Auteur Sujet: Bridage DNS Bouygues ? (Lu 3106 fois)

cmer · « **le:** 22 mars 2022 à 11:09:31 »

Bonjour,

Depuis hier il m'est impossible d'utiliser des serveurs DNS alternatif a ceux de Bouygues, je m'explique.

Dans ma configuration actuelle j'utilise mon propre matériel, Unifi gateway qui est connecté sur l'ONT et écoute sur le vlan100 (je n'utilise donc pas la Bbox).
Pour ma gestion des DNS j'utilise un serveur Adguard qui fonctionne dans une image docker sur mon serveur en local.

Jusqu'à hier j'utilisais le resolver DNS de Cloudflare depuis Adguard mais depuis hier soir plus aucun serveur DNS alternatif ne semble répondre, seuls ceux de Bouygues répondent correctement .

sur mon serveur si je force une résolution du domaine google.fr en utilisant le serveur DNS 8.8.8.8 il n'y a aucune réponse

Code: [Sélectionner]

root@nas:~# nslookup google.fr 8.8.8.8
;; connection timed out; no servers could be reached

Si je capture le trafic sur l'interface WAN du Vlan100 les paquets sortent bien sur internet mais il n'y a aucun retour

Code: [Sélectionner]

 192.168.2.2.53341 > 8.8.8.8.53: [udp sum ok] 42873+ A? google.fr. (27)
    176.191.xx.xx.53341 > 8.8.8.8.53: [udp sum ok] 42873+ A? google.fr. (27)

Et idem pour tous les autres, j'ai été obliger de remettre les serveurs DNS de Bouygues qui eux fonctionne bien.

194.158.122.10
194.158.122.15

On dirait qu'il y a une restriction d'utilisation des serveurs DNS en amont chez Bouygues ou bien quelque chose qui ne va pas chez moi.

J'ai également fait un test depuis DNS benchmark depuis mon poste qui confirme les restrictions de serveurs DNS.

eahlys · « **Réponse #1 le:** 22 mars 2022 à 11:21:50 »

Hello, c'est un problème de ton côté. Chez moi (je n'utilise pas la Bbox non plus) je peux résoudre n'importe quel nom sur n'importe quel serveur.
Tu peux traceroute 8.8.8.8 ou 1.1.1.1 ?

cmer · « **Réponse #2 le:** 22 mars 2022 à 11:30:53 »

Merci de ta réponse.

Pas de problème depuis les traceroutes.

Code: [Sélectionner]

root@nas:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  gateway (192.168.2.1)  0.403 ms  0.543 ms  0.743 ms
 2  176-183-168-2.abo.bbox.fr (176.183.168.2)  7.231 ms  6.527 ms  8.414 ms
 3  * * *
 4  * * *
 5  62.34.2.117 (62.34.2.117)  15.537 ms  15.667 ms  15.956 ms
 6  * * *
 7  209.85.148.0 (209.85.148.0)  13.872 ms  13.931 ms  10.864 ms
 8  74.125.244.225 (74.125.244.225)  13.369 ms 74.125.244.209 (74.125.244.209)  12.512 ms 74.125.244.225 (74.125.244.225)  14.301 ms
 9  142.250.46.101 (142.250.46.101)  14.402 ms 172.253.67.157 (172.253.67.157)  16.141 ms 142.251.78.77 (142.251.78.77)  14.088 ms
10  dns.google (8.8.8.8)  11.635 ms  11.350 ms  10.845 ms

Code: [Sélectionner]

root@nas:~# traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
 1  gateway (192.168.2.1)  0.399 ms  0.556 ms  0.726 ms
 2  176-183-168-2.abo.bbox.fr (176.183.168.2)  6.197 ms  8.012 ms  7.297 ms
 3  * * *
 4  62.34.2.115 (62.34.2.115)  20.391 ms  19.677 ms  21.842 ms
 5  be5.cbr01-ntr.net.bbox.fr (212.194.171.137)  21.682 ms  19.467 ms  21.497 ms
 6  * * *
 7  cloudflare.par.franceix.net (37.49.237.49)  16.724 ms  16.843 ms  17.731 ms
 8  one.one.one.one (1.1.1.1)  17.183 ms  16.584 ms  16.284 ms

j'ai l'impression que mon problème concerne uniquement l'UDP sur le port 53, mais je n'arrive pas à comprendre pourquoi les paquets sortent de mon WAN mais sans réponse de leurs parts

Code: [Sélectionner]

11:28:28.335484 IP 176.191.xx.xx.36733 > 1.1.1.1.53: 32703+ A? google.fr. (27)
11:28:46.140009 IP 194.158.122.15.53 > 176.191.xx.xx.37580: 35261 1/1/1 CNAME gsp85-ssl.ls2-apple.com.akadns.net. (162)
11:28:46.141033 IP 194.158.122.10.53 > 176.191.xx.xx.33248: 35261 1/1/1 CNAME gsp85-ssl.ls2-apple.com.akadns.net. (181)

eahlys · « **Réponse #3 le:** 22 mars 2022 à 11:34:42 »

Tu peux forcer dig en TCP pour voir ?
dig google.fr +tcp @8.8.8.8

cmer · « **Réponse #4 le:** 22 mars 2022 à 11:40:14 »

ça fonctionne bien.

Code: [Sélectionner]

❯ dig google.fr +tcp @8.8.8.8

; <<>> DiG 9.16.1-Ubuntu <<>> google.fr +tcp @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62018
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.fr.                     IN      A

;; ANSWER SECTION:
google.fr.              300     IN      A       142.250.200.227

;; Query time: 10 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Mar 22 11:38:46 CET 2022
;; MSG SIZE  rcvd: 54

eahlys · « **Réponse #5 le:** 22 mars 2022 à 11:44:36 »

Si tu swappes rapidement ton routeur par ta bbox pour faire un test avec ta bbox sur un pc branché direct dessus, ça marche ?

cmer · « **Réponse #6 le:** 22 mars 2022 à 12:08:28 »

Aucun problème si je branche la box, c'est donc depuis mon unifi..

Je vais creusé plus en détails car ce problème me taraude.

Merci de ton aide

vivien · « **Réponse #7 le:** 22 mars 2022 à 12:11:49 »

Je confirme que Bouygues Telecom ne bloque rien de ce type.

Je suis intéressé de savoir ce qui a posé pb sur ton unifi.

iMarco27 · « **Réponse #8 le:** 22 mars 2022 à 17:12:42 »

Tu n’as pas activé un filtrage dns sur ton réseau LAN ? Ce filtrage redirige tout le flux UDP 53 vers des serveurs forcés.

cmer · « **Réponse #9 le:** 22 mars 2022 à 17:23:07 »

Non rien de tout, j'arrive a voir les packets sortir sur le WAN mais ils ne reviennent jamais.

Je vais regarder ce soir dans le Firewall du routeur.

iMarco27 · « **Réponse #10 le:** 22 mars 2022 à 17:26:21 »

D’acc, regarde avec un tcpdump port 53 sur ton interface wan et lan (avec l’argument qui va bien) et compare si tu vois les mêmes paquets sur les deux.

cmer · « **Réponse #11 le:** 22 mars 2022 à 17:29:33 »

Yep, sur mon 1er post il y a la capture tcpdump sur avec la translation NAT du lan a DST du WAN