Freebox Player Mini 4K

  • État Fermée
  • Pourcentage achevé
    100%
  • Type Anomalie
  • Catégorie Divers
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Moyenne
  • Priorité Très Basse
  • Basée sur la version 2.0.2
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 1
  • Privée
Concerne le projet: Freebox Player Mini 4K
Ouverte par baudav - 22/06/2016
Dernière modification par rfliedel - 14/11/2016

FS#20376 - DNS proxad bloque reponse avec IP privé

Bonjour, ce ticket à la demande du support pour investigation avec test effectué.

depuis quelques temps, les demandes de résolution DNS avec en retour une IP privé retourne une erreur ‘Server failed’.

Exemple: un enregistrement type A est créé dans le domaine DNS foux.ovh
test A 192.168.1.200

requete depuis freebox (ou depuis autre opérateur avec DNS proxad: resultat identique)

>nslookup test2.foux.ovh. dns1.proxad.net
Serveur :   dns1.proxad.net
Address:  212.27.40.240

* * dns1.proxad.net ne parvient pas à trouver test.foux.ovh. : Server failed

test avec DNS google:

>nslookup test2.foux.ovh. 8.8.8.8
Serveur :   google-public-dns-a.google.com
Address:  8.8.8.8

Réponse ne faisant pas autorité :
Nom :    test.foux.ovh
Address:  192.168.1.200

Ajout d’un enregistrement AAAA dans domaine foux.ovh
test AAAA 2a01:e34:ef8b:f100:1234:5678:0abc:def0

requete depuis free:

>nslookup -debug test.foux.ovh. dns1.proxad.net
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 1, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 2,  additional = 0

    QUESTIONS:
        240.40.27.212.in-addr.arpa, type = PTR, class = IN
    ANSWERS:
    ->  240.40.27.212.in-addr.arpa
        name = dns1.proxad.net
        ttl = 72937 (20 hours 15 mins 37 secs)
    AUTHORITY RECORDS:
    ->  40.27.212.in-addr.arpa
        nameserver = ns3.proxad.net
        ttl = 72937 (20 hours 15 mins 37 secs)
    ->  40.27.212.in-addr.arpa
        nameserver = ns2.proxad.net
        ttl = 72937 (20 hours 15 mins 37 secs)

------------
Serveur :   dns1.proxad.net
Address:  212.27.40.240

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, **rcode = SERVFAIL**
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 0,  additional = 0

    QUESTIONS:
        test.foux.ovh, type = A, class = IN

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        test.foux.ovh, type = AAAA, class = IN
    ANSWERS:
    ->  test.foux.ovh
        AAAA IPv6 address = 2a01:e34:ef8b:f100:1234:5678:abc:def0
        ttl = 1290 (21 mins 30 secs)

------------
Nom :    test.foux.ovh
Address:  2a01:e34:ef8b:f100:1234:5678:abc:def0

seul l’ipv6 est retourné.

via DNS google:

>nslookup test.foux.ovh. 8.8.8.8
Serveur :   google-public-dns-a.google.com
Address:  8.8.8.8

Réponse ne faisant pas autorité :
Nom :    test.foux.ovh
Addresses:  2a01:e34:ef8b:f100:1234:5678:abc:def0
          192.168.1.200

Même chose avec d’autre adresse privé, comme 10.;172..
Il semble qu’un filtrage type ‘Suspicious Responses’ ai été activé filtrant les réponses contenant des IP privé. Peut-être pour éviter les attacks type ‘DNS Rebinding’ ?

Utilisation d’un DNS ovh, car freeboxOS ne permet pas d’ajouter des enregistrements dans son DNS (contrairement à d’autre opérateur plus basique)

contournement: mettre les DNS google dans la config DHCP,
ou mettre un serveur DNS local

raison: utilisation d’un NAS avec certificat signé par une autorité de confiance
accès en ipv4 uniquement en réseau privé (pas de NAT)
accès ipv6 via internet et réseau privé.

Fermée par  rfliedel
14.11.2016 14:42
Raison de la fermeture :  Doublon
Commentaires de fermeture :  

 FS#9909 

baudav a commenté le 23.06.2016 12:18

et utilisation avec DNS google impossible!! Free continue de limiter/pénaliser l'accès aux services Google! (plus de 25% des requêtes échoues! avec parfois une longue coupure de plusieurs seconde (aucun problème depuis SFR par exemple. visible aussi avec un simple ping (aucune perte chez SFR; plus de 25% chez FREE)
Utilisation de DNS d'autre opérateur; ou DNS primaire qui semble bien passer pour le moment.

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche