La Fibre
Télécom => Réseau => IPv6 => Discussion démarrée par: adhame95 le 04 juin 2022 à 19:18:09
-
C'est la totale :
(https://lafibre.info/images/ipv6/202206_monespacesante_ipv6.png)
J'ai fais un tweet, l'hébergeur (Atos) ayant déjà dés compétences en IPv6 (le site sera dans le bloc 2a00:7900::/32) et je sais qu'une personne au ministère des Solidarités et de la Santé sait bien qu'il faut pousser IPv6 ;), donc cela a une chance d’aboutir.
Le tweet : https://twitter.com/lafibreinfo/status/1533012683271942144
C’est quel site qui te donne ces infos ?
-
https://ip6.nl/
-
Au passage, si vous êtes développeur, la task-force IPv6 animée par l'Arcep souhaiterais avoir un outil qui fait la même chose https://ip6.nl/ en Français.
Si vous êtes motivé pour faire ça, l'Arcep pourra l'héberger et le mettre en avant.
Ce n'est pas rémunéré, juste le plaisir d'avoir votre nom sur un outil Arcep qui sera probablement fortement utilisé.
Plus d'informations sur le Task-Force IPv6 : https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/lipv6/task-force-ipv6.html
-
J'ai capturé le site via IDM, voyons voir ce qu'on peut en tirer ;)
Des .JS principalement :P
-
J'ai édité (épuré et traduit) vite fais le index.html et test ça en local sur EasyPHP, on a déjà notre IP 8)
Ils expliquent qu'il y a un PLP backend :
This website (or webapp, as some call it) was built to help raise awareness about common configuration mistakes, and IPv6 in general. It caters to customers who want to find out if their ISP is doing a good job, and to network and system administrators who need reliable information to resolve the issues.
The frontend was made with HTML5 and jQuery. It fetches JSON data from a PLP backend that is based on Perl, FastCGI, and lighttpd. The backend exists to provide a controlled environment for the DNS queries.
This website is meant purely as a testing tool; for information about IPv6, please refer to your favorite search engine.
Si quelqu'un veut se pencher dessus ;)
-
Au passage, si vous êtes développeur, la task-force IPv6 animée par l'Arcep souhaiterais avoir un outil qui fait la même chose https://ip6.nl/ en Français.
Si vous êtes motivé pour faire ça, l'Arcep pourra l'héberger et le mettre en avant.
Ce n'est pas rémunéré, juste le plaisir d'avoir votre nom sur un outil Arcep qui sera probablement fortement utilisé.
Plus d'informations sur le Task-Force IPv6 : https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/lipv6/task-force-ipv6.html
Peut-être en leur demandant gentillement, si vous pouvez utiliser une traduction en Français ?
Je reconnais bien là, l'esprit tordu français, d'utiliser un "aspirateur" de site, sans rien demander au propriétaire. ;D
Peut-être que les Néerlandais, seraient ravis d'avoir leur travail traduit dans une autre langue et utilisé avec leur accord ?
Ou peut-être pas, et éviter des représailles légitimes de leurs part ?
-
J'ai déjà demandé au propriétaire il y a quelques années (on souhaitais également mettre en place la partie "name and shame" présent dans la seconde partie de la page https://ip6.nl/ ) et la réponse était non.
Je vois que Free est présent dans la section "World IPv6 Launch", mais sinon il y a peu de sites français : https://ip6.nl/#!list?db=ipv6launch
C'est vrais que je pourrais revenir vers lui avec la traduction des principaux éléments de son site.
-
j'ai fait une maquette vite fait en Go: https://github.com/LaFibre-info/ipv6domains
pour le tester, il faut Go puis:
go install github.com/LaFibre-info/ipv6domains@latest
pour le lancer:
ipv6domains
lancera un serveur web sur le port 3000, puis acceder a "localhost:3000/domain.com" pour afficher les infos
ca fonctionne aussi en ligne de commande :
ipv6domains domain.com ...
affichera le résultat en ligne de commande pour le /les domaines passés en paramètres.
si c'est le genre de chose que tu veux on peut en faire un produit plus finalisé.
(peut-etre déplacer cela dans un autre sujet).
-
une autre approche "plus brutale" pour faire des stats global:
- prendre les fichiers de zone des TLDs pour obtenir la liste des domaines. https://czds.icann.org/ permet d'obtenir la plupart des TLDs. Malheureusment l'AFNIC (gestionnaire du .fr entre autre) ne participe pas et ne permet pas a n'importe qui d'obtenir cette liste...
- effectuer des requêtes dns sur ces fichiers. Ca peut être énorme, rien que .com c'est 165 millions de domaines...(et globalement c'est 600 millions environ cf https://domainnamestat.com/custom-reports).
l'approche a la mérite d'être "exhaustif" mais ne permet de savoir si un domaine est vraiment utilisé. Car pas mal de domaines sont juste "réservés" pour éviter le phising notamment et même s'ils ont un site web c'est souvent une landing page vide ou d'un prestataire de sécurité (prestation de "domain guard" par exemple: https://guardyourdomain.com/)
Utiliser une partie du top 1m d'Alexa semble plus réaliste, par exemple la liste des top 50 sites .fr:
curl -s http://s3.amazonaws.com/alexa-static/top-1m.csv.zip | zgrep \.fr$ | head -50
voila ce que ca donne avec la maquette (updatée pour affiché des "étoiles"):
curl -s http://s3.amazonaws.com/alexa-static/top-1m.csv.zip | zgrep \.fr$ | head -50 | cut -d, -f2 | xargs ipv6domains
google.fr : *****
amazon.fr : **
lemonde.fr : ***
lefigaro.fr : ***
free.fr : ****
leboncoin.fr : **
pinterest.fr : **
ouest-france.fr : **
francetvinfo.fr : **
service-public.fr :
laposte.fr : **
allocine.fr : ****
leparisien.fr : ***
lequipe.fr : **
1clic1don.fr : ****
airbnb.fr : **
orange.fr : ***
urssaf.fr :
interieur.gouv.fr : **
doctolib.fr : *****
20minutes.fr : ***
ebay.fr : **
ameli.fr : ***
larousse.fr : **
rfi.fr : ****
pole-emploi.fr : **
teuteuf.fr : ****
decathlon.fr : ***
education.gouv.fr :
linternaute.fr : **
ladepeche.fr : ***
carrefour.fr : **
meteociel.fr : **
diplomatie.gouv.fr : **
journaldesfemmes.fr : ***
huffingtonpost.fr : ***
liberation.fr : ***
cnews.fr : ****
mkvcinemas.fr : ****
actu.fr : **
parcoursup.fr :
cam4.fr : **
midilibre.fr : ***
airfrance.fr : ***
lws.fr : **
linguee.fr : **
vinted.fr : *****
zalando.fr : ***
tf1.fr : **
sudouest.fr : ***
Mais le mieux serait d'avoir accès aux caches des gros résolveurs DNS par exemple ceux des gros FAI...Peut-etre que l'ARCEP peut se rapprocher des FAI pour les obtenir...(idealement avec le nombre de requetes par domaine ).
-
Malheureusment l'AFNIC (gestionnaire du .fr entre autre) ne participe pas et ne permet pas a n'importe qui d'obtenir cette liste...
La liste de l'Afnic est disponible sur l'open data de l'Afnic : https://www.afnic.fr/produits-services/services-associes/donnees-partagees/
- effectuer des requêtes dns sur ces fichiers. Ca peut être énorme, rien que .com c'est 165 millions de domaines...(et globalement c'est 600 millions environ cf https://domainnamestat.com/custom-reports).
Ce ce que fait l'Afnic pour l'Arcep et qui permet de sortir les données d'IPv6 par AS coté hébergeur dans le baromètre IPv6 (en associant l'IPv4 à un AS)
l'approche a la mérite d'être "exhaustif" mais ne permet de savoir si un domaine est vraiment utilisé. Car pas mal de domaines sont juste "réservés" pour éviter le phising notamment et même s'ils ont un site web c'est souvent une landing page vide ou d'un prestataire de sécurité (prestation de "domain guard" par exemple:
Oui, j'ai noté cette problématique.
Pour exclure les sites non actifs, il faut vérifier deux choses au niveau du certificat TLS :
- Le certificat présenté n’est pas expiré vis-à-vis de la date du jour
- Le certificat est valide pour le nom de domaine testé
Les sites web abandonnés ont souvent un certificat, mais soit c’est le bon certificat et il est expiré, soit le site web n’existe plus et le serveur est utilisé pour un autre site web et le certificat présenté est celui du nouveau site web (valide au niveau temporel, mais pas pour le bon nom de domaine).
Voici ce que j'ai demandé à l'Afnic (je n'ai pas encore la confirmation qu'il est possible de le mettre en place) :
J’ai travaillé sur un échantillon de données, et je vois qu’il y a un nombre négligeable de nom de domaine qui ne sont pas utilisés activement pour héberger un contenu et ces domaines, qui peuvent être des nom de domaine parking ou pas encore utilisés n’ont généralement pas d’IPv6.
Il y a aussi de nombreux nom de domaines qui sont renouvelés alors qu’il sont inutilisé (exemple : un site pour souhaiter la bonne année il y a 10 ans). Ces sites ont souvent un enregistrement A qui pointe vers un serveur qui n’a plus le site.
Toutes ces nom de domaines, généralement sans aucun visiteurs, font baisser artificiellement le pourcentage d’IPv6.
Il y a enfin toujours un nombre de sites qui sont n’ont mis de l’IPv6 que sur le www et pas à la racine.
Nous souhaiterions savoir si il serait possible d’introduire en plus des indicateurs qui nous réalisons chaque année un nouvel indicateur, plus représentatif en se focalisant sur les noms de domaines vraiment utilisés.
Notre idée ? Tester la présence d’un certificat TLS valide sachant que tout site web qui se respecte doit aujourd’hui être en https.
L’idée serait pour chaque nom de domaine de faire une connexion https sur le serveur déclaré à la racine du DNS via le port TCP 443 en IPv4 (en IPv6 pour les nom de domaines IPv6 only) et vérifier la validité du certificat TLS.
- Si le certificat n’est pas valide ou qu’il n’y a pas de réponse sur le port 443, on fait le même test sur le nom de domaine, en rajoutant le préfixe www
- Si le certificat TLS est valide, on regarde si il y a une redirection vers le même nom de domaine avec le préfixe www.
- Si il y a redirection vers le même nom de domaine avec le préfixe www, on ne compatibilise pas le domaine et on fait le test avec le www.
- Dans tous les autres cas on comptabilise ce domaine IPv4 only / double pile IPv4+IPv6 ou IPv6 only en fonction des enregistrement de la raine
Dans le cas où il faut tester le nom de domaine avec le préfixe www (ce n’est pas réalisé systématiquement, seulement en cas d’absence de réponse sans www ou en cas de redirection vers le www) on fait une connexion https sur la préfixe www du nom de domaine sur le port TCP 443 en IPv4 (en IPv6 pour les nom de domaines IPv6 only) et vérifier la validité du certificat TLS
- Si le certificat TLS est valide on comptabilise ce domaine IPv4 only / double pile IPv4+IPv6 ou IPv6 only en fonction des enregistrement pour le préfixe www
- Si le certificat TLS est invalide, le nom de domaine est ignoré (ou tagué comme n’ayant pas de certificat valide à la racine / www)
-
La liste de l'Afnic est disponible sur l'open data de l'Afnic : https://www.afnic.fr/produits-services/services-associes/donnees-partagees/
ah cool a l'époque ou j'avais cherché cela c'était pas dispo.
La présence d'un "www" est de moins en moins une pratique systématique et s'il n'y a pas de www, ce n'est pas pour autant que le domaine n'est pas 'bon' niveau IPv6. Il faut juste s'assurer que si www existe pour IPv4 alors il existe pour IPv6. Et quand www existe on trouve de plus en plus souvent une redirection vers la racine alors que la pratique d'avant est l'inverse (meme si ca reste majoritaire pour le moment).
github.com et twitter.com par exemple redirigent leur www alors que google, facebook, microsoft, etc font a l'ancienne.
pour le reste , ca me parait lourd et coûteux d'aller tester TLS et les certificats.
Reste aussi que le .fr représente moins de 50% des sites web "francais" (au sens "visités" par des utilisateurs situés en France) et cela s'amplifie avec l'adoption de plus en plus des TLDs thématiques (.sport, .news, etc) ou régionaux (.paris, .bzh, etc).
C'est pour cela qu'un approche plus réaliste comme exploiter le contenu des caches des principaux serveurs DNS utilisés en France me semble plus réaliste si on veut mesurer "l'ipv6 readiness" vu d'un utilisateur francais.
-
C'est pour cela qu'un approche plus réaliste comme exploiter le contenu des caches des principaux serveurs DNS utilisés en France me semble plus réaliste si on veut mesurer "l'ipv6 readiness" vu d'un utilisateur francais.
Je suis pas certain que ce soit le plus réaliste, tu n'y auras pas accès.
Si tu pars du postulat que en part de marché, tu as la majorité sur les 4 gros, tu n'auras pas accès à leurs cache, c'est presque certain.
C'est comme si tu demandais à Google des stats sur 8.8.8.8, je suis loin d'être certains qu'il les donnent, ils en ont un usage interne, ce sont des données précieuses monnayables, de là à les donner, je me fais pas beaucoup d'illusions.
-
La présence d'un "www" est de moins en moins une pratique systématique et s'il n'y a pas de www, ce n'est pas pour autant que le domaine n'est pas 'bon' niveau IPv6.
Aujourd'hui l'Afnic ne regarde pas la présence d'un www dans les données actuelles on ne tiens compte que de la racine. Certains sites n'ont rien déclaré sur la racine et ont uniquement un www.
Quelques exemples : (ces sites fonctionnent parfaitement avec un www)
http://agence-francaise-anticorruption.gouv.fr
http://bison-fute.gouv.fr/
http://cetu.gouv.fr/
http://cheminsdememoire.gouv.fr/
http://demande-logement-social.gouv.fr
http://enim.gouv.fr
http://fonction-publique.gouv.fr
http://forum-action-publique.gouv.fr
http://geoportail-urbanisme.gouv.fr
http://ira-lyon.gouv.fr
http://kiosque-sig.gouv.fr
http://marches-publics.gouv.fr
http://monprojetpourlaplanete.gouv.fr
http://pre-plainte-en-ligne.gouv.fr
https://qualite-tourisme.gouv.fr/
-
Je suis pas certain que ce soit le plus réaliste, tu n'y auras pas accès.
Si tu pars du postulat que en part de marché, tu as la majorité sur les 4 gros, tu n'auras pas accès à leurs cache, c'est presque certain.
C'est comme si tu demandais à Google des stats sur 8.8.8.8, je suis loin d'être certains qu'il les donnent, ils en ont un usage interne, ce sont des données précieuses monnayables, de là à les donner, je me fais pas beaucoup d'illusions.
Pas sur. C'est l'ARCEP qui ferait la demande pas un individu random et meme Google partagerait ce genre de chose en retirant ce qu'ils exploitent (le profilage d'un utilisateur).
Le problème, et pour l'avoir vécu, ce genre de demande trouve souvent un frein non pas pour les raisons que tu invoques mais tout simplement pour des raisons de mise en oeuvre pratique (technique, accès, traitement de filtrage/anonymisation, qui s'occupe de cela en interne, etc).
-
Les résolveurs DNS chez les opérateurs, c'est le truc ultra protégé, redondé, sécurisé, régionalisé...
La moindre évolution fait l'objet de grosses validation et d'un déploiement progressif sur l'ensemble du parc.
Quand le DNS tombe en panne, tout est cassé.
Bref, je ne pense pas qu'il soit possible / proportionné d'avoir ces données.
-
oui sur la partie qui parle "DNS" on est d'accord.
Je pensais plus aux données qu'ils collectent chaque jour a des fins de stats/optimisation donc des données découplées de la production/criticité de fonctionnement du service, un peu comme les logs d'un serveur web.
Apres rien ne dit que les opérateurs collectent quoique ce a ce niveau. Ils en ont peut-être pas l'usage ou le besoin.
Pour revenir a ip6.nl , il y a "IPv6-only DNS" dans leur critère pour donner une étoile mais comment ils mesurent cela ? en forçant le résolveur récursif qui résout a n'utiliser qu'IPv6 ?
Donc par exemple, cela implique que pour a.b.c, si b ne marche qu'en IPv4 la résolution échourait même si a.b.c a des serveurs de noms en IPv6 ?
est-ce comme cela qu'il faut le comprendre et le mettre en oeuvre ?
-
C'est pas clair pour moi et ce n'est pas forcément un point intéressant à reprendre.
Exemple de cas où cela échoue : https://ip6.nl/#!cetu.gouv.fr
Lorsqu'un domaine possède des serveurs de noms IPv6, mais que le test IPv6 uniquement échoue, c'est généralement soit parce que les serveurs de noms IPv6 ne sont pas réellement accessibles, soit parce que les enregistrements glue sont manquants. En d'autres termes, les adresses IPv6 des serveurs de noms ne sont pas encore enregistrées auprès du registre de domaine. Contactez votre registraire de nom de domaine pour obtenir des instructions.
-
Les résolveurs DNS chez les opérateurs, c'est le truc ultra protégé, redondé, sécurisé, régionalisé...
La moindre évolution fait l'objet de grosses validation et d'un déploiement progressif sur l'ensemble du parc.
Quand le DNS tombe en panne, tout est cassé.
C'était pas arrivé une fois il y a quelques temps chez l'un des OCEN ?
-
Pour revenir a ip6.nl , il y a "IPv6-only DNS" dans leur critère pour donner une étoile mais comment ils mesurent cela ? en forçant le résolveur récursif qui résout a n'utiliser qu'IPv6 ?
Donc par exemple, cela implique que pour a.b.c, si b ne marche qu'en IPv4 la résolution échourait même si a.b.c a des serveurs de noms en IPv6 ?
est-ce comme cela qu'il faut le comprendre et le mettre en oeuvre ?
J'ai pas compris ton histoire de a.b.c
Sur un de mes domaines, j'ai un DNS qui n'est pas dual stack ( IPv6-Only DNS), si tu l'interroges en V4 t'auras pas de réponse.
-
C'est pas clair pour moi et ce n'est pas forcément un point intéressant à reprendre.
Exemple de cas où cela échoue : https://ip6.nl/#!cetu.gouv.fr
Lorsqu'un domaine possède des serveurs de noms IPv6, mais que le test IPv6 uniquement échoue, c'est généralement soit parce que les serveurs de noms IPv6 ne sont pas réellement accessibles, soit parce que les enregistrements glue sont manquants. En d'autres termes, les adresses IPv6 des serveurs de noms ne sont pas encore enregistrées auprès du registre de domaine. Contactez votre registraire de nom de domaine pour obtenir des instructions.
C'est une question de glue records à renseigner sur le domaine parent. Là en l'occurence "cetu" doit pas avoir de ns pointant à partir de gouv.fr ( à première vue, j'ai pas regardé, ni interrogé les ns).
-
J'ai pas compris ton histoire de a.b.c
Sur un de mes domaines, j'ai un DNS qui n'est pas dual stack ( IPv6-Only DNS), si tu l'interroges en V4 t'auras pas de réponse.
dans mon exemple, a.b.c sont des domaines/sous-domaines avec entrées NS pour chacun.
si la chaine n'est pas full IPv6 ca fonctionne quand meme si le résolveur dns est dual-stack.
a: NS ipv4 et ipv6
b: NS ipv4
c: NS ipv4 et IPv6
donc avec un résolveur récursif "IPv6 only", "dig ns a.b.c" fera une erreur
pour ce qui est de cetu.gouv.fr:
host -t NS cetu.gouv.fr
cetu.gouv.fr name server ns7.oleane.net.
cetu.gouv.fr name server ns6.oleane.net.
les 2 serveurs ont des IPv4 et IPv6:
host ns6.oleane.net
ns6.oleane.net has address 194.2.0.6
ns6.oleane.net has IPv6 address 2a01:c910:8006:1c::6
host ns7.oleane.net
ns7.oleane.net has address 194.2.0.7
ns7.oleane.net has IPv6 address 2a01:c910:8005:1c::7
et chacun a bien les glues (ADDITIONAL SECTION) pour cetu, en ipv4 et ipv6, et répond en IPv6.
host -v -t NS cetu.gouv.fr ns6.oleane.net
Trying "cetu.gouv.fr"
Using domain server:
Name: ns6.oleane.net
Address: 2a01:c910:8006:1c::6#53
Aliases:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48559
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 4
;; QUESTION SECTION:
;cetu.gouv.fr. IN NS
;; ANSWER SECTION:
cetu.gouv.fr. 3600 IN NS ns6.oleane.net.
cetu.gouv.fr. 3600 IN NS ns7.oleane.net.
;; ADDITIONAL SECTION:
ns6.oleane.net. 3600 IN AAAA 2a01:c910:8006:1c::6
ns7.oleane.net. 3600 IN AAAA 2a01:c910:8005:1c::7
ns6.oleane.net. 14400 IN A 194.2.0.6
ns7.oleane.net. 14400 IN A 194.2.0.7
Received 164 bytes from 2a01:c910:8006:1c::6#53 in 16 ms
c'est donc curieux a moins d'un problème de routage IPv6 avec un sous-partie d'IPv6 depuis le site ip6.nl ?
-
Sur une machine IPv6 only
root@debian-revns:/home/philippe# host -v -t NS cetu.gouv.fr
Trying "cetu.gouv.fr"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22457
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;cetu.gouv.fr. IN NS
;; ANSWER SECTION:
cetu.gouv.fr. 3600 IN NS ns6.oleane.net.
cetu.gouv.fr. 3600 IN NS ns7.oleane.net.
Received 76 bytes from 2001:4860:4860::8888#53 in 68 ms
root@debian-revns:/home/philippe# host -v -t NS gouv.fr
Trying "gouv.fr"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16646
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;gouv.fr. IN NS
;; AUTHORITY SECTION:
fr. 1800 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 2231405823 3600 1800 3600000 5400
Received 85 bytes from 2001:4860:4860::8888#53 in 28 ms
root@debian-revns:/home/philippe# host -v -t NS gouv.fr
Trying "gouv.fr"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15299
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;gouv.fr. IN NS
;; AUTHORITY SECTION:
fr. 1772 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 2231405823 3600 1800 3600000 5400
Received 85 bytes from 2001:4860:4860::8888#53 in 56 ms
root@debian-revns:/home/philippe#
Je suppose que c'est le problème que référence de "glue records" ip6.nl ( mais là il faut engueuler l'AFNIC ;D )
[edit]
Je plaisante, on sait jamais, il y en a qui prennent parfois au premier degrés. Si l'AFNIC a construit cela ainsi, c'est qu'il y a une raison.
De là à ce que Stéphane Bortzmeyer me tombe sur le coin de la figure. ;D
[/edit]
-
dans mon exemple, a.b.c sont des domaines/sous-domaines avec entrées NS pour chacun.
si la chaine n'est pas full IPv6 ca fonctionne quand meme si le résolveur dns est dual-stack.
a: NS ipv4 et ipv6
b: NS ipv4
c: NS ipv4 et IPv6
donc avec un résolveur récursif "IPv6 only", "dig ns a.b.c" fera une erreur
L'outil sert à savoir si les préparatifs pour IPV6 sont fonctionnels (même si la coéxistence est là pour longtemps), à priori le but c'est d'un jour éteindre v4 et d'avoir V6 en only.
Je conçois que c'est pas la majorité actuellement, mais pour b : NS ipv6 et pas de ipv4, c'est ce vers quoi on est censé tendre.
Et même lafibre.info qui est un fervent supporter de IPv6 n'a pas ses MX en IPv6. :-* ( 4/5 étoiles sur ip6.nl)
-
Je suppose que c'est le problème que référence de "glue records" ip6.nl ( mais là il faut engueuler l'AFNIC ;D )
ben non les glue records sont corrects justement... y'a pas de circularité vu que cetu.gouv.fr a ses NS sur oleane.net et pas cetu.gouv.fr.
et gouv.fr est un ccSLD (https://en.wikipedia.org/wiki/Country_code_second-level_domain) donc fait partie intégrante .fr, il n'y pas d'étape '.gouv.fr' a tester.
a priori c'est oleane.net le coupable:
#obtenir les serveurs de .net en IPv6 via google par exemple:
host -v -6 -t NS net dns.google
ca donne la liste des serveurs ayant autorité pour .net
on en choisi un au hasard, par exemple: a.gtld-servers.net. puis on l'interroge pour oleane.net (toujours en IPv6):
host -v -6 -t NS oleane.net a.gtld-servers.net
ca donne bien des glue records, mais pas les valeurs IPv6.
bien que
host -v -t NS cetu.gouv.fr ns6.oleane.net
donne des IPv6 pour ns6 et ns7
il n'y pas de glue records IPv6 pour ns0 et ns1 dans la zone .net. ce qui expliquerai le souci ?
et ce bien que
host -v -6 -t NS oleane.net ns0.oleane.net
a des glue records IPv6...mais la ce n'est pas la réponse d'un des serveurs de .net
c'est plutôt Orange qu'il faut engueuler la ? ...
-
Si tu fais le récursion complète tu passes pas "." et les x.root-servers.net :
> server
Default server: 2001:4860:4860::8888
Address: 2001:4860:4860::8888#53
> set all
Default server: 2001:4860:4860::8888
Address: 2001:4860:4860::8888#53
Set options:
novc nodebug nod2
search recurse
timeout = 0 retry = 3 port = 53 ndots = 1
querytype = A class = IN
srchlist =
> set q=any
> gouv.fr
;; Connection to 2001:4860:4860::8888#53(2001:4860:4860::8888) for gouv.fr failed: timed out.
Server: 2001:4860:4860::8888
Address: 2001:4860:4860::8888#53
Non-authoritative answer:
gouv.fr text = "broken ENT was here !!!"
gouv.fr rdata_46 = TXT 13 2 172800 20220813003056 20220607072512 38791 fr. XAJ7be0STvpidfZuvN/nMKdwPMqlCj4pZnmTEJC1ZgjFEeAxiB5QxmUw n3/FuLkL1sqvb8KtpxwuxN+RKfcNpA==
Authoritative answers can be found from:
> set all
Default server: 2001:4860:4860::8888
Address: 2001:4860:4860::8888#53
Set options:
novc nodebug nod2
search recurse
timeout = 0 retry = 3 port = 53 ndots = 1
querytype = any class = IN
srchlist =
> set q=any
> gouv.fr
;; Connection to 2001:4860:4860::8888#53(2001:4860:4860::8888) for gouv.fr failed: timed out.
Server: 2001:4860:4860::8888
Address: 2001:4860:4860::8888#53
Non-authoritative answer:
gouv.fr text = "broken ENT was here !!!"
gouv.fr rdata_46 = TXT 13 2 172800 20220813003056 20220607072512 38791 fr. XAJ7be0STvpidfZuvN/nMKdwPMqlCj4pZnmTEJC1ZgjFEeAxiB5QxmUw n3/FuLkL1sqvb8KtpxwuxN+RKfcNpA==
Authoritative answers can be found from:
> server a.gtld-servers.net
Default server: a.gtld-servers.net
Address: 2001:503:a83e::2:30#53
> gouv.fr
;; Connection to 2001:503:a83e::2:30#53(2001:503:a83e::2:30) for gouv.fr failed: timed out.
Server: a.gtld-servers.net
Address: 2001:503:a83e::2:30#53
Non-authoritative answer:
*** Can't find gouv.fr: No answer
Authoritative answers can be found from:
. nameserver = b.root-servers.net.
. nameserver = c.root-servers.net.
. nameserver = d.root-servers.net.
. nameserver = e.root-servers.net.
. nameserver = f.root-servers.net.
. nameserver = g.root-servers.net.
. nameserver = h.root-servers.net.
. nameserver = i.root-servers.net.
. nameserver = j.root-servers.net.
. nameserver = k.root-servers.net.
. nameserver = l.root-servers.net.
. nameserver = m.root-servers.net.
. nameserver = a.root-servers.net.
> server a.root-servers.net
Default server: a.root-servers.net
Address: 2001:503:ba3e::2:30#53
> gouv.fr
;; Connection to 2001:503:ba3e::2:30#53(2001:503:ba3e::2:30) for gouv.fr failed: timed out.
Server: a.root-servers.net
Address: 2001:503:ba3e::2:30#53
Non-authoritative answer:
*** Can't find gouv.fr: No answer
Authoritative answers can be found from:
fr nameserver = e.ext.nic.fr.
fr nameserver = f.ext.nic.fr.
fr nameserver = g.ext.nic.fr.
fr nameserver = d.nic.fr.
e.ext.nic.fr internet address = 193.176.144.22
e.ext.nic.fr has AAAA address 2a00:d78:0:102:193:176:144:22
f.ext.nic.fr internet address = 194.146.106.46
f.ext.nic.fr has AAAA address 2001:67c:1010:11::53
g.ext.nic.fr internet address = 194.0.36.1
g.ext.nic.fr has AAAA address 2001:678:4c::1
d.nic.fr internet address = 194.0.9.1
d.nic.fr has AAAA address 2001:678:c::1
> server d.nic.fr
Default server: d.nic.fr
Address: 2001:678:c::1#53
> gouv.fr
;; Connection to 2001:678:c::1#53(2001:678:c::1) for gouv.fr failed: timed out.
Server: d.nic.fr
Address: 2001:678:c::1#53
gouv.fr text = "broken ENT was here !!!"
gouv.fr rdata_46 = TXT 13 2 172800 20220813003056 20220607072512 38791 fr. XAJ7be0STvpidfZuvN/nMKdwPMqlCj4pZnmTEJC1ZgjFEeAxiB5QxmUw n3/FuLkL1sqvb8KtpxwuxN+RKfcNpA==
> cetu.gouv.fr
;; Connection to 2001:678:c::1#53(2001:678:c::1) for cetu.gouv.fr failed: timed out.
Server: d.nic.fr
Address: 2001:678:c::1#53
Non-authoritative answer:
*** Can't find cetu.gouv.fr: No answer
Authoritative answers can be found from:
cetu.gouv.fr nameserver = ns6.oleane.net.
cetu.gouv.fr nameserver = ns7.oleane.net.
> server ns6.oleane.net
Default server: ns6.oleane.net
Address: 2a01:c910:8006:1c::6#53
> cetu.gouv.fr
;; Connection to 2a01:c910:8006:1c::6#53(2a01:c910:8006:1c::6) for cetu.gouv.fr failed: timed out.
Server: ns6.oleane.net
Address: 2a01:c910:8006:1c::6#53
cetu.gouv.fr
origin = ns6.oleane.net
mail addr = hostmaster.oleane.net
serial = 2012102934
refresh = 86400
retry = 3600
expire = 1209600
minimum = 3600
cetu.gouv.fr mail exchanger = 10 smtp1.9services.com.
cetu.gouv.fr nameserver = ns6.oleane.net.
cetu.gouv.fr nameserver = ns7.oleane.net.
> set all
Default server: ns6.oleane.net
Address: 2a01:c910:8006:1c::6#53
Set options:
novc nodebug nod2
search recurse
timeout = 0 retry = 3 port = 53 ndots = 1
querytype = any class = IN
srchlist =
> set q=any
> cetu.gouv.fr
;; Connection to 2a01:c910:8006:1c::6#53(2a01:c910:8006:1c::6) for cetu.gouv.fr failed: timed out.
Server: ns6.oleane.net
Address: 2a01:c910:8006:1c::6#53
cetu.gouv.fr
origin = ns6.oleane.net
mail addr = hostmaster.oleane.net
serial = 2012102934
refresh = 86400
retry = 3600
expire = 1209600
minimum = 3600
cetu.gouv.fr mail exchanger = 10 smtp1.9services.com.
cetu.gouv.fr nameserver = ns6.oleane.net.
cetu.gouv.fr nameserver = ns7.oleane.net.
>
J'ai pas le sentiment qu'il y puisse avoir un coupable là. Il faut voir ce que raconte le code, mais à vu de nez le
;; QUESTION SECTION:
;gouv.fr. IN NS
Il a pas aimé.
-
pourquoi tu check gouv.fr ? je ne comprend pas ce que tu cherches à faire la
-
J'essayais de comprendre, le pourquoi de
" When a domain does have IPv6 nameservers, but the IPv6-only test fails, it's usually either because the IPv6 nameservers aren't actually reachable, or because the glue records are missing. In other words, the IPv6 addresses for the nameservers are not yet registered with the domain registry. Contact your domain name registrar for instructions. "
avec cetu.gouv.fr ( IPv6-only DNS
Doesn't work
(Why?) )
C'est pas grave. :)
-
La problématique n'est pas sur tous les .gouv.fr, tu peut tester, cela reste rare ce type de réponse.
-
c'est la facon dont le site ip6.nl test qui n'est pas clair.
apres y'a quand meme un souci de "glue" sur oleane.net ( https://ip6.nl/#!oleane.net )
dig ns oleane.net @k.gtld-servers.net.
...
;; AUTHORITY SECTION:
oleane.net. 172800 IN NS ns0.oleane.net.
oleane.net. 172800 IN NS ns1.oleane.net.
;; ADDITIONAL SECTION:
ns0.oleane.net. 172800 IN A 194.2.0.30
ns1.oleane.net. 172800 IN A 194.2.0.60
...
c'est la facon dont oleane.net est enregistré sur les serveurs .net qui peut poser problème suivant comment on fait la résolution:
dig +short ns oleane.net
ns0.oleane.net.
ns1.oleane.net.
ns2.nic.fr.
oleane.net a 2 serveurs de nom sur lui-meme et en plus ns2.nic.fr.
si on choisi ns2.nic.fr ca passe en 'ipv6 only' si on choisi un des 2 autres ca requiert ipv4.
tl;dr:
ns2.nic.fr. a bien une glue ipv6 dans la zone .fr
ns1.oleane.net et ns2oleane.net n'ont pas de glue ipv6 dans la zone .net
-
Voila :)
J'ai même pire, j'ai un glue record d'un cross domaine très ancien qui traine, impossible à enlever, entre un .net et un .fr aussi.
Le NS est référencé avec une ancienne adresse v4 chez Verisign/Networksolutions alors qu'il n'y a plus rien derrière. C' était la plaie la gestion des glues interdomaines chez Networksolutions, ils ont changé leurs outils et il existe des "bugs", impossible de supprimer ces "glue".
-
tl;dr:
ns2.nic.fr. a bien une glue ipv6 dans la zone .fr
ns1.oleane.net et ns2oleane.net n'ont pas de glue ipv6 dans la zone .net
Same player shoot again. :)