La Fibre
Télécom => Réseau => 
IPv6 => Discussion démarrée par: decalage le 08 septembre 2019 à 19:36:43
-
Sur le réseau Bouygues mobile IPv6 only, que se passe-t'il si on configure à la main sur Android un résolveur public DNS-over-TLS ?
Puisque les résolveurs public ne font pas de DNS64, sauf ceux dédiés de Google (2001:4860:4860::6464 et 2001:4860:4860::64) ou Cloudflare (2606:4700:4700::64 et 2606:4700:4700::6400) mais qui ne sont pas DNS-over-TLS, on se retrouve à devoir choisir entre DNS-over-TLS ou DNS64.
Avec un résolveur DNS standard, les sites IPv4 only (HTTP et HTTPS) sont-ils joints via 464XLAT ou sont-ils inaccessibles ?
Les résolveurs DNS64-over-TLS existent-ils ?
Merci :)
-
464XLAT devrait fonctionner.
La page http://ip.lafibre.info/ permet de voir l'IP publique et donc de voir si cela fonctionne et si l'IP publique est la même quand on passe par DNS / IP littérale.
Si l'IPv4 DNS est la même que l'IPv4 littérale, il est presque sur que tout passe par 464XLAT.
C'est intéressant de le tester. Le plus simple devrait être d'activer le DNS-over-HTTPS dans Firefox, mais si c'est simple dans la version Windows / Mac / Linux (Préférences => Paramètres réseau => Paramètres => Activer le DNS via HTTPS) je n'ai pas trouvé l'option pour Firefox 68.1 - toujours pas de Firefox 69 pour Android)
DNS64 alternatifs :
Cloudflare DNS : (correspond à 1.1.1.1 / 1.0.0.1 en DNS64)
- 2606:4700:4700::64
- 2606:4700:4700::6400
Google Public DNS : (correspond à 8.8.8.8 / 8.8.4.4 en DNS64)
- 2001:4860:4860::64
- 2001:4860:4860::6464
Ces serveurs DNS ne sont à utiliser que pour un accès IPv6 only avec un opérateur qui propose du NAT64 sur le réseau.
-
Je viens de tester sur un android 9 qui permet de définir un résolveur DNS-over-TLS au niveau du système et tout l'ipv4 passe effectivement par 464XLAT.
La page ip.lafibre.info présente la même ipv4 via DNS et via ip littérale (80.215.46.18).
Est-ce un mal de ne pas utiliser de DNS64 quand on est ipv6-only, je ne sais pas. Tu disais dans un autre topic que 464XLAT sollicite le cpu inutilement. Tout l'ipv4 est naté localement en fait.
Je voudrais bien utiliser un DNS64 mais je n'en trouve pas qui soit over TLS (je consulte des sites blacklistés par les DNS Bouygues).
Comme Bouygues falsifie les requêtes DNS non chiffrées (https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/) je suis embêté.
-
C'est intéressant de le tester. Le plus simple devrait être d'activer le DNS-over-HTTPS dans Firefox, mais si c'est simple dans la version Windows / Mac / Linux (Préférences => Paramètres réseau => Paramètres => Activer le DNS via HTTPS) je n'ai pas trouvé l'option pour Firefox 68.1 - toujours pas de Firefox 69 pour Android)
Dans about:config, network.trr.mode :
- 2 pour activer DoH avec repli sur le DNS système en cas d'erreur
- 3 pour l'activer DoH sans possibilité de repli
-
Je voudrais bien utiliser un DNS64 mais je n'en trouve pas qui soit over TLS (je consulte des sites blacklistés par les DNS Bouygues).
Comme Bouygues falsifie les requêtes DNS non chiffrées (https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/) je suis embêté.
J'ai trouvé un DNS64-over-TLS : dns64.cloudflare-dns.com :)
-
DNS64 alternatifs
Si votre opérateur mobile ne vous propose qu'une IPv6, l'utilisation du DNS de l'opérateur permet de bénéficier du DNS64 pour accéder aux sites web IPv4 : Chaque site qui n'est pas disponible en IPv6 se voit attribuer une IPv6.
Dans l'IPv6 donnée, l'IPv4 est encodée et c'est le NAT64 qui l'utilisera afin d'envoyer le paquet sur l'Internet IPv4.
Utiliser un DNS standard obligera le terminal a passer par le 464XLAT, qui entraîne un tunnel de l'IPv4 dans l'IPv6 et une légère dégradation des performances et/ou de l'autonomie du téléphone, l'opération étant effectué localement.
La solution si vous ne souhaitez pas utiliser les DNS de votre opérateur : Un DNS64 tiers, comme le DNS de CloudFlare, qui est aussi compatible DoT (DNS over TLS).
dns64.cloudflare-dns.com est un serveur DNS qui n’écoute qu'en IPv6 et qui va renvoyer les réponses habituelles pour les requêtes AAAA des sites IPv6 only ou IPv4+IPv6.
Pour les sites IPv4 only, dns64.cloudflare-dns.com va renvoyer une IPv6 compatible avec le NAT64, contre une absence de réponse normalement.
Il est possible d'utiliser un serveur DoT qui fasse DNS64 : par exemple dns64.cloudflare-dns.com
Comme ça tu accèdes au moins au adresses ipv4 qui ont un nom de domaine.
Voici ce que donne la demande pour le nom de domaine ipv4.lafibre.info, un nom de domaine qui n'a pas d'IPv6.
ipv4.lafibre.info écoute en effet uniquement sur 46.227.16.8.
(https://lafibre.info/images/ipv6/201911_dns64.cloudflare-dns.com.png)
Ce sujet est là pour avoir votre retour sur les DNS64 alternatifs.
-
Google a les siens aussi: dns64.dns.google, depuis 3 ans environ (documentation (https://developers.google.com/speed/public-dns/docs/dns64)).
dig +short aaaa dns64.dns.google
2001:4860:4860::64
2001:4860:4860::6464
dig +short ipv4.lafibre.info aaaa @2001:4860:4860::64
64:ff9b::2ee3:1008
-
Petite erreur dans le post 1: DoT c'est Dns over TLS
Sujet doublon avec https://lafibre.info/ipv6/ipv6-only-nat64-et-resolveur-dns-autre-que-celui-de-loperateur/ (https://lafibre.info/ipv6/ipv6-only-nat64-et-resolveur-dns-autre-que-celui-de-loperateur/)
-
J'ai fusionné les deux sujets et corrigé l'erreur.
A noter que CloudFlafre propose systématiquement :
- DNS clair (port 53)
- DNS over TLS (DoT - Port 853)
- DNS over HTTPS (DoH - Port 443)
-
Pour ceux qui se demandent comment activer DNS over HTTPS dans Firefox :
Il faut aller dans Préférences :
(https://lafibre.info/images/tuto/201911_firefox_activation_dns_over_https_1.png)
Tout en bas de la page il faut cliquer sur Paramètres pour ouvrir les paramètres réseaux.
(https://lafibre.info/images/tuto/201911_firefox_activation_dns_over_https_2.png)
Enfin en bas de la page, cocher "Activer le DNS via HTTPS" : Vous pouvez sélectionner Cloudflare ou rentrer une URL personnalisée ( du type https:// )
(https://lafibre.info/images/tuto/201911_firefox_activation_dns_over_https_3.png)
CloudFlare (standard) : https://cloudflare-dns.com/dns-query
CloudFlare (DNS64) : https://dns64.cloudflare-dns.com/dns-query (il ne répond qu'en IPv6, logique)
Google (standard) : https://dns.google/dns-query
Google (DNS64) : ?
-
Google n'a pas l'air d'avoir de DNS64-over-HTTPS
Par contre le DNS64-over-TLS marche avec dns64.dns.google (tester avec le client DoT php (https://github.com/dcid/dns-over-tls-php-client)).
-
Voici le DNS64-over-HTTPS de Google : https://dns64.dns.google/dns-query
-
Voici le DNS64-over-HTTPS de Google : https://dns64.dns.google/dns-query
(https://lafibre.info/images/smileys/@GregLand/cs.gif)
-
Bah en même temps, sauf si tu es un résolveur DNS, t'as rien à faire sur cette URL, non ?
-
Bah en même temps, sauf si tu es un résolveur DNS, t'as rien à faire sur cette URL, non ?
Qu'entends-tu par "résolveur DNS" ? (https://lafibre.info/images/smileys/@GregLand/cs.gif)
-
Cette URL sert principalement aujourd'hui pour Firefox qui est le premier navigateur à implémenter le DNS over HTTPS, cf Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA (https://lafibre.info/navigateurs/doh-usa/)
Là on parle de DNS64, donc uniquement pour les clients qui ont du NAT64 sur leur réseau, soit principalement les clients IPv6 sur le réseau mobile.
-
Qu'entends-tu par "résolveur DNS" ? (https://lafibre.info/images/smileys/@GregLand/cs.gif)
Es-tu un programme informatique ?
-
Bah en même temps, sauf si tu es un résolveur DNS, t'as rien à faire sur cette URL, non ?
C'est l'url d'un résolveur DNS public (pk avoir besoin d'être un résolveur DNS pour y accéder ?!??), donc au contraire les gens sont légitimes à accéder à cette URL pour faire des requêtes DNS. Je viens de tester ça répond bien.
Le problème c'est que lui fait une requête http comme si c'était un serveur web donc ça foire c'est sûr. :D
Qu'entends-tu par "résolveur DNS" ? (https://lafibre.info/images/smileys/@GregLand/cs.gif)
le terme "résolveur DNS" est parfaitement compréhensible (https://www.google.com/search?q=resolver+dns+définition). C'est la machine qui, à la demande d'un client comme toi ou moi, résoud un nom de domaine en adresse ip, en interrogeant des serveurs DNS. A mon avis tu confonds 2 ou 3 trucs.
-
C'est l'url d'un résolveur DNS public (pk avoir besoin d'être un résolveur DNS pour y accéder ?!??)
Oui c'était une boutade mal formulée :)
Je voulais dire que si tu ne parle pas DNS over HTTPS, tu n'as rien à faire sur l'URL :)
-
Es-tu un programme informatique ?
(https://lafibre.info/images/smileys/Confus/Confus_77.gif)
-
Tu le fais exprès ?
-
...le terme "résolveur DNS" est parfaitement compréhensible (https://www.google.com/search?q=resolver+dns+définition). C'est la machine qui, à la demande d'un client comme toi ou moi, résoud un nom de domaine en adresse ip, en interrogeant des serveurs DNS. A mon avis tu confonds 2 ou 3 trucs.
Salut Décalage,
Merci pour ta réponse mais je ne comprends pas la différence entre DNS et Résolveur DNS: tout ce que j'ai trouvé, c'est sur ce site (https://dictionnaire.reverso.net/anglais-francais/r%C3%A9solver%20DNS/forced) (rien sur Wikipédia ni sur les autres dictionnaires informatique/internet que j'ai en marque-pages !!! (https://lafibre.info/images/smileys/Confus/Confus_83.gif)
-
Bon.
C'est pas parce que c'est une URL HTTP que tu ne peux t'en servir.
C'est une url DNS OVER HTTPS utilisable SEULEMENT par un PROGRAMME INFORMATIQUE pour résoudre des IP.
Tu n'es pas un programme informatique, tu ne peux donc pas utiliser cette URL.
Bref, le lien ne "marchera" jamais comme tu voudrais qu'il "marche" et tu peux essayer longtemps de te casser la tête dessus, c'est pas fait pour ça.
-
Salut Décalage,
Merci pour ta réponse mais je ne comprends pas la différence entre DNS et Résolveur DNS: tout ce que j'ai trouvé, c'est sur ce site (https://dictionnaire.reverso.net/anglais-francais/r%C3%A9solver%20DNS/forced) (rien sur Wikipédia ni sur les autres dictionnaires informatique/internet que j'ai en marque-pages !!! (https://lafibre.info/images/smileys/Confus/Confus_83.gif)
Sur une bête recherche Google (https://www.google.com/search?q=diff%C3%A9rence+entre+DNS+et+R%C3%A9solveur+DNS), je prends au hasard le 3ème lien (https://www.commentcamarche.net/contents/518-dns-systeme-de-noms-de-domaine#les-serveurs-de-noms) et tout y est expliqué en détail. ;D
Mais comme a dit Vivien, sur ce topic il s'agit de résolveurs DNS64 (http://livre.g6.asso.fr/index.php?title=MOOC:Compagnon_Act44), c'est tout à fait particulier.
-
...C'est pas parce que c'est une URL HTTP que tu ne peux t'en servir.
C'est une url DNS OVER HTTPS utilisable SEULEMENT par un PROGRAMME INFORMATIQUE pour résoudre des IP.
Tu n'es pas un programme informatique, tu ne peux donc pas utiliser cette URL.
Bref, le lien ne "marchera" jamais comme tu voudrais qu'il "marche" et tu peux essayer longtemps de te casser la tête dessus, c'est pas fait pour ça.
Sur une bête recherche Google (https://www.google.com/search?q=diff%C3%A9rence+entre+DNS+et+R%C3%A9solveur+DNS), je prends au hasard le 3ème lien (https://www.commentcamarche.net/contents/518-dns-systeme-de-noms-de-domaine#les-serveurs-de-noms) et tout y est expliqué en détail. ;D
Mais comme a dit Vivien, sur ce topic il s'agit de résolveurs DNS64 (http://livre.g6.asso.fr/index.php?title=MOOC:Compagnon_Act44), c'est tout à fait particulier.
Merci pour vos réponses mais je n'utilise pas Google mais DuckDuckGo et mon DNS est celui de Cloud Flare (1.1.1.1/1.0.0.1) que je dois renouveler toutes les 24 heures (parfois beaucoup moins). (https://lafibre.info/images/smileys/@GregLand/cg.gif)
Cependant, grâce à vos réponses, j'ai trouvé plusieurs sites correspondant plus à mes recherches sur:
- Culture Informatique (https://www.culture-informatique.net/cest-quoi-un-serveur-dns/),
- SOSPC20.com (https://www.sospc20.com/formation_reseau/serveur-dns.php), et j'ai même trouvé ce sujet sur...
- LaFibre.info (https://lafibre.info/ipv6/ipv6-only-nat64-et-resolveur-dns-autre-que-celui-de-loperateur/msg683005/#msg683005).
Ces sites répondent en partie à mes questions, mais je dois encore approfondir la question: je suis certainement un profane parmi les pros, mais j'essaie de combler mes lacunes. (https://lafibre.info/images/smileys/Confus/Confus_83.gif)
Merci à vous. (https://lafibre.info/images/smileys/@GregLand/ay.gif)