Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Nouveau
  • Pourcentage achevé
    0%
  • Type Anomalie
  • Catégorie WAN
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Moyenne
  • Priorité Très Basse
  • Basée sur la version 4.0.4
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 6
  • Privée

FS#26333 - rDNS mal expliqué dans l'espace client et non fonctionnel

Bonjour à tous.

Intro/Disclaimer

Ce message s’adresse aux tech réseau de Free et aux devs de l’espace client qui doivent travailler main dans la main pour ce souci.
Saurez-vous relever le défi ?

S’il existe une meilleure place pour cette requête, merci de me l’indiquer.

Le sujet abordé ici concerne le plutôt le WAN complet (testé pour ma part sur le FTTH) et n’est actuellement pas gérable via l’interface de la box mais via l’espace client.
Le support technique Free ne traitant pas ce sujet, mon seul espoir de voir ce souci résolu se situe donc ici, auprès des développeurs, qui ont normalement les compétences nécessaires pour comprendre de quoi on parle et la capacité d’agir sur les anomalies citées.

Loin de moi l’idée d’employer un argument d’autorité, mais pour vous dire qu’à priori, je sais aussi de quoi je parle :
Je suis moi-même sysadmin et tech support chez un hébergeur infogérant. Notre coeur de métier est donc l’hébergement web et la gestion de serveurs, nous sommes aussi registrar (bureau d’enregistrement de domaines), avons nos propres serveurs, nos propres IP ranges etc. Je participe également à la rédaction des documentations client de la société. Autrement dit, pour moi les DNS et les rDNS sont d’une simplicité enfantine, et ma compréhension est logiquement excellente pusique j’en manipule à longueur de journée avec une satisfaction client de 100%.

Définitions

Tout d’abord, un petit rappel de définitions s’impose, car l’espace client se mélange les pinceaux entre deux notions pourtant diamétralement opposées.

Pointage DNS

Un pointage DNS classique (de type A) c’est lorsqu’un nom de domaine ou un sous-domaine pointe vers une adresse IP.

Exemple:
# host lrob.fr
lrob.fr has address 91.212.26.4

Ces pointages sont réglés dans la zone DNS du nom de domaine concerné.

Il existe aussi d’autres pointages (CNAME, TXT, MX...) mais ce n’est pas le sujet ici.

Reverse DNS

Un reverse DNS ou “rDNS”, c’est le ou les nom(s) de domaine qui sont retournés lorsque l’on effectue une requête de DNS sur l’enregistrement PTR d’une IP.

Exemple:
# host 91.212.26.4
4.26.212.91.in-addr.arpa domain name pointer vm.terageek.org.

Le rDNS est défini au niveau du propriétaire de l’IP ou du gestionnaire du réseau.

Utilité du rDNS

L’utilité d’un Reverse DNS est de pouvoir identifier une IP rapidement et avec une requête légère (DNS). Cela permet d’identifier le réseau ou le domaine avec qui l’on échange.

Par exemple, le logiciel de torrent “Transmission” affiche par défaut le reverse DNS au lieu des IP, ce qui apporte plus d’informations.

Mais là où le reverse DNS importe le plus, c’est pour la création d’un serveur d’envoi de mails (SMTP).
En effet, avec l’abondance des spams existante, pour qu’un destinataire de mails sérieux accepte votre mail, celui-ci doit provenir d’un serveur “digne de confiance”.

Quel est le minimum à remplir pour un serveur de mails pour être digne de confiance ?
Ce dernier doit avoir pour HELO (message de présentation d’un serveur SMTP) un nom de domaine qui pointe vers l’IP publique de ce serveur SMTP; le rDNS de cette IP doit être identiue au HELO.

Si le rDNS est incorrect (ou du type de ceux par défaut comme “82-64-95-159.subs.proxad.net” et donc non personnalisé), les destinataires estimeront que vous êtes un botnet, rejetteront votre mail ou le placeront en spam.

Il est donc impossible de faire un serveur de mails dont les mails seront acceptés sans pouvoir configurer un rDNS personnalisé.

Problèmes des explications dans la page "Personnaliser mon reverse DNS" de l'espace client

L’espace client semble confondre pointage DNS et reverse DNS sur tout le long de la page “Personnaliser mon reverse DNS“.
Cette page date d’il y a longtemps et d’ailleurs, avant d’avoir les connaissances que j’ai aujourd’hui, ces explications inccorectes semaient une confusion insoutenable dans mon esprit.
Pour rappel, voci le texte qui est affiché : (Image: https://i.imgur.com/QqpDpgS.png Textuel : https://pastebin.com/raw/3p596MHs )

Non, un reverse DNS n’est pas un nom de domaine pointant vers une IP, ça c’est un pointage DNS, comme on vient de le définir.
Comme son nom l’indique, un rDNS, c’est exactement l’inverse : C’est une IP qui pointe vers un nom de domaine.
Et seul l’opérateur de réseau, propriétaire des IP, peut attribuer un Reverse DNS - ici, Free -.
Donc non, le fait de posséer un nom de domaine ou pas n’a pas d’impact sur la définition en elle-même d’un reverse DNS contrairement à ce que sous-entend la page de l’espace client.

Suggestions de solutions

Le seul élément ayant sa place sur cette page est le petit encart “Reverse DNS Personnalisé” en bas de page.

Tout le reste devrait être déplacé sur une nouvelle page appelée par exemple “Pointages DNS personnalistés”.

Je pense que cette page a été conçue à l’époque de la Freebox V5 et ne s’applique pas pour les clients FTTH (et/ou Mini 4K/Revolution).
D’ailleurs, le champ “Entrée DNS personnalisée [ ] .hd.free.fr” n’est plus d’actualité étant donné que “freeboxos.fr” a pris le relais et se gère directement depuis la box.
Il serait utile d’avoir une certaine cohérence entre l’espace client et l’interface de la box.

Aussi, l’explication du Reverse DNS devrait être :

“Votre reverse DNS ou “rDNS” est le FQN (nom de domaine) pointant vers votre IP Free et vers lequel vous souhaitez que votre IP renvoie lorsque l’on effectue une requête DNS de type PTR.
En d’autres termes, le Reverse DNS permet d’identifier à quel domaine est rattachée votre IP.
Cela est principalement utile pour identifier un serveur SMTP et ainsi contribuer à une bonne délivrabilité de voes emails.

Attention : Le FQN choisi doit pointer vers votre IP au préalable (pointage DNS de type A) pour être accepté comme reverse DNS de votre IP.”

Problèmes de fonctionnement du Reverse DNS

Dans mon cas (abonné fibre FTTH), le reverse DNS n’a pas été mis en place après 48h d’attente.
Bien que cela semble inutile, j’avais malgré tout tenté de rebooter la box (et le boîtier fibre).
J’ai donc supprimé le reverse DNS dans l’optique de le remettre en place... Or il est impossible de le remettre en place après l’avoir supprimé.

Suggestions de solutions

Il faut vérifier comment est implémentée cette fonctionnalité et soit la réparer, soit l’adapter pour les clients fibre.
Aussi, il faut laisser la possibilité de changer cette valeur (je ne vois pas dans quel contexte il serait utile de limiter la capacité de changer cette valeur).

PS: La réponse du support “Nous n’offrons pas de support sur cette fonctionnalité” n’est pas admissible venant de la part du service client Free qui vise pourtant l’excellence. Si l’option est présente et que les clients comme moi viennent pour cette option, le minimum est quand même de faire en sorte qu’elle fonctionne.

Merci pour votre attention.
Je reste disponible si besoin.

+1

+1

jeff63 a commenté le 01.07.2021 18:35

+999999

en ce moment il est totalement impossible de gérer le reverse DNS à partir de son espace client !

toute tentative de personalisation échoue quelle que soit les données entrées avec ce message :

'
Personnaliser mon reverse DNS

Reverse invalide: il doit faire au maximum 64 caractères et ne peux contenir que des caractères alphanumériques (a-z A-Z 0-9) et les séparateur "-" et ".".

Retour'

ça fait pas 40 caractères et aucuns signe interdit ne figure dans l'entrée.

le service client de free contacté par mail renvoie la balle direct au 3244, qui est incompétent sur ce problème mais fait poireauter des heures -payantes- pour rien avant soit de couper la communication mise ne attente au bout de 2 h -payantes- ou renvoie la balle ici au bout d'une heure de ping-pong -payante-.

c'est proprement inacceptable et scandaleux de la part de free.

j'ai une ligne FTTH super rapide, mon nom de domaine, une IP fixe full stack, un DNS configuré aux petits oignons (sauf pour un CNAME qui pose problèmes à cause de Free là encore), un serveur qui demande qu'à servir du www, du ftp, du mail… et qui est inutile car ce foutu rDNS est pas configuré correctement !!! la faute à Free.

GRRRRR !

Pourtant :

1 / j'ai enregistré mon nom de domaine et ses clés SSL dans l'interface de gestion de ma Freebox Révolution sans problèmes,
à ce moment la on m'a dit de configurer mon DNS avec l'IP fixe v4, l'IP fixe v6 et d'enregistrer un CNAME : x7o2nmr.fbxos.fr
or mon registrar me dit que ce CNAME est invalide car cette adresse ne réponds à aucune query quelle qu'elle soit… même quand mon serveur est online.

alors j'aimerais qu'on m'explique à quoi ça correspond et à quoi ça sert si cette adresse x7o2nmr.fbxos.fr est naze ???

2 / j'ai un besoin URGENT de voir le rDNS fonctionner correctement car je n'ai aucune envie de me faire classer mon serveur mail en grossier spammer à cause de ce disfonctionement de Free.

3 / j'ai besoin de réponses ! et de solutions rapidement.

MERCI d'avance.

Jeff fbx22901655

lrob a commenté le 01.07.2021 19:50

@jeff63

Malheureusement, ton seul moyen d'avoir un rDNS fonctionnel à l'heure actuelle, à ma connaissance, est de passer chez les FAI OVH ou Orange Pro (j'ai choisi le 2e, qui n'est pas parfait, mais aucun opérateur français ne l'est, manifestement…).

Pour les applications sérieuses, type SMTP, mon meilleur conseil serait plutôt de prendre un VPS (ceux d'Hetzner sont très abordables et bien performants) et d'y mettre ton SMTP avec le rDNS/HELO/Hostname/Pointage type A, tous cohérents (sans oublier de mettre en place un SPF correct et si possible DMARC et DKIM sur ton nom de domaine).
Et si un serveur chez toi a besoin d'envoyer des mails, mets en place une connexion authentifiée en SMTP ou un relay vers ce VPS. De manière générale, évite les connexions non authentifiées, ou mets en place un filtrage par IP pour le relay, sinon tu vas te retrouver à envoyer des millions de spams en 2h. De mon côté, j'ai une VM sous Plesk qui gère le serveur DNS et Email, c'est vraiment le top. :)
Pour les éventuelles autres applications, tu peux pourquoi pas mettre en place un VPN et une IP dédiée à celui-ci sur ton VPS. Le setup va être très lourd, mais ça se fait avec du temps et de l'effort. (Merci Free, de bien nous rajouter de la complexité grâce à vos services incomplets).

Concernant FTP, il n'est en aucun cas requis d'avoir un rDNS correct pour ce service, et je peux le confirmer puisque j'ai une VM qui se backup depuis internet vers un serveur sur mes box depuis au moins 3 ans avec des rDNS totalement random.
A ma connaaissance, seul un serveur SMTP requiert un rDNS correct, pour le reste, c'est plus du confort qu'autre chose, histoire d'identifier facilement les connexions grâce au rDNS de l'IP.


Semi hors sujet incoming (désolé)

Concernant ton nom de domaine et ton CNAME, tu n'as en aucun cas besoin d'utiliser un CNAME en .fbxos.fr, vu que tu as ton propre nom de domaine, tu peux directement faire un pointage type A vers ton IP publique, de la sorte, tu ne dépends pas du nom de Free. Pour les éventuels certificats, ce qui compte est uniquement le nom avec lequel tu accèdes au domaine qui doit correspondre à celui du certificat; tout CNAME derrière n'a aucune importance, car un CNAME, de type x.domain.tld CNAME y.domain2.tld, ne résultera qu'en un pointage vers la même IP que y.domain2.tld.
Inutile de compter sur le DNS Free et d'ajouter une requête DNS inutile, vu que tu as en principe une IP fixe, autant faire le pointage de type "A" directement.

Après je ne sais pas si tu as fait un serveur Bind chez toi, mais vu la non fiabilité d'une connexion FAI grand public (et surtout des routeurs Free aux bugs plus bizarres les uns que les autres), autant utiliser les NS de ton registrar, ils seront sûrement plus fiable et c'est quand même plus simple à gérer, et surtout il n'y a aucun intérêt à gérer un serveur NS chez soi.
Perso en local, j'ai uniquement un serveur DNS recursif (bloqué aux requêtes locales évidemment, sinon tu es soumis aux attaques par amplification) pour une meilleure confidentialité. Auparavant j'avais placé un DNS secondaire, mais mon expérience m'a montré que ce n'était pas viable d'héberger ça sur une connexion FAI grand public, un serveur en datacenter est bien plus approprié.

PS: Privilégie plutôt une VM ou un serveur autre que la Freebox pour recevoir les connexions HTTP/HTTPS (ports 80/443), et générer tes certificats. Tu peux utiliser Certbot pour créer tes certificats Let's Encrypt, tu seras bien mieux servi ;)

Si tu veux en parler davantage, car on est totalement hors sujet ici : terageek.org/discord

Précision : Le problème est en xDSL et en FFTH.

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche