[RÉSOLU] DNS over TLS sur ipv6

diesel · Le 17/03/2025, à 12:11

Bonjour,

Il y a deux jours, mauvaise surprise, mon accès internet ne marche plus. Après deux jours de recherche (sans internet, ou presque), et je vous passe tout ce que j'ai cherché comme type de panne, je finis par découvrir que le DNS que j'avais choisi (FDN) ne répondait plus aux requêtes DNS en clair (sur port 53) : https://www.fdn.fr/renforcement-serveurs-dns-2025/.

Pour l'instant, j'ai changé de fournisseur (pas google, quand-même ) et mon réseau est reparti mais pour des raisons d'indépendance, j'aimerais revenir vers FDN. A priori, FDN accepte les requêtes DNS en DNS over TLS sur le port 853.

J'ai une passerelle qui isole mon réseau local d'internet et qui reçoit les adresses DNS de ma box via une annonce router advertisment. Je ne sais pas comment spécifier dans ma box le fait que les requêtes DNS doivent utiliser TLS. Au pire, je forcerai ça en dur dans ma passerelle.

Par contre, là où je suis plus embêté, c'est pour annoncer aux clients de ma passerelle (il y en a un certain nombre de quasiment tous types ; PC MAC, tablettes, smartphones, dont des invités) d'utiliser DNS over TLS. Ma passerelle utilise systemd version 247 et les adresses DNS annoncées sont en ipv6.

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 20/03/2025, à 13:53)

diesel · Le 17/03/2025, à 14:02

Bon, j'ai cherché (et trouvé) la composition du paquet RA.

Si on y trouve bien les adresses des DNS, rien qui permette d'annoncer aux "clients" qu'une ou plusieurs de ces adresses sont à utiliser avec le protocole DNS over TLS. Sauf à configurer individuellement chaque client pour qu'il utilise ce protocole, rien à faire.

La seule solution qui me reste si je veux utiliser FDN, c'est de mettre en place un relais dns dans ma passerelle qui se chargera, elle, d'envoyer les requêtes en DNS over TLS vers FDN.

[EDIT] Le relais DNS est mis en place sur ma passerelle. Tous mes "clients" s'adressent à la passerelle sur le port 53 pour obtenir une résolution de nom. Reste plus qu'à activer DNS over TLS sur la passerelle. [/EDIT]

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 17/03/2025, à 15:09)

diesel · Le 18/03/2025, à 12:46

Il semble que l'accès dns "en clair" soit reparti chez FDN.

Amicalement.

Jean-Marie

iznobe · Le 18/03/2025, à 13:52

Bonjour , j' ai rencontré le meme soucis que toi ...
plus de DNS sur ma co et un acces au net qui ne fonctionnent qu ' en pettite partie seulement .

dans mon routeur j' avais configuré les DNS de FDN aussi ...
en prime j' avais mis cloudfare en DOH , ce qui me sauvait un petit peu la mise .

J ' ai cherché un moment la cause du soucis

Il semble que l'accès dns "en clair" soit reparti chez FDN.

oui , ba ca donne pas tellement envie de les remettre ...

diesel · Le 18/03/2025, à 14:42

iznobe a écrit :

oui , bah ça donne pas tellement envie de les remettre...

Ça fait des années que j'utilise leurs services et c'est la seule fois où ça a merdé. Ça ne justifie pas pour les bannir.

Ma configuration actuelle (que j'aurais dû avoir depuis longtemps) est : DNS FDN et FallbackDNS Cloudflare (je pourrais même en ajouter d'autres...).

Je pense que si FDN a de nouveau un problème, je ne m'en apercevrai même pas.

Comme quoi, c'est une erreur de ne pas définir de DNS en fallback.

Amicalement.

Jean-Marie

iznobe · Le 18/03/2025, à 18:11

Comme quoi, c'est une erreur de ne pas définir de DNS en fallback.

c' est clair . mais a priori , il vaut meiux choisir carrément un autre " Fournisseur " de DNS . c' est clairement ce qui m ' a en parti sauvé ,sans être complètement bloqué .

krodelabestiole · Le 18/03/2025, à 18:27

diesel a écrit :

je finis par découvrir que le DNS que j'avais choisi (FDN) ne répondait plus aux requêtes DNS

oui pareil ! leurs serveurs étaient down, semblerait-il.
(ça m'a pris 15 min de recherche par contre ^^, j'aurais dû le signaler sur le forum.)

il y en a quand-même 2 donc déjà un pour le fallback.

le principal a toujours l'air down (major outage !) :
https://isengard.fdn.fr/

FDN a écrit :

Maintenance à durée indéterminée des serveurs DNS il y a 7 jours
FDN essuie depuis le 21 février 2025 une attaque importante et continue sur ses serveurs DNS récursifs ouverts.
Nous avons procédé à quelques ajustements afin de les protéger du mieux que nous pouvions pour assurer une continuité du service, et continuons d'améliorer constamment les mesures de protection mises en place mais c'est chronophage.
En conséquence, nous allons les renforcer drastiquement prochainement, ce qui aura un impact pour les utilisateurs hors réseau FDN et FFDN, ce que nous déplorons, mais la protection de notre réseau et des services que nous proposons est notre priorité.
Les services DoT et DoH ne seront pas concernés par le renforcement des protections et resteront utilisables par tout le monde (information de configuration).
Dans l'éventualité où les mesures de protections que nous allons mettre en place généreraient trop de perturbations à votre niveau, nous vous invitons à utiliser d'autres serveurs DNS récursifs ouverts alternatifs, dont une liste non exhaustive est disponible sur le Wiki de sebsauvage.net.
Merci de votre compréhension

(DDoS je suppose ?) je me demande qui est assez crétin et vendu pour attaquer FDN...

Dernière modification par krodelabestiole (Le 18/03/2025, à 18:28)

diesel · Le 18/03/2025, à 19:00

krodelabestiole a écrit :

il y en a quand-même 2 donc déjà un pour le fallback.

Chez moi, j'utilise systemd-resolved pour gérer les accès dns.

En DNS "principal", j'ai les deux adresses de FDN.

En fallback DNS, j'ai les deux adresses de cloudflare (et je pourrais en ajouter d'autres).

Utiliser la deuxième adresse d'un même fournisseur en fallback me paraît un peu limite.

Amicalement.

Jean-Marie

diesel · Le 18/03/2025, à 20:25

Manifestement, cela vient de recouper.

Bizarrement, systemd-resolved n'a pas basculé sur les adresses fallback. Il va falloir que j'investigue.

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 18/03/2025, à 20:26)

diesel · Le 19/03/2025, à 11:58

Bon, je viens de relire attentivement la doc de resolved.conf. La différence entre l'interprétation des adresses fallbackDNS qui est décrite dans la doc et celle que j'en avais est réelle mais assez subtile.

Je pensais que les adresses DNS définies à la ligne "DNS=..." ou reçues d'un routeur en amont étaient utilisées par défaut et qu'en l'absence de succès de la résolution de nom via ces adresses, la machine allait utiliser les adresses fallbackDNS. Or, ce n'est pas exactement ça. L'utilisation des adresses fallbackDNS n'a lieu qu'en l'absence de définition des adresses "nominales". Si le résolveur en trouve ne serait-ce qu'une, il n'utilisera jamais les adresses fallbackDNS même en cas d'insuccès de la résolution.

En fait, dans mon cas, la définition d'adresses fallbackDNS ne sert strictement à rien puisque mes adresses DNS sont définies dans le même fichier resolved.conf et que cette définition (en "dur") ne risque pas de tomber en panne.

L'intérêt de ces adresses fallbackDNS est pour des clients qui sont censés recevoir leurs adresses DNS d'une autre machine qui peut tomber en panne.

Aussi, j'ai déclaré 6 adresses de serveurs DNS à la ligne "DNS=" : 2 adresses FDN, 2 adresses dns.sb (en Allemagne) et 2 adresses DNSforge (toujours en Allemagne).
Et bien entendu, pas d'adresse fallbackDNS.

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 19/03/2025, à 12:00)

krodelabestiole · Le 19/03/2025, à 12:51

intéressant, merci pour l'info !

- c'est bien du DDoS : https://www.fdn.fr/category/actus/
donc absolument rien à leur reprocher.
je doute d'ailleurs qu'ils soient la cible réelle.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/03/2025, à 12:11

[RÉSOLU] DNS over TLS sur ipv6

#2 Le 17/03/2025, à 14:02

Re : [RÉSOLU] DNS over TLS sur ipv6

#3 Le 18/03/2025, à 12:46

Re : [RÉSOLU] DNS over TLS sur ipv6

#4 Le 18/03/2025, à 13:52

Re : [RÉSOLU] DNS over TLS sur ipv6

#5 Le 18/03/2025, à 14:42

Re : [RÉSOLU] DNS over TLS sur ipv6

#6 Le 18/03/2025, à 18:11

Re : [RÉSOLU] DNS over TLS sur ipv6

#7 Le 18/03/2025, à 18:27

Re : [RÉSOLU] DNS over TLS sur ipv6

#8 Le 18/03/2025, à 19:00

Re : [RÉSOLU] DNS over TLS sur ipv6

#9 Le 18/03/2025, à 20:25

Re : [RÉSOLU] DNS over TLS sur ipv6

#10 Le 19/03/2025, à 11:58

Re : [RÉSOLU] DNS over TLS sur ipv6

#11 Le 19/03/2025, à 12:51

Re : [RÉSOLU] DNS over TLS sur ipv6

Pied de page des forums