Auteur Sujet: Changement des DNS bbox : alertons l'arcep. (Lu 7727 fois)

Ralph · « **Réponse #24 le:** 17 janvier 2025 à 11:41:13 »

Citation de: Shadowra le 29 février 2024 à 23:29:05

La fonction a été retiré car des logiciels malveillants modifiaient les DNS pour propager des sites frauduleux (Vivien l'a expliqué ici : https://lafibre.info/incidents-ftth/modifier-les-dns-bouygues/msg961339/#msg961339 )

Tu peux changer les DNS via le DHCP en bloquant les DNS de Bouygues via le firewall et forcer un autre DNS dans ton DHCP Bbox mais la manip est assez compliqué...

Ça ne fonctionne plus, tout comme d'autres astuces pour le faire.
Et couper le DHCP ne fonctionne pas car c'est c'est quand même envoyé via IPv6.

Citation de: Denis M le 01 mars 2024 à 00:02:07

Appareil par appareil on peut changer les DNS et trouver bonheur, non?

Ma box SFR ne veut pas, mais quand je change dans Windows et dans mes FireStick ça joue, l'iPhone aussi mais uniquement en Wi-Fi.

De mi 2022 at fin 2024 j'avais une Box+ SFR WiFi5, lorsque je coupais le DHCP de celle-ci, les DNS n'étaient plus envoyés et je pouvais prendre la main avec MA config DNS pour TOUS les appareils connectés en Ethernet ou en WiFi pour y mettre les DNS que je voulais (qui était en DNS local unbound) donc SFR respecte au moins ce que l'on demande coté Box.

C'est très pénible de ne pas pouvoir les changer, et l'excuse trouvée à l'époque (problème chez Orange) est franchement bidon... Un malware peu tout autant changer les DNS coté OS, ça changera rien au problème. Car là, pas moyen de mettre des DNS sécurisé de façon global, ce qui est plutôt l'inverse de ce qui est recherché.

La modification pourrait se faire seulement via un challenge/response qui va bien sur cette option... Sinon, c'est quoi le prochain truc qui sera bridé ? le NAT ? l'UPNP (là par contre, pas de soucis ?!)...

benoitm974 · « **Réponse #25 le:** 17 janvier 2025 à 18:40:43 »

L'histoire des logiciels malveillants qui auraient changé les DNS Orange ne tient pas, les box sont attaquées tout le temps c'est pas parce qu'il ont réussi une fois qu'on supprime l'option de l'interface de toutes les box...

Fraizer · « **Réponse #26 le:** 26 janvier 2025 à 03:22:03 »

je ne crois pas du tout que leurs but est de nous proteger des attaques mais fliquer/$$$ notre trafique et ne pas nous permette d accéder aux sites qu ils bloquent et censure au niveau europeen comme des sites russes et autres sites qui proposent de telecharger des videos ou logiciels sans payer.

on est en 2025 a part mettre la bbox en mode routeur (je ne sais meme pas si c est possible je viens de m abonner a l offre pure fibre) ques qu on a comme solution ? j ai toujours utilisé les serveurs DNS de FDN

j ai lut dans un autre post qui date, une personne qui a installe un DHCP de Pihole, j ai aucune notion sur ca. c est quelque chose qu on install peut sur raspberry ?.. si c est le cas ca m interesse pas trop :/

merci

Cochonou · « **Réponse #27 le:** 26 janvier 2025 à 08:07:22 »

Le plus simple c'est de modifier l'adresse des DNS au niveau des périphériques qui accèdent à l'internet, la plupart le proposent.
Là où ça devient compliqué c'est si on a trop de périphériques, ou si pour une autre raison on veut modifier les DNS d'objets "intelligents" qu'on ne peut pas configurer.

Fraizer · « **Réponse #28 le:** 26 janvier 2025 à 09:15:28 »

re Cochonou

tu peux stp me parler des autres solutions moins simple pour voir mes choix ?

sinon rassure moi on peut Forwarder des ports comme celui de Wireguard en UDP port 51820 ? si c est non je vais repartir chez free... lol ^^

derniere question : il y a d autres restriction de ce type que bouygues pratique ?

Cochonou · « **Réponse #29 le:** 26 janvier 2025 à 09:43:45 »

Actuellement si je peux synthétiser ce que j'ai lu, il faut soit:
- Faire tourner un serveur DHCP tiers sur son réseau (sur un ordinateur, sur un Rapberry Pi, etc)
- Désactiver le DHCP v4 sur la Bbox
- Désactiver ipv6 sur la BBox

Soit:
- Ne pas utiliser la Bbox et utiliser un routeur maison avec un ONT externe.
- Pour la configuration du routeur voir ici.
- Pour l'ONT externe voir ici.

Fraizer · « **Réponse #30 le:** 26 janvier 2025 à 10:10:54 »

Merci Cochonou

pas de soucis de blockage chez bouygues poour le blockage de port forwarding notamement l utilisation de Wireguard (VPN) ?

pas d autres restrictions a part le blockage de serveur dns ?

benoitm974 · « **Réponse #31 le:** 28 janvier 2025 à 15:06:46 »

Je suis le premier à râler sur certaines fonctions de la box mais globalement, les bbox wifi 6 et 6E fonctionnent très bien depuis quasiment le début, avec des performances wifi vraiment très bonnes, une latence plus que correcte et des débits stables (ensuite ça doit dépendre de la densité de la zone, mais je n'ai pas vu de personnes se plaindre de débits qui s'écroulent aux heures de pointe...).

En mode IP dédié, tu as réellement accès à tous les ports sans filtrage (par défaut le port 25 en sortie est bloqué, mais c'est désactivable dans la config firewall dans l'admin de la box). Je n'ai pas eu de souci avec plusieurs types de VPN/Tunnel : Wireguard, OpenVPN (UDP et TCP), IPsec, IKE, GRE...

En ce qui me concerne, voici ce que j'ai pu lister comme manques :
Le DNS est bloqué en DHCPv4, DHCPv6 et RA mais le port 53 reste ouvert si tu veux utiliser un autre DNS sur tes machines directement ou un autre service sur ce port
* L'IPv6 est maintenant obligatoire et non désactivable dans l'interface
* La délégation de préfixe est limitée à 3 /64 dans une plage de /60 (Edit 29/01: corrigé pour /64 et /60 au lieu de 56 / 60)
* Le DHCPv4 et le DHCPv6 sont désactivables mais pas les annonces IPv6 RA (qui incluent malheureusement le DNS)
* Pas d'ajout de routage statique possible : tu peux changer l'IP de la box, tu peux changer le réseau parmi une liste prédéfinie par Bouygues (192.168.xx, 10.x.x.x, ...) mais ensuite tout ton LAN doit rester sur ce réseau et tu ne peux pas ajouter de routage statique supplémentaire... Genre faire deux réseaux 192.168.1.X et 192.168.2.X et ajouter une route statique sur la box pour accepter de faire un NAT du second réseau...

Et pour finir il semble qu'il y ai tout de même 2 soucis sur l'infra:
1/ sur la priorité / QOS? de l'upload vs download (mais ca semble coté infra plus que bbox, donc même avec ton propre routeur tu aura le souci), si tu utilises tout la bande passe montante sans QOS(et il n'y en a pas sur la bbox) cela va impacter significativement ta latence (tu passe de quelque ms à plusieurs centaines) et ta bande passante descendante au point de passer de plusieurs Gbps à quelque dizaine puis centaine de Mbps...

2/ sur l'ipv4 en mode débit plus: si tu ne fais que du download pure à plus de 2Gbps sur 1 stream pendant plus de 40 à 80 secondes, la connection ipv4 (le problème n'existe pas en ipv6) drop pendant 10 minutes (à priori je n'ai pas suivi si cela avait été corrigé depuis)

B.

vivien · « **Réponse #32 le:** 28 janvier 2025 à 16:27:37 »

Le 1/ cela serait un pb de bufferbloat (buffers trop grands). Ce n'est pas la seule box à avoir ce pb. Perso, j'ai le même souci lors des upload sur ma box 5G Orange (au point qu'il est difficile de naviguer, normalement je fais mes gros upload la nuit, mais si ce n'est pas possible, je l'isole sur un PC et j'utilise le partage de connexion de mon mobile pour avoir un second accès le temps de l'upload).

Le 2/ c'est l'anti DDOS qui se déclenche (comment ça l'IPv6 n'est pas protégé contre l'anti-DDOS ?). Il faudrait remonter son déclenchement pour suivre l'augmentation des débits.

benoitm974 · « **Réponse #33 le:** 28 janvier 2025 à 17:38:23 »

Citation de: vivien le 28 janvier 2025 à 16:27:37

Le 1/ cela serait un pb de bufferbloat (buffers trop grands). Ce n'est pas la seule box à avoir ce pb. Perso, j'ai le même souci lors des upload sur ma box 5G Orange (au point qu'il est difficile de naviguer, normalement je fais mes gros upload la nuit, mais si ce n'est pas possible, je l'isole sur un PC et j'utilise le partage de connexion de mon mobile pour avoir un second accès le temps de l'upload).

Pour le coup ce serait quel buffers ? Parceque j'ai essayé avec plusieurs ONT différents, avec plusieurs tailles de paquets, plusieurs taille de buffers qdisc, j'ai surveillé les buffers coté ONT, activé ou non le flow control coté ONT/router/les deux ... Toujours le même souci, la seule chose qui fonctionne c'est de mettre aucun flow control et d'activer un QOS en upload à 876Mps sur le routeur (limite totalement expérimentale définie après plusieurs tests, à partir de laquelle dans mon cas la latence et le download ne sont presque plus impactés...). Ce serait intéressant de voir si les abonnement inférieurs limités à 400Mbs d'U/L ont le même souci, ce qui confirmé un souci de QOS plutôt que de buffer ?