Vpn non exploitable dans l'état beaucoup de sites non consultables

Hello, je ne suis pas un experte mais : s’agit il d’un probleme de résolution des noms ou un problème de routage ? Par exemple si tu fais « dig nom-du-site-inaccessible » et « ping ip-du-site-inaccessible », il se passe quoi ?

Sinon s’agit il de sites hébérgés par OVH ? (ils sont alors peut être dans la fumée du cloud :D)

En esperant que ca aide

Désolé pour la réponse tardive à tes questions voici le retour des deux commandes:

➜ ~ dig www.orange.fr

; <<>> DiG 9.16.1-Ubuntu <<>> www.orange.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 32427
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.orange.fr. IN A

;; Query time: 4563 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: jeu. mars 18 11:28:25 CET 2021
;; MSG SIZE rcvd: 42

➜ ~ ping www.orange.fr
PING www.orange.fr(2a01:c9c0:b3:3000::4 (2a01:c9c0:b3:3000::4)) 56 data bytes
64 octets de 2a01:c9c0:b3:3000::4 (2a01:c9c0:b3:3000::4) : icmp_seq=1 ttl=52 temps=42.9 ms
64 octets de 2a01:c9c0:b3:3000::4 (2a01:c9c0:b3:3000::4) : icmp_seq=2 ttl=52 temps=43.6 ms
64 octets de 2a01:c9c0:b3:3000::4 (2a01:c9c0:b3:3000::4) : icmp_seq=3 ttl=52 temps=45.6 ms
64 octets de 2a01:c9c0:b3:3000::4 (2a01:c9c0:b3:3000::4) : icmp_seq=4 ttl=52 temps=46.2 ms
^C
— statistiques ping www.orange.fr
4 paquets transmis, 4 reçus, 0 % paquets perdus, temps 3005 ms
rtt min/avg/max/mdev = 42.889/44.585/46.211/1.368 ms

pour le ping je n’ai un retour qu’en ipv6.

Bonne journée.

didier58

Hello, le dig te repond : « status: SERVFAIL » (normalement tu devrais avoir NOERROR).
Du coup ca vaut sans doute le coup de creuser du coté de la résolution de nom (voir qui tu interroges et voir ce qu’en fait ton vpn). Je ne connais pas trop. Je vais voir si je trouve des infos pour t’aider.

Là d’après la réponse de dig : ;; SERVER: 127.0.0.1#53(127.0.0.1)
Tu t’interroges toi même (est ce que c’est normal avec un vpn, je ne sais pas)

J’ai vu dans le dig que tu utilises ubuntu, a priori tu peux voir quels sont les dns utilisés soit avec :

systemd-resolve --status

soit avec (tu peux voir la liste de tes interfaces avec ifconfig) ;

nmcli device show <interfacename> | grep IP4.DNS

Voici les retours:

~ ifconfig
enp2s0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
ether 54:04:a6:29:0d:e2 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1000 (Boucle locale)
RX packets 877030 bytes 110930357 (110.9 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 877030 bytes 110930357 (110.9 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

wlp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.0.242.76 netmask 255.255.255.0 broadcast 10.0.242.255
inet6 fe80::5e0b:42bd:af46:d03d prefixlen 64 scopeid 0x20
inet6 2a00:5881:8118:400:4d08:a60b:ee08:ec3b prefixlen 64 scopeid 0x0
ether 74:2f:68:4d:de:d8 txqueuelen 1000 (Ethernet)
RX packets 836697 bytes 466610133 (466.6 MB)
RX errors 0 dropped 69303 overruns 0 frame 0
TX packets 378505 bytes 64108432 (64.1 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

~ systemd-resolve --status
Global
LLMNR setting: no
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: no
DNSSEC supported: no
Current DNS Server: 127.0.0.1
DNS Servers: 127.0.0.1
DNS Domain: home
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test

Link 3 (wlp1s0)
Current Scopes: DNS
DefaultRoute setting: yes
LLMNR setting: yes
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: no
DNSSEC supported: no
Current DNS Server: 2001:910:800::12
DNS Servers: 80.67.188.188
80.67.169.12
2001:913::8
2001:910:800::12
DNS Domain: ~.

Link 2 (enp2s0)
Current Scopes: none
DefaultRoute setting: no
LLMNR setting: yes
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: no
DNSSEC supported: no

~ nmcli device show wlp1s0 | grep IP4.DNS
IP4.DNS[1]: 80.67.188.188
IP4.DNS[2]: 80.67.169.12

J’ai cherché un peu et donc c’est normal que tu cherches à resoudre les noms en 127.0.0.1 (si j’ai bien compris ubuntu met en place automatiquement dnsmasq, tu peux le verfier en tapant sudo netstat -ntlp | grep :53).

Normalement si tu fais (pour demander directement à un autre serveur dns):

dig orange.fr @89.234.141.66

tu as une reponse sans erreur ?

Maintenant la question c’est de savoir pourquoi ton dnsmasq ne répond pas à ta demande.
Sa configuration se trouve dans /etc/dnsmasq.conf. Tu peux rajouter la ligne log-queries dans le fichier de configuration (et redemarrer dnsmasq) pour voir ce qu’il se passe lors de la demande de résolution de nom. Perso je ne l’ai jamais fait…

Je crois qu’ARN fait des réunion le vendredi soir sur Mumble. Peut etre que quelqu’un de plus compétant que moi sera disponible :slight_smile:

J’ai cherché un peu et donc c’est normal que tu cherches à resoudre
les noms en 127.0.0.1 (si j’ai bien compris ubuntu met en place
automatiquement dnsmasq, tu peux le verfier en tapant /sudo netstat
-ntlp | grep :53/).

C’est systemd-resolved et dans /etc/resolv.conf il devrait y avoir
127.0.0.53 La définition des serveurs DNS se fait dans
/etc/systemd/resolved.conf

Ex:

[Resolve]
DNS=2001:db8:fefe::254 89.234.141.66
FallbackDNS=2001:db8:1309:: 8.8.8.8
Domains=tootai.net

···

Le 19/03/2021 à 09:02, Gyom via Alsace Réseau Neutre a écrit :

Normalement si tu fais (pour demander directement à un autre serveur dns):

dig orange.fr @89.234.141.66 |

tu as une reponse sans erreur ?

Maintenant la question c’est de savoir pourquoi ton dnsmasq ne répond
pas à ta demande.
Sa configuration se trouve dans //etc/dnsmasq.conf/. Tu peux rajouter
la ligne /log-queries/ dans le fichier de configuration (et redemarrer
dnsmasq) pour voir ce qu’il se passe lors de la demande de résolution
de nom. Perso je ne l’ai jamais fait…

Je crois qu’ARN fait des réunion le vendredi soir sur Mumble. Peut
etre que quelqu’un de plus compétant que moi sera disponible
:slight_smile:


Voir le sujet
https://forum.arn-fai.net/t/vpn-non-exploitable-dans-letat-beaucoup-de-sites-non-consultables/4269/9
ou répondre à ce courriel pour répondre.

Vous recevez ce courriel car vous avez activé la liste de diffusion.

Pour se désabonner de ces courriels, cliquez ici
https://forum.arn-fai.net/email/unsubscribe/5d0366a5af691d3c4fbc57afff422f4e43b5a318e17796066cd72bcac1638444.


Daniel Huhardeaux
+33.■■■■■■■■■■■■■■■■■■■■ sip:■■■■■■■■■■■■■■.net
+41.■■■■■■■■■■■■■■■■■■■■■.ch tootaiNET

Voici le retour de dig:

dig orange.fr @89.234.141.66

; <<>> DiG 9.11.5-P4-5.1+deb10u3-Debian <<>> orange.fr @89.234.141.66
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 763
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;orange.fr. IN A

;; ANSWER SECTION:
orange.fr. 3600 IN A 193.252.148.140
orange.fr. 3600 IN A 193.252.133.34

;; Query time: 35 msec
;; SERVER: 89.234.141.66#53(89.234.141.66)
;; WHEN: Fri Mar 19 22:41:35 UTC 2021
;; MSG SIZE rcvd: 70

en rajoutant la ligne log-queries cela ne change rien.

Merci pour ton aide.

le retour de:
sudo netstat -ntlp | grep :53
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 11510/dnsmasq
tcp6 0 0 :::53 :::* LISTEN 11510/dnsmasq

Avec l’adresse 127.0.0.53 dans le fichier resolv.conf plus d’accès.

En changeant la définition des serveurs DNS dans le fichier resolved.conf c’est pareil aucun changement.

Merci pour ton aide.

le retour de:
sudo netstat -ntlp | grep :53
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 11510/dnsmasq
tcp6 0 0 :::53 :::* LISTEN 11510/dnsmasq

Avec l’adresse 127.0.0.53 dans le fichier resolv.conf plus d’accès.

En changeant la définition des serveurs DNS dans le fichier
resolved.conf c’est pareil aucun changement.

On est bien d’accord: nameserver 127.0.0.53 dans /etc/resolv.conf (rien
d’autre) ET changement d’adresse dans /etc/systemd/resolved.conf ET sudo
systemctl restart systemd-resolved ?

Si oui, quelle est la sortie de systemctl status systemd-resolved ?

Autre solution: créer un fichier /etc/resolvPrivate.conf dans lequel tu mets

nameserver 8.8.8.8 # ou tout autre adresse de serveur DNS fonctionnel

et dans dnsmasq.conf tu mets

resolv-file=/etc/resolvPrivate.conf # virer les valeurs précédentes si
elles existent

···

Le 20/03/2021 à 00:06, didier58 via Alsace Réseau Neutre a écrit :

Merci pour ton aide.


Voir le sujet
https://forum.arn-fai.net/t/vpn-non-exploitable-dans-letat-beaucoup-de-sites-non-consultables/4269/12
ou répondre à ce courriel pour répondre.

Vous recevez ce courriel car vous avez activé la liste de diffusion.

Pour se désabonner de ces courriels, cliquez ici
https://forum.arn-fai.net/email/unsubscribe/20d8d83c6c8fb165da682e8be7cdd2a1e2209b1d859a3f2dd271ec7fb67f88ec.


Daniel Huhardeaux
+33.■■■■■■■■■■■■■■■■■■■■ sip:■■■■■■■■■■■■■■.net
+41.■■■■■■■■■■■■■■■■■■■■■.ch tootaiNET

Voilà le retour après les changements suivant indications:

systemctl status systemd-resolved
● systemd-resolved.service - Network Name Resolution
Loaded: loaded (/lib/systemd/system/systemd-resolved.service; disabled; vendor preset: enabled)
Drop-In: /lib/systemd/system/systemd-resolved.service.d
└─resolvconf.conf
Active: active (running) since Sun 2021-03-21 00:35:01 UTC; 8h ago
Docs: man:systemd-resolved.service(8)
https://www.freedesktop.org/wiki/Software/systemd/resolved
https://www.freedesktop.org/wiki/Software/systemd/writing-network-configuration-managers
https://www.freedesktop.org/wiki/Software/systemd/writing-resolver-clients
Process: 27357 ExecStartPost=/bin/sh -c [ ! -e /run/resolvconf/enable-updates ] || echo « nameserver 127.0.0.53 » | /sbin/resolvconf -a systemd-resolved (code=exited, st
Main PID: 27355 (systemd-resolve)
Status: « Processing requests… »
Tasks: 1 (limit: 856)
Memory: 928.0K
CGroup: /system.slice/systemd-resolved.service
└─27355 /lib/systemd/systemd-resolved

Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
lines 1-18/18 (END)

Pas de changements

Pas très explicite comme retour :frowning:

La sortie de dig orange.fr SVP avec la config ci dessus.

AVez vous également tenté la modification de configuration de dnsmasq ?

···

Le 21/03/2021 à 10:47, didier58 via Alsace Réseau Neutre a écrit :

Voilà le retour après les changements suivant indications:

systemctl status systemd-resolved
● systemd-resolved.service - Network Name Resolution
Loaded: loaded (/lib/systemd/system/systemd-resolved.service;
disabled; vendor preset: enabled)
Drop-In: /lib/systemd/system/systemd-resolved.service.d
└─resolvconf.conf
Active: active (running) since Sun 2021-03-21 00:35:01 UTC; 8h ago
Docs: man:systemd-resolved.service(8)
https://www.freedesktop.org/wiki/Software/systemd/resolved
https://www.freedesktop.org/wiki/Software/systemd/resolved
https://www.freedesktop.org/wiki/Software/systemd/writing-network-configuration-managers
https://www.freedesktop.org/wiki/Software/systemd/writing-network-configuration-managers
https://www.freedesktop.org/wiki/Software/systemd/writing-resolver-clients
https://www.freedesktop.org/wiki/Software/systemd/writing-resolver-clients
Process: 27357 ExecStartPost=/bin/sh -c [ ! -e
/run/resolvconf/enable-updates ] || echo « nameserver 127.0.0.53 » |
/sbin/resolvconf -a systemd-resolved (code=exited, st
Main PID: 27355 (systemd-resolve)
Status: « Processing requests… »
Tasks: 1 (limit: 856)
Memory: 928.0K
CGroup: /system.slice/systemd-resolved.service
└─27355 /lib/systemd/systemd-resolved

Warning: Journal has been rotated since unit was started. Log output
is incomplete or unavailable.
lines 1-18/18 (END)

Pas de changements

Daniel

Voici le retour comme demandé avec la configuration du dessus:

dig orange.fr

; <<>> DiG 9.11.5-P4-5.1+deb10u3-Debian <<>> orange.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1097
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;orange.fr. IN A

;; ANSWER SECTION:
orange.fr. 3600 IN A 193.252.133.34
orange.fr. 3600 IN A 193.252.148.140

;; Query time: 36 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 21 18:07:37 UTC 2021
;; MSG SIZE rcvd: 70

Parfait, la résolution des noms est fonctionnelle et c’est
systemd-resolved qui résout.

Quel est alors le soucis ?

···

Le 21/03/2021 à 19:21, didier58 via Alsace Réseau Neutre a écrit :

Manchot:

dig orange.fr <http://orange.fr> S

Voici le retour comme demandé avec la configuration du dessus:

dig orange.fr http://orange.fr

; <<>> DiG 9.11.5-P4-5.1+deb10u3-Debian <<>> orange.fr http://orange.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1097
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;orange.fr http://orange.fr. IN A

;; ANSWER SECTION:
orange.fr http://orange.fr. 3600 IN A 193.252.133.34
orange.fr http://orange.fr. 3600 IN A 193.252.148.140

;; Query time: 36 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 21 18:07:37 UTC 2021
;; MSG SIZE rcvd: 70

Daniel

Ok la résolution des noms est fonctionnel mais le problème que je rencontre c’est la consultation des sites qui est impossible au travers du vpn.
Voici le retour que j’ obtient avec mon navigateur quelqu’ il soit:

Hum, nous ne parvenons pas à trouver ce site.

Impossible de se connecter au serveur à l’adresse www.startpage.com.

Si l’adresse est correcte, voici trois autres choses que vous pouvez essayer de faire :

Réessayer ultérieurement.
Vérifier votre connexion au réseau.
Si vous êtes connecté au travers d’un pare-feu, vérifier que Firefox a la permission d’accéder au Web.

Alors que si je me connecte avec la connexion wifi de ma box aucun problème.

Merci pour le temps que tu passes à m’ aider.

Bon après midi.

didier58

Ok la résolution des noms est fonctionnel mais le problème que je
rencontre c’est la consultation des sites qui est impossible au
travers du vpn.
Voici le retour que j’ obtient avec mon navigateur quelqu’ il soit:

Hum, nous ne parvenons pas à trouver ce site.

Impossible de se connecter au serveur à l’adresse www.startpage.com
http://www.startpage.com.

Si l’adresse est correcte, voici trois autres choses que vous pouvez
essayer de faire :

Réessayer ultérieurement. Vérifier votre connexion au réseau. Si vous
êtes connecté au travers d’un pare-feu, vérifier que Firefox a la
permission d’accéder au Web.|

Si tu ouvres un terminal à ce moment et que tu fais dig
www.startpage.com, as tu un résultat positif ?|

Je suppute que le VPN -je ne sais lequel tu utilises- force
l’utilisation d’autres DNS, à vérifier si par ex. ton /etc/resolv.conf
est toujours conforme à celui connu fonctionnel. Je ne saurai t’aider plus.|

Voir peut être ici
https://support.mozilla.org/fr/kb/parametres-de-connexion-de-firefox|||

···

Le 23/03/2021 à 14:12, didier58 via Alsace Réseau Neutre a écrit :


Daniel

oui voici le résultat:
~ dig www.startpage.com

; <<>> DiG 9.16.1-Ubuntu <<>> www.startpage.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4594
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.startpage.com. IN A

;; ANSWER SECTION:
www.startpage.com. 3600 IN CNAME startpage.com.
startpage.com. 29 IN A 37.0.87.19

;; Query time: 135 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: mar. mars 23 16:36:40 CET 2021
;; MSG SIZE rcvd: 76

j’ai regarder le lien je ne pense pas que cela vienne du proxy.

Attention, ce n’est plus le serveur DNS 127.0.0.53 qui répond, c’est le
127.0.0.1 ! Vérifie ton /etc/resolv.conf une fois le VPN monté.

Aussi, que donne un traceroute vers google.com ? Il passe bien par le
VPN (suivre les IPs intermédiaires). Quel VPN utilises tu ?

···

Le 23/03/2021 à 17:20, didier58 via Alsace Réseau Neutre a écrit :

oui voici le résultat:
~ dig www.startpage.com http://www.startpage.com

; <<>> DiG 9.16.1-Ubuntu <<>> www.startpage.com http://www.startpage.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4594
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.startpage.com http://www.startpage.com. IN A

;; ANSWER SECTION:
www.startpage.com http://www.startpage.com. 3600 IN CNAME
startpage.com http://startpage.com.
startpage.com http://startpage.com. 29 IN A 37.0.87.19

;; Query time: 135 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: mar. mars 23 16:36:40 CET 2021
;; MSG SIZE rcvd: 76


Daniel

Effectivement l’adresse à changer mais je ne comprend pas pourquoi elle a changée cela c’est
produit tout seul ce n’est pas moi qui est changer l’adresse.

Je ne vois pas pourquoi l’adresse change seule dans le fichier resolv.conf???

C’est le montage du VPN qui a du le faire. Si tu démontes le VPN
l’adresse d’origine devrait revenir. Je ne peux pas plus t’aider ne
connaissant pas le VPN ARN (si c’est celui que tu utilises)

···

Le 23/03/2021 à 19:38, didier58 via Alsace Réseau Neutre a écrit :

Effectivement l’adresse à changer mais je ne comprend pas pourquoi
elle a changée cela c’est
produit tout seul ce n’est pas moi qui est changer l’adresse.

Je ne vois pas pourquoi l’adresse change seule dans le fichier
resolv.conf???


Daniel

1 « J'aime »