La Fibre

Fournisseurs d'accès à Internet mobile et 5G/4G fixe => 5G/4G SFR / RED => SFR 5G/4G SFR => Discussion démarrée par: maximushugus le 03 janvier 2021 à 15:08:10

Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 15:08:10
Bonjour,
je voulais juste partager ce dont je viens de me rendre compte.
Il me semble qu'SFR mobile bloque le port 53, ce qui est à mon sens une attente à la neutralité du net.

Je m'explique. J'ai chez moi un serveur Wireguard, qui écoute habituellement en UDP sur le port 51820 (le port par défaut). Néanmoins, dans certains réseaux privés, d'entreprises, ou encore certains wifi publiques, seuls les ports standards sont autorisés, à savoir port TCP 80 (le port par défaut du HTTP), TCP 443 (le port par défaut HTTPS) et souvent le port UDP 53 (port par défaut de DNS).
J'utilise jusque là, un serveur OpenVPN maison, qui écoute en TCP 443, ce qui me permet de bypasser le firewall de ces réseaux bloqués.
Pour pouvoir utiliser Wireguard (plus rapide qu'OpenVPN), j'ai donc fait une redirection sur mon serveur du port UDP 53 vers le port UDP 51820. Ainsi je peux me connecter sur mon serveur Wireguard en UDP 53, qui n'est souvent pas bloqué sur ces réseaux limités/verrouillés, s'agissant du port DNS.

Néanmoins je me suis rendu compte que depuis mon téléphone mobile, avec un abonnement SFR (RED en réalité, mais c'est le même réseau), lorsque je suis connecté sur le réseau mobile, je ne peux pas me connecter au VPN Wireguard en UDP 53 (mais en UDP 51820 cela fonctionne bien).
Lorsque je suis sur un réseau fixe, par exemple le Wi-Fi chez des amis, la connexion au serveur VPN Wireguard en UDP 53 fonctionne correctement.

J'en conclu que SFR bloque l'utilisation du port 53 sur son réseau mobile.
L'application de test de neutralité Wehe que recommande l'ARCEP( https://lafibre.info/os-mobile/wehe/ (https://lafibre.info/os-mobile/wehe/) ) ne permet pas de tester le port 53.

Est ce que quelqu'un a déjà eu ce problème ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: eahlys le 03 janvier 2021 à 15:25:56
Hello,
En partage de connexion que donne un dig (ou nslookup sur Windows) en forçant un serveur DNS qui n’existe pas ?
Exemple : dig google.com @14.14.14.14
Est ce que ça répond ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 15:35:20
Si sur mon PC Windows, en partage de connexion depuis mon téléphone Android sur SFR je fais
>nslookup google.com 14.14.14.14
DNS request timed out.
    timeout was 2 seconds.
Serveur :   UnKnown
Address:  14.14.14.14
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 15:46:31
Si je lance une capture Wireshark sur mon interface WAN de mon routeur, avec un filtre pour ne montrer que les packets UDP :
- Si je me connecte depuis mon téléphone en réseau mobile SFR (non connecté au Wi-Fi) sur mon serveur Wireguard en port UDP 51820, je vois bien le trafic Wireguard
- Si je paramètre sur mon téléphone, de la même façon mon client Wireguard pour se connecter sur mon serveur sur un autre port UDP (par exemple 55) qui n'est pas ouvert sur le routeur, je vois bien l'arrivée des packet en UDP 55 (qui sont bloqués et la connexion ne se fait évidemment pas mais je vois tout de même arriver des packets)
- Mais si je fais la même chose depuis le port UDP 53, je ne voit aucun trafic arriver sur l'interface WAN de mon routeur

Je crois en conclure que SFR bloque l'accès vers le port UDP 53 depuis les mobiles (au moins vers les lignes fixes SFR, puisque j'ai un abonnement FTTH SFR). Depuis un autre réseau (fixe en FTTLA depuis chez des amis), l'accès n'est pas bloqué, donc le problème vient bien du coté mobile, et pas de ma ligne fixe FTTH
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 03 janvier 2021 à 16:23:45
Je suis également client RED 30 Go (bientôt 40 Go) et je ne vois pas de blocage sur le port 53 chez SFR en TCP, que ce soit en IPv4 ou en IPv6 :

(https://lafibre.info/images/4g/202101_sfr_mobile_test_port53.png)

Serait-il possible de faire le même test que moi ?

wget -O /dev/null https://ipv4.paris.testdebit.info:53/10M.iso
wget -O /dev/null https://ipv6.paris.testdebit.info:53/10M.iso

J'ai fais ce test avec les deux APN proposés par SFR (sl2sfr et websfr) en IPv4 et en IPv6  sans rencontré de problème avec mon Samsung Galaxy S8.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 16:28:59

Serait-il possible de faire le même test que moi ?


En faisant ce test, j'ai bien une réception depuis mon téléphone mobile en RED (SFR) (via le partage de connexion sur mon ordinateur portable)
Mais visiblement c'est l'envoi de packets sur le port 53 qui bloque. Du moins vers certains serveurs dont le miens
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 03 janvier 2021 à 16:51:15
En UDP, donc ?

En TCP, un wget fait bien une requête sortant sur le port 53.

APN sl2sfr:
(https://lafibre.info/images/4g/202101_sfr_mobile_test_port53_udp_sl2sfr.png)

APN websfr :
(https://lafibre.info/images/4g/202101_sfr_mobile_test_port53_udp_websfr.png)

Ce test ne permet pas d'assurer que c'est bien le bon serveur qui répond, contrairement à mon test précédent en https sur le port 53.

Je veut bien un test simple pour montrer le problème et surtout l'APN et le protocole concerné (avec deux APN et 2 protocoles, cela fait 4 tests à faire à chaque fois, je veut bien cibler mieux ce qui pose problème).
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 16:54:19
En UDP, donc ?

Oui mon problème est bien en UDP seulement à priori.
Je fais les captures Wireshark et je les publie ici de suite
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 17:30:34
Donc voici le début du test.
Ce test consiste, depuis mon téléphone Android (Mi Mix 2S avec une ROM Pixel Experience donc un Android globalement stock), sur le réseau mobile SFR uniquement, en 4G, à essayer de me connecter via l'application mobile Wireguard sur mon serveur Wireguard qui tourne sur mon routeur OpenWrt (qui bypass ma neufbox, mon routeur OpenWrt est directement sur le réseau SFR FTTH).
Mon serveur Wireguard tourne sur le port 51820 en UDP. Donc le port UDP 51820 est ouvert sur l'interface WAN. De plus j'ai mis en place une redirection du port entrant UDP 53 sur l'interface WAN vers l'interface LAN en UDP 51820 sur lequel le serveur Wireguard écoute. Cette redirection fonctionne puisque j'ai pu me connecter sur mon serveur Wireguard depuis le Wi-Fi chez des amis en mettant en paramètre de l'application Wireguard sur mon téléphone le port UDP 53.

1er tests avec l'APN sl2sfr (avec IPv4 et IPv6 mais seule l'adresse IPv4 de mon serveur est configurée dans l'application Wireguard)
J'ai volontairement masqué mes IP et adresses MAC.

Donc voici une capture Wireshark de l'interface WAN de mon routeur OpenWrt, avec un filtre pour n'afficher que le port UDP 51820 : on voit la connexion se faire sans soucis depuis mon téléphone en 4G configuré pour se connecter à l'adresse IP de mon serveur sur le port 51820 directement

(https://lafibre.info/images/4g/202101_sfr_mobile_test_udp_sl2sfr_wireguard_port51820.png)

Sur la 2ème capture : le filtre n'affiche que le port UDP 55 (nombre pris au hasard), qui n'est pas ouvert sur le pare-feu de mon routeur. Mon téléphone est ici configuré dans l'application Wireguard pour se connecter à l'adresse IP de mon serveur sur le port 55. On voit bien des packets arriver de mon téléphone sur mon routeur, qui les refuse.

(https://lafibre.info/images/4g/202101_sfr_mobile_test_udp_sl2sfr_wireguard_port55.png)

3ème capture avec le filtre pour n'afficher que le port UDP 53, sur lequel il y a sur mon routeur la redirection UDP 53 depuis WAN -> UDP 51820 sur mon LAN. Mon téléphone est cette fois ci configuré dans l'application Wireguard pour se connecter sur l'IP de mon serveur sur le port 53. Cette fois ci on ne voit aucun packet arriver de mon téléphone

(https://lafibre.info/images/4g/202101_sfr_mobile_test_udp_sl2sfr_wireguard_port53.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 17:42:55
Les mêmes tests, dans le même ordre, mais cette fois ci avec l'APN websfr :

(https://lafibre.info/images/4g/202101_sfr_mobile_test_udp_websfr_wireguard_port51820.png)

(https://lafibre.info/images/4g/202101_sfr_mobile_test_udp_websfr_wireguard_port55.png)

(https://lafibre.info/images/4g/202101_sfr_mobile_test_udp_websfr_wireguard_port53.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 03 janvier 2021 à 17:58:49
J'ai tenté de reproduire le problème en prenant moi aussi un trace à distance, sur le port 53, sur un serveur qui n'écoute pas sur ce port.

J'ai utilisé l'APN SL2SFR en IPv4.

Pour générer un trafic UDP sur le port 53, j'utilise dig pour faire une requête DNS.

Voici la trace coté serveur (il ne répond, pas, le serveur n’hébergeant pas de serveur DNS) :

(https://lafibre.info/images/4g/202101_sfr_mobile_test_port53_udp_sl2sfr_distant.png)

Coté client : Ubuntu 20.10 connecté en WiFi sur mon Samsung S8 Andrdoid 9 en partage de connexion (j'ai modifié le profil pour que dun utilise SL2SFR)

Coté serveur : Ubuntu 20.04 LTS, capture réalisé avec TCPDUMP.

Tu as vérifié que ce n'était pas un autre élément de la chaîne qui bloque le trafic sur le port 53 ?
Le plus simple serait de mettre la SIM d'un autre opérateur dans ton smartphone, si un amis / conjoint à souscrit à un autre opérateur.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 18:03:17
Je viens de faire le même test à l'instant, en connectant un 2ème PC sur le partage de connexion de mon portable et en faisant une requête DNS, que je reçoit bien.
Reste donc 2 hypothèses :
- Blocage de l'envoi de packet Wireguard sur UDP 53 sur le réseau mobile SFR
- Problème dans l'application Wireguard sur android (mais bizarre car fonctionne sur le réseau fixe des amis)

je fais encore quelques tests
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 18:16:27
J'ai fait le test de me connecter depuis Wireguard sur mon PC (pour éliminer le problème de l'application mobile Wireguard), lui même connecté sur le partage de ma connexion mobile SFR de mon téléphone portable.
J'avais en même temps une capture Wireshark depuis mon LAN sur le port WAN de mon routeur.
Résultat : aucun packet n'arrive sur mon routeur.

Donc le problème ne vient pas de l'application Wireguard mobile
Je ne pense pas que le problème vienne du protocole Wireguard / du VPN en lui même car sinon la connexion depuis chez mes amis n'aurait pas fonctionnée
Je ne pense pas que le problème vienne de ma configuration réseau sinon la connexion depuis chez mes amis n'aurait pas fonctionnée non plus

Reste donc l'hypothèse que SFR bloque l'émission de packet UDP 53 sur autre chose que du protocole DNS ou bien qu'ils bloquent spécifiquement l'émission de packet de protocole Wireguard sur le port 53 UDP.
Je vais tester l'émission de packet depuis mon téléphone vers mon serveur en utilisant un autre protocole que DNS ou Wireguard (émission de packet OpenVPN sur UDP 53)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 03 janvier 2021 à 18:26:40
C'est étonnant, car les paquets UDP Wireguard sont de petite taille (les premiers paquets font moins de 200 octets quand je vois ta capture)

Sur le port 53 en TCP, SFR accepte bien un trafic autre que DNS, vu que https fonctionne.

Je vais tester iperf3 en UDP.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 18:28:20
Encore quelques tests :

Depuis mon PC en partage de connexion de mon portable sur SFR (APN sl2sfr) :
- Si j'essaie de me connecter sur mon serveur avec OpenVPN sur UDP port 53 : je ne reçois aucun packet sur la capture sur l'interface WAN port UDP 53 de mon routeur fixe
- Si j'essaie de me connecter sur mon serveur avec OpenVPN sur UDP port 55 : cette fois ci je reçois des packets sur la capture sur l'interface WAN port UDP 55 de mon routeur fixe (qui sont bloqués par mon firewall car le port n'est pas ouvert, donc la connexion OpenVPN ne s’établit pas)
- Si j'essaie de me connecter sur mon serveur avec OpenVPN sur TCP port 443 (celui que j'utilise de base): je ne reçoit les packets et la connexion OpenVPN s'établit

J'en conclu que le protocole OpenVPN est également bloqué en envoi sur le port UDP 53 depuis une ligne mobile SFR.
A mon avis seul le protocole DNS est autorisé en émission sur le port UDP 53 depuis une ligne mobile SFR
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: buddy le 03 janvier 2021 à 18:35:50
Je viens également de tester la connexion depuis le PC avec un smartphone en partage de connexion (IPv4 + IPv6) impossible de me connecter chez moi sur le VPN via le port 53 en UDP.

Abonnement REd de SFR -> FTTH Bouygues (IPv4 only)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: Freedor le 03 janvier 2021 à 19:01:24
L'appli RTR-NetTest permet de tester les ports.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 20:52:09
L'appli RTR-NetTest permet de tester les ports.
De ce que j'ai vu elle ne permet pas de tester un port en particulier, notamment pas le port 53, et encore moins de spécifier en UDP et en émission
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 03 janvier 2021 à 21:31:35
RTR-NetTest ne permet pas de choisir les ports testés, mais le port 53 fait parti des ports tests en UDP et c'est un échec avec SFR : (APN sl2sfr)

(https://lafibre.info/images/4g/202101_sfr_mobile_test_port53_udp_sl2sfr_iperf3_rtr-nettest.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 03 janvier 2021 à 21:39:46
J'arrive enfin à reproduire votre problème.

J'ai mis en place un serveur iPerf3 qui écoute sur le port 9200. Il n'écoute pas directement sur le port 53, car il lui faudrait les privilèges root.
J'ai ensuite mis une redirection iptables du port 53 au port 54 qui renvoi en IPv4 et en IPv6, en UDP comme en TCP les connexion sur le port 9200.

Le port 53 et 54 fonctionnent tous les deux parfaitement avec une connexion RED THD (câble).

Quand je passe en partage de connexion derrière mon Samsung Galaxy S8, le port 54 continue de fonctionner, mais pas le port 53.

Il y a donc un applicatif qui vérifie que les requêtes en UDP sur le port 53 sont bien des bonnes requêtes DNS correctement formées.
Je n'ai pas vérifié si un site que les opérateurs ont obligation de bloquer derrière leur DNS se retrouve également bloqué sur un serveur DNS tiers.

A noter que DNS fonctionne également en TCP (quand les réponses sont trop grosses pour tenir dans un paquet UDP) mais l'inspection du trafic ne se fait que en UDP, pas en TCP, vu qu'une connexion https sur le port 53 fonctionne.

C'est donc reproductible : Merci.


(https://lafibre.info/images/4g/202101_sfr_mobile_test_port53_udp_sl2sfr_iperf3.png)

(https://lafibre.info/images/4g/202101_sfr_mobile_test_port53_udp_websfr_iperf3.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 03 janvier 2021 à 21:47:24
Cela n'a pas d'impact sur une requête DNS sur un nom de domaine que SFR a l’obligation légale de filtré :
- DNS tiers Google : on récupère des IPv4 pour le site illégal.
- DNS SFR : pas de réponse, conformément à la décision judiciaire.

Donc le service d'inspection du port 53 en UDP n'est pas là pour bloquer des sites illégaux.
Quel pourrait être son usage ?


(https://lafibre.info/images/4g/202001_sfr_apn_websfr_requete_dns.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: eahlys le 03 janvier 2021 à 21:48:29
Un vieux truc crado jamais retiré ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 21:50:43
Ca sent effectivement un vieux truc oublié. Parce que je ne voit pas trop l'intérêt de bloquer l'usage de ce port. A moins qu'un balbutiement de verrouillage du serveur DNS ait commencé à être mis en place.

De même, maintenant ça va être la chasse pour savoir si d'autres ports sont bloqués par SFR. Je ne trouve pas ça très rassurant.

Ça me.conforte de plus en plus sur le fait que les FAI font ce qu'ils veulent des données sur leur réseau. De même ils font ce qu'ils veulent de l'accès à internet et aux différents ports.
Dans le même genre (chez SFR en tout cas), si on utilise la box fournie ils sont capables de voir si un appareil est connecté sur la box et de quel appareil il s'agit (vécu en direct au téléphone avec le "support technique de SFR", pour lequel j'avais rebranché la Neufbox, et qui m'ont demandé de déconnecter tel appareil du wifi pour faire un test. Je suis bien content de bypasser la Neufbox avec mon routeur perso). Ils voient également les paramètres de la box.
Enfin, j'ai retrouvé dans les Neufbox mais aussi dans l'ONT de chez SFR le programme tcpdump, qui est utilisable à souhait... J'aime pas être parano mais ça fait un peu peur.
Mode HS off
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 03 janvier 2021 à 22:06:00
Les règles sont indiquées dans le rapport Arcep 2020 sur l'état de l'Internet : L'opérateur ne dois pas regarder (et encore moins modifier) la partie d'un paquet IP qui est considéré comme du "contenu particulier"

Le rapport explique que le DPI (Deep packet inspection) est interdit, même pour catégoriser le trafic :

Extrait de la page 66 (https://lafibre.info/images/doc/202006_arcep_rapport_etat_internet_2020.pdf#page=66) : Le règlement Internet ouvert permet aux FAI d’accéder qu’aux informations contenues dans l’en-tête du parquet IP et dans l’en-tête du protocole de la couche transport (par exemple l’en-tête TCP ou l’en-tête UDP) dont les noms de domaine et URL sont exclus. Par ailleurs, dans une lettre rendue publique (https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_letter_out2019-0055_berecnetneutrality2.pdf), le Comité européen de la protection des données (EDPB) qui a été saisi pour avis, précise que le nom de domaine et l’URL peuvent être qualifiés de données à caractères personnels et à ce titre sont protégées par les dispositions de la directive vie privée et communications électroniques et du règlement général sur la protection des données. Ainsi, les FAI qui utiliseraient le nom de domaine ou les URL à des fins de catégorisation de trafic ou de facturation s’exposeraient non seulement à une violation potentielle du règlement internet ouvert, mais aussi à une possible violation de la protection des données à caractère personnel de leurs clients.

(https://lafibre.info/images/doc/202006_arcep_rapport_etat_internet_2020_4_neutralite_2.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 22:08:22
Merci à vous d'avoir confirmé mes tests, et d'avoir passé du temps la dessus.
Cela ressemble bien à du DPI (Deep Packet Inspection), en tout cas à ma connaissance seul le DPI est capable de différencier un protocole d'un autre sur un port donné comme c'est le cas ici.
Maintenant qu'est ce qu'on est censé faire de cette preuve d'utilisation du DPI chez SFR ? On informe l'ARCEP ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: buddy le 03 janvier 2021 à 22:13:10
Ne t'inquiète pas, vivien est bien placé pour remonter ce genre de soucis à l'ARCEP ;)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 22:17:37
Je sais bien, je le suis sur Twitter également 🙂, mais si on peut faire bouger les choses en signalant c'est mieux. Parce que pour tout dire SFR n'ont que peu à faire des signalements à l'ARCEP : mon dernier signalement, le PMZ FTTH sur lequel je suis branché qui est plein/saturé chez SFR (photos à l'appui), entraînant des pannes et SFR qui ne fait rien
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: Optix le 03 janvier 2021 à 22:27:36
Ça me.conforte de plus en plus sur le fait que les FAI font ce qu'ils veulent des données sur leur réseau. De même ils font ce qu'ils veulent de l'accès à internet et aux différents ports.
Je ne suis pas d'accord avec toi.

Le port 53 est le port affecté par un organisme aux requêtes DNS, et doit être dédié à son seul usage.

Maintenant, si tu bricoles et tu le détournes pour mettre ton VPN et exploser les débits (par rapport à un réel trafic DNS j'entends), c'est uniquement toi que ça regarde, tant pis si tu te prends des contre-mesures du FAI pour protéger son réseau dans la figure.

Tu t'imagines même pas toutes les merdes que se prend un FAI quand un abonné se fait DDOS (déjà chez moi, c'est déjà joyeux, alors j'ose même pas imaginer le nbre chez un gros comme SFR), alors sachant cela, oui je comprends les contre-mesures que met SFR en place, ne t'en déplaise.

Là où je te rejoins, c'est sur le blocage pur et dur (que je trouve qq peu brutal, car du coup il ne permet même pas d'utiliser le DNS en temps que tel, quelque soit le serveur). Maintenant un rate-limiting/shaping du débit ne me choque pas.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: eahlys le 03 janvier 2021 à 22:32:28
Un rate-shaping reste et restera toujours contraire à la neutralité du net.
Cependant ici, contrairement à ce que faisait Bouygues Telecom (https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/msg762664/#msg762664), une requête DNS à un autre serveur DNS fonctionne. Le port 53 garde sa fonction première, sans limitations. C'est pour le reste que c'est emmerdant.

Perso, je considère que si je paye un forfait/abonnement internet c'est pour pouvoir utiliser 100% des ports comme j'en ai envie et au débit que je souhaite, sans aucune distinction.
Alors ça n'impacte pas mon usage (qui quand même se résume à 90% de streaming vidéo donc bon, j'en souffre pas trop), mais sur le principe c'est bof.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 22:37:47
Je ne suis pas d'accord avec toi.

Le port 53 est le port affecté par un organisme aux requêtes DNS, et doit être dédié à son seul usage.

Maintenant, si tu bricoles et tu le détournes pour mettre ton VPN et exploser les débits (par rapport à un réel trafic DNS j'entends), c'est uniquement toi que ça regarde, tant pis si tu te prends des contre-mesures du FAI pour protéger son réseau dans la figure.

Tu t'imagines même pas toutes les merdes que se prend un FAI quand un abonné se fait DDOS (déjà chez moi, c'est déjà joyeux, alors j'ose même pas imaginer le nbre chez un gros comme SFR), alors sachant cela, oui je comprends les contre-mesures que met SFR en place, ne t'en déplaise.

Là où je te rejoins, c'est sur le blocage pur et dur (que je trouve qq peu brutal, car du coup il ne permet même pas d'utiliser le DNS en temps que tel, quelque soit le serveur). Maintenant un rate-limiting/shaping du débit ne me choque pas.

C'est effectivement un point de vu que je n'avais pas imaginé. Je n'ai certainement pas toutes les compétences et connaissances pour gérer un FAI encore moins aussi gros que SFR.
Mais je ne vois pas en quoi je fais quelquechose de mal/délétère d'utiliser le port 53 plutôt que le 51820 ? En terme de charge réseau c'est la même chose non ?
Et juste pour remettre en forme, l'utilisation d'un serveur DNS de notre choix reste possible. C'est juste que si on souhaite utiliser UDP 53 pour que chose que du DNS simple ce n'est pas possible (j'ai pas testé mais DNScrypt qui utilise le port 53 il me semble doit être bloqué par exemple).
Je ne comprendrais pas non plus pourquoi brider/limiter certains ports : une charge réseau de 200Mb/s a le même poids quelque soit le port ou protocole ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: Optix le 03 janvier 2021 à 22:57:29
Mais je ne vois pas en quoi je fais quelquefois de mal/délétère d'utiliser le port 53 plutôt que le 51820 ? En terme de charge réseau c'est la même chose non ?
Oui un paquet reste un paquet, quoi qu'il contient.

La différence se situe dans l'usage, et dans la détection pour déclencher les protections. Car en gros, ça passe par un port qui est très supervisé pour la qualité de service.

Imaginons, mon trafic DNS c'est 10 Mbps pour 10k abonnés en soirée (oui le trafic DNS légitime c'est insignifiant). D'un coup, un abonné se met à tirer 100 Mbps sur le port 53, j'aurais tendance à le ratelimiter pour le protéger (car s'il sature sa connexion, les DNS ne vont pas fonctionner correctement, il va croire que sa connexion merde, et va générer du SAV). Car je ne m'attends pas à véhiculer 10x la charge que j'ai d'habitude. Et analyser le contenu est cher en ressources, ce sont des grosses masses de trafic.

Maintenant si tu tires 100 Mbps sur un autre port non assigné, je m'en fous, car je sais que tu peux faire de très grosses pointes dessus, et que c'est prévu pour.

Un peu dans le même esprit que le NTP, ton PC demande l'heure une fois par jour allez, pas 100.000x par seconde quoi ;)

Tenez, je vous mets une p'tite capture quand j'isole un abonné chez moi (qui subit un DDOS) et un échantillon du trafic : (il y a des milliers de lignes comme ça, dont beaucoup de :53). Comme ça vous voyez comment ça peut se passer de l'autre côté.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: buddy le 03 janvier 2021 à 22:57:42
Je pense que pour se protéger de certains DDOS (DNS AMP entre autres) les FAIs surveillent/contrôlent de près ce qui se passe sur ces ports qui sont régulièrement utilisés pour des DDOS ..

Il y a peut être les mêmes restrictions sur les ports NTP (123)

Ce n'est pas ton traffic en tant que tel qui est problématique, mais de laisser passer du traffic "non identifié" et potentiellement "générateur de DDOS" qui dérangent les FAIs je crois..
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 23:08:00

Imaginons, mon trafic DNS c'est 10 Mbps pour 10k abonnés en soirée (oui le trafic DNS légitime c'est insignifiant). D'un coup, un abonné se met à tirer 100 Mbps sur le port 53, j'aurais tendance à le ratelimiter pour le protéger (car s'il sature sa connexion, les DNS ne vont pas fonctionner correctement, il va croire que sa connexion merde, et va générer du SAV). Car je ne m'attends pas à véhiculer 10x la charge que j'ai d'habitude. Et analyser le contenu est cher en ressources, ce sont des grosses masses de trafic.


Je peux entendre que le FAI essaie de faire au mieux pour préserver la connexion, mais cette attitude de te bloquer/limiter "pour ton bien" est très discutable.

Mais le plus problématique est l'opacité de ces limitations/blocages, qui ne sont spécifiés dans aucune ressource chez SFR par exemple.
Si on m'avait dit que ce port était bloqué sur tel usage, ça m'aurait évité de passer des heures à chercher d'où venait le problème dans ma configuration réseau. Surtout que je ne cherche pas à saturer le réseau SFR mais simplement d'utiliser mon VPN personnel sur des connexions wifi verrouillées par un firewall.

Et enfin comme je disais, je peux comprendre les limitations qu'on nous impose, si elles sont expliquées. La connaissance c'est toujours je nerf de la guerre. Dans mon métier (médecine) on est également amené à proposer aux gens des choses qu'ils croient contre productives ou inefficaces ou dangereuses. En réalité les décision sont justifiées par des explications et connaissances pas toujours connues des gens. De même que le principe de la balance bénéficie/risque
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: Optix le 03 janvier 2021 à 23:23:02
Je peux entendre que le FAI essaie de faire au mieux pour préserver la connexion, mais cette attitude de te bloquer/limiter "pour ton bien" est très discutable.
Non ça protège l'ensemble, pas toi spécialement, c'est de la masse.

Là pour l'exemple, un abonné se prend 4 Gbps dans la tronche. Si elle avait été plus importante elle pourrait me saturer une interconnexion et faire sauter tout le monde.

Mais le plus problématique est l'opacité de ces limitations/blocages, qui ne sont spécifiés dans aucune ressource chez SFR par exemple.
Si on m'avait dit que ce port était bloqué sur tel usage, ça m'aurait évité de passer des heures à chercher d'où venait le problème dans ma configuration réseau. Surtout que je ne cherche pas à saturer le réseau SFR mais simplement d'utiliser mon VPN personnel sur des connexions wifi verrouillées par un firewall.
Encore une fois c'est de la masse, peu importe ton usage ou tes intentions. Personne ne va dévoiler ses règles firewall en public, sinon les attaques vont fuser.

Après voilà, pour recentrer, le blocage pur et dur, je trouve ça pas bien (car il permet même pas d'utiliser le DNS), on est d'accord. Mon but était d'apporter (à ma modeste taille) un éclairage sur le côté FAI de la chose. ;)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: buddy le 03 janvier 2021 à 23:25:21
Après voilà, pour recentrer, le blocage pur et dur, je trouve ça pas bien (car il permet même pas d'utiliser le DNS), on est d'accord. Mon but était d'apporter (à ma modeste taille) un éclairage sur le côté FAI de la chose. ;)
chez SFR, les DNS tiers passent ;)
c'est tout ce qui n'est pas DNS qui est bloqué. (de ce que j'ai compris des tests de Vivien)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 23:29:03

Après voilà, pour recentrer, le blocage pur et dur, je trouve ça pas bien (car il permet même pas d'utiliser le DNS), on est d'accord. Mon but était d'apporter (à ma modeste taille) un éclairage sur le côté FAI de la chose. ;)
Oui, c'est tout le but du forum, pourvoir discuter de ces choses un peu techniques (et de mon côté d'apprendre des choses). Mais ça fait un moment que je suis tes messages et ton FAI, et je crois pouvoir dire sans me tromper que tu n'es pas un FAI "standard", rien que dans la gestion de ton réseau, dans les investissements fais et dans la satisfaction client qui est affichée sur le forum.

Je serais curieux de connaître la fréquence des DDOS. Comment c'est géré ? Tu reatribu une IP au client et tu bloque l'ancienne ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 23:30:21
chez SFR, les DNS tiers passent ;)
c'est tout ce qui n'est pas DNS qui est bloqué. (de ce que j'ai compris des tests de Vivien)

Oui c'est bien ça.
Mais du coup le protocole DNScrypt doit être bloqué je pense. Il faudra que je teste car je l'utilise sur ma ligne fixe mais pas sur mobile
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: kazyor le 03 janvier 2021 à 23:41:11
Donc le service d'inspection du port 53 en UDP n'est pas là pour bloquer des sites illégaux.
Quel pourrait être son usage ?

Limiter les DDOS avec amplification qui sont friands du DNS ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: Optix le 03 janvier 2021 à 23:43:46
chez SFR, les DNS tiers passent ;)
c'est tout ce qui n'est pas DNS qui est bloqué. (de ce que j'ai compris des tests de Vivien)
Intéressant cette nuance ! Vu la volumétrie que doit gérer SFR, je doute qu'ils aillent regarder dans le paquet vérifier que ça soit bien un paquet DNS.

Peut-être une limite de taille sur les paquets qui est activée ? Je doute que vos requêtes DNS fassent 1500 octets  ;D

Citer
Oui, c'est tout le but du forum, pourvoir discuter de ces choses un peu techniques (et de mon côté d'apprendre des choses). Mais ça fait un moment que je suis tes messages et ton FAI, et je crois pouvoir dire sans me tromper que tu n'es pas un FAI "standard", rien que dans la gestion de ton réseau, dans les investissements fais et dans la satisfaction client qui est affichée sur le forum.
Oui. Moi-même à mes débuts, neutralité du net, on ouvre tout à fond. Mais la réalité du terrain fait que tu es obligé de filtrer/brider, sinon tu as des sollicitations SAV derrière. Mais tu as raison, il faut expliquer, et argumenter sa démarche, et si possible laisser une alternative. Comme le fait de couper les connexions entrantes en IPv6 par exemple, c'est un "mal" nécessaire pour protéger à minima le LAN des particuliers... mais avoir un switch pour désactiver cette protection.

Je serais curieux de connaître la fréquence des DDOS. Comment c'est géré ? Tu reatribu une IP au client et tu bloque l'ancienne ?
Environ 1 attaque par jour.

Il y a 2 parties :
- la détection : chaque routeur qui a des intercos avec l'extérieur (le peering, les transits) renvoie un échantillon de tout le trafic (genre 0.1%) à un serveur qui analyse le nbre de paquets, les flux suspects etc. C'est lui qui détecte et décide s'il y a attaque ou pas. Il me produit un fichier avec tous les flux qu'il a vu pour pouvoir mieux régler mes filtres et servir à des enquêtes judiciaires à postériori.
- le filtrage : là le serveur a une session constante avec les routeurs (comme du peering), et le serveur annonce aux routeurs "hé pour joindre 62.192.xxx.xxx, c'est DTC", et comme les routeurs préfèrent cette "route", ils vont la mettre en top priorité dans la table de routage, et l'abonné est coupé net. L'annonce remonte même en dehors de mon réseau, pour pas que le trafic rentre dans le réseau (donc c'est même bloqué en amont pour garder des ressources sur les intercos pour le reste des abonnés).

Le blocage dure 1min, et aussi longtemps qu'il se fera doucher. Si c'est fini au bout de 2min, il retrouve son accès, l'IP ne change pas.

(je laisse le soin à un modo de scinder si besoin).
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 03 janvier 2021 à 23:53:31


Peut-être une limite de taille sur les paquets qui est activée ? Je doute que vos requêtes DNS fassent 1500 octets  ;D


Tu peux le voir sur les captures wireshark au début de la discussion, les Packet initiaux wireguard font moins de 200 octets en udp, donc tout petits.
Le filtrage n'est donc pas sur la taille.
Et c'est un peu ça qui m'emmerde, c'est que c'est probablement du DPI que je trouve hautement malhonnête
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: Optix le 03 janvier 2021 à 23:53:59
Tu peux le voir sur les captures wireshark au début de la discussion, les Packet initiaux wireguard font moins de 200 octets en udp, donc tout petits.
Le filtrage n'est donc pas sur la taille.
Et c'est un peu ça qui m'emmerde, c'est que c'est probablement du DPI que je trouve hautement malhonnête
Ah oui, là c'est chaud par contre  :(
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: cali le 04 janvier 2021 à 00:03:47
Imaginons, mon trafic DNS c'est 10 Mbps pour 10k abonnés en soirée (oui le trafic DNS légitime c'est insignifiant). D'un coup, un abonné se met à tirer 100 Mbps sur le port 53, j'aurais tendance à le ratelimiter pour le protéger (car s'il sature sa connexion, les DNS ne vont pas fonctionner correctement, il va croire que sa connexion merde, et va générer du SAV).

Faux, si l'utilisateur paye pour un accès à l'Internet à 100 Mbit/s alors il peut transmettre et recevoir à cette vitesse avec le protocole et les ports à sa convenance et aussi atteindre le nombre de paquets par seconde correspondant et toute manipulation ne doit pouvoir se faire sans son approbation sauf en cas de force majeure dans lequel cas il doit en être informé immédiatement.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 04 janvier 2021 à 00:05:08
Ah oui, là c'est chaud par contre  :(
Je ne suis pas ingénieur réseau, tu pourras peut-être répondre à ma place, mais mis à part du DPI je ne vois pas comment ce trafic peut être filtré.
Si c'est ça, c'est inquiétant parce que ça veut dire que notre trafic est décortiqué et analysé de façon assez précise.
Mais j'ai du mal à imaginer la puissance nécessaire pour analyser un tel volume de trafic que celui de SFR mobile.
Remarquez en Chine ils arrivent bien à faire du DPI sur l'ensemble du trafic chinois
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: pioup le 04 janvier 2021 à 00:36:13
Citer
Dans le même genre (chez SFR en tout cas), si on utilise la box fournie ils sont capables de voir si un appareil est connecté sur la box et de quel appareil il s'agit (vécu en direct au téléphone avec le "support technique de SFR", pour lequel j'avais rebranché la Neufbox, et qui m'ont demandé de déconnecter tel appareil du wifi pour faire un test. Je suis bien content de bypasser la Neufbox avec mon routeur perso). Ils voient également les paramètres de la box.
Enfin, j'ai retrouvé dans les Neufbox mais aussi dans l'ONT de chez SFR le programme tcpdump, qui est utilisable à souhait... J'aime pas être parano mais ça fait un peu peur

Ne soit pas parano, ils ont simplement accès à la table ARP  de la  box comme tu as accès toi même sur ton propre routeur. Ca sert juste au SAV.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: hwti le 04 janvier 2021 à 02:22:41
Puisqu'ils sont en train de déployer l'IPv6, peut-être que ça pourrait être une sorte de DNS64 forcé.

Sur la capture de Vivien, on ne voit que la requête A.
Soit aucune requête AAAA n'a été faite (ça dépend du client), soit elle a été envoyée ailleurs.

Que donne une requête AAAA vers un site ipv4-only (ipv4.lafibre.info par exemple) ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 04 janvier 2021 à 08:54:35
Donc le service d'inspection du port 53 en UDP n'est pas là pour bloquer des sites illégaux.
Quel pourrait être son usage ?
Limiter les DDOS avec amplification qui sont friands du DNS ?

Deux autres hypothèses :
- Aucune utilisation
- En lien avec le consentement RGPD qui est régulièrement demandé

(https://lafibre.info/images/altice/201904_red_consentement_rgpd.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: kgersen le 04 janvier 2021 à 09:34:42
idem dans le TGV avec le Wifi a bord de la SNCF. Testé a l'instant, le port 53 ne sort pas (même en dns).

un test en ligne de commande est possible avec nc (apt install netcat):

nc  -z -v -u 8.8.8.8 53
version Android de netcat: https://play.google.com/store/apps/details?id=com.mtdeer.netpal

SFR n'est pas le seul à faire cela donc. Deja Bytel en faisait aussi.

Le port 53 étant souvent un vecteur d'attaque DDoS c'est surement la raison. Je doute qu'ils DPI quoique ce soit.

En plus de ce que propose hwti, il serait intéressant de voir s'ils modifient aussi les réponses DNS.
par exemple avec:
dig +short thepiratebay.com @8.8.8.8
ainsi que cette commande pour voir quel resolver dns est utilisé :
dig +short TXT whoami.ds.akahelp.net
(pour installer dig: apt install dnsutils)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 04 janvier 2021 à 09:49:18
Mais du coup le protocole DNScrypt doit être bloqué je pense. Il faudra que je teste car je l'utilise sur ma ligne fixe mais pas sur mobile
Je suis intéressé par le résultat du test.

Je doute qu'ils DPI quoique ce soit.

Si on prend le cas DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile (https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/), pas de DPI, l'IP de destination de tous les paquets sortant avec le port 53 ou le port 25 est changée. Quand la réponse revient l'IP source est de nouveau changée pour faire croire qu'elle provient de l'IP demandée.
On arrive à avoir des réponses d'IPv4 comme 255.255.255.254 ou 240.0.0.0 des IP qui ne peuvent pas héberger de serveurs DNS :
(https://lafibre.info/images/wireshark/202001_dns_bouygues_4g_via_464xlat_2.png)
A noter que la problématique n'existe plus aussi bien sur le port 53 que le port 25 chez cet opérateur.

Chez SFR on voit qu'une requête UDP sur le port 53 est correctement acheminée et que l'on a bien la réponse si le protocole est vraiment du DNS.

Il semble donc qu'il y a une analyse du contenu du paquets pour déterminer si il peut être acheminé. L'analyse du contenu générique (IP / port) est insuffisante, il faut aller dans le contenu spécifique.

(https://lafibre.info/images/doc/202006_arcep_rapport_etat_internet_2020_4_neutralite_2.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 04 janvier 2021 à 15:56:43
Je viens de regarder : en fait DNScrypt utilise le port 443 (en TCP et UDP) : https://dnscrypt.info/protocol/
Donc il devrait fonctionner même chez SFR mobile
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: kgersen le 04 janvier 2021 à 19:32:19

Chez SFR on voit qu'une requête UDP sur le port 53 est correctement acheminée et que l'on a bien la réponse si le protocole est vraiment du DNS.

Il semble donc qu'il y a une analyse du contenu du paquets pour déterminer si il peut être acheminé. L'analyse du contenu générique (IP / port) est insuffisante, il faut aller dans le contenu spécifique.


C'est a mon avis simplement un "transparent proxy" pour les requêtes DNS.

un DPI c'est tout autre chose.


Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 04 janvier 2021 à 21:06:00
Pourquoi rajouter un "transparent proxy" ?

- Modifier les réponses pour certains nom de domaines qui ont un accord (paiement embarqué sur la page web pour des truc du genre comme le KKO Store) ?
- Loger les requêtes pour faire des statistiques sur les sites les plus visités
- Voir les serveurs tiers les plus utilisés, afin de pouvoir bloquer un serveur tiers malveillant (ceux qui remplacent les sites par une copie avec des pub en plus)
- Pour identifier des clients avec des équipements corrompus
- Pour bloquer des DDOS utilisant le protocole DNS
- ...
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: eahlys le 05 janvier 2021 à 09:39:06
Je suis curieux, comment une DDoS peut être effectuée avec le protocole DNS ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: FloBaoti le 05 janvier 2021 à 09:48:25
Pas sûr que ça ait un rapport avec le sujet, mais DNS est un des 2 protocoles régulièrement utilisé aujourd'hui pour des DDoS massifs : https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 05 janvier 2021 à 10:13:12
Tu fais une requête en mettant en source l'IPv4 de la cible de ton DDOS (c'est possible uniquement en UDP, vu qu'en TCP, il faut établir la connexion avant de faire la requête).

De milliers de PC infectés font des requêtes UDP sur de nombreux serveur DNS avec l'IPv4 source de la cible.

Les serveurs DNS répondent à l'adresse indiquée et submergent la cible par un trafic trop important pour le lien.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: eahlys le 05 janvier 2021 à 10:27:37
Tu fais une requête en mettant en source l'IPv4 de la cible de ton DDOS (c'est possible uniquement en UDP, vu qu'en TCP, il faut établir la connexion avant de faire la requête).

De milliers de PC infectés font des requêtes UDP sur de nombreux serveur DNS avec l'IPv4 source de la cible.

Les serveurs DNS répondent à l'adresse indiquée et submergent la cible par un trafic trop important pour le lien.
Ok merci, j'ai appris quelque chose :) C'est la même chose qui rend réticent à ouvrir un serveur iPerf UDP public non ?
Mais les FAI ne sont ils pas censés drop tous les paquets IP sortants utilisant une IP source qui ne vient pas à minima de leur AS ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 05 janvier 2021 à 10:46:08
iPerf2 ne vérifie pas qu'il y a un iPerf qui répond sur l'adresse source, c'est donc suicidaire d'ouvrir un iPerf2 en UDP au grand public.

iPerf3 fait les vérifications et il est donc possible de l'ouvrir.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 19 février 2021 à 23:02:53
Je relance un peu le sujet : le problème est toujours d'actualité chez SFR Mobile, le port 53 est filtré pour certaines utilisations, et le traffic passant dessus semble analysé.
Malgré un signalement à l'ARCEP, pas de nouvelles...
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 20 février 2021 à 05:09:47
Je vais être franc, ce n'est pas rapide, les entraves à la neutralité sont envoyés par lots aux opérateurs, avec la menace d'ouvrir une procédure.

Les opérateurs peuvent mettre pas mal de temps à corriger la chose. Si il faut modifier un firmware sur les box ou la configuration de nombreux équipements réseau, il y a de nombreux tests en maquette.

Donc cela prend toujours beaucoup de temps.

Si tu regardes d'autres entraves à la neutralité signalées sur le forum, tu peut voir que le délai est généralement de 1 à 2 ans.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 20 février 2021 à 06:46:06
Je m'en doutais, mais c'était surtout pour relancer un peu et pour dire que le problème est toujours présent 😔
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: fredsav le 23 février 2021 à 15:16:22
Le problème relaté ici rejoint peut-être le mien :

J'utilise l'app Adguard sur iOS depuis plusieurs années, sur des iPhones différents, en mode VPN et DNS spécifique.
J'ai été abonné aux opérateurs Sosh et Bouygues auparavant, sans souci.
Abonné RED depuis peu, je constate que le mode VPN/DNS d'Adguard coupe toute connexion internet 4G (surf impossible, applications déconnectées).
Sur un même téléphone, le fait de changer d'opérateur rend le mode VPN impossible à utiliser, ni des DNS spécifiques.

Des explications ? J'imagine que cela vient des serveurs SFR qui bloquent un flux quelque part car cela fonctionnait parfaitement via d'autres opérateurs...
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: hwti le 23 février 2021 à 16:45:58
Des explications ? J'imagine que cela vient des serveurs SFR qui bloquent un flux quelque part car cela fonctionnait parfaitement via d'autres opérateurs...
Peut-être une configuration IPv6, Adgard ne fait peut-être pas de DNS64.
Dans ce cas, ipv6.lafibre.info devrait quand même se charger.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 23 février 2021 à 18:34:52
L'IPv6 est du double pile chez SFR : IPv6 + IPv4. (Chez Bouygues et Orange, c'est de l'IPv6 only + DNS64/NAT64 + 464XLAT).
L'IPv6 n'est donc pas le fautif.

SFR semble bloquer le trafic UDP sur le port 53 qui n'est pas un trafic de type DNS en IPv4 uniquement.

Si il est possible de passer le VPN en IPv6, cela devrait fonctionner, cf mes tests :

J'arrive enfin à reproduire votre problème.

J'ai mis en place un serveur iPerf3 qui écoute sur le port 9200. Il n'écoute pas directement sur le port 53, car il lui faudrait les privilèges root.
J'ai ensuite mis une redirection iptables du port 53 au port 54 qui renvoi en IPv4 et en IPv6, en UDP comme en TCP les connexion sur le port 9200.

Le port 53 et 54 fonctionnent tous les deux parfaitement avec une connexion RED THD (câble).

Quand je passe en partage de connexion derrière mon Samsung Galaxy S8, le port 54 continue de fonctionner, mais pas le port 53.

Il y a donc un applicatif qui vérifie que les requêtes en UDP sur le port 53 sont bien des bonnes requêtes DNS correctement formées.
Je n'ai pas vérifié si un site que les opérateurs ont obligation de bloquer derrière leur DNS se retrouve également bloqué sur un serveur DNS tiers.

A noter que DNS fonctionne également en TCP (quand les réponses sont trop grosses pour tenir dans un paquet UDP) mais l'inspection du trafic ne se fait que en UDP, pas en TCP, vu qu'une connexion https sur le port 53 fonctionne.

C'est donc reproductible : Merci.


(https://lafibre.info/images/4g/202101_sfr_mobile_test_port53_udp_sl2sfr_iperf3.png)

(https://lafibre.info/images/4g/202101_sfr_mobile_test_port53_udp_websfr_iperf3.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: hwti le 23 février 2021 à 20:32:50
L'IPv6 est du double pile chez SFR : IPv6 + IPv4. (Chez Bouygues et Orange, c'est de l'IPv6 only + DNS64/NAT64 + 464XLAT).
Même sur iOS ?

Adguard est un VPN local, le but est de filtrer le trafic (à priori juste le DNS) pour bloquer les pubs.
C'est un contournement classique, le système ne permet probablement pas de changer le DNS d'une connexion mobile.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 23 février 2021 à 21:21:35
Pour SFR, c'est double pile sur Android comme iOS, le déploiement d'IPv6 n'étant pas fait suite à une pénurie d'IPv4 privée sur suites à une obligation de l'Arcep.

Adguard, coûte combien ? J'ai été voir leur site, ce n'est pas indiqué (je sens que je vais tester ça, un cas concret de blocage c'est tellement mieux qu'un iPerf UDP sur le port 53 pour les décideurs)

Edit: trouvé, 2,09€/mois pour 3 appareils. Pas de mois gratuit comme souvent avec les VPN / plateforme de streaming.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 24 février 2021 à 10:17:36
fredsav et maximushugus pouriez-vous faire un signalement sur https://jalerte.arcep.fr/ ?

LaFibre.info n'est pas considéré comme un canal officiel de remontée utilisateur vers l'Arcep.

Juste un petit signalement et mettez le lien vers ce sujet, c'est suffisant.
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: maximushugus le 24 février 2021 à 16:12:41
C'est déjà fait de mon côté 🙂
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: neo_hijacker le 16 juin 2021 à 15:40:43
Bonjour,

Attention, les réseaux mobiles quel que soit l'opérateur ne sont pas des accès à Internet mais un gigantesque LAN offrant des services de l'opérateur, dont Internet.
Donc je ne suis pas sûr que la neutralité du net s'applique...

De ce fait, les flux directs entre mobiles sont très souvent bloqués, les flux entrants sont également bloqués (notamment en IPv6), et les flux sortants passent par des passerelles qui font de l'optimisation WAN et un peu de sécurité.
Il y a aussi des obligations légales comme le filtrage parental, qui se fait justement via DNS.

Si vous voulez un accès neutre, il faut prendre une offre "box 4G" qui sont souvent positionnées sur des APN mobile dédiés à cet usage...
Par exemple, chez SFR, l'APN "websfr" et "sl2sfr" sont pour les terminaux mobiles alors que les box sont sur l'APN "box"...
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: FloBaoti le 16 juin 2021 à 15:45:23
 :o ;D ;D
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 16 juin 2021 à 16:33:56
Donc je ne suis pas sûr que la neutralité du net s'applique...
Si, si le règlement sur la neutralité s'applique entièrement et des opérateurs ont déjà du modifier leur pratique pour se mettre en conformité.

De ce fait, les flux directs entre mobiles sont très souvent bloqués, les flux entrants sont également bloqués (notamment en IPv6)
IPv4 : Les flux entrants sont par définition bloqués
IPv6 : Le blocage est nécessaire pour préserver le forfait et la batterie du téléphone, pour des raisons de sécurité également, mais l'Arcep aimerait bien qu'il soit possible de configurer le firewall réseau dans son espace client pour autoriser certains flux IPv6 entrant (par exemple par port et/ou IP source et/ou IP destination)

les flux sortants passent par des passerelles qui font de l'optimisation WAN et un peu de sécurité.
De moins en moins.

Il y a aussi des obligations légales comme le filtrage parental, qui se fait justement via DNS.
Bougues Telecom a levé toutes ses restrictions sur le port 53 (elles étaient plus importantes que celles de SFR).
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: neo_hijacker le 16 juin 2021 à 16:37:55
Si, si le règlement sur la neutralité s'applique entièrement et des opérateurs ont déjà du modifier leur pratique pour se mettre en conformité.
Merci de l'info
IPv4 : Les flux entrants sont par définition bloqués
IPv6 : Le blocage est nécessaire pour préserver le forfait et la batterie du téléphone, pour des raisons de sécurité également, mais l'Arcep aimerait bien qu'il soit possible de configurer le firewall réseau dans son espace client pour autoriser certains flux IPv6 entrant (par exemple par port et/ou IP source et/ou IP destination)
Peut être demander aux opérateurs un APN dédié sans filtrage, configuré manuellement par le client dans son smartphone ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 16 juin 2021 à 16:50:20
Tu peut le demander. J'ai peur qu'ils te disent non ou $$$

Coté Arcep, les obligations se limitent à la possibilité pour chaque client d'activer IPv6.

La baromètre IPv6 Arcep permet à un opérateur qui permettrait de configurer les flux entrant de se mettre en avant, mais ils ne le font pas aujourd'hui (cela pourrait changer demain, notamment dans un monde ou IPv6 est utilisé presque partout)

(https://lafibre.info/images/ipv6/202012_arcep_barometre_ipv6_mobile_6.png)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: eahlys le 16 juin 2021 à 19:35:55
"De moins en moins" pour les flux sortants passant par des plateformes d'optimisation, c'est réellement quelque chose qui disparaît ?
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 16 juin 2021 à 21:57:28
Tu prend SFR, tous les trucs qui ne fonctionnent pas en IPv4, comme http/2 en http fonctionnent en IPv6, j'imagine que la problématique port 53 c'est la même chose.

Démo en IPv4 avec le même opérateur mobile :
curl --http2-prior-knowledge -4 -o /dev/null http://fr.archive.ubuntu.com/

(https://lafibre.info/images/wireshark/202103_http2_prior_knowledge_ipv6_ipv4.png)

Trace coté client :

(https://lafibre.info/images/wireshark/202103_http2_prior_knowledge_ipv4_echec_client_1.png)

(https://lafibre.info/images/wireshark/202103_http2_prior_knowledge_ipv4_echec_client_2.png)

La capture wireshark (1 Ko) si vous souhaitez regarder:
(cliquer sur la miniature ci-dessous, Wireshark est nécessaire pour lire le fichier)
202103_http2_prior_knowledge_ipv4_echec_client.pcapng.gz
(https://lafibre.info/images/wireshark/logo_wireshark.png) (https://lafibre.info/images/wireshark/202103_http2_prior_knowledge_ipv4_echec_client.pcapng.gz)



Trace coté serveur : On voit qu'un équipement intermédiaire à coupé la partie binaire. (A noter que j'ai vérifié : quand c'est suite à un upgrade, les commandes binaires passent bien du client vers le serveur, après l'upgrade)

(https://lafibre.info/images/wireshark/202103_http2_prior_knowledge_ipv4_echec_serveur_1.png)

(https://lafibre.info/images/wireshark/202103_http2_prior_knowledge_ipv4_echec_serveur_2.png)

La capture wireshark (8 Ko) si vous souhaitez regarder:
(cliquer sur la miniature ci-dessous, Wireshark est nécessaire pour lire le fichier)
202103_http2_prior_knowledge_ipv4_echec_serveur.pcapng.gz
(https://lafibre.info/images/wireshark/logo_wireshark.png) (https://lafibre.info/images/wireshark/202103_http2_prior_knowledge_ipv4_echec_serveur.pcapng.gz)
Titre: Neutralité du net et blocage port 53 chez SFR
Posté par: vivien le 17 juin 2021 à 11:27:35
Un autre exemple, tu peut voir sur https://web.archive.org/web/20210117213423/https://www.digicelgroup.com/mq/fr.html que Digicel proposait des offres assez étonnantes : un forfait avec 21 Go divisés en plusieurs blocs :
- 3 Go vers Internet
- 3 Go vers une application de presse
- 3 Go vers une application de musique spécifique a l'opérateur
- 3 Go vers une application de TV spécifique a l'opérateur
- 3 Go vers une application de ...

Tu peut voir que cette offre n'est plus proposée en Martinique, territoire concerné par la neutralité du net.