Auteur Sujet: Site inaccessible depuis un NAT64 (Lu 1074 fois)

ppn_sd · « **le:** 16 novembre 2023 à 09:21:18 »

Bonjour,

Dans un environnement ipv6-only (vpn) avec NAT64/DNS64, je suis confronté à un site inaccessible : adherents.mnt.fr (qui crée visiblement un jeton pour basculer sur authentification.mnt.fr)
Le site fonctionne normalement en ipv4 ou en 464XLAT.

Ma question est la suivante :
Quelle configuration de m**de côté serveur aboutit à cette limitation ?
Pour mon cas, c'est le seul site identifié avec ce genre de problème.

Merci d'avance pour vos éclaircissements.

vivien · « **Réponse #1 le:** 16 novembre 2023 à 09:44:06 »

Si un site déclare un enregistrement AAAA et que celui-ci pointe vers une IPv6 HS, tu es bloqué.

J'en parle dans le sujet IPv6 fallback to IPv4.

Maintenant, dans ton cas, le DNS semble avoir un problème avec les AAAA :

$ dig a adherents.mnt.fr ; <<>> DiG 9.18.18-0ubuntu2-Ubuntu <<>> a adherents.mnt.fr ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11498 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 65494 ;; QUESTION SECTION: ;adherents.mnt.fr. IN A ;; ANSWER SECTION: adherents.mnt.fr. 206 IN CNAME adherents.sub.mnt.fr. adherents.sub.mnt.fr. 206 IN A 90.102.192.34 ;; Query time: 0 msec ;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP) ;; WHEN: Thu Nov 16 09:41:36 CET 2023 ;; MSG SIZE rcvd: 89 $ dig aaaa adherents.mnt.fr ;; communications error to 127.0.0.53#53: timed out ;; communications error to 127.0.0.53#53: timed out ;; communications error to 127.0.0.53#53: timed out ; <<>> DiG 9.18.18-0ubuntu2-Ubuntu <<>> aaaa adherents.mnt.fr ;; global options: +cmd ;; no servers could be reached

ppn_sd · « **Réponse #2 le:** 16 novembre 2023 à 10:12:47 »

Ah OK, merci.
Si j'insère un NODATA en local pour l'enregistrement AAAA, le problème devrait donc disparaitre.

vivien · « **Réponse #3 le:** 16 novembre 2023 à 10:16:58 »

Le problème de https://adherents.mnt.fr ne touche pas que les clients IPv6 only.

En dual-stack chez SFR (sans CG-Nat), sous Linux, mon Firefox met plus de 30 secondes avant de basculer en IPv4.

Sur un PC IPv4 only, l'affichage est immédiat.

ppn_sd · « **Réponse #4 le:** 16 novembre 2023 à 10:21:47 »

Citation de: vivien le 16 novembre 2023 à 10:16:58

En dual-stack chez SFR (sans CG-Nat), sous Linux, mon Firefox met plus de 30 secondes avant de basculer en IPv4.

Je n'ai pas ce soucis sur Android et Firefox/Linux en dual-stack. Tu dois avoir modifié les préférences dans firefox ou le contenu de gai.conf.

vivien · « **Réponse #5 le:** 16 novembre 2023 à 10:25:49 »

Non, la configuration n'a pas été touchée, j'ai aussi le pb sur mon Android, toujours connecté en Wifi à ma box SFR. J'utilise les DNS de mon opérateur.

A priori, la non-réponse du DNS aux demandes AAAA n'est pas chez tous les opérateurs.

Que donne un dig aaaa adherents.mnt.fr chez toi ?

eahlys · « **Réponse #6 le:** 16 novembre 2023 à 10:26:58 »

Servfail sur 1.1.1.1 pour dig adherents.mnt.fr AAAA

ppn_sd · « **Réponse #7 le:** 16 novembre 2023 à 10:27:26 »

J'ai un SERVFAIL.
La différence se fait peut-être sur le comportement de systemd/DNS.

(Edit, connerie : tu as le même problème sur android ....)

kgersen · « **Réponse #8 le:** 16 novembre 2023 à 12:30:45 »

la config dns du domaine est foireuse quelque part.

en dual stack, sur firefox ca marche, pas sur chrome.

le probleme est que les serveurs dns "autoritative" du domaine (resolvera.mnt.fr et resolverb.mnt.fr) acceptent les requêtes A mais "denied" les requêtes AAAA:

Code: [Sélectionner]

host -t aaaa adherents.sub.mnt.fr resolvera.mnt.fr
Using domain server:
Name: resolvera.mnt.fr
Address: 109.2.149.126#53
Aliases: 

Host adherents.sub.mnt.fr not found: 5(REFUSED)

du coup dans la chaine de résolution recursive ca remonte en servail.

Tres curieux comme configuration de serveur. il ont peut-etre un split-horizon avec des IPv6 LUA donc protégé en acces public ? dans tous les cas leur config public est foireuse. il faudrait peut-etre leur remonter le pb.

vivien · « **Réponse #9 le:** 16 novembre 2023 à 13:13:22 »

Voici ce que cela donne chez moi avec Firefox 119 / Ubuntu 23.10 / SFR double pile, il faut attendre 30 secondes pour partir en IPv4 :

La capture wireshark (1,8Mo) si vous souhaitez regarder : (cliquer sur la miniature ci-dessous, Wireshark est nécessaire pour lire le fichier)
202311_adherents.mnt.fr_inacessible_clients_ipv6.pcapng.gz

vivien · « **Réponse #10 le:** 16 novembre 2023 à 13:31:18 »

J'ai réalisé un tweet pour alerter le responsable du site web en question : https://twitter.com/lafibreinfo/status/1725127713214575026

ppn_sd · « **Réponse #11 le:** 16 novembre 2023 à 15:56:51 »

J'ai envoyé un mail aussi.
Tant qu'on est dans l'ipv6, tu peux alerter pronote pour les ipv4 littérales dans leur appli ?

. A moins que cela soit une limitation liée à une api winehq mais je pense pas.