Retourner à l'accueil du site  
Design:
Accueil
Actu Freenews
FAQ
Forums
Glossaire
Etat du réseau
Dossiers
Dialogue en direct
Liens ADUF
Newsletter
Livre d'or
Statistiques
A propos de l'ADUF
DNS Free menteur ?
Aller en bas de la page
ADUF Index du Forum » Routeur, IPv6, Serveur d'impression, NAS (serveur de fichiers)
Répondre au sujet Voir le sujet précédent : Voir le sujet suivant 
MessagePosté le: Vendredi 29 Décembre 2017 15:40:22 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
JcL
(Auteur du topic)

Nouveau
Nouveau

Hors-ligne

Inscrit le : 29 Déc 2017
Messages : 6
Sexe :
Ville : Lille

Forfait : Freebox Optique
Freebox : N/A





Bonjour,

J'ai plusieurs serveurs/machines chez moi et suis propriétaire d'un domaine. J'ai donc voulu inscrire les IPs de mes équipements dans mon DNS, avec leurs adresses privées (forcément). J'utilise une Freebox en mode routeur et avec des baux DHCP statiques.

Sauf que le DNS renvoyé par le DHCP de ma Freebox, le 192.168.102.254, a un comportement particulier: il ne répond pas lorsque la requête DNS renvoie une IP privée.

Mon DNS contient deux entrées :
Code:
test1 1.2.3.4
test2 10.2.3.4


Pour la première, la réponse est correcte. Pour la seconde, le DNS me renvoie un "unknown host".
J'avais initialement supposé une erreur chez mon fournisseur de domaine, mais après avoir testé sur http://www.kloth.net/services/nslookup.php c'est bien le DNS de Free qui semble mentir pour les adresses privées.

Quelqu'un sait-il si ce comportement est normal ? Je suis surpris de voir des modifications sur des services de ce genre...
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Dimanche 7 Janvier 2018 18:58:42 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
phoenix2
Nouveau
Nouveau

Hors-ligne

Inscrit le : 08 Juil 2017
Messages : 47
Sexe :
Ville : Vannes 56

Forfait : Freebox Optique
Freebox : v5





Bonsoir

Si je vous comprends bien, vous essayez d'enregistrer votre IP privée sur un serevr DNS public, est-ce exact? Si c'est ce que vous essayez alors il n'est pas possible de le faire, vous devez transférer le port spefic de votre routeur à l'adresse IP interne.

L'espace d'adressage privé n'est pas routé sur Internet.
_________________
Bien cordialement

Bill

Freebox Mini 4k
NRO 56260VSR
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Dimanche 7 Janvier 2018 22:54:09 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
JcL
(Auteur du topic)

Nouveau
Nouveau

Hors-ligne

Inscrit le : 29 Déc 2017
Messages : 6
Sexe :
Ville : Lille

Forfait : Freebox Optique
Freebox : N/A





Effectivement, j'enregistre des IP privées dans un serveur DNS public. C'est quelque chose qui est possible (même s'il y a débat sur le fait que ce soit opportun ou pas; mais ça c'est un choix qui m'est propre puisqu'il s'agit d'un domaine qui m'appartient). J'ai configuré mon domaine pour qu'il réponde ainsi, et les DNS ouverts répondent correctement. Il n'y a que le DNS de Free (celui fourni par le DHCP de la box) qui répond qu'il ne connait pas les adresses que j'ai enregistré lorsqu'elle correspondent à une plage privée.

phoenix2 a écrit:
L'espace d'adressage privé n'est pas routé sur Internet.

Les adresses privées ne sont effectivement pas routées, mais là il s'agit de répondre à une requête DNS, pas de routage. Il n'y a pas d'impossibilité technique, simplement un choix de Free ou une anomalie de configuration.
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Lundi 8 Janvier 2018 07:33:27 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
phoenix2
Nouveau
Nouveau

Hors-ligne

Inscrit le : 08 Juil 2017
Messages : 47
Sexe :
Ville : Vannes 56

Forfait : Freebox Optique
Freebox : v5





Je peux vous assurer que vous avez totalement tort dans cette idée. Le fait que vous pouvez enregistrer une adresse privée de classe a/B/C sur un serveur public ne le rend pas correct et les serveurs DNS libres sont corrects de ne pas répondre à ces adresses-ils sont pour les réseaux privés, c'est à dire derrière un routeur NAT et ces adresses ne devraient jamais être vu sur le Internet.

Comment pensez-vous qu'un serveur DNS doit répondre lorsque vous essayez d'obtenir cette adresse IP? J'ai les mêmes adresses IP que vous sur certains de mon réseau, il enverra le trafic pour moi ou vous?

Si vous souhaitez accéder à votre adresse privée derrière le NAT Freebox vous enregistrez votre adresse IP publique (libre) dans un serveur DNS pour votre domaine (serveur Web?) et sur votre routeur NAT vous expédiez tout trafic sur ce port, vous êtes votre adresse IP interne.

Vous devriez lire les pages suivantes:

https://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9
https://fr.wikipedia.org/wiki/Network_address_translation
_________________
Bien cordialement

Bill

Freebox Mini 4k
NRO 56260VSR
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Lundi 8 Janvier 2018 20:56:44 Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne Répondre en citantReporter le post à l'équipe de modération
JcL
(Auteur du topic)

Nouveau
Nouveau

Hors-ligne

Inscrit le : 29 Déc 2017
Messages : 6
Sexe :
Ville : Lille

Forfait : Freebox Optique
Freebox : N/A





Merci pour ces explications, mais vu que ce sujet recoupe mes connaissances professionnelles, je suis assez sûr de moi.

Citation:
les serveurs DNS libres sont corrects de ne pas répondre

Non. Mettre des IP privées dans un dns public n'est interdit par aucun protocole et aucun RFC. L'IETF avait établit un draft en 2001 pour exclure les adresses non-routables des réponses aux DNS publics. Ce draft n'a jamais été validé et est resté lettre morte. Je suis preneur de tout autre document d'une source légitime qui indiquerait que cette pratique n'est pas autorisée. Elle peut certes être débattue: elle donne des informations sur une architecture privée, elle ne permet pas de reverse correct, etc. On peut la considérer non-idéale ou erronée, mais c'est une affaire d'opinion.
Donc le DNS des Freebox est techniquement incorrect. Les autres DNS que j'ai testé répondent correctement à la requête, et je pense donc qu'il existe des choix ou des contraintes spécifiques chez Free.

Citation:
Comment pensez-vous qu'un serveur DNS doit répondre lorsque vous essayez d'obtenir cette adresse IP?

Le serveur DNS renvoie le A record correspondant, et donc une IP non-routable.

Citation:
J'ai les mêmes adresses IP que vous sur certains de mon réseau, il enverra le trafic pour moi ou vous?

Le serveur DNS n'envoie pas de trafic en dehors des réponses aux demandes de résolution. C'est le contenu de la réponse qui est une adresse non-routable. Et dans ce cas, le serveur qui a effectué la requête a reçu une adresse IP non-routable correspondant au nom demandé. Si ce serveur est dans mon réseau non-routable, il se connectera au service concerné et c'est le comportement souhaité. Si le serveur n'est pas dans mon réseau, il n'a pas à accéder à cette ressource et le trafic se perdra dans son propre réseau (et je me demande ce qu'il est en train de faire: ce n'est pas parce que mon DNS est public que les services renseignés le sont).

Citation:
sur votre routeur NAT vous expédiez tout trafic sur ce port,

Mon architecture interne est un peu plus complexe qu'un serveur web. Je dispose de plusieurs serveurs qui hébergent eux-mêmes plusieurs services internes, le tout avec des adresses IP différentes afin de s'y retrouver. Par contre, je n'ai pas besoin d'accéder à ce réseau depuis internet, ce sont uniquement des services internes. Actuellement tout ça est géré par des fichiers /etc/hosts synchronisés, mais c'est justement l'objectif d'un DNS de gérer une correspondance nom/IP centralisée.

Notez que je n'ai pas besoin d'accéder à ces services depuis internet, uniquement depuis mon propre réseau.

Donc ma conclusion reste actuellement la même :

  • ma configuration peut être débattue, mais elle n'est pas techniquement incorrecte.
  • le DNS utilisée par les Freebox filtre les réponses.

Pour moi c'est un bug, mais le technicien Free que j'ai eu en tchat n'a pas vraiment saisi le problème (ce que je conçois, c'est assez différent des incidents habituels). Et je crains de répéter le souci à plusieurs personnes avant d'arriver à un technicien réseau chez eux... D'où ma tentative ici d'en savoir un peu plus sur cette anomalie de comportement du DNS des Freebox.

Les pistes, par complexité croissantes, seraient donc:

  • tenter d'avoir une réponse de Free. S'annonce compliqué.
  • installer mon propre DNS. Implique de ne plus utiliser le DHCP, ou d'avoir une configuration batarde qui utilisre l'IP du DHCP mais un DNS forcé. Peu élégant.
  • basculer en IPv6 ? Radical. Free est en avance sur le sujet, et ça résout la problématique complètement (a contrario tout mon réseau devient routable).

Si vous voyez d'autres pistes, ou si quelqu'un a l'info sur ce fameux DNS Free qui snobe les IP privées...
Voir le profil de l'utilisateur Envoyer un message privé
MessagePosté le: Jeudi 18 Mars 2021 12:04:10 Aucun numéro de ligne indiqué dans le profil Répondre en citantReporter le post à l'équipe de modération
Protogun
Nouveau
Nouveau

Hors-ligne

Inscrit le : 18 Mar 2021
Messages : 2
Sexe :

Forfait : Accès libre





Bonjour,

Je déterre un peu le topic mais j'aimerais apporter quelques précisions qui pourront en aider certains.

Utiliser un adressage privé sur son domaine n'est pas interdit, c'est d'ailleurs utilisé par beaucoup d'entreprise afin d'éviter les problèmes liés à un DNS interne qui est poussé par VPN par exemple. Néanmoins, pas mal de routeurs vont avoir tendance à bloquer les résolutions d'un DNS public vers une adresse privée. Pour cela, la majorité des routeurs open-source (PfSense, OpenWRT...) ont une option permettant d'autoriser certains domaines/sous-domaines (je n'ai pas testé avec d'autres routeurs).

En effet, les resolver utilisés par ces routeurs (à ce jour, majoritairement "unbound") permettant d'apporter des options customs via leurs interfaces, un exemple :
Code:

server:
private-domain: "mon.domaine.fr"


Néanmoins, au niveau de Free, leur serveurs DNS sont bloquants et là, aucun moyen d'avoir la main dessus, on est sur de la sur-sécurité (j'explique pourquoi plus loin). Peut-être que leur box possèdent un paramètre permettant de palier ce problème, je n'ai pas vérifié.

Deux solutions sont possibles :

La première étant de ne pas utiliser les DNS poussés par le DHCP de la box, sur Windows comme sur Linux, il est possible d'indiquer ses propres DNS dans les options de vos interfaces. Exemples de DNS publics :
Code:

8.8.8.8
8.8.4.4
9.9.9.9


La seconde solution consiste à utiliser les fichiers hosts pour fixer les résolutions directement sur le poste (Linux : /etc/hosts, Windows : C:\Windows\System32\drivers\etc\hosts, ces fichiers ne sont modifiables qu'en root/administrateur), en y inscrivant par exemple :
Code:

172.16.1.24    monsite.mondomaine.fr
192.168.1.53    monsite2.mondomaine.fr


Même si pour une entreprise il s'agit de sur-sécurité, pour un particulier, ça reste compréhensible, néanmoins, un particulier qui a recours à ce genre de pratique, c'est pas "monsieur tout-le-monde".

Dernière précision pour clarifier un point, ce n'est pas un problème de faire cela, à partir du moment ou la machine connait la route pour atteindre le réseau ciblé, cela fonctionnera. Néanmoins, afin d'éviter tout risque de conflit, il est déconseillé d'utiliser un adressage en 192.168.0.0/16 qui est majoritairement utilisé par les FAI standards, il faut privilégié les adressages en 172.16.0.0/12 et 10.0.0.0/8.

En espérant avoir pu apporter un maximum d'informations à la communauté, je vous salue!

Protogun[/code]
Voir le profil de l'utilisateur Envoyer un message privé
 ADUF Index du Forum »  Routeur, IPv6, Serveur d'impression, NAS (serveur de fichiers) Aller en haut de la page
Toutes les heures sont à l'heure légale française  
Page 1 sur 1  

  
Sauter vers:  
Répondre au sujet  


Déclaration CNIL n°1012304 Partiellement basé sur phpBB © 2001, 2006 phpBB Group Traduction par : phpBB-fr.com