Auteur Sujet: Neutralité du net et blocage port 53 chez SFR  (Lu 6133 fois)

0 Membres et 1 Invité sur ce sujet

hwti

  • Client Orange Fibre
  • *
  • Messages: 1 615
  • Chambly (60)
Neutralité du net et blocage port 53 chez SFR
« Réponse #60 le: 23 février 2021 à 16:45:58 »
Des explications ? J'imagine que cela vient des serveurs SFR qui bloquent un flux quelque part car cela fonctionnait parfaitement via d'autres opérateurs...
Peut-être une configuration IPv6, Adgard ne fait peut-être pas de DNS64.
Dans ce cas, ipv6.lafibre.info devrait quand même se charger.

vivien

  • Administrateur
  • *
  • Messages: 38 728
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #61 le: 23 février 2021 à 18:34:52 »
L'IPv6 est du double pile chez SFR : IPv6 + IPv4. (Chez Bouygues et Orange, c'est de l'IPv6 only + DNS64/NAT64 + 464XLAT).
L'IPv6 n'est donc pas le fautif.

SFR semble bloquer le trafic UDP sur le port 53 qui n'est pas un trafic de type DNS en IPv4 uniquement.

Si il est possible de passer le VPN en IPv6, cela devrait fonctionner, cf mes tests :

J'arrive enfin à reproduire votre problème.

J'ai mis en place un serveur iPerf3 qui écoute sur le port 9200. Il n'écoute pas directement sur le port 53, car il lui faudrait les privilèges root.
J'ai ensuite mis une redirection iptables du port 53 au port 54 qui renvoi en IPv4 et en IPv6, en UDP comme en TCP les connexion sur le port 9200.

Le port 53 et 54 fonctionnent tous les deux parfaitement avec une connexion RED THD (câble).

Quand je passe en partage de connexion derrière mon Samsung Galaxy S8, le port 54 continue de fonctionner, mais pas le port 53.

Il y a donc un applicatif qui vérifie que les requêtes en UDP sur le port 53 sont bien des bonnes requêtes DNS correctement formées.
Je n'ai pas vérifié si un site que les opérateurs ont obligation de bloquer derrière leur DNS se retrouve également bloqué sur un serveur DNS tiers.

A noter que DNS fonctionne également en TCP (quand les réponses sont trop grosses pour tenir dans un paquet UDP) mais l'inspection du trafic ne se fait que en UDP, pas en TCP, vu qu'une connexion https sur le port 53 fonctionne.

C'est donc reproductible : Merci.






hwti

  • Client Orange Fibre
  • *
  • Messages: 1 615
  • Chambly (60)
Neutralité du net et blocage port 53 chez SFR
« Réponse #62 le: 23 février 2021 à 20:32:50 »
L'IPv6 est du double pile chez SFR : IPv6 + IPv4. (Chez Bouygues et Orange, c'est de l'IPv6 only + DNS64/NAT64 + 464XLAT).
Même sur iOS ?

Adguard est un VPN local, le but est de filtrer le trafic (à priori juste le DNS) pour bloquer les pubs.
C'est un contournement classique, le système ne permet probablement pas de changer le DNS d'une connexion mobile.

vivien

  • Administrateur
  • *
  • Messages: 38 728
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #63 le: 23 février 2021 à 21:21:35 »
Pour SFR, c'est double pile sur Android comme iOS, le déploiement d'IPv6 n'étant pas fait suite à une pénurie d'IPv4 privée sur suites à une obligation de l'Arcep.

Adguard, coûte combien ? J'ai été voir leur site, ce n'est pas indiqué (je sens que je vais tester ça, un cas concret de blocage c'est tellement mieux qu'un iPerf UDP sur le port 53 pour les décideurs)

Edit: trouvé, 2,09€/mois pour 3 appareils. Pas de mois gratuit comme souvent avec les VPN / plateforme de streaming.

vivien

  • Administrateur
  • *
  • Messages: 38 728
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #64 le: 24 février 2021 à 10:17:36 »
fredsav et maximushugus pouriez-vous faire un signalement sur https://jalerte.arcep.fr/ ?

LaFibre.info n'est pas considéré comme un canal officiel de remontée utilisateur vers l'Arcep.

Juste un petit signalement et mettez le lien vers ce sujet, c'est suffisant.

maximushugus

  • Client SFR fibre FttH
  • *
  • Messages: 164
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #65 le: 24 février 2021 à 16:12:41 »
C'est déjà fait de mon côté 🙂

neo_hijacker

  • Expert SFR
  • Expert
  • *
  • Messages: 100
  • 91
Neutralité du net et blocage port 53 chez SFR
« Réponse #66 le: 16 juin 2021 à 15:40:43 »
Bonjour,

Attention, les réseaux mobiles quel que soit l'opérateur ne sont pas des accès à Internet mais un gigantesque LAN offrant des services de l'opérateur, dont Internet.
Donc je ne suis pas sûr que la neutralité du net s'applique...

De ce fait, les flux directs entre mobiles sont très souvent bloqués, les flux entrants sont également bloqués (notamment en IPv6), et les flux sortants passent par des passerelles qui font de l'optimisation WAN et un peu de sécurité.
Il y a aussi des obligations légales comme le filtrage parental, qui se fait justement via DNS.

Si vous voulez un accès neutre, il faut prendre une offre "box 4G" qui sont souvent positionnées sur des APN mobile dédiés à cet usage...
Par exemple, chez SFR, l'APN "websfr" et "sl2sfr" sont pour les terminaux mobiles alors que les box sont sur l'APN "box"...

FloBaoti

  • Client FAI autre
  • *
  • Messages: 1 072
  • 34
Neutralité du net et blocage port 53 chez SFR
« Réponse #67 le: 16 juin 2021 à 15:45:23 »
 :o ;D ;D

vivien

  • Administrateur
  • *
  • Messages: 38 728
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #68 le: 16 juin 2021 à 16:33:56 »
Donc je ne suis pas sûr que la neutralité du net s'applique...
Si, si le règlement sur la neutralité s'applique entièrement et des opérateurs ont déjà du modifier leur pratique pour se mettre en conformité.

De ce fait, les flux directs entre mobiles sont très souvent bloqués, les flux entrants sont également bloqués (notamment en IPv6)
IPv4 : Les flux entrants sont par définition bloqués
IPv6 : Le blocage est nécessaire pour préserver le forfait et la batterie du téléphone, pour des raisons de sécurité également, mais l'Arcep aimerait bien qu'il soit possible de configurer le firewall réseau dans son espace client pour autoriser certains flux IPv6 entrant (par exemple par port et/ou IP source et/ou IP destination)

les flux sortants passent par des passerelles qui font de l'optimisation WAN et un peu de sécurité.
De moins en moins.

Il y a aussi des obligations légales comme le filtrage parental, qui se fait justement via DNS.
Bougues Telecom a levé toutes ses restrictions sur le port 53 (elles étaient plus importantes que celles de SFR).

neo_hijacker

  • Expert SFR
  • Expert
  • *
  • Messages: 100
  • 91
Neutralité du net et blocage port 53 chez SFR
« Réponse #69 le: 16 juin 2021 à 16:37:55 »
Si, si le règlement sur la neutralité s'applique entièrement et des opérateurs ont déjà du modifier leur pratique pour se mettre en conformité.
Merci de l'info
IPv4 : Les flux entrants sont par définition bloqués
IPv6 : Le blocage est nécessaire pour préserver le forfait et la batterie du téléphone, pour des raisons de sécurité également, mais l'Arcep aimerait bien qu'il soit possible de configurer le firewall réseau dans son espace client pour autoriser certains flux IPv6 entrant (par exemple par port et/ou IP source et/ou IP destination)
Peut être demander aux opérateurs un APN dédié sans filtrage, configuré manuellement par le client dans son smartphone ?

vivien

  • Administrateur
  • *
  • Messages: 38 728
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #70 le: 16 juin 2021 à 16:50:20 »
Tu peut le demander. J'ai peur qu'ils te disent non ou $$$

Coté Arcep, les obligations se limitent à la possibilité pour chaque client d'activer IPv6.

La baromètre IPv6 Arcep permet à un opérateur qui permettrait de configurer les flux entrant de se mettre en avant, mais ils ne le font pas aujourd'hui (cela pourrait changer demain, notamment dans un monde ou IPv6 est utilisé presque partout)



eahlys

  • Expert Bouygues Telecom
  • Client Bbox fibre
  • *
  • Messages: 666
Neutralité du net et blocage port 53 chez SFR
« Réponse #71 le: 16 juin 2021 à 19:35:55 »
"De moins en moins" pour les flux sortants passant par des plateformes d'optimisation, c'est réellement quelque chose qui disparaît ?