Freebox Player Mini 4K

Concerne le projet: Freebox Player Mini 4K
Ouverte par baudav - 22/06/2016
Dernière modification par rfliedel - 14/11/2016

Bonjour, ce ticket à la demande du support pour investigation avec test effectué.

depuis quelques temps, les demandes de résolution DNS avec en retour une IP privé retourne une erreur ‘Server failed’.

Exemple: un enregistrement type A est créé dans le domaine DNS foux.ovh
test A 192.168.1.200

requete depuis freebox (ou depuis autre opérateur avec DNS proxad: resultat identique)

>nslookup test2.foux.ovh. dns1.proxad.net
Serveur :   dns1.proxad.net
Address:  212.27.40.240

* * dns1.proxad.net ne parvient pas à trouver test.foux.ovh. : Server failed

test avec DNS google:

>nslookup test2.foux.ovh. 8.8.8.8
Serveur :   google-public-dns-a.google.com
Address:  8.8.8.8

Réponse ne faisant pas autorité :
Nom :    test.foux.ovh
Address:  192.168.1.200

---

Ajout d’un enregistrement AAAA dans domaine foux.ovh
test AAAA 2a01:e34:ef8b:f100:1234:5678:0abc:def0

requete depuis free:

>nslookup -debug test.foux.ovh. dns1.proxad.net
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 1, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 2,  additional = 0

    QUESTIONS:
        240.40.27.212.in-addr.arpa, type = PTR, class = IN
    ANSWERS:
    ->  240.40.27.212.in-addr.arpa
        name = dns1.proxad.net
        ttl = 72937 (20 hours 15 mins 37 secs)
    AUTHORITY RECORDS:
    ->  40.27.212.in-addr.arpa
        nameserver = ns3.proxad.net
        ttl = 72937 (20 hours 15 mins 37 secs)
    ->  40.27.212.in-addr.arpa
        nameserver = ns2.proxad.net
        ttl = 72937 (20 hours 15 mins 37 secs)

------------
Serveur :   dns1.proxad.net
Address:  212.27.40.240

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, **rcode = SERVFAIL**
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 0,  additional = 0

    QUESTIONS:
        test.foux.ovh, type = A, class = IN

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        test.foux.ovh, type = AAAA, class = IN
    ANSWERS:
    ->  test.foux.ovh
        AAAA IPv6 address = 2a01:e34:ef8b:f100:1234:5678:abc:def0
        ttl = 1290 (21 mins 30 secs)

------------
Nom :    test.foux.ovh
Address:  2a01:e34:ef8b:f100:1234:5678:abc:def0

seul l’ipv6 est retourné.

via DNS google:

>nslookup test.foux.ovh. 8.8.8.8
Serveur :   google-public-dns-a.google.com
Address:  8.8.8.8

Réponse ne faisant pas autorité :
Nom :    test.foux.ovh
Addresses:  2a01:e34:ef8b:f100:1234:5678:abc:def0
          192.168.1.200

Même chose avec d’autre adresse privé, comme 10.;172..
Il semble qu’un filtrage type ‘Suspicious Responses’ ai été activé filtrant les réponses contenant des IP privé. Peut-être pour éviter les attacks type ‘DNS Rebinding’ ?

Utilisation d’un DNS ovh, car freeboxOS ne permet pas d’ajouter des enregistrements dans son DNS (contrairement à d’autre opérateur plus basique)

contournement: mettre les DNS google dans la config DHCP,
ou mettre un serveur DNS local

raison: utilisation d’un NAS avec certificat signé par une autorité de confiance
accès en ipv4 uniquement en réseau privé (pas de NAT)
accès ipv6 via internet et réseau privé.