La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Bouygues Telecom => 
Incidents Bouygues => Discussion démarrée par: ArKoS91 le 03 mars 2022 à 12:44:46
-
Bonjour, ayant souscrit à l'offre ultym de bouygues, le débit est nickel, tout fonctionne bien. Seulement voila je me suis rendu compte que bouygues bloquait l'accès à certains sites internet via son dns. J'ai essayé de modifier ça dans les paramètres de la bbox (cf capture d'écran) mais pourtant rien à faire, blocage toujours actif. Sur le site https://www.top10vpn.com/tools/what-is-my-dns-server/, voici ce que l'on m'affiche (cf capture d'écran n°2)
Avez vous des conseils s'il vous plait ? Je ne suis pas un grand connaisseur en réseau.
-
Il me semble en effet que les dns de la box sont toujours utilisés si dans vos équipements, c'est la box qui est renseignée en tant que serveur DNS.
La solution serait d'indiquer le serveur dns en dur sur les équipements s'il y en a peu, ou alors désactiver le dhcp de la box, et en créer un autre, mais ca nécessite quelques connaissances (et équipements).
-
Bonjour,
Il est possible de rajouter des DNS tiers dans la Bbox, qui sont interrogés en cas d'absence de donnée pour des DNS interne à une entreprise par exemple.
Par contre les DNS primaires restent ceux de Bouygues Telecom pour éviter les cas de pishing qui ont été vu chez un autre opérateur.
La solution la plus simple pour ne plus passer par le DNS de l'opérateur est d'activer le DoH sur Firefox => https://lafibre.info/navigateurs/doh-usa/msg735608/#msg735608
-
Merci pour vos retours. Je viens de trouver cette astuce sur un forum de Bouygues, permettant de "bloquer" les dns de bouygues (cf screen). Je l'ai appliqué dans le firewall mais il semble que les dns de bouygues semblent toujours actif. Des solutions ?
(https://drive.google.com/file/d/1Y3-iIW9U_q2HicLaVlvSatWipOSJCP8d/view)
-
Le blocage des DNS Bouygues empêcherait une partie des services de télévision et de téléphonie de fonctionner.
Il faut faire attention, je ne préconise pas du tout cette méthode.
-
Je ne suis pas client Bouygues, donc je ne sais pas quelle est la dépendance sur les DNS de la box, j'imagine que ce sont des zones "maison" ?
Est-ce qu'une solution raisonnable n'est pas d'installer un DNS sur son réseau (un raspi peut facilement faire resolver + DHCP), et le configurer pour forward les requêtes pour ces zones vers les DNS Bouygues ?
Parce que les DNS menteurs, bah...
-
Les DNS de Bouygues ne sont pas menteurs, mais il bloquent les sites demandés par la justice (tout comme Orange / SFR / Free qui devraient avoir exactement la même liste de sites bloqués)
-
Les DNS de Bouygues ne sont pas menteurs, mais il bloquent les sites demandés par la justice (tout comme Orange / SFR / Free qui devraient avoir exactement la même liste de sites bloqués)
Mouais, ça se défend. En tout cas, ils ne disent pas "la vérité, rien que la vérité et toute la vérité", comme dans les films.
Et c'est uniquement BOFS qui bloquent ? Les autres n'ont pas cette obligation ?
De toute façon, à mon avis, "bloquer" des sites en demandant aux opérateurs de supprimer les entrées DNS, j'ai toujours trouvé ça pas super futé.
C'est comme si on voulait empêcher quelqu'un de téléphoner en supprimant son nom de l'annuaire, après tout. On arrive à une étape ou le DNS du provider n'est qu'une option, le thread sur DoH est assez éloquent à ce sujet.
Pour ceux qui veulent y aller, c'est le moyen le plus facile à contourner. Même pas besoin de VPN, tor ou autres.
Pour ceux qui risquent de tomber dessus "par hasard", soit ils cherchent un peu sur les forums :D et apprennent des solutions alternatives, ce qui est sûrement assez loin du but recherché, soit ils ne sont pas trop persévérants et ils abandonnent (mais peut être que cette dernière catégorie est la seule cible visée par les mesures de blocage ?)
(pour être clair : je ne parle pas de la légitimité de ces "blocages", c'est pas trop l'endroit, je donne juste mon avis sur la solution technique)
-
Les DNS de Bouygues ne sont pas menteurs, mais il bloquent les sites demandés par la justice (tout comme Orange / SFR / Free qui devraient avoir exactement la même liste de sites bloqués)
C'est vrai, sauf que j'ai été chez orange et free en un an et demi et on ne m'a jamais rien bloqué. Par ailleurs, même les forfaits téléphoniques de bouygues bloquent les memes sites. Mais c'est bon, j'ai changé les dns sur les appareils sur lesquels c'est utile, pour le reste, j'ai laissé le dhcp automatique.
-
Bonjour, ayant souscrit à l'offre ultym de bouygues, le débit est nickel, tout fonctionne bien. Seulement voila je me suis rendu compte que bouygues bloquait l'accès à certains sites internet via son dns. J'ai essayé de modifier ça dans les paramètres de la bbox (cf capture d'écran) mais pourtant rien à faire, blocage toujours actif. Sur le site https://www.top10vpn.com/tools/what-is-my-dns-server/, voici ce que l'on m'affiche (cf capture d'écran n°2)
Avez vous des conseils s'il vous plait ? Je ne suis pas un grand connaisseur en réseau.
Petit conseil juste masque ton adresse ip
-
Petit conseil juste masque ton adresse ip
Pas de soucis, c'est l'adresse locale
-
Et c'est uniquement BOFS qui bloquent ? Les autres n'ont pas cette obligation ?
Il y a des décision de justice qui ne demandent qu'au 4 opérateurs de bloquer et dans ce cas là seul ces 4 opérateurs bloquent les sites demandés.
C'est vrai, sauf que j'ai été chez orange et free en un an et demi et on ne m'a jamais rien bloqué. Par ailleurs, même les forfaits téléphoniques de bouygues bloquent les memes sites. Mais c'est bon, j'ai changé les dns sur les appareils sur lesquels c'est utile, pour le reste, j'ai laissé le dhcp automatique.
Je suis intéressé pour avoir en public ou via message privé si tu ne souhaites pas les donner ici les sites en question pour que je vérifie leur disponibilité chez les différents opérateurs, cela fait partie de mes fonctions à l'Arcep de vérifier la neutralité. Il est interdit de bloquer un site pour lequel on n'a pas l’obligation de le bloquer.
-
Je suis ignorant des pratiques de Bouygues alors juste par curiosité:
J'ai bien saisi que Bouygues bloquait des sites, okay, mais des échanges ci-dessus, faut-il comprendre qu'ils détournent les requêtes dns des utilisateurs (!)?
-
Jusqu'à démonstration du contraire, Bouygues Telecom ne bloque que les sites que la justice lui demande de bloquer (coucou RT France).
Pour le champ DNS de la Bbox, il est là pour les entreprises (ou particuliers) qui ont DNS interne avec des zone annoncées uniquement sur le réseau (intranet).
Il n'est pas là pour remplacer les DNS de Bouygues Teleocm qui sont consultés en priorité avant le DNS rajouté par l'utilisateur.
-
Il y a des décision de justice qui ne demandent qu'au 4 opérateurs de bloquer et dans ce cas là seul ces 4 opérateurs bloquent les sites demandés.
Effectivement K-Net ne bloque pas celui dont tout le monde parle ces jours.
Pourquoi les 4 gros seulement, on veut toucher le plus grand nombre, trop compliqué de faire appliquer à tous les FAI, ou peut être risque que la liste des sites bloqués fuite, volontairement ou pas ?
-
Je suis ignorant des pratiques de Bouygues alors juste par curiosité:
J'ai bien saisi que Bouygues bloquait des sites, okay, mais des échanges ci-dessus, faut-il comprendre qu'ils détournent les requêtes dns des utilisateurs (!)?
Je reformule ma question.
Si je fais, depuis un pc derrière la box, un nslookup lafibre.info dns10.ovh.net
(j'exclus le cas ou Bouygues se permette de manipuler les flags dns)
1- Est ce que je n'obtiens rien parce que la box filtre les requêtes dns.
2- J'obtiens une réponse du serveur dns autoritaire.
3- J'obtiens une réponse d'un serveur "Non-Authoritative Server / réponse ne faisant pas autorité" parce ma requête détournée est traitée par un résolveur tiers.
-
Je suis intéressé pour avoir en public ou via message privé si tu ne souhaites pas les donner ici les sites en question pour que je vérifie leur disponibilité chez les différents opérateurs, cela fait partie de mes fonctions à l'Arcep de vérifier la neutralité. Il est interdit de bloquer un site pour lequel on n'a pas l’obligation de le bloquer.
En fait, ce n'est pas vraiment un site, mais plutot un "flux" (je sais pas trop comment nommer ca) iptv, via un petit boitier android tv acheté à l'étranger. Evidemment c'est interdit, je ne conteste pas ça. Juste que je ne savais pas qu'on pouvait brider ou bloquer comme ca des sites internets
-
Ah bah voilà tout s'explique ;D
-
Effectivement K-Net ne bloque pas celui dont tout le monde parle ces jours.
Pourquoi les 4 gros seulement, on veut toucher le plus grand nombre, trop compliqué de faire appliquer à tous les FAI, ou peut être risque que la liste des sites bloqués fuite, volontairement ou pas ?
Il y a des décisions de justice, par exemple, pour bloquer Pirate Bay (mais il n'est plus bloqué, j'imagine que la durée de blocage a expiré) qui ne touche que les 4 gros (demandez au juge pourquoi il se limité aux 4 gros FAI, pas à moi).
Pour le blocage de https://francais.rt.com/ (si c'est à ça que tu fais allusion, autant donner les nom, ce n'est pas interdit) tous les opérateurs européens ont l'obligation de bloquer les flux, mais à la décharge de K-Net, le règlement européen qui impose ce blocage ( https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R0350&from=FR ) est clair sur le blocage des chaines TV, mais moins sur les blocages DNS à faire (il n'y a pas une liste des DNS à bloquer en annexe, c'est regrettable).
Maintenant même si K-Net n'est pas dans les nombreux échanges avec les juristes sur ce point, il peut observer que Orange, Bouygues Telecom, Free et SFR ont bloqués les DNS de RT France et donc je l'invite à se mettre en conformité.
-
Merci pour le lien vers le JO.
C'est super vague ce texte, ça ne dit rien des moyens techniques à mettre en oeuvre, vraiment à 100 bornes de la réalité d'un FAI j'ai l'impression :
"Interdit aux opérateurs de diffuser, de permettre, de faciliter ou de contribuer d'une autre manière à la diffusion ..."
Et le fait qu'ils ne donnent pas de détails technique, comme une liste de noms de domaine, ça sent quand même vachement les gars qui ne comprennent pas grand chose au réseau mais qui veulent s'assurer de ne pas laisser de trous dans la raquette, et tant pis si c'est inapplicable...
De toute façon, appliquer ce texte à la lettre c'est couper l'internet en Europe. Si même les applications "nouvelles", donc pas existantes à ce jour, sont visées, alors comment garantir l'application de ce texte, sauf à surveiller tout le flux d'un abonné (en le décryptant là où c'est nécessaire, c'est à dire presque partout) ?
-
Le seul type de blocage existant possible actuellement en France, c'est le bocage DNS, donc les FAI n'ont pas trop à hésiter sur les moyens techniques à mettre en œuvre.
Je sais que d'autres pays comme le Royaume-Uni ont autorisés le blocage IP, mais c'est pour du contenu particulier (piratage de flux vidéo sportif) qui ne fait pas de requête DNS, la box a directement une liste d'IP et qui est hébergé sur des serveurs dédiés. Différents moyens sont mis en place pour être sur de ne pas faire de sur-blocage et la durée de blocage est très limitée (quelques heures).
-
D’ailleurs, je m’interroge sur le bien fondé de l’idée qu’on empêche l’utilisateur de modifier les DNS advertisés par sa box sur le LAN.
Pourquoi faire ça ?
-
Le seul type de blocage existant possible actuellement en France, c'est le bocage DNS, donc les FAI n'ont pas trop à hésiter sur les moyens techniques à mettre en œuvre.
D'accord, et donc c'est pour ça que le texte du JO devrait donner des noms de domaine, pour être plus précis sur la réalisation par les opérateurs. D'un autre côté, si dans chaque pays le "blocage" est implémenté différemment, difficile au niveau EU de descendre plus dans le domaine technique.
Quand tu dis le seul "existant possible actuellement en France", ça veut dire quoi exactement ?
- qu'il y a une loi qui interdit par exemple de filtrer sur des adresses IP, ou qu'il n'y a pas de base légale pour faire autre chose que du blocage DNS ?
- que personne ne s'est mis d'accord sur le financement des routeurs qui vont devoir ACL tout le trafic ?
- ou simplement que personne ne l'a fait parce qu'un jour quelqu'un a dit "facile yaka tripoter les DNS, ça marchera sur les laptops des députés, personne n'y verra que du feu" ?
-
D’ailleurs, je m’interroge sur le bien fondé de l’idée qu’on empêche l’utilisateur de modifier les DNS advertisés par sa box sur le LAN.
Pourquoi faire ça ?
Rien n'empêche celui qui touche de faire ce qu'il vaut, mettre son DHCP, son DNS sur son LAN, pas une grosse affaire. La limitation ne vise donc évidemment que les utilisateurs lambda (Mme M...), et à mon avis il y a deux raisons :
- Limiter les appels au support technique de la part de ceux qui ont bidouillé et qui ne savent plus où ils en sont.
- Justifier que le FAI n'offre pas un moyen trivial de contourner le "blocage DNS" de sites : c'est le "participer [...] à des activités ayant pour objet ou pour effet de contourner les interdictions [...]" du règlement cité plus haut.
-
A l'époque où Orange permettait de modifier les DNS on a vu des logiciels malveillant modifier la configuration pour faire du phishing.
C'était plus simple à l’époque, peu de site https et le mot de passe pour accéder à la configuration des box était le même partout si le client ne le modifiait pas.
Rien n'interdit à un opérateur de proposer cette fonctionnalité, mais les opérateurs préfèrent ne pas la proposer pour limiter les risques de sécurité.
Quand tu dis le seul "existant possible actuellement en France", ça veut dire quoi exactement ?
- Le blocage par IP risque de faire du sur-blocage, c'est envisagé, mais pour des cas bien précis pour des serveurs de streming pirates, pas des sites web.
- Le blocage par DPI est interdit en Europe, de même que faire des statistiques par DPI.
Le SNI est une donnée privée, il est interdit aux opérateurs de la collecter (et encore moins de faire un blocage dessus). Avec ECH (Encrypted Client Hello) (https://lafibre.info/cryptographie/encrypted-sni/) qui arrive les pays qu se bases sur ça vont avoir des problèmes.
Le DPI (Deep packet inspection) est interdit, même pour catégoriser le trafic :
Extrait de la du rapport 2020 (page 66) (https://lafibre.info/images/doc/202006_arcep_rapport_etat_internet_2020.pdf#page=66) : Le règlement Internet ouvert permet aux FAI d’accéder qu’aux informations contenues dans l’en-tête du parquet IP et dans l’en-tête du protocole de la couche transport (par exemple l’en-tête TCP ou l’en-tête UDP) dont les noms de domaine et URL sont exclus. Par ailleurs, dans une lettre rendue publique (https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_letter_out2019-0055_berecnetneutrality2.pdf), le Comité européen de la protection des données (EDPB) qui a été saisi pour avis, précise que le nom de domaine et l’URL peuvent être qualifiés de données à caractères personnels et à ce titre sont protégées par les dispositions de la directive vie privée et communications électroniques et du règlement général sur la protection des données. Ainsi, les FAI qui utiliseraient le nom de domaine ou les URL à des fins de catégorisation de trafic ou de facturation s’exposeraient non seulement à une violation potentielle du règlement internet ouvert, mais aussi à une possible violation de la protection des données à caractère personnel de leurs clients.
Cette année, en 2021, l'Arcep nous propose de nouveaux schémas explicatif sur TCP/IP, ce qui est neutre ou pas :
Plusieurs principes intrinsèques au fonctionnement d’internet découlent du modèle TCP/IP : le fonctionnement autonome des couches réseaux (layering principle), le principe du « meilleur effort » dans l’acheminement des données (best effort principle), le principe de bout-en-bout (end-to-end principle) ou encore le principe de transparence du réseau (network transparency).
Chaque couche réseau fonctionne de manière autonome : la segmentation des différentes fonctionnalités d’internet implique que les couches réseaux inférieures se concentrent sur l’acheminement des données utiles qui leur sont confiées (adressage et routage de l’information transmise), laissant la responsabilité des autres fonctionnalités (traitement et présentation des données acheminées) à la couche supérieure, dite applicative (cf. schéma synthétique du modèle TCP/IP). Pour éviter que les données transmises ne se perdent lorsqu’elles passent successivement les couches réseaux, chaque couche réseau ajoute des informations essentielles aux données transmises, qui sont regroupées dans un en-tête positionné au début de chaque paquet de données transféré par la couche précédente (cf. schéma synthétique du mécanisme d’encapsulation).
(https://lafibre.info/images/doc/202006_arcep_rapport_etat_internet_2020_4_neutralite_2.png)
Seules les informations contenues dans l’en-tête destinée à une couche réseau sont utilisées par cette dernière. A titre d’exemple, la couche transport utilise les informations de l’en-tête « transport » pour acheminer les données reçues, mais n’est théoriquement pas en mesure de savoir si les données reçues de la couche applicative sont celles d’un email, d’une vidéo ou d’une page web. Cela implique de facto la circulation des données transmises de manière indifférenciée et de la meilleure manière possible dans les différentes couches traversées, conformément au principe du « meilleur effort ». Selon le principe de « bout-en-bout », seuls les services de la couche applicative, s’assurent de vérifier de l’intégralité et de la conformité des données transmises. Enfin, la segmentation des différentes fonctionnalités d’internet en couches réseaux rend le fonctionnement des couches réseaux inférieures transparent pour les services appartenant à la couche applicative. Ainsi, l’utilisateur final est en théorie libre d’utiliser le terminal ou le système opérateur de son choix, car leur fonctionnement reste indépendant du fonctionnement des couches réseaux inférieures.
(https://lafibre.info/images/doc/202107_arcep_rapport_etat_internet_2021_4_neutralite_1.png)
L’architecture d’Internet selon le modèle TCP/IP permet une segmentation de ses fonctionnalités et le recours à des conventions communes de fonctionnement que sont les protocoles réseaux. Cette uniformisation offre un cadre homogène au sein duquel les utilisateurs finaux disposent d’une égalité de traitement dans l’accès ou la diffusion par les réseaux de leurs contenus, de leurs services ou de leurs applications. En effet, internet incite les utilisateurs finaux à avoir une participation active dans la création de nouveaux contenus au niveau de la couche applicative, en disposant d’un cadre connu et en leur évitant de prendre en compte le fonctionnement des couches réseaux inférieures (cf. le principe de transparence du réseau). De plus, le recours à des protocoles réseaux, communément admis au sein d’une même couche, réduit les coûts de création d’un nouveau service par l’utilisateur final, favorisant de facto l’innovation. Ainsi, internet reste un environnement moteur de l’innovation.
(https://lafibre.info/images/doc/202107_arcep_rapport_etat_internet_2021_4_neutralite_2.png)
-
Le pb c’est que maintenant on ne peut plus changer ses DNS avec un autre serveur DHCP.
Tu désactives le dhcp de ta box tu le mets sur un raspberry pi ca marche mais la box continue à advertiser ses DNS dans les RA IPv6, et Windows en tout cas préfère les DNS IPv6 donc ceux de la box. Donc au final, les DNS que tu utilises sont forcément ceux de la box.
C’est la raison pour laquelle j’ai remplacé ma Bbox, dont la résolution des noms locaux est totalement foireuse.
Seul Free parmi les BOFS permet de changer les DNS v4 et v6.
-
Le pb c’est que maintenant on ne peut plus changer ses DNS avec un autre serveur DHCP.
Tu désactives le dhcp de ta box tu le mets sur un raspberry pi ca marche mais la box continue à advertiser ses DNS dans les RA IPv6, et Windows en tout cas préfère les DNS IPv6 donc ceux de la box. Donc au final, les DNS que tu utilises sont forcément ceux de la box.
À la place du raspi, une machine avec deux cartes réseau, en bridge transparent mais qui filtre les RA ? Ça commence à devenir de la bidouille, mais bon...
Enfin, je sais pourquoi y a pas de box chez moi :)
-
C’est la raison pour laquelle j’ai remplacé ma Bbox, dont la résolution des noms locaux est totalement foireuse.
En intégrant un DNS local supplémentaire dans l'interface de la Bbox cela ne fonctionne pas ?
Moi je regrette juste le ping IPv6 qui est bloqué par la Bbox.
-
Non, le resolveur de la bbox te répond nxdomain une fois sur deux pour les noms locaux, donc ton ordi ne cherche pas sur son resolveur suivant : il a déjà une réponse qui est nxdomain il ne va pas plus loin
-
Oui, NXDOMAIN ne veut pas dire "je ne sais pas, tente ta chance ailleurs" :) C'est une réponse finale ("definitive answer").
Les stratégies du style "je mets plusieurs resolvers dans le DHCP, comme ça pour les domaines que le premier ne voit pas j'ai un deuxième", ou encore "je configure bind pour forward s'il pense que le domaine est inconnu" sont vouées à l'échec. Tout au plus, on peut explicitement définir un forwarder pour des domaines explicitement listés dans la configuration.
Avec un DNS "scriptable", on peut peut être faire quelque chose. J'avais essayé avec PowerDNS il y a quelque temps, pour des trucs dynamiques qu'on voulait faire sur un resolver, mais quand je me suis rendu compte que j'étais en train de casser le protocole j'ai abandonné :-\
-
Y a des OS qui permettent de mettre des resolvers par domaine et par interface, v4 et v6.
Quand on monte un VPN avec sa boite y a des DNS qui montent et écrasent ceux obtenus via DHCP. Et quand y a le renew DHCP du FAI ça écrase les DNS du VPN et ça vous casse les couilles pour le boulot.
sur macOS on peut faire comme ça (par exemple avec un tunnel qui monte en PPP, changez par votre interface)
#!/bin/sh
SERVICES=$(echo "list State:/Network/Service/[^/]+/PPP" | scutil | cut -c 16- | cut -d / -f 1-4)
for SERVICE in $SERVICES
do
if [ "$(echo show $SERVICE/PPP | scutil | grep InterfaceName | cut -c 19-)" == "ppp0" ]; then
echo "d.init
d.add SupplementalMatchDomains * DOMAINE-BOITE
d.add ServerAddresses * IP-DNS1-BOITE IP-DNS2-BOITE
d.add SearchDomains * DOMAINE-BOITE
set $SERVICE/DNS" | scutil
echo "supplemental search server is set for $SERVICE"
fi
done
echo "d.init
d.add ServerAddresses * IPv4-DNS1-FAI IPv6-DNS2-FAI
set A | scutil
Et A c'est la chaine du service DNS existante qui est récupéré par echo "list State:/Network/Service/[^/]+/DNS" | scutil | cut -c 16- | cut -d / -f 1-4 C'est le DNS global pour tous les domaines pour toutes les interfaces.
Exemple State:/Network/Service/689BC0EC-A1CF-468C-B2BD-D4A73D6F6962/DNS
Vous pouvez mettre les DNS FAI ou n'importe quel autre.
-
Quand on monte un VPN avec sa boite y a des DNS qui montent et écrasent ceux obtenus via DHCP. Et quand y a le renew DHCP du FAI ça écrase les DNS du VPN et ça vous casse les couilles pour le boulot.
Je n'ai jamais eu ça. Le renew DHCP, est normalement assez long sur le réseau local, non ?
J'ai un Option: (58) Renewal Time Value de 12 heures et un Option: (59) Rebinding Time Value de 21 heures avec la box SFR NB7.
-
Je n'ai jamais eu ça. Le renew DHCP, est normalement assez long sur le réseau local, non ?
J'ai un Option: (58) Renewal Time Value de 12 heures et un Option: (59) Rebinding Time Value de 21 heures avec la box SFR NB7.
Si tu as un bail de 12h ca va lancer la demande à la moitié du temps, donc dans 6 heures. Un bail de 6h , 3 heures après bam. et toutes les 3h.
-
Avec ECH (Encrypted Client Hello) (https://lafibre.info/cryptographie/encrypted-sni/) qui arrive les pays qu se bases sur ça vont avoir des problèmes.
Il me semble avoir lu que la Chine bloque l'ECH.
Pour l'utiliser il faut un DNS qui fournit les bonnes informations, je ne sais pas si les serveurs DoH les plus courants sont accessibles.
Donc on peut surtout dire que les pays où le DPI est utilisé discrètement (pour espionner, ou pour revendre les données) vont avoir des problèmes.
Ceux qui bloquent ouvertement pourront continuer, mais ce sera peut-être plus visible (sauf s'ils parviennent à contraindre les navigateurs ou les serveurs à désactiver la fonctionnalité pour le pays, ou si certains le font spontanément pour garder leurs utilisateurs).
-
Y a des OS qui permettent de mettre des resolvers par domaine et par interface, v4 et v6.
Par domaine, je peux comprendre mais par interface ???
L'interface dépend de la table de routage, donc n'est pas connue avant la résolution du nom de domaine en adresse IP, il me semble ? Donc si l'OS doit choisir un DNS en fonction de l'interface, il ne peut le faire qu'une fois que l'adresse IP est connue... donc aorès que le resolver ait fini son travail ? Comment ça fonctionne ?
Pas de mac sous la main, donc impossible d'expérimenter avec ton exemple...
Et effectivement, dès qu'on met du VPN ça rajoute une couche d'emmerdes pour la résolution DNS... À moins d'avoir un support de l'OS pour un choix par domaine, le plus simple, pas le plus élégant, est d'avoir au bout du VPN un DNS assez propre et de confiance pour lui envoyer toutes les demandes, même celles pour le trafic qui ne sortira pas par le VPN.
-
Par domaine, je peux comprendre mais par interface ???
L'interface dépend de la table de routage, donc n'est pas connue avant la résolution du nom de domaine en adresse IP, il me semble ? Donc si l'OS doit choisir un DNS en fonction de l'interface, il ne peut le faire qu'une fois que l'adresse IP est connue... donc aorès que le resolver ait fini son travail ? Comment ça fonctionne ?
Il choisit pas le DNS et son interface associée en fonction de l'IP à atteindre mais du nom à résoudre.
Là tu as même les commandes pour mettre sur le service DNS global (indépendant de l'interface) des infos de resolvers particuliers pour les domaines bloqués. Voir le dernier bloc de commande ici http://hints.macworld.com/article.php?story=20050621051643993
-
Par domaine, je peux comprendre mais par interface ???
L'interface dépend de la table de routage, donc n'est pas connue avant la résolution du nom de domaine en adresse IP, il me semble ? Donc si l'OS doit choisir un DNS en fonction de l'interface, il ne peut le faire qu'une fois que l'adresse IP est connue... donc aorès que le resolver ait fini son travail ? Comment ça fonctionne ?
https://www.freebsd.org/cgi/man.cgi?query=resolvconf&sektion=8
mais il y a aussi d'autres stratégies pour des problèmes sensiblement différents.
https://man.openbsd.org/unwind.8
Même Windows a un client dns (on peut résoudre sans, pas de souci). Windows gère une liste de résolveurs par interface (Get-DnsClientServerAddress) mais en dehors de changer statiquement l'ordre de la liste, je ne sais pas ce qu'il est possible de faire dynamiquement.