Problème de résolution DNS

anon70622873 · Juillet 3, 2020, 11:57am

Si xxx.yyy.4.3 correspond bien à la machine qui sert de routeur/passerelle vers l’extérieur, cela me semble ok au niveau de la configuration réseau, reste le problème de pare-feu.
Est-ce qu’un pare-feu est activité sur la VM ou sur le routeur, et si oui avec quelles règles ?

Dznet · Juillet 3, 2020, 12:02pm

Oui, il y a un parfeu sur cette VM, mais en le désactivant c’est pareil
résolveur 1.1.1.1 est atteignable, comme le résolveur 9.9.9.9, quelques soit les VM.
Mais le 8.8.8.8 est Ok

root@vm2:~# dig debian-fr.org @8.8.8.8

; <<>> DiG 9.10.3-P4-Debian <<>> debian-fr.org @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61959
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;debian-fr.org.                 IN      A

;; ANSWER SECTION:
debian-fr.org.          3599    IN      A       163.172.90.35

;; Query time: 21 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Jul 03 13:37:48 CEST 2020
;; MSG SIZE  rcvd: 58

anon70622873 · Juillet 3, 2020, 12:05pm

Il faut le désactiver, de toute façon cela ne sert à rien sur une VM.
Et aussi désactiver celui sur l’hôte de la VM.

Dznet · Juillet 3, 2020, 12:27pm

c’est désactivé, mais pareil.
J’ai oublié de mentionner que j’étais dans un réseau d’entreprise.
Mais, j’ai installé plusieurs application, et jamais eu ce soucis

anon70622873 · Juillet 3, 2020, 12:45pm

Je ne vois pas alors…
Il n’y a aucune raison que la résolution de noms fonctionne avec 8.8.8.8 et pas avec les autres (9.9.9.9 et 1.1.1.1) sauf règles de filtrage particulières. Ou alors il y a une erreur de configuration réseau que l’on voit pas avec tes IP masquées. Et pourquoi les masquer si ce sont des IP privées ?
Est-tu sûr que xxx.yyy.48.28 n’est pas attribué à une autre machine ?
As-tu essayé en précisant le masque réseau :

netmask 255.255.0.0

D’ailleurs est-ce bien un /16 ?

PascalHambourg · Juillet 3, 2020, 12:46pm

Tu es sûr de la taille du préfixe /16 ? Je ne vois pas d’option netmask ni de préfixe explicite dans la configuration de /etc/network/interfaces, donc je suppose que ifup a pris la longueur de préfixe par défaut de l’ancienne classe à laquelle l’adresse appartenait (classe B pour /16).

Si le préfixe n’est pas bon, la machine ne fait pas correctement la distinction entre ce qui est joignable directement sur son réseau local et ce qui est joignable via son routeur par défaut.

C’est une plage d’adresses IP publiques ou privées ? Le préfixe me semble un peu petit pour un bloc public. Si c’est un bloc privé (192.168.*.*, 172.16-31.*.*, 10.*.*.*), ça ne sert à rien de caviarder les adresses qui sont inutilisables à l’extérieur de ce réseau et ne fait que gêner les lecteurs.

Ben voyons.

anon70622873 · Juillet 3, 2020, 12:56pm

Non je ne rentrerai pas dans cette polémique sur l’utilité ou pas du pare-feu

Là l’idée était surtout désactiver les règles de filtrage pour éliminer cette source de problème.

Dznet · Juillet 3, 2020, 1:22pm

@PascalHambourg

pour le /16 c’est ce que me donne la machine avec la commande ip a
Je suis aller sur des VM qui sont sur le même réseau xx.yyy.48.20 ou 48.24 et c’est un /18 qui est donné

PascalHambourg · Juillet 3, 2020, 1:47pm

Je me doutais un peu que le préfixe réel était plus grand. Ajoute /18 à l’adresse dans /etc/network/interfaces pour voir.

Dznet · Juillet 3, 2020, 1:48pm

En fait, j’ai ajouter directement le mask, dans /etc/network/interfaces et c’est bon, j’ai bien un /18

PascalHambourg · Juillet 3, 2020, 1:49pm

La polémique ne porte pas sur l’utilité (discutable) d’un pare-feu en général mais spécifiquement sur une VM. Pourquoi cela serait-il moins utile sur une VM que sur une machine physique ?

PascalHambourg · Juillet 3, 2020, 1:52pm

C’était une autre possibilité, mais je trouve la notation avec longueur de préfixe plus lisible. Question de goût. Et puis ça habitue pour l’IPv6 où on utilise systématiquement cette notation.

Et donc, ça change quelque chose sur l’accessibilité des DNS et autres ?

Dznet · Juillet 3, 2020, 1:59pm

non, pareil :’(
mais ce qui est encourageant c’est que maintenant le resolver répond au ping

ping xxx.yyy.162.43 répond bien

(Désolé de caviarder, mais c’est pour être discret vis a vis de mon employeur )

PascalHambourg · Juillet 3, 2020, 2:43pm

Si je récapitule :
Le serveur DNS du réseau, xxx.yyy.162.43, répond au ping (donc a priori le routage est correct) mais pas aux requêtes DNS.
Le serveur DNS de Google, 8.8.8.8 répond aux requêtes DNS.

J’ai tendance à rejoindre l’avis de @anon70622873, ça ressemble à un filtrage. Pas forcément sur la VM mais peut-être sur n’importe quel élément du chemin. Et pas aussi basique que « bloquer le port XX » puisque le trafic DNS avec Google passe.

Dznet · Juillet 3, 2020, 3:40pm

@PascalHambourg
@anon70622873
J 'ai l’impression que le resolver xxx.yyy.162.43 répond maintenant, mais le ping vers google.fr non

root@vm2:~# dig debian-fr.org @8.8.8.8

; <<>> DiG 9.10.3-P4-Debian <<>> debian-fr.org @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64669
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;debian-fr.org.                 IN      A

;; ANSWER SECTION:
debian-fr.org.          3599    IN      A       163.172.90.35

;; Query time: 21 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Jul 03 17:36:40 CEST 2020
;; MSG SIZE  rcvd: 58

root@vm2:~# dig debian-fr.org @xxx.yyy.162.43

; <<>> DiG 9.10.3-P4-Debian <<>> debian-fr.org @xxx.yyy.162.43
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47339
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian-fr.org.                 IN      A

;; ANSWER SECTION:
debian-fr.org.          3600    IN      A       163.172.90.35

;; Query time: 85 msec
;; SERVER: xxx.yyy.162.43#53(xxx.yyy.162.43)
;; WHEN: Fri Jul 03 17:36:50 CEST 2020
;; MSG SIZE  rcvd: 58
48 CEST 2020
;; MSG SIZE  rcvd: 58

PascalHambourg · Juillet 3, 2020, 4:06pm

On peut voir le ping ?

Dznet · Juillet 3, 2020, 4:14pm

Voici le ping avec google.fr et le 8.8.8.8

root@vm2:~# ping google.fr
ping: google.fr: Temporary failure in name resolution

root@vm2:~# ping -c2 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=115 time=2.31 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=115 time=2.15 ms

--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 2.151/2.234/2.317/0.083 ms

PascalHambourg · Juillet 3, 2020, 4:33pm

Ce n’est pas le ping qui ne répond pas, c’est la résolution DNS qui échoue. Que dit dig ?

Note : 8.8.8.8 n’est pas l’adresse IP de google.fr.

Dznet · Juillet 3, 2020, 4:42pm

Voici le résultat de la commande dig

root@vm2:~# dig

; <<>> DiG 9.10.3-P4-Debian <<>>
;; global options: +cmd
;; connection timed out; no servers could be reached

Note : oui je sais que 8.8.8.8 est le DNS de Google

PascalHambourg · Juillet 3, 2020, 5:01pm

J’avais vraiment besoin de préciser : que dit dig de google.fr ?