Auteur Sujet: DNS filtré sur le réseau SIEA ?  (Lu 10862 fois)

0 Membres et 1 Invité sur ce sujet

patrick_01

  • Abonné MilkyWan
  • *
  • Messages: 328
  • 01
DNS filtré sur le réseau SIEA ?
« le: 20 septembre 2022 à 08:58:41 »
Hello,

Est-ce qu'il y a ici des abonnés fibre sur le réseau du SIEA (Ain 01), qui ont un DNS authoritative (pas juste un resolver) au bout de leur fibre optique ?
C'est mon cas, et il me semble constater qu'il y a un filtre / un firewall quelque part entre chez moi et le réseau MilkyWan : impossible d'interroger le DNS (à l'intérieur de mon réseau) depuis l'extérieur (un VPS ou une connexion 4G par exemple).
Mes traces montrent que les paquets sortants (donc les réponses DNS) quittent mon routeur sur l'interface vers le CPE fibre, mais n'arrivent pas à destination.

Est-ce qu'il y a quelqu'un qui a aussi ce style de configuration ? Je pense à des gens qui s'auto-hébergent, évidemment.

bolemo

  • AS2027 MilkyWan
  • Professionnel des télécoms
  • *
  • Messages: 1 606
  • Grandcamp Maisy (14)
DNS filtré sur le réseau SIEA ?
« Réponse #1 le: 20 septembre 2022 à 12:50:34 »
C'est curieux ça.

Pour résumé, si j'ai bien compris :
Les DNS query arrivent chez toi : UDP port ABC -> port 53
Tu renvoies une réponse : UDP port 53 -> ABC qui sort bien de ton routeur, mais n'arrive pas à destination.

Donc le filtrage serait seulement sur les paquets émis chez toi, depuis le port 53 ?

As-tu essayé pour tests avec un autre port que 53 pour ton serveur DNS ? (pour confirmer que c'est bien ça)

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
DNS filtré sur le réseau SIEA ?
« Réponse #2 le: 20 septembre 2022 à 14:07:49 »
En tout cas, on ne filtre pas le port 53 de notre coté, le seul port filtré c'est le port 111 (sunrpc) pour éviter de l'ampli ddos

patrick_01

  • Abonné MilkyWan
  • *
  • Messages: 328
  • 01
DNS filtré sur le réseau SIEA ?
« Réponse #3 le: 20 septembre 2022 à 17:07:13 »
Pour résumé, si j'ai bien compris :
Les DNS query arrivent chez toi : UDP port ABC -> port 53
Tu renvoies une réponse : UDP port 53 -> ABC qui sort bien de ton routeur, mais n'arrive pas à destination.
C'est exactement ça. Je vois le paquet sortir de mon routeur sur l'interface ethernet vers le CPE, je ne le vois pas arriver sur la machine qui a fait la query.

Donc le filtrage serait seulement sur les paquets émis chez toi, depuis le port 53 ?
Apparement, oui. D'ailleurs, quoi que j'envoie avec un port source 53 ne passe pas.
Même un truc aussi con que echo -n "hello" |nc -p 53 -u -q1 [destination] 12345 est filtré, et ça passe avec les autres ports, privileged ou pas.
J'observe le même comportement en IPv4 et IPv6, en TCP et UDP.

As-tu essayé pour tests avec un autre port que 53 pour ton serveur DNS ? (pour confirmer que c'est bien ça)
Bien vu : oui, avec listen-on port 5533 {any;}; sur mon DNS et dig -p 5533, les queries aboutissent, et je reçois une réponse.

En tout cas, on ne filtre pas le port 53 de notre coté, le seul port filtré c'est le port 111 (sunrpc) pour éviter de l'ampli ddos
OK, c'est bien ce que je pense. D'ailleurs sur le L2TP ça passe : comme workaround pour l'instant, j'ai joué du routing-mark sur mon routeur pour forcer les paquet avec src-port=53 sur le L2TP (mais malheureusement RouterOS v6 ne sait pas faire ça en IPv6).
J'aimerais bien me dire que j'ai fait une connerie quelque part, mais là ça me rappelle gentiment une autre emmerde récente dont tu dois te souvenir, quand le SIEA avait mis un filtre sur le BGP
(jamais su si c'était volontaire et délibéré, ou si c'était un effet de bord d'une autre modif).

bolemo

  • AS2027 MilkyWan
  • Professionnel des télécoms
  • *
  • Messages: 1 606
  • Grandcamp Maisy (14)
DNS filtré sur le réseau SIEA ?
« Réponse #4 le: 20 septembre 2022 à 17:30:46 »
Ça ne semble pas être de ton côté le problème...

Tous tes tests semblent bien confirmer un blocage unidirectionel du port 53 au niveau du SIEA ou dans le CPE (donc SIEA aussi).

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
DNS filtré sur le réseau SIEA ?
« Réponse #5 le: 20 septembre 2022 à 19:08:40 »
Du coup je te confirme que le SIEA bloque bien l'UDP53, et que ça a été débloqué sur ton switch a l'instant...

vivien

  • Administrateur
  • *
  • Messages: 47 084
    • Twitter LaFibre.info
DNS filtré sur le réseau SIEA ?
« Réponse #6 le: 20 septembre 2022 à 20:03:25 »
Ils font ça pourquoi ?

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 644
  • WOOHOO !
    • OrneTHD
DNS filtré sur le réseau SIEA ?
« Réponse #7 le: 20 septembre 2022 à 20:09:50 »
Ils font ça pourquoi ?
Pour éviter les relais DNS ouverts aux 4 vents je présume.

vivien

  • Administrateur
  • *
  • Messages: 47 084
    • Twitter LaFibre.info
DNS filtré sur le réseau SIEA ?
« Réponse #8 le: 20 septembre 2022 à 20:12:54 »
C'est un cas qui semble peu probable.

Avec les box qui font du NAT, il faut ouvrir les ports et enfin c'est pas Mme michu qui a un serveur DNS chez elle.

L'autre point qui est choquant, c'est que ce soit l'opérateur d'infrastructure qui filtre. Sur quelle base légale ?

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
DNS filtré sur le réseau SIEA ?
« Réponse #9 le: 20 septembre 2022 à 20:36:43 »
L'autre point qui est choquant, c'est que ce soit l'opérateur d'infrastructure qui filtre. Sur quelle base légale ?

Aucune, et je t'avoue que ça commence à me soûler, j'ai la chance d'avoir un interlocuteur très compréhensif coté SIEA, mais là ils s'assoient totalement sur la loi et ça ne me plait pas du tout.

patrick_01

  • Abonné MilkyWan
  • *
  • Messages: 328
  • 01
DNS filtré sur le réseau SIEA ?
« Réponse #10 le: 20 septembre 2022 à 22:16:12 »
Du coup je te confirme que le SIEA bloque bien l'UDP53, et que ça a été débloqué sur ton switch a l'instant...

En effet : ça refonctionne.

Alors d'abord, merci Hugues pour la réaction et la correction rapide, c'est vraiment appréciable de ta part.
(et honte à moi de n'avoir toujours pas mis un système de monitoring et d'alerting sur mon infrastructure, c'est pourtant pas difficile aujourd'hui)

Ensuite, ça me préoccupe un peu toute cette histoire. C'est la deuxième fois en quelques semaines que le SIEA fait des modifications sur leur config sans avertir ni les abonnés, ni les FAI (dans les deux cas, Hugues n'était apparemment pas au courant avant que je lui signale). Chaque fois, ça a cassé quelque chose dont j'ai besoin, la première fois c'était le BGP qui était filtré (port 179 TCP sortant), maintenant le DNS (port 53 TCP et UDP sortant).

Alors OK, l'abonné de FAI moyen il s'en fout de faire du BGP ou du DNS depuis chez lui, le port 443 vers les les google facebook amazon et netflix lui suffit, ces problèmes n'affectent pas tout le monde. Mais j'ai quand même l'impression que ce n'est pas le rôle d'un exploitant de fibre de faire ce genre de filtrage. S'il y a abus, attaque, DDoS, open relay DNS etc, on s'adressera au FAI qui attribue les adresses, pas au SIEA. Pour moi, la fibre devrait être un tuyau transparent entre le FAI et l'abonné. Qu'il y ait des limitations au layer 2, du DHCP snooping, de l'IPv6 qui fonctionne pas partout, je peux comprendre, sinon excuser. Il y a des explications techniques derrière. Mais du filtrage délibéré sur les couches supérieures (ici on est au blocage de ports UDP/TCP), désolé mais non, c'est pas leur métier.

J'ai choisi MilkyWan parce qu'ils offrent un réseau neutre et transparent, mais le SIEA vient entre deux pour empêcher MilkyWan de me fournir le service proposé, ce n'est pas normal. Demain c'est peut être le SMTP qui s'arrête à l'improviste, ou le 80/443, je suis emmerdé du jour au lendemain, et je viens me plaindre chez Hugues qui n'y est pour rien.
Hugues, te laisse pas faire :) C'est cool que tu aies le bon interlocuteur au SIEA, et ça simplifie les choses, mais ces questions devraient être réglées en amont, et donc traitées comme un ticket de panne franche, que l'interlocuteur soit compréhensif ou non.
Même si je me demande s'il y a vraiment des "lois" qui régissent les rapports entre FAI et OI, sur ce sujet ma compréhension est limitée.

<mode coup de gueule="off"> ;)

Un point positif quand même pour le SIEA : l'IPv6 qu'ils n'ont jamais réussi à faire marcher proprement avec K-Net fonctionne sans souci depuis que j'ai passé chez MW.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
DNS filtré sur le réseau SIEA ?
« Réponse #11 le: 20 septembre 2022 à 22:27:08 »
Un point positif quand même pour le SIEA : l'IPv6 qu'ils n'ont jamais réussi à faire marcher proprement avec K-Net fonctionne sans souci depuis que j'ai passé chez MW.
On a pris la place de K-Net dans le pilote IPv6 du SIEA, faut dire...

Mais oui je suis assez en colère sur le sujet et ils le savent bien, et ça finira à l'ARCEP s'il le faut...