Auteur Sujet: Site inaccessible depuis le réseau Bouygues Telecom mobile - problème de DNS ?  (Lu 27478 fois)

0 Membres et 1 Invité sur ce sujet

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Il y a une chose qui m'étonne, pourquoi avoir activé cette interception des requêtes DNS pour le mobile et pas pour le fixe (ADSL...) ? Parce que c'est moins visible ? Avec le partage de connexion, ce n'est plus forcèment le cas. Où est-ce une première étape ?

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Il y a une chose qui m'étonne, pourquoi avoir activé cette interception des requêtes DNS pour le mobile et pas pour le fixe (ADSL...) ? Parce que c'est moins visible ? Avec le partage de connexion, ce n'est plus forcèment le cas. Où est-ce une première étape ?
A l'origine il me semble que c'était pour compresser les sites (réduction de la qualité des images, ...).

D'ailleurs le nom wpxy-proxyless.wip-ext.bouyguestelecom.fr suggère que c'est pour remplacer le proxy dans l'APN.

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
C'est le wap, pas le dns, pour la compression, et ce n'est plus utilisé depuis des lustres.

Pour le DNS, c'est pour que les clients accèdent à internet, même avec un apn mal configuré.
J'ai la flemme de retrouver l'explication de Boris, mais ce sujet est récurrent:
Il y a eu un sujet l'été dernier pour les dns déjà. Boris avait dit que c'était pour que le net marche même si le apn du mobile était mauvais.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Si le DNS mentait pour tous les sites, alors ce serait effectivement un moyen de forcer un passage par un proxy (qui pouvait effectuer la compression avant, je ne sais pas ce qu'il fait actuellement), même s'il n'est pas dans l'APN.
Sauf que ça ne concerne pas tous les sites, et la connexion fonctionne sans.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Pouvoir accéder à Internet même si les DNS sont mal configurés, quelle mauvaise excuse, surtout quand tes propres DNS mentent. Dans quel but ?

D'abord, je n'ai jamais eu à m'occuper des DNS sur un mobile, qui sont récupérés par DHCP. Sinon, il faut bien sûr corriger les DNS, pas faire cette horreur !

J'espère que l'ARCEP va intervenir et condamner fermement Bouygues Telecom.

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Il y a des cas où le dns était vraiment mal configuré, et le mobile ne récupérait rien à la connexion.
Boris expliquait bien cela.
Vivien, ce sujet est trop récurrent, ce serait bien de retrouver et mettre le sujet en question en post-it, stp. ;)

L'interception dns c'est 100% ou 0%, pas de "certains sites".
Le mensonge au résultat, ou le blocage (volontaire ou non) ne concernent qu'une partie des sites, en effet.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
A noter que l'interception en IPv6 peut avoir une justification : un serveur DNS IPv6 tiers ne ferait probablement pas DNS64, ce qui casserait l'accès IPv4.

Mais s'ils ne compressent plus les sites, je me demande bien quelle est la raison d'avoir un DNS menteur forçant certains sites à passer par wpxy-proxyless.wip-ext.bouyguestelecom.fr.

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
J'espère que l'ARCEP va intervenir et condamner fermement Bouygues Telecom.
+1 pour l'interception dns.

Par contre, le fait que les opérateurs aient tous un dns menteur, c'est une obligation légale (renforcée cette année, sic).
Mais si on pouvait arrêté les interceptions dns, ce serait déjà bien.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Effectivement, tout était dans un sujet d'il y a un an, très bien documenté, que j'avais complétement zappé. Il y avait même une interception SMTP. Donc cela ne date pas d'aujourd'hui, et n'a toujours pas été corrigé.

https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
+1 pour l'interception dns.

Par contre, le fait que les opérateurs aient tous un dns menteur, c'est une obligation légale (renforcée cette année, sic).
Mais si on pouvait arrêté les interceptions dns, ce serait déjà bien.
L'obligation légale est implèmentée de manière différente, ce qui fait qu'elle n'est pas très claire (ça peut être NXDOMAIN, 127.0.0.1, ...).
Mais là ce n'est pas la même chose.

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Effectivement, tout était dans un sujet d'il y a un an, très bien documenté, que j'avais complétement zappé. Il y avait même une interception SMTP. Donc cela ne date pas d'aujourd'hui, et n'a toujours pas été corrigé.

https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/
Non, le sujet de base n'est pas celui-ci.
Il fait juste parti de la récurrence du sujet du dns sur mobile Bouygues.

L'obligation légale est implèmentée de manière différente, ce qui fait qu'elle n'est pas très claire (ça peut être NXDOMAIN, 127.0.0.1, ...).
Mais là ce n'est pas la même chose.
Oui, c'est les cas de blocages volontaires (ce qui n'est pas le cas pour le site youscribe.com de ce que je comprends).
Mais l'interception du dns redirige donc vers le DNS de Bouygues... qui a aussi cet aspect.
Le gros jackpot de la somme de tous les soucis que l'on peut avoir en dns, dans ce cas! :-\

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
D'ailleurs le nom wpxy-proxyless.wip-ext.bouyguestelecom.fr suggère que c'est pour remplacer le proxy dans l'APN.

Non, la compression des pages web, réalisée par SFR et Bouygues Telecom à l'époque de la 2G et de la 3G était réalisé sans modification DNS, par le proxy transparent et cela impactait tous les transferts sur le port TCP 80. Le but de cette compression des images et du code HTML était de réduire le temps de chargement.

wpxy-proxyless.wip-ext.bouyguestelecom.fr est utilisé pour autre chose que la compression. La preuve : LEs DNS Bouygues mentent aussi pour le site http://www.zdnet.fr/ qui passe par cette plateforme sans être compressé (j'ai vérifié a plusieurs reprise il y a un an).

Autre site où le DNS force un passage par wpxy-proxyless.wip-ext.bouyguestelecom.fr : authentication.0pb.org (il est nécessaire pour certains sites web, comme par exemple KKO Store)

Dans les deux cas, ce sont des sites en http. Et c'est probablement la raison du non passage en https.
Si vous en trouvez d'autres, je suis preneur.


Avez-vous essayé de modifier le TTL ? Des retours montrent que la réponse DNS peut être différente selon le TTL, ce qui signifie que la réponse DNS n'est pas la même si le site est appelé depuis le smartpone ou depuis un PC connecté en partage de connexion sur le smartphone :

Encore plus fort : Cela fonctionne en modifiant le TTL !

Le DNS ne donne pas la même IP si le TTL est paire ou impaire !

$ dig www.zdnet.fr

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.zdnet.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51064
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;www.zdnet.fr. IN A

;; ANSWER SECTION:
www.zdnet.fr. 5977 IN CNAME wpxy-proxyless.wip-ext.bouyguestelecom.fr.
wpxy-proxyless.wip-ext.bouyguestelecom.fr. 118 IN A 62.34.202.116

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Mon Jul 24 13:11:57 CEST 2017
;; MSG SIZE  rcvd: 110


Tutoriel pour modifier le TTL :
Bouygues Telecom décompte la consommation du forfait, en présence d'un routeur/partage de connexion coté abonné sur son bonus option illimité le week-end.

Pour avoir le trafic en illimité, même en mode modem (ou avec un routeur 4G) il faut modifier le TTL des PC connecté à ton point d’accès pour avoir l'illimité même sur PC :
- TTL = 63 ou 64 ou 127 ou 128 = facturation (par défaut le TTL est de 64 ou 128)
- TTL autre que 63 ou 64 ou 127 ou 128 = non facturation (enfin je n'ai testé qu'avec un TTL de 65)




Modifier le TTL sur Windows

Commande pour afficher le TTL sous Windows :
netsh int ipv4 show glob
netsh int ipv6 show glob


Changement du TTL sous Windows pour avoir de la data illimitée : (à exécuter avec les privilèges administrateurs)
netsh int ipv4 set glob defaultcurhoplimit=65
netsh int ipv6 set glob defaultcurhoplimit=65




Modifier le TTL sur Linux :

Commande pour afficher le TTL sous Linux :
cat /proc/sys/net/ipv4/ip_default_ttl
64


Commande pour changer le TTL sous Linux pour avoir de la data illimitée :
sudo sysctl net.ipv4.ip_default_ttl=65

Commande pour rendre le changement de TTL persistant au redémarrage sous Linux :
sudo nano /etc/sysctl.conf

Rajouter en début de fichier la ligne :
net.ipv4.ip_default_ttl = 65

Exemple :




Modifier le TTL sur MacOS

Commande pour changer le TTL sous MacOS pour avoir de la data illimitée :
sudo sysctl -w net.inet.ip.ttl=65




Modifier le TTL sur un routeur

Pour les routeurs basés sur Linux, qui permettent de rajouter une ligne iptables, voici la ligne à rajouter pour forcer un TTL de 65 pour tous les périphériques :

iptables -t mangle -I POSTROUTING -o `nvram get wan_iface` -j TTL --ttl-set 65