
Les secondaires ont bien les droits pour se connecter sur le master ?
droits iptables oui, ils sont aussi dans le allow-transfer de la zone
int-evry.fr , mais pas dans le also-notify (suelement nos serveur
internes), il faudrait aussi les lister là ou bien s'est polluer nos
secondaires de les mettre en also-notify ?
je suppose que sans also-notify, les secondaires viendront chercher eux
meme l'info apres la fin du TTL !?

j’espère que cela marche mieux maintenant avec ces nouveaux serials, je
ne sais pas trop comment vérifier que les serveurs d'orange
(80.10.246.1, 81.253.149.9) resolvent maintenant mon icare.micro.int-evry.fr
je vais regarder la conf/video de Stéphane sur le sondes Atlas ...

Sinon je confirme que diamant 157.159.10.12 est aussi resolver et
volontairement déclaré comme "colle" ,
à ce propos je ne retrouve plus où et comment vérifier quels autres
serveurs on a de declaré en colle ?

Merci .
Stephane Bortzmeyer
2015-10-16 08:37:09 UTC
Permalink
On Fri, Oct 16, 2015 at 10:24:22AM +0200,
Post by Jehan Procaccia
je corrige ça à la main
C'est mieux.
Post by Jehan Procaccia
mais pas dans le also-notify
Pas grave, les serveurs DNS notifient typiquement tout ce qui est dans
le RRset NS. also-notify est pour notifier ceux qui ne sont *pas*
listés comme NS.
Post by Jehan Procaccia
je suppose que sans also-notify, les secondaires viendront chercher
eux meme l'info apres la fin du TTL !?
Rien à voir, le TTL est pour les résolveurs, pas pour les serveurs
faisant autorité.
Post by Jehan Procaccia
j’espère que cela marche mieux maintenant avec ces nouveaux serials, je ne
sais pas trop comment vérifier que les serveurs d'orange (80.10.246.1,
81.253.149.9) resolvent maintenant mon icare.micro.int-evry.fr
C'est mieux :

Measurement #2814877 for icare.micro.int-evry.fr/A uses 500 probes
[157.159.10.180] : 456 occurrences
[ERROR: REFUSED] : 2 occurrences
[ERROR: SERVFAIL] : 14 occurrences
Test done at 2015-10-16T08:32:18Z

Idem chez Orange :

Measurement #2814882 for icare.micro.int-evry.fr/A uses 126 probes
Nameserver 81.253.149.9
[157.159.10.180] : 121 occurrences
Test done at 2015-10-16T08:35:42Z

Enfin, pas complètement (trucs qui trainent dans le cache, sans doute) :

Measurement #2814881 for icare.micro.int-evry.fr/A uses 126 probes
Nameserver 80.10.246.1
[157.159.10.180] : 76 occurrences
[ERROR: SERVFAIL] : 45 occurrences
Test done at 2015-10-16T08:33:47Z
Post by Jehan Procaccia
Sinon je confirme que diamant 157.159.10.12 est aussi resolver
Très mauvaise pratique.
Post by Jehan Procaccia
volontairement déclaré comme "colle" ,
Encore heureux, puisqu'il est dans la zone qu'il sert.
Post by Jehan Procaccia
à ce propos je ne retrouve plus où et comment vérifier quels autres serveurs
on a de declaré en colle ?
dig sur les serveurs de .fr : si on a une adresse IP en retour, c'est
que l'AFNIC a la colle.

Autre solution, whois :

% whois int-evry.fr
%%
%% This is the AFNIC Whois server.
%%
%% complete date format : DD/MM/YYYY
%% short date format : DD/MM
%% version : FRNIC-2.5
%%
%% Rights restricted by copyright.
%% See http://www.afnic.fr/afnic/web/mentions-legales-whois_en
%%
%% Use '-h' option to obtain more information about this service.
%%
%% [2001:067c:1348:0007:0000:0000:0086:0133 REQUEST] >> -V Md5.1 int-evry.fr
%%
%% RL Net [##########] - RL IP [#########.]
%%

domain: int-evry.fr
status: ACTIVE
hold: NO
holder-c: INDT1-FRNIC
admin-c: MM6577-FRNIC
tech-c: GR1378-FRNIC
tech-c: MM6577-FRNIC
zone-c: NFC1-FRNIC
nsl-id: NSL60490-FRNIC
registrar: GIP RENATER
Expiry Date: 01/01/2016
created: 01/01/1995
last-update: 20/04/2012
source: FRNIC

ns-list: NSL60490-FRNIC
nserver: diamant.int-evry.fr [157.159.10.12]
nserver: ns1.int-evry.fr [157.159.11.52 2001:660:3203:110:1::1]
nserver: dns.univ-orleans.fr [194.167.30.130]
nserver: ns2.nic.fr [192.93.0.4 2001:660:3005:1::1:2]
nserver: ns4.enst.fr
nserver: shiva.jussieu.fr [134.157.0.129]
source: FRNIC

registrar: GIP RENATER
type: Isp Option 1
address: 23-25 Rue Daviel
address: PARIS
country: FR
phone: +33 1 53 94 20 30
fax-no: +33 1 53 94 20 31
e-mail: ***@renater.fr
website: http://www.renater.fr
anonymous: NO
registered: 01/01/1998
source: FRNIC

nic-hdl: MM6577-FRNIC
type: PERSON
contact: Marie-Christine Monget
address: Institut National des Telecommunications
address: 9, rue Charles Fourier
address: 91011 Evry Cedex
country: FR
phone: +33 1 60 76 45 06
fax-no: +33 1 60 78 38 78
e-mail: ***@int-evry.fr
notify: ***@int-evry.fr
registrar: GIP RENATER
changed: 15/10/2000 migration-***@nic.fr
anonymous: NO
obsoleted: NO
source: FRNIC

nic-hdl: GR1378-FRNIC
type: ROLE
contact: GIP RENATER
address: GIP RENATER
address: Ensam
address: 151, boulevard de l'Hopital
address: 75013 Paris
country: FR
phone: +33 1 53 94 20 30
fax-no: +33 1 53 94 20 31
e-mail: ***@renater.fr
trouble: Information: http://www.Renater.fr/
trouble: abuse reports, ... mailto:***@Renater.fr
trouble: questions: mailto:***@Renater.Fr
admin-c: DV321-FRNIC
tech-c: FS65-FRNIC
tech-c: BT261-FRNIC
tech-c: MD5336-FRNIC
tech-c: SJ94-FRNIC
tech-c: ED168-FRNIC
tech-c: CT1053-FRNIC
tech-c: SEH1-FRNIC
tech-c: FXA1-FRNIC
registrar: GIP RENATER
changed: 08/11/2005 ***@renater.fr
anonymous: NO
obsoleted: NO
source: FRNIC

nic-hdl: INDT1-FRNIC
type: ORGANIZATION
contact: Institut National des Telecommunications
address: 9, rue Charles Fourier
address: 91011 Evry Cedex
country: FR
registrar: GIP RENATER
changed: 09/10/2008 ***@nic.fr
anonymous: NO
obsoleted: NO
source: FRNIC
Jehan Procaccia
2015-10-16 11:47:12 UTC
Permalink
Post by Stephane Bortzmeyer
Post by Jehan Procaccia
j’espère que cela marche mieux maintenant avec ces nouveaux serials, je ne
sais pas trop comment vérifier que les serveurs d'orange (80.10.246.1,
81.253.149.9) resolvent maintenant mon icare.micro.int-evry.fr
Measurement #2814877 for icare.micro.int-evry.fr/A uses 500 probes
[157.159.10.180] : 456 occurrences
[ERROR: REFUSED] : 2 occurrences
[ERROR: SERVFAIL] : 14 occurrences
Test done at 2015-10-16T08:32:18Z
oui, j'aimerai bien vérifier ça moi même, quand j’aurai écouté la conf
(2h21 ...) , je saurai peut-être le faire
https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/9333/show/jcsa15-retour-sur-la-journee-du-conseil-scientifique-de-l-afnic-2015.html
à propos de cette conf, la présentation (support/slides ?) ne semble pas
téléchargeable, y en avait-il une ?
Post by Stephane Bortzmeyer
Post by Jehan Procaccia
Sinon je confirme que diamant 157.159.10.12 est aussi resolver
Très mauvaise pratique.
oui, cet "évènement" pourrait-être l'occasion pour nous de revoir notre
architecture DNS, il a bien des Bests Practices
http://www.cert.ssi.gouv.fr/site/CERTA-2008-INF-002/CERTA-2008-INF-002.html#SECTION00062000000000000000
mais qui datent de 2008, existe t-il d'autres références a jours ?
en attendant, on est bien d'accord, le serveur qui fait la "colle" est
bien le master où se trouvent les fichiers sources des zones ?
il ne devrait service qu'a faire les mises jours et ne pas etre
interroger par des clients ?
Post by Stephane Bortzmeyer
Post by Jehan Procaccia
volontairement déclaré comme "colle" ,
Encore heureux, puisqu'il est dans la zone qu'il sert.
Post by Jehan Procaccia
à ce propos je ne retrouve plus où et comment vérifier quels autres serveurs
on a de declaré en colle ?
dig sur les serveurs de .fr : si on a une adresse IP en retour, c'est
que l'AFNIC a la colle.
bof, je m'y prend mal ou j'ai mal compris, je n'ai pas de réponse A pour
les 2 que je pensais être notre colle

$ dig @d.nic.fr -t A ns1.int-evry.fr +short
$ dig @d.nic.fr -t A diamant.int-evry.fr +short
rien

pourtant ils sont bien là dans la base RIPE / whois

nserver: diamant.int-evry.fr [157.159.10.12]
nserver: ns1.int-evry.fr [157.159.11.52 2001:660:3203:110:1::1] #
meme en V6 pour ce dernier ;-)

enfin, pour mon pb initial de serial, la zone int-evry.fr etant
dynamiquement mise a jours (lien entre bind et isc-dhcp)
j'ai l'impression que le serial n'est pas automatiquement incrémenté .
si je ne fais pas une édition manuelle (avec arret du service bind et
effacement du journal (.jnl) associé à cette zone) , le serial ne bouge
pas, d'où mon pb initial.
c'est un mauvais paramétrage de ma part ou bien il faut ce le faire a la
main quand on y pense ?

Merci pour tous ces conseils .
Stephane Bortzmeyer
2015-10-16 12:53:26 UTC
Permalink
On Fri, Oct 16, 2015 at 01:47:12PM +0200,
Post by Stephane Bortzmeyer
https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/9333/show/jcsa15-retour-sur-la-journee-du-conseil-scientifique-de-l-afnic-2015.html
à propos de cette conf, la présentation (support/slides ?) ne semble pas
téléchargeable, y en avait-il une ?
ProblÚme HTML. Voici les planches, attachées.
Post by Stephane Bortzmeyer
cet "évÚnement" pourrait-être l'occasion pour nous de revoir notre
architecture DNS, il a bien des Bests Practices
http://www.cert.ssi.gouv.fr/site/CERTA-2008-INF-002/CERTA-2008-INF-002.html#SECTION00062000000000000000
mais qui datent de 2008, existe t-il d'autres références a jours ?
Cela fait plus de dix ans que c'est une mauvaise pratique, donc pas
besoin de références plus récentes :-)
Post by Stephane Bortzmeyer
en attendant, on est bien d'accord, le serveur qui fait la "colle" est bien
le master où se trouvent les fichiers sources des zones ?
Euh, non, je n'ai pas l'impression que tu utilises le mot "colle"
correctement.
Post by Stephane Bortzmeyer
bof, je m'y prend mal ou j'ai mal compris, je n'ai pas de réponse A pour les
2 que je pensais être notre colle
+short n'affiche que la section Answer alors que la colle est mise
dans la section Authority.

% dig @d.nic.fr -t A ns1.int-evry.fr |grep ns1.int-evry.fr
; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> @d.nic.fr -t A ns1.int-evry.fr
;ns1.int-evry.fr. IN A
int-evry.fr. 172800 IN NS ns1.int-evry.fr.
ns1.int-evry.fr. 172800 IN A 157.159.11.52
ns1.int-evry.fr. 172800 IN AAAA 2001:660:3203:110:1::1
Post by Stephane Bortzmeyer
pourtant ils sont bien là dans la base RIPE / whois
Euh, non, ce n'est pas la base RIPE qu'il faut regarder mais celle de
l'AFNIC.
Post by Stephane Bortzmeyer
enfin, pour mon pb initial de serial, la zone int-evry.fr etant
dynamiquement mise a jours (lien entre bind et isc-dhcp)
j'ai l'impression que le serial n'est pas automatiquement incrémenté
.
Si c'est le cas, c'est une gravissime bogue du logiciel. BIND, par
exemple, n'a pas cette bogue.
Jehan Procaccia
2015-10-16 16:02:26 UTC
Permalink
Post by Stephane Bortzmeyer
On Fri, Oct 16, 2015 at 01:47:12PM +0200,
Post by Jehan Procaccia
enfin, pour mon pb initial de serial, la zone int-evry.fr etant
dynamiquement mise a jours (lien entre bind et isc-dhcp)
j'ai l'impression que le serial n'est pas automatiquement incrémenté
.
Si c'est le cas, c'est une gravissime bogue du logiciel. BIND, par
exemple, n'a pas cette bogue.
erreur ou impatience de ma part, ce soit il l’incrément a fait +4 (sans
que je le fasse manuellement !)

[***@anaconda ~]
$ dig soa int-evry.fr @diamant.int-evry.fr +short
diamant.int-evry.fr. admin.int-evry.fr. 20151015*05* 7200 3600 1209600 17280
l***@uggy.org
2015-10-16 13:33:51 UTC
Permalink
notre architecture DNS, il a bien des Bests Practices
http://www.cert.ssi.gouv.fr/site/CERTA-2008-INF-002/CERTA-2008-INF-002.html#SECTION00062000000000000000
mais qui datent de 2008, existe t-il d'autres références a jours ?
Comme indiqué par Stéphane, les mauvaises pratiques d'il y a 10 ans
restent a priori des mauvaises pratiques à ce jour :)
J'ajouterais un lien de 2015 qui peut être utile:
http://www.ssi.gouv.fr/uploads/2014/05/guide_dns_anssi_1.2.pdf


Pour le reste (colle etc..) Stéphane à déjà répondu :)


Sinon je pense qu'il y a toujours au moins un truc pas clean avec
ns4.enst.fr. déclaré comme NS mais qui n'existe pas.. (voir mail
précédent)

$ dig ns int-evry.fr @e.ext.nic.fr
; AUTHORITY SECTION:
int-evry.fr. 172800 IN NS shiva.jussieu.fr.
int-evry.fr. 172800 IN NS dns.univ-orleans.fr.
int-evry.fr. 172800 IN NS ns2.nic.fr.
int-evry.fr. 172800 IN NS ns1.int-evry.fr.
int-evry.fr. 172800 IN NS ns4.enst.fr.
int-evry.fr. 172800 IN NS diamant.int-evry.fr.
--
Yannick
Stephane Bortzmeyer
2015-10-16 13:46:44 UTC
Permalink
On Fri, Oct 16, 2015 at 03:33:51PM +0200,
Post by l***@uggy.org
Sinon je pense qu'il y a toujours au moins un truc pas clean avec
ns4.enst.fr.
Un seul :-) On ne répétera jamais assez qu'il faut tester ses zones
avec Zonemaster. Ici, il y a du travail :

https://zonemaster.net/test/39752
Yannick
2015-10-16 14:00:35 UTC
Permalink
Post by Stephane Bortzmeyer
Un seul :-) On ne répétera jamais assez qu'il faut tester ses zones
https://zonemaster.net/test/39752
:D
Effectivement.. L'AXFR authorisé (entre autre).. ça pique un peu.
--
Yannick
Jehan Procaccia
2015-10-16 17:35:35 UTC
Permalink
Post by Yannick
Post by Stephane Bortzmeyer
Un seul :-) On ne répétera jamais assez qu'il faut tester ses zones
https://zonemaster.net/test/39752
:D
Effectivement.. L'AXFR authorisé (entre autre).. ça pique un peu.
ok, AXFR retiré et reponses sur le port 53 en ipv6 réactivées, le
zonecheck commence a être mieux sur int-evry.fr ;-)
il ne me reste en rouge plus que :
1) Parent has nameserver(s) not listed at the child (ns2.nic.fr;
ns4.enst.fr).
=> il resterait qq part des pointeurs vers ces ns ... où ?
mon fichier zone sur le master ne mentionne que
NS dns.univ-orleans.fr.
NS ns1.int-evry.fr.
NS shiva.jussieu.fr.
NS diamant.int-evry.fr.

2) When asked for SOA records on "www.int-evry.fr" with different cases,
all servers do not reply consistently.
celui là je sèche .

Merci .
Yannick
2015-10-16 18:09:15 UTC
Permalink
Post by Jehan Procaccia
1) Parent has nameserver(s) not listed at the child (ns2.nic.fr;
ns4.enst.fr).
=> il resterait qq part des pointeurs vers ces ns ... où ?
C'est ce que j'ai donné dans mon 1er mail ;)

$ date
Fri Oct 16 20:06:20 CEST 2015
$ dig ns int-evry.fr @e.ext.nic.fr
;; AUTHORITY SECTION:
int-evry.fr. 172800 IN NS diamant.int-evry.fr.
int-evry.fr. 172800 IN NS dns.univ-orleans.fr.
int-evry.fr. 172800 IN NS shiva.jussieu.fr.
int-evry.fr. 172800 IN NS ns1.int-evry.fr.
int-evry.fr. 172800 IN NS ns2.nic.fr.
int-evry.fr. 172800 IN NS ns4.enst.fr.


Ces infos sont dans la zone .fr

Comme tu ne bosses pas a l'Afnic comme certaines personnes de la liste
;) tu dois passer par ton registrar pour modifier ces entrées dans la
zone fr. (et virer la colle)
--
Yannick
Jehan Procaccia
2015-10-16 20:01:59 UTC
Permalink
Post by Yannick
Post by Jehan Procaccia
1) Parent has nameserver(s) not listed at the child (ns2.nic.fr;
ns4.enst.fr).
=> il resterait qq part des pointeurs vers ces ns ... où ?
C'est ce que j'ai donné dans mon 1er mail ;)
$ date
Fri Oct 16 20:06:20 CEST 2015
int-evry.fr. 172800 IN NS diamant.int-evry.fr.
int-evry.fr. 172800 IN NS dns.univ-orleans.fr.
int-evry.fr. 172800 IN NS shiva.jussieu.fr.
int-evry.fr. 172800 IN NS ns1.int-evry.fr.
int-evry.fr. 172800 IN NS ns2.nic.fr.
int-evry.fr. 172800 IN NS ns4.enst.fr.
Ces infos sont dans la zone .fr
Comme tu ne bosses pas a l'Afnic comme certaines personnes de la liste
;) tu dois passer par ton registrar pour modifier ces entrées dans la
zone fr. (et virer la colle)
le fournisseur de l'IP s'etait l'Inria dans les années 1990 !
inetnum: 157.159.0.0 - 157.159.255.255
status: LEGACY


pour le domainame int-evry.fr
$ whois int-evry.fr | grep -i registrar
registrar: GIP RENATER
manifestement c'est Renater, ce doit être mes prédécesseurs qui l'on
enregistré chez Renater et/ou Renater a repris les noms de domaine Legacy ?

je vais voir avec eux ;
https://services.renater.fr/connectivite/nom_de_domaines_en_.fr_et_.re
au final ils contacteront l'Afnic j'imagine ...

Merci .
Stephane Bortzmeyer
2015-10-19 11:34:34 UTC
Permalink
On Fri, Oct 16, 2015 at 10:01:59PM +0200,
Post by Jehan Procaccia
manifestement c'est Renater, ce doit être mes prédécesseurs qui l'on
enregistré chez Renater et/ou Renater a repris les noms de domaine Legacy ?
Difficile de gérer un nom de domaine si on ne connait pas le nom de son
registrar :-) Un petit problème d'organisation local ? :-)

Au passage, je vois un autre problème administratif pour ce domaine.

% whois int-evry.fr

nic-hdl: MM6577-FRNIC
type: PERSON
contact: Marie-Christine Monget
address: Institut National des Telecommunications

C'est toujours elle qui s'en occupe ?

Stephane Bortzmeyer
2015-10-19 11:32:08 UTC
Permalink
On Fri, Oct 16, 2015 at 07:35:35PM +0200,
2) When asked for SOA records on "www.int-evry.fr" with different cases, all
servers do not reply consistently.
celui là je sèche .
C'était une bogue :-) <https://github.com/dotse/zonemaster/issues/422>
Stephane Bortzmeyer
2015-10-16 07:09:55 UTC
Permalink
On Thu, Oct 15, 2015 at 10:27:47PM +0200,
Post by Jehan Procaccia
qu'est ce qui manque ?
Le plus probable, c'est que Yannick a raison : oubli de changer le
numéro de série en éditant la zone (au passage, l'excellent mode Emacs
zone-mode fait cela automatiquement : pourquoi confier cette tâche à
des humains alors que nous avons des logiciels pour automatiser ?)
Post by Jehan Procaccia
c'est un sous domaine dynamique pour une infra Microsoft qui
necessite des mises a jours dynamique (via DHCP) des records quand
les postes clients Windows apparaissent sur le reseau.
Et alors ? En quoi est-ce que ça empêche d'avoir deux serveurs ? .fr
aussi est maintenu par mises à jour dynamiques, et a plusieurs serveurs.
Post by Jehan Procaccia
Qu'est ce qui explique que beaucoup de serveurs ne resolvent pas ce nom
icare.micro.int-evry.fr
ils refuseraient de le prendre en compte parce qu'il n'a qu'un seul NS !?
Non, mais, s'il n'y a qu'un seul NS, le moindre problème de routage ou
de filtrage et c'est fichu.
Post by Jehan Procaccia
a cause de la mauvaise declaration de "diamant", pour disposant d'un A
record dans la zone master , que faire d'autre ?
Si on s'obstine à utiliser AD, on ne peut pas s'étonner que ça marche
mal. Ceci dit, même avec AD, on peut avoir plusieurs serveurs par zone.
Post by Jehan Procaccia
c'est un service public en ligne "Les sondes RIPE Atlas" ?,
Tiens, il y a des gens qui ne lisent pas mon blog :-)

https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/9333/show/jcsa15-retour-sur-la-journee-du-conseil-scientifique-de-l-afnic-2015.html
Yannick
2015-10-15 20:49:41 UTC
Permalink
Post by Stephane Bortzmeyer
Comme vous l'avez découvert, int-evry.fr est en effet en médiocre
état. Concernant spécifiquement ce nom diamant.int-evry.fr, les
serveurs faisant autorité répondent en effet NXDOMAIN mais les
gérants de int-evry.fr ont oublié de supprimer la colle gardée à
l'AFNIC et les serveurs de .fr répondent donc toujours pour ce nom.
A priori ils n'ont pas laissé que la colle.. vu qu'ils l'ont laissé
aussi comme NS dans la zone:

$ dig ns int-evry.fr @dns.univ-orleans.fr. +short
ns1.int-evry.fr.
dns.univ-orleans.fr.
diamant.int-evry.fr. <<<<<<<<<<
shiva.jussieu.fr.
$

A moins qu'ils voudraient que diamant.int-evry.fr. resolve ? , mais
comme tu le dit, n'ont pas l'IP dans leur zone.. ?

Est ce qu'on peut résumer par :

On ne sait donc pas si l'erreur est
A- d'avoir oublié d'enlever un NS (sans IP) et la colle
ou
B- d'avoir oublié de mettre une IP

?

La colle répond :

$ dig diamant.int-evry.fr @157.159.10.12 +short
157.159.10.12
$

Donc je pencherais plutot pour -B



Mais comme tu le dit, ca fait quand même plusieurs mauvais points.. et
rien a voir avec Orange..
--
Yannick
Loading...