[était Free] Fonera vs Orange

Juste une petite remarque sournoise de ce jour:

Je veux me connecter sur le compte Orange, le serveur r.orange.fr ne répond pas, après 1/2heure d’essai, je décide de passer par une adresse non free (en clair j’utilise par ssh le proxy de l’ENS Paris), stupéfaction, le serveur d’orange répond à la perfection. Free bloquerait-il le serveur d’identification d’Orange? C’est tout de même étonnant, j’ai testé 4 gois pour être sur: De chez moi via la connexion free, tous les sites orange répondent bien sauf dès qu’on essaye de gérer un abonnement orange, où le serveur d’identification ne répond pas. D’ailleurs tout fonctionne.

Salut,

chez moi, aucun souci, j’ai bien accès à mon espace client.

Tu as dégainé les outils réseau de bas niveau pour essayer de voir ce qui se trame (ha ha) ?

EDIT : depuis une machine derrière une connexion ADSL freebox à laquelle j’ai accès en SSH, la connexion HTTP fonctionne. Il répond “Bad request” mais je suppose que c’est normal.

Tu es sûr que ce n’est pas Orange qui bloque l’accès à ton compte parce que tu utilises une connexion non-Orange ?
Il est possible qu’ils se servent de l’identifiant de connexion, en plus du code abonné, pour contrôler les accès aux comptes.

[quote=“François_29”]Tu es sûr que ce n’est pas Orange qui bloque l’accès à ton compte parce que tu utilises une connexion non-Orange ?
Il est possible qu’ils se servent de l’identifiant de connexion, en plus du code abonné, pour contrôler les accès aux comptes.[/quote]
Je crois aussi que c’est dans ce sens qu’il faut chercher.
Free est actuellement la “bête noire” des autres fournisseurs, que ce soit téléphone ou internet.
Je suis actuellement en “transit” chez Zéro forfait pour le Tel mobile et ils refusent mon adresse mail de chez Free, il m’a fallu leur donner une gmail
Je dis transit car je retourne vite chez Free mais pour passer de 16 à 0 €

Salut,

Ricardo se souvient sans doute que j’ai été obligé de créer une adresse autre que chez Orange juste pour recevoir les annonces de réponses venant de debian-fr.org

J’accède sans souci depuis ma connexion perso (free) sur un compte orange.fr que j’avais quand j’étais abonné chez eux, j’ai conservé l’adresse mail, cela fonctionne toujours, j’ai même depuis peu 50 Go de stockage gratuit. Il étaient peut-être en maintenance (???)

Re,

Ce sont les messages issus de debian-fr qui ne me parve,aient pas, non l’inverse

Non, puisque en parallèle j’accédais à la machine (via le proxy) et je constatais que la machine était injoignable (en connexion direct). Je ne crois pas que Orange bloque l’accès au compte d’un client, c’est le meilleur moyen de le faire partir, l’accès aux autres serveurs d’orange fonctionnait, seule la machine r.ornage.fr, effectuant l’identification bloque (j’ai patienté une bonne 1/2 heure et vérifié régulièrement, j’ai ).

Vérification:

[code]rancois@portos:/tmp$ host r.orange.fr
r.orange.fr has address 192.0.2.22
r.orange.fr is an alias for r.orange.fr.multis.x-echo.com.
r.orange.fr.multis.x-echo.com is an alias for r.orange.fr.multis.fti.net.
r.orange.fr.multis.fti.net is an alias for r.orange.fr.gtm.fti.net.
r.orange.fr is an alias for r.orange.fr.multis.x-echo.com.
r.orange.fr.multis.x-echo.com is an alias for r.orange.fr.multis.fti.net.
r.orange.fr.multis.fti.net is an alias for r.orange.fr.gtm.fti.net.
francois@portos:/tmp$ telent r.orange.fr 443
bash: telent : commande introuvable
francois@portos:/tmp$ telnet r.orange.fr 443
Trying 192.0.2.22…
francois@portos:/tmp$ ping r.orange.fr
PING r.orange.fr (192.0.2.22) 56(84) bytes of data.
^C
— r.orange.fr ping statistics —
5 packets transmitted, 0 received, 100% packet loss, time 4032ms

francois@portos:/tmp$
[/code][code]$ ssh ens
Linux …ens.fr 3.2.0-4-amd64 #1 SMP Debian 3.2.32-1 x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
No mail.
Last login: Sun Dec 9 21:32:58 2012 from fbsmtp.dnsalias.org
$ host r.orange.fr
r.orange.fr is an alias for r.orange.fr.multis.x-echo.com.
r.orange.fr.multis.x-echo.com is an alias for r.orange.fr.multis.fti.net.
r.orange.fr.multis.fti.net is an alias for r.orange.fr.gtm.fti.net.
r.orange.fr.gtm.fti.net has address 193.252.148.56
$ [/code]
Et voilà ça s’explique, les réponses des DNS ne sont pas les mêmes.

[code]francois@portos:~$ nslookup

server 212.27.40.240
Default server: 212.27.40.240
Address: 212.27.40.240#53
r.orange.fr
Server: 212.27.40.240
Address: 212.27.40.240#53

Non-authoritative answer:
r.orange.fr canonical name = r.orange.fr.multis.x-echo.com.
r.orange.fr.multis.x-echo.com canonical name = r.orange.fr.multis.fti.net.
r.orange.fr.multis.fti.net canonical name = r.orange.fr.gtm.fti.net.
Name: r.orange.fr.gtm.fti.net
Address: 193.252.148.56

server 82.66.248.156
Default server: 82.66.248.156
Address: 82.66.248.156#53
r.orange.fr
Server: 82.66.248.156
Address: 82.66.248.156#53

Non-authoritative answer:
r.orange.fr canonical name = r.orange.fr.multis.x-echo.com.
r.orange.fr.multis.x-echo.com canonical name = r.orange.fr.multis.fti.net.
r.orange.fr.multis.fti.net canonical name = r.orange.fr.gtm.fti.net.
Name: r.orange.fr.gtm.fti.net
Address: 81.52.142.207

francois@portos:~$
[/code]J’approfondis:

francois@portos:~$ dig @82.66.248.156 r.orange.fr | grep "^r.orange" r.orange.fr. 2449 IN CNAME r.orange.fr.multis.x-echo.com. r.orange.fr.multis.x-echo.com. 28 IN CNAME r.orange.fr.multis.fti.net. r.orange.fr.multis.fti.net. 36 IN CNAME r.orange.fr.gtm.fti.net. r.orange.fr.gtm.fti.net. 6 IN A 193.252.148.56 francois@portos:~$ dig @212.27.40.240 r.orange.fr | grep "^r.orange" r.orange.fr. 378 IN CNAME r.orange.fr.multis.x-echo.com. r.orange.fr.multis.x-echo.com. 72 IN CNAME r.orange.fr.multis.fti.net. r.orange.fr.multis.fti.net. 72 IN CNAME r.orange.fr.gtm.fti.net. r.orange.fr.gtm.fti.net. 1093 IN A 193.252.148.56 francois@portos:~$ dig r.orange.fr | grep "^r.orange" r.orange.fr. 0 IN A 192.0.2.22 francois@portos:~$ Il faut savoir que 82.66.248.156, c’est ma machine, mon DNS. La dernière réponse devrait être la même chose, en effet, si on va sur le dit serveur:

francois@portos:~$ ssh cerbere Linux cerbere [...] No mail. francois@cerbere:~$ host r.orange.fr r.orange.fr is an alias for r.orange.fr.multis.x-echo.com. r.orange.fr.multis.x-echo.com is an alias for r.orange.fr.multis.fti.net. r.orange.fr.multis.fti.net is an alias for r.orange.fr.gtm.fti.net. r.orange.fr.gtm.fti.net has address 193.252.148.56 francois@cerbere:~$ Entre les deux un routeur WIFI FONERA. Cela veut dire que son cache est pourri, je l’éteins et le rallume, il devrait réinitialiser son cache et ça devrait marcher…

Réponse dans 2 minutes…

francois@portos:~$ dig r.orange.fr | grep "^r.orange" r.orange.fr. 0 IN A 192.0.2.22 francois@portos:~$ Incompréhensible, le problème est exactement xelui là:

francois@portos:~$ dig @192.168.10.1 r.orange.fr | grep "^r.orange" r.orange.fr. 0 IN A 192.0.2.22 francois@portos:~$ dig @192.168.1.251 r.orange.fr | grep "^r.orange" r.orange.fr. 1729 IN CNAME r.orange.fr.multis.x-echo.com. r.orange.fr.multis.x-echo.com. 300 IN CNAME r.orange.fr.multis.fti.net. r.orange.fr.multis.fti.net. 60 IN CNAME r.orange.fr.gtm.fti.net. r.orange.fr.gtm.fti.net. 30 IN A 193.252.148.56 francois@portos:~$ 192.168.1.251 est le DNS de la passerelle, sur laquelle est connecté le routeur FONERA (dont l’adresse du cache DNS est 192.168.10.1, qui vient d’être redémarré (extinction rallumage) et dont la page d’accueil me donne:

Connexion Internet Type de connexion: DHCP Adresse IP: 192.168.1.240 Adresse de la passerelle: 192.168.1.251 Serveur DNS: 192.168.1.251 Pascal, une idée??

Rq: francois@portos:~$ host 192.0.2.22 22.2.0.192.in-addr.arpa domain name pointer webmail22b.orange.fr. francois@portos:~$

Non, et je n’ai pas mes outils sous la main.
Tout ce que je peux dire, c’est que 192.0.2.0/24 est une plage d’adresses réservée aux exemples et à la documentation (cf. RFC3330), qui n’est par routée sur l’internet public car attribuée à aucun opérateur et qui ne devrait apparaître dans aucun enregistrement DNS. Apparemment c’est la fonera qui l’ajoute. Peut-être une entrée statique définie dans sa configuration DNS ?

Pétard, je ne pensais même pas que ça puisse être volontaire:

linksysinfo.org/index.php?th … ato.24361/

C’est effectivement volontaire de la part de chez FONERA!!!

Apparemment c’est dans le fichier /etc/hosts du routeur, domaines concernés

webmail22b.orange.fr, compte.orange.fr, smsmms2.orange.fr, r.orange.fr ,contacts.orange.fr tous envoyés sur 192.0.2.22

Les raisons sont mystérieuses mais il est impératif que je change cela et que je vérifie que d’autres domaines ne sont pas concernés. Il faut également que je désactive FON, pas question que je reste dans un système pratiquant la censure.

À vue de nez c’est largement possible, il faut juste avoir le temps.

Je pensais à un truc dans ce genre, notamment si la fonera utilise comme proxy DNS dnsmasq qui utilise le contenu du fichier /etc/hosts.

La raison ne serait-elle pas qu’il est possible de s’authentifier directement avec une adresse IP publique Orange sur ces sites, et que ce serait dangereux sur une fonera en accès ouvert connectée à une accès Orange ?

Pas impossible, c’est vrai que les DNS d’orange différenciaient les réponses suivant l’IP d’origine de la demande. En tout état de cause, voilà le /etc/hosts de la fonera après que j’ai débloqué le ssh (assez compliqué, les différentes méthodes ne fonctionnent pas vraiment, si ça intéresse, je peux détailler):

127.0.0.1 localhost OpenWrt 192.168.10.1 registerlafonera.fon.com www.registerlafonera.fon.com 192.0.2.22 webmail22b.orange.fr compte.orange.fr smsmms2.orange.fr r.orange.fr contacts.orange.fr
Je le vire temporairement et voilà le résultat:

[code]francois@portos:~$ ping r.orange.fr
PING r.orange.fr (192.0.2.22) 56(84) bytes of data.
^C
— r.orange.fr ping statistics —
2 packets transmitted, 0 received, 100% packet loss, time 1008ms

francois@portos:~$ ping r.orange.fr
PING r.orange.fr.gtm.fti.net (193.252.148.56) 56(84) bytes of data.
64 bytes from vip-redirect_r.s1.fti.net (193.252.148.56): icmp_req=1 ttl=243 time=35.5 ms
64 bytes from vip-redirect_r.s1.fti.net (193.252.148.56): icmp_req=2 ttl=243 time=35.6 ms
^C
— r.orange.fr.gtm.fti.net ping statistics —
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 35.537/35.585/35.634/0.194 ms
francois@portos:~$
[/code]
Le point d’accès un chilli, le linux est un
2.4.32 #9 jue nov 23 12:11:45 UTC 2006 et il y a 14M RAM.
On verra la suite demain, en attendant je peux me connecter. Je change le titre et je met résolu.

[quote=“PascalHambourg”]La raison ne serait-elle pas qu’il est possible de s’authentifier directement avec une adresse IP publique Orange sur ces sites, et que ce serait dangereux sur une fonera en accès ouvert connectée à une accès Orange ?[/quote]+42 ( )

À partir d’une ligne orange “par défaut”, pas besoin d’authentif pour aller sur le compte de l’abonné… que ce soit mail ou “vrai” compte… du coup, que le problème soit contourné “par défaut”, c’est sale, mais pas vraiment étonnant/choquant…

édit: quand je dits “pas choquant” je veux dire: mettez vous à la place des dev’… … avec le casse-tête que ça peut représenter… (tout le monde n’a pas conscience, moi le premier, de ce que ce genre de situation peut impliquer… )

re-édit: Ho oui fran.b!!! ouvres moi un compte ssh avec un navigateur “fonctionnel”!!! (qu’il soit -X ou pas, bien qu’ayant (bien) plus que l’âge légal, je ne m’en offusquerais pas… ) Ho oui!!! S’il te plait!!!
(ne le prends pas mal, mais y as tu pensé? … pas besoin de ssh au pire… invite moi avec un câble réseau qui traine…)

(ha oui… encore un oubli de balises… [parano-mode][/parano-mode]… )

re-re-édit: le câble qui traîne, si jeune m’abuse… cest un peu ce que fait la “Fonera”… nan? … (en pire… vu que le câble est… wireless… )

Naïf, la fonera est derrière un routeur à moi (un Fit-PC 1) avec une bonne vieille debian dessus. La fonera est inaccessible de l’extérieur…
Sinon le mot de.passe est modifié

J’avais néanmoins cru comprendre que ce n’était plus le cas si l’abonné avait créé un second compte mail Orange associé à son accès internet. Dans ce cas l’authentification est obligatoire pour savoir à quel compte accéder.

Cette politique d’identification par IP date de longtemps, sans doute est-elle obsolète désormais. Les plupart des fichiers datent de Novembre 2006. Je pense que c’est obsolète.

Chose qui m’énerve, je viens de voir que toutes les demi heures, la fonera se connecte à un serveur et télécharge un fichier qu’elle exécute. Pour être précis, à 15 et 45 + un nombre aléatoire de mintues entre 0 et 30 non compris, la fonera se connecte sur le compte openwrt port 1937 de download.fon.com (identification par clef), envoi de plusieurs informations (version firmware, type du routeur, adresse MAC, version de chilli,…) et a en réponse une suite d’instructions précédée d’une bannière

[quote]Linux fonesfat03 2.6.32-5-amd64 #1 SMP Mon Jan 16 16:22:28 UTC 2012 x86_64

This machine is puppet managed.
Changes could be lost with the next puppet client run.

[/quote]qui sont exécutés par la suite. J’ai désactivé cela en laissant la connexion toutes les demi heures. Quelqu’un sait quelque chose sur le «puppet managed»?

Bonjour,

Puppet est un système de gestion de parc. Il permet de diffuser des configurations sur un parc de machines, je l’utilise au boulot pour gérer des postes sous Linux.
projects.puppetlabs.com/projects … out_Puppet
docs.puppetlabs.com/

A intervalle régulier le client se connecte sur le serveur Puppet et télécharge la configuration qui lui est associé. S’il y a des changements dans la config, il les applique.
Tu peux ainsi rajouter des paquets aux différents systèmes ou modifier des paramètres tels que le source.list, le /etc/hosts, la password du compte root, …

Si la Fonera est gérée par Puppet, les modifications que tu apporteras aux configurations peuvent être perdues à la prochaine exécution de Puppet.

Je me doutais d’un truc de ce genre. L’étonnant est que la clef ssh utilisée telle que demande une passphrase, utilisée sur le routeur, pas de passphrase. La passphrase serait dans le client ssh??
J’ai désactivé ce système. Sur des routeurs je trouve ça très dangereux, vue le nombre de fonera, si la machine download.fon.com est compromise, on a affaire immédiatement à un bootnet de 7 miilions de machines, ça fait beaucoup.