Bonjour,

Depuis hier il m'est impossible d'utiliser des serveurs DNS alternatif a ceux de Bouygues, je m'explique.

Dans ma configuration actuelle j'utilise mon propre matériel, Unifi gateway qui est connecté sur l'ONT et écoute sur le vlan100 (je n'utilise donc pas la Bbox).
Pour ma gestion des DNS j'utilise un serveur Adguard qui fonctionne dans une image docker sur mon serveur en local.

Jusqu'à hier j'utilisais le resolver DNS de Cloudflare depuis Adguard mais depuis hier soir plus aucun serveur DNS alternatif ne semble répondre, seuls ceux de Bouygues répondent correctement .  

sur mon serveur si je force une résolution du domaine google.fr en utilisant le serveur DNS 8.8.8.8 il n'y a aucune réponse

root@nas:~# nslookup google.fr 8.8.8.8
;; connection timed out; no servers could be reached

Si je capture le trafic sur l'interface WAN du Vlan100 les paquets sortent bien sur internet mais il n'y a aucun retour


192.168.2.2.53341 > 8.8.8.8.53: [udp sum ok] 42873+ A? google.fr. (27)
    176.191.xx.xx.53341 > 8.8.8.8.53: [udp sum ok] 42873+ A? google.fr. (27)

Et idem pour tous les autres, j'ai été obliger de remettre les serveurs DNS de Bouygues qui eux fonctionne bien.

194.158.122.10
194.158.122.15

On dirait qu'il y a une restriction d'utilisation des serveurs DNS en amont chez Bouygues ou bien quelque chose qui ne va pas chez moi. 


J'ai également fait un test depuis DNS benchmark depuis mon poste qui confirme les restrictions de serveurs DNS.

Merci de ta réponse.

Pas de problème depuis les traceroutes.

root@nas:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  gateway (192.168.2.1)  0.403 ms  0.543 ms  0.743 ms
 2  176-183-168-2.abo.bbox.fr (176.183.168.2)  7.231 ms  6.527 ms  8.414 ms
 3  * * *
 4  * * *
 5  62.34.2.117 (62.34.2.117)  15.537 ms  15.667 ms  15.956 ms
 6  * * *
 7  209.85.148.0 (209.85.148.0)  13.872 ms  13.931 ms  10.864 ms
 8  74.125.244.225 (74.125.244.225)  13.369 ms 74.125.244.209 (74.125.244.209)  12.512 ms 74.125.244.225 (74.125.244.225)  14.301 ms
 9  142.250.46.101 (142.250.46.101)  14.402 ms 172.253.67.157 (172.253.67.157)  16.141 ms 142.251.78.77 (142.251.78.77)  14.088 ms
10  dns.google (8.8.8.8)  11.635 ms  11.350 ms  10.845 ms

root@nas:~# traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
 1  gateway (192.168.2.1)  0.399 ms  0.556 ms  0.726 ms
 2  176-183-168-2.abo.bbox.fr (176.183.168.2)  6.197 ms  8.012 ms  7.297 ms
 3  * * *
 4  62.34.2.115 (62.34.2.115)  20.391 ms  19.677 ms  21.842 ms
 5  be5.cbr01-ntr.net.bbox.fr (212.194.171.137)  21.682 ms  19.467 ms  21.497 ms
 6  * * *
 7  cloudflare.par.franceix.net (37.49.237.49)  16.724 ms  16.843 ms  17.731 ms
 8  one.one.one.one (1.1.1.1)  17.183 ms  16.584 ms  16.284 ms
j'ai l'impression que mon problème concerne uniquement l'UDP sur le port 53, mais je n'arrive pas à comprendre pourquoi les paquets sortent de mon WAN mais sans réponse de leurs parts

11:28:28.335484 IP 176.191.xx.xx.36733 > 1.1.1.1.53: 32703+ A? google.fr. (27)
11:28:46.140009 IP 194.158.122.15.53 > 176.191.xx.xx.37580: 35261 1/1/1 CNAME gsp85-ssl.ls2-apple.com.akadns.net. (162)
11:28:46.141033 IP 194.158.122.10.53 > 176.191.xx.xx.33248: 35261 1/1/1 CNAME gsp85-ssl.ls2-apple.com.akadns.net. (181)

ça fonctionne bien.

❯ dig google.fr +tcp @8.8.8.8

; <<>> DiG 9.16.1-Ubuntu <<>> google.fr +tcp @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62018
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.fr.                     IN      A

;; ANSWER SECTION:
google.fr.              300     IN      A       142.250.200.227

;; Query time: 10 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Mar 22 11:38:46 CET 2022
;; MSG SIZE  rcvd: 54

Aucun problème si je branche la box, c'est donc depuis mon unifi.. 
Je vais creusé plus en détails car ce problème me taraude.

Merci de ton aide  

Tu n’as pas activé un filtrage dns sur ton réseau LAN ? Ce filtrage redirige tout le flux UDP 53 vers des serveurs forcés.

D’acc, regarde avec un tcpdump port 53 sur ton interface wan et lan (avec l’argument qui va bien) et compare si tu vois les mêmes paquets sur les deux.