Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Orange répond sur le détournement de l’adresse 1.1.1.1 par la Livebox 4

We are number 1.1.1.1

Orange répond sur le détournement de l'adresse 1.1.1.1 par la Livebox 4

Le 10 avril 2018 à 07h00

Les clients d'Orange disposant d'une Livebox 4 sont privés du nouveau résolveur DNS 1.1.1.1, monté par Cloudflare. L'explication ? Le routeur utilise cette adresse IP en interne, comme nous le confirme l'opérateur.

Les résolveurs DNS poussent comme des champignons. En 2009, Google lançait son 8.8.8.8, devenu un standard pour la vérification de problèmes liés au DNS, soit le lien entre un nom de domaine et le serveur d'un site. Sa référence est même devenue un symbole dans certains mouvements anti-censure, notamment lors du Printemps arabe.

En novembre 2017, Quad9 se lançait avec 9.9.9.9, promettant une meilleure vie privée. La semaine dernière, Cloudflare a suivi cette voie avec 1.1.1.1, qui mise également sur la sécurité et la vie privée. 

En principe, utiliser un tel résolveur DNS est simple : il suffit de l'entrer dans les paramètres de son système d'exploitation, pour outrepasser celui fourni par son fournisseur d'accès. Pourtant, avec 1.1.1.1, des clients d'Orange ont eu une surprise. La consultation du site mène vers une erreur sur les Livebox 4.

« Une erreur involontaire d’attribution d’adresse »

Le 3 avril sur la liste de discussion NANOG, un responsable de Cloudflare confirme le problème, sans pour autant avoir d'explication précise. Aux abonnés gênés, l'opérateur historique recommande d'utiliser l'adresse 1.0.0.1, qui fait office d'IP de secours du résolveur DNS.

Pourquoi donc ce problème ? Contacté, l'opérateur plaide d'abord la bévue. « Suite à une erreur involontaire d’attribution d’adresse au détriment de Cloudflare, Orange est en contact et travaille en bonne entente avec cette dernière pour régler la situation dans les plus brefs délais » nous écrit-il.

La résolution du problème n'entrainera pas d'autre changement pour les clients selon la société, pour qui l'incident est bien isolé. Pourquoi donc cette adresse est-elle indisponible au départ ? « En fait, trois adresses publiques dont 1.1.1.1 sont utilisées par la Livebox 4 pour son fonctionnement interne, ce qui les rend injoignables » justifie l'entreprise.

D'autres fournisseurs d'accès seraient concernés

Elle nous assure que la question est limitée aux Livebox 4, sans lien avec le cœur de réseau ni d'épisode précédent. Selon un membre du forum LaFibre.info, le problème n'affecte effectivement pas la Livebox 3.

Pour l'ingénieur télécom Yan Grunenberger, sur Twitter, le problème viendrait du chipset Wi-Fi Quantenna. « Le bridge interne utilise 1.1.1.1 et 1.1.1.2 pour l’API entre les deux SoC. Tous les [fournisseurs d'accès Internet espagnols] ont le même souci » détaille le spécialiste.

Autrement dit, ces adresses IP sont préemptées par la Livebox pour les communications entre différents composants, alors qu'une telle adresse publique (destinée à être utilisée sur Internet) n'est en principe pas utilisable sur un réseau local, et encore moins par un appareil pour sa mécanique interne.

Selon l'un de nos lecteurs, le problème affecterait aussi des clients de SFR, que nous avons contacté pour en avoir confirmation.

Commentaires (122)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







patos a écrit :



Oui mais quand j’ai lu interne, j’ai lu “interne au réseau Orange” avec mon petit cerveau fatigué.

127.0.0.1 est pas fait pour les chiens quand c’est sur le même périphérique, et c’est tellement plus rapide !





+1 si faut vraiment de l’IP et si ça doit être deux IP différentes (logiciel codé avec les pieds) on utilise des IP locales. <img data-src=" />





levhieu a écrit :



Utiliser IP pour faire communiquer des processus sur un même système, ça marche.



(Si nécessaire, ce cher 127.0.0.1 doit pouvoir expliquer comment faire :))





ha mais je dis pas le contraire. juste que, du coup, c’est pas la seul technique possible sur un même système Unix. (après la livebox n’est peut-être pas basée sur du Unix mais ça serait un peu étrange de réinventer la roue)


votre avatar

J’ai l’impression que les adresses sont hardcodé dans le firmeware (en soit, ça évite des indirections à tout va). J’ai aussi l’impression que ces composants doivent être accessible de l’extérieur de ce réseau de composant (sinon, il n’aurait jamais eu d’accès à partir du réseau local et donc pas d’interférence).

Je voyais donc la possibilité que ces composant soient plutôt isolé dans un sous réseau local (avec leur propre baille d’IP) qui possède une IP dans le réseau local. Mais du coup, il faut un routeur pour géré le routeur… <img data-src=" /> mouai, on est pas sortie

votre avatar

Le problème est peut-être déjà corrigé. Tu es le deuxième à dire que ça marche ou tu n’utilises peut-être pas le Wi-Fi.

votre avatar

J’ai une Livebox mais je ne sais pas si c’est la “4”… Est-ce la blanche qui est fournie pour les offres fibre (Orange/Sosh) ?

votre avatar

La 4, c’est celle là :assistance.orange.fr Orange

votre avatar







Minikea a écrit :



ha mais je dis pas le contraire. juste que, du coup, c’est pas la seul technique possible sur un même système Unix. (après la livebox n’est peut-être pas basée sur du Unix mais ça serait un peu étrange de réinventer la roue)





Il y a des équipements réseaux qui utilisent des OS temps réel, du classique pour l’embarqué.



VxWorks me semble être le plus populaire.



Par contre ce qui me surprends c’est que Wikipedia liste OS X et iOS comme OS temps réel sur la page en français. Un plaisantin?


votre avatar







tanguy_k a écrit :



Déjà si on pouvait changer le resolveur DNS de la livebox ça serait bien.

Là on est obligé de faire la manip sur chaque appareil.







Carrément, c’est chiant ce truc…

Ou alors faut se faire un serveur DHCP sur un synopsis par exemple. Mais ca complique le truc



C’est pourtant une base de pouvoir régler cela..’


votre avatar

hum pourquoi de pas mettre un genre de proxy devant comme ça il y a un réseau dédié pour les coms Wi-Fi et derrière tu rends l’interface Proxy réseau local configurable par l’utilisateur au besoin.

Après je n’ai pas étudié le problèmes réellement je me base simplement sur les commentaire, du coup il y a peu-être d’autres points bloquants.

votre avatar

Ok merci, il va falloir que je vérifie, je ne suis pas sûr d’avoir ce modèle…

votre avatar

Je ne comprends pas ta notion de proxy dans ce contexte. Lire mon premier commentaire sous cet article, j’explique un peu plus le contexte et les difficultés à résoudre.

votre avatar







tazvld a écrit :



J’ai l’impression que les adresses sont hardcodé dans le firmeware (en soit, ça évite des indirections à tout va). J’ai aussi l’impression que ces composants doivent être accessible de l’extérieur de ce réseau de composant (sinon, il n’aurait jamais eu d’accès à partir du réseau local et donc pas d’interférence).

Je voyais donc la possibilité que ces composant soient plutôt isolé dans un sous réseau local (avec leur propre baille d’IP) qui possède une IP dans le réseau local. Mais du coup, il faut un routeur pour géré le routeur… <img data-src=" /> mouai, on est pas sortie





ou alors utiliser une ou des IP publique mais qu’il possède. Orange est un FAI, il n’a qu’à se réserver deux IP publiques qu’il réutilisent dans ses box. là il est sûr que personne ira les piquer. ça reste crade mais il n’aurait pas le problème qu’il rencontre aujourd’hui.


votre avatar







Daweb a écrit :



Carrément, c’est chiant ce truc…

Ou alors faut se faire un serveur DHCP sur un synopsis par exemple. Mais ca complique le truc



C’est pourtant une base de pouvoir régler cela..’







Au risque de la jouer Captain Obvious, je pense que c’est tout simplement pour nous “inciter” à utiliser les DNS de l’opérateur. J’ai vu ça chez Sky et Virgin au Ryaume-Uni, aussi. Pas cool. Depuis le temps que je veux metter dnsmasq sur une de mes pi…


votre avatar

Ce n’est pas Orange qui a choisi ces 2 adresse IP mais leur fournisseur de chipset Wi-Fi : Quantenna.

Ils auraient pu faire comme cela avec des adresses IP à eux, j’y ai aussi pensé, mais rien n’empêche une ré-attribution d’adresses IP à quelqu’un d’autre a priori, donc cela aurait pu être problématique, même si moins probable.

votre avatar







Plastivore a écrit :



Au risque de la jouer Captain Obvious, je pense que c’est tout simplement pour nous “inciter” à utiliser les DNS de l’opérateur.&nbsp;





Pas uniquement. C’est aussi pour des raisons de sécurité et qu’un “virus/trojan” modifie le DNS de la gateway par un fake DNS qui renverrait vers des faux site par exemple.


votre avatar

Jamais bon d’utiliser quelque chose de réservè pour usage futur.



À la limite 192.0.2.0/24 ou une des 2 autres plages réservées pour être utilisées en exemple dans les documentations.



Je viens de découvrir. Au moins, il y a peu de risque d’interférence.

votre avatar

Je n’ai cité que le coût parce que ça me semblait l’argument le plus rapide.

À ce sujet, je ne crois pas que la baisse à l’unité liée à la montée en quantité soit suffisante, parce que j’ai vu des fabricants d’imprimantes laser envisager de renoncer à VxWork pour cette raison de coût.



Mais sinon, je suis d’accord sur les 2 autres arguments: La logithèque Linux imbattable, et une box ne nécessite pas de temps réel dur en dehors des traitements réseau, qui sont délégués aux bloc HW dédiés.

votre avatar

Pour avoir vécu le passage d’un OS temps réel (autre que VxWorks) à Linux justement dans le domaine des imprimantes laser, je sais que le coût R&D de réécriture/portage est colossal et qu’il aurait permis de payer beaucoup de licences.



On l’avait fait pour les autres raisons.

votre avatar

Pour bosser sur du VxWorks tous les jours (hélas), ce n’est pas le cout de la licence (15k€/an/poste) mais les royalties qui sont exorbitants !!! pour du projet militaire, on est sur du 2,5k€ par cible materiel, usage unique donc quand tu change de matos, tu repayes, tu veux changer par exemple le CPU, tu repayes, tu changes le code avec un nouvelle librairie, tu repayes, bref tu payes bcp.

Et autre chose, tu dois rendre des compte à Wind River tous les 3 mois sur les applications que tu développes même ceux que tu as livré chez ton client….bref si je pouvais tous passer par du linux…..

votre avatar

Pour ma part j’utilise et utiliserai 9.9.9.9 parce que cloudflare a déjà trop d’importance et est devenu un point de vulnérabilité du web. C’est donc inutile, de mon point de vue, d’utiliser 1.1.1.1 surtout le souk que ça met sur les routeurs.



Donc bon courage à admin à qui on imposera le 1.1.1.1 comme résolveur <img data-src=" />

votre avatar

My bad, c’est bien aux «royautés» que je pensais

votre avatar







Hugues1337 a écrit :



Le 1.1.1.1 utilisé en interne c’est sale mais pas à 100% de leur faute, pendant très longtemps cette plage était expérimentale…







Ouais mais c’est pas une raison. C’est une plage qui est hors rfc1918 donc on l’utilise pas, point.

Franchement, je trouve qu’Orange et son constructeur sont vraiment des abrutis sur cette histoire.


votre avatar







boogieplayer a écrit :



Donc bon courage à admin à qui on imposera le 1.1.1.1 comme résolveur <img data-src=" />







Personne n’impose à personne d’utiliser un resolveur ou un autre. Et puis, il y a toujours la solution d’installer son propre resolveur. C’est pas excessivement compliqué (c’est même la conf par défaut de pratiquement tous les serveurs dns du marché)


votre avatar







fred42 a écrit :



La faute initiale est celle du fabricant du chipset, le problème peut peut-être être résolu uniquement en travaillant sur les tables de routages interne de la box, mais j’ai un peu la flemme d’y réfléchir.







Franchement, je comprends pas pourquoi il faudrait adresser les 2 morceaux dans ce cas. Ils pourraient très bien les laisser au niveau 2 et ça marcherait très bien. Pourquoi faire du routage ? ca me parait absurde…


votre avatar







Geronimo54 a écrit :



Dans le même ordre d’idée orange reroute systématiquement le port 21 vers leur serveur mail. Difficile d’auto-héberger à la maison son serveur d’email du coup…





C’est pas plutôt le port 25? 21 c’est FTP ;)

&nbsp;

Le port 25 est souvent bloqué pr les opérateurs car utilisé par les spambots et autres malwares.

&nbsp;

Pour l’hébergement maison, tout serveur de mail digne de ce nom propose un autre port, au moins le 587 ou le 465 (pour les connexions chiffrées), il ne devrait pas y avoir de problème.


votre avatar







KP2 a écrit :



Personne n’impose à personne d’utiliser un resolveur ou un autre. Et puis, il y a toujours la solution d’installer son propre resolveur. C’est pas excessivement compliqué (c’est même la conf par défaut de pratiquement tous les serveurs dns du marché)







On est bien d’accord chacun fait comme il veut. Mais dans les entreprises y’a des DSI un peu fous qui sautent sur la première news venue et qui impose sans procès au tech/dev/admin de faire avec la mode du moment. Je prends le pari qu’il a en ce moment des admin qui s’arrachent les cheveux parce qu’un N+1 /+2 /+3 qui vient de leur imposer le 1.1.1.1 parce que… “c’est comme ça” (exemple d’explication, non exhaustif )


votre avatar







boogieplayer a écrit :



Pour ma part j’utilise et utiliserai 9.9.9.9 parce que cloudflare a déjà trop d’importance et est devenu un point de vulnérabilité du web. C’est donc inutile, de mon point de vue, d’utiliser 1.1.1.1 surtout le souk que ça met sur les routeurs.



Donc bon courage à admin à qui on imposera le 1.1.1.1 comme résolveur <img data-src=" />







+1.



Installé 9.9.9.9 sur la partie logicielle de la connexion RJ45 de ma station de travail. Fonctionne bien.


votre avatar

Yep d’autant plus que 1.1.1.1 ne propose rien de plus que propose 9.9.9.9 Donc inutile de mettre trop d’œufs dans le panier de cloudflare. Soyons raisonnables et dispatchons, ça délayera le risque.

votre avatar

OK,

mais même en utilisant du lien Ethernet ils auraient pu utiliser autre chose que de l’IP quitte à mettre un protocole propriétaire puisque c’est de toute façon de la communication point à point en interne.

votre avatar







Geronimo54 a écrit :



Dans le même ordre d’idée orange reroute systématiquement le port 21 vers leur serveur mail. Difficile d’auto-héberger à la maison son serveur d’email du coup…







Comme signalé par quelqu’un plus haut, tu dois vouloir dire port 25 pour le SMTP.



Un serveur de mail, c’est aussi celui qui héberge le courrier à proprement parler (imap, etc) et ça c’est pas restreint à ma connaissance.

Pour ma part, afin d’éviter les risques d’un SMTP qui parte en couille à cause d’un défaut de conf ou se fasse blacklister pour X raisons, j’ai choisi une autre option. Mon SMTP relaye à celui de Numericable.



Seul souci actuel, cc’est que mon SMTP n’accepte de relayer que ce qui vient d’IP précises (en gros j’ai autorisé que ma publique + le LAN). Donc je ne peux pas envoyer de mail via mon portable en 4G par exemple… Mais comme j’en ai besoin 2 fois dans l’année, j’ai le temps de trouver une autre solution. <img data-src=" />


votre avatar







boogieplayer a écrit :



On est bien d’accord chacun fait comme il veut. Mais dans les entreprises y’a des DSI un peu fous qui sautent sur la première news venue et qui impose sans procès au tech/dev/admin de faire avec la mode du moment. Je prends le pari qu’il a en ce moment des admin qui s’arrachent les cheveux parce qu’un N+1 /+2 /+3 qui vient de leur imposer le 1.1.1.1 parce que… “c’est comme ça” (exemple d’explication, non exhaustif )





Expliquer qu’il y a des normes ça marche pas ?


votre avatar

perso, j’ai utilisé dnsmasq mais c’est parce que j’ai d’autres besoins en plus du DNS. (PXE, adblock par DNS,…)

votre avatar
votre avatar







TheGuit a écrit :



C’est d’autant plus gag/grave que personne ne me fera croire que c’était TELLEMENT plus simple d’écrire 1.1.1.1 que d’écrire 10.0.0.0 qui lui est disponible en utilisation privée.&nbsp;





C’est clair, ou même utiliser une IP “Link Local” :&nbspen.wikipedia.org Wikipedia


votre avatar

Je l’ai déjà proposé plus haut. <img data-src=" />

votre avatar

Perso, j’ai deux serveurs DNS maison, dont un qui est le résolveur du synology.



Sinon, y a pas que google, quad-nine et cloud flare.



Level 3: 209.244.0.3 209.244.0.4

Verisign: 64.6.64.6 64.6.65.6

votre avatar

Pour VeriSign je les trouve pas mal, par contre Level 3 je l’ai déjà trouvé menteur, ça j’aime pas du tout.



Exemple :



&gt; server 209.244.0.3

Serveur par défaut : resolver1.level3.net

Address: 209.244.0.3



&gt; freeeeeeeeeeee31531255.fr

Serveur : resolver1.level3.net

Address: 209.244.0.3



Réponse ne faisant pas autorité :

Nom : freeeeeeeeeeee31531255.fr

Addresses: 198.105.254.11 



       104.239.213.7




&gt; server 9.9.9.9

Serveur par défaut : dns.quad9.net

Address: 9.9.9.9



&gt; freeeeeeeeeeee31531255.fr

Serveur : dns.quad9.net

Address: 9.9.9.9



* dns.quad9.net ne parvient pas à trouver freeeeeeeeeeee31531255.fr : Non-existent domain

votre avatar

L’un n’empêche pas l’autre.

votre avatar

c’est vrai. <img data-src=" />

du coup mon dnsmasq pointe vers quad9 de base

votre avatar

Oups, bien vu.



Hop level 3 =&gt; rayé de ma liste.

votre avatar

Merci pour les conseils. Je parlais effectivement du port 25 au début.

votre avatar

Oui c’est possible en IP sans créer de conflit, il suffit d’utiliser les IPs 127.0.0.0/8 qui sont réservés précisément à cet usage.

votre avatar

Cette plage ne concerne qu’un host local et pas 2 éléments de la box reliés par Ethernet comme ici.



127.0.0.0/8 - This block is assigned for use as the Internet host 



loopback address.  A datagram sent by a higher level protocol to an   


address anywhere within this block should loop back inside the host.   


This is ordinarily implemented using only 127.0.0.1/32 for loopback,   


but no addresses within this block should ever appear on any network   


anywhere [RFC1700, page 5]. (RFC 3330)




Quand on répond 6 jours après, on lit les commentaires déjà faits pour éviter d’écrire une bêtise.

votre avatar

T’es méchant toi. <img data-src=" />&nbsp;

votre avatar

Non, j’ai été gentil, j’ai écrit bêtise alors que j’hésitais entre ânerie et connerie au début. <img data-src=" />

votre avatar

Pour moi OpenNIC n’est pas assez fiable, au bout de quelques mois je devais souvent changer de DNS dans leur liste, pas très gérable.

votre avatar

Les plages d’adresses IP réservées sont visibles sur cette page (en anglais).

votre avatar

Et toute la plage 127.0.0.0/8 est dispo, la plupart des gens ne connaissent que 127.0.0.1.

Si ça se trouve ils ont plusieurs machines dans une livebox, ou ils utilisent des machines virtuelles (oups, c’est de l’embarqué). <img data-src=" />

votre avatar

Faut bien augmenter son compteur de commentaire à un moment donné.

votre avatar







boogieplayer a écrit :



On est bien d’accord chacun fait comme il veut. Mais dans les entreprises y’a des DSI un peu fous qui sautent sur la première news venue et qui impose sans procès au tech/dev/admin de faire avec la mode du moment. Je prends le pari qu’il a en ce moment des admin qui s’arrachent les cheveux parce qu’un N+1 /+2 /+3 qui vient de leur imposer le 1.1.1.1 parce que… “c’est comme ça” (exemple d’explication, non exhaustif )







Bof, je pense pas… y’a des tarés chez les DSI (et plus haut) mais pas la dessus. Personne ne comprend rien à DNS et à son importance alors je doute que ce genre de situation survienne à grande échelle.

Après, je suis sur que dans le monde, on trouvera bien 2 ou 3 cas extrêmes de ce genre mais de là à s’en alarmer…



Par contre, y’a plus de risques d’avoir qq PME dont l’authentificaction AD deconnera sérieusement car le tech info (le fameux « responsable informatique ») aura pris l’initiactive de bricoler les resolveurs DNS de son réseau sans rien y comprendre aux conséquences… (déjà vu)


votre avatar

J’ai une Livebox 4 mais vu que j’utilise un VPN FDN sur mon routeur perso (la LB4 ne sert que de modem) je n’ai pas de problème.

Sinon, faut dire à Orange que les IP privé de classe A, B et C ça existe.

votre avatar

Quand cloudflare parle de vie privé ou de liberté et que de l’autre coté on leur rapporte des site violant les loi de l’UE , du canada , des USA et j’en passe ,&nbsp;

Tel des site de vente de donnée personnel ou de faille de sécurité&nbsp;

Ou encore leur fameux cookie obligatoire pour supposément sépsré les bonne mahcine des mauvaise&nbsp;



J’ai un gros doute sur leur véritable but





J’ai du me battre pour faire retiré des donnée privé sur un siteweb et même ils disaient non responsable de ce que le site affichais même aprés trois plainte et le pire le site continu a opéré sur le service cloudflare&nbsp;



Je douterais même pas que cloudflare organise eux même des attaque ddos

votre avatar







athlon64 a écrit :



Expliquer qu’il y a des normes ça marche pas ?





quel rapport avec ce que je viens d’écrire ?


votre avatar

Les dev/sysadmin etc. ne sont ils pas censés expliquer a leurs chefs les normes et pourquoi ils ne devraient pas le faire ?

votre avatar







SebGF a écrit :



Comme signalé par quelqu’un plus haut, tu dois vouloir dire port 25 pour le SMTP.



Un serveur de mail, c’est aussi celui qui héberge le courrier à proprement parler (imap, etc) et ça c’est pas restreint à ma connaissance.

Pour ma part, afin d’éviter les risques d’un SMTP qui parte en couille à cause d’un défaut de conf ou se fasse blacklister pour X raisons, j’ai choisi une autre option. Mon SMTP relaye à celui de Numericable.



Seul souci actuel, cc’est que mon SMTP n’accepte de relayer que ce qui vient d’IP précises (en gros j’ai autorisé que ma publique + le LAN). Donc je ne peux pas envoyer de mail via mon portable en 4G par exemple… Mais comme j’en ai besoin 2 fois dans l’année, j’ai le temps de trouver une autre solution. <img data-src=" />





Un SMTPS avec un port batard et une identification différente de ton mail mais rattachée à lui et roulez jeunesse (je faisais comme ça avant de me servir finalement d’outlook.com… )


votre avatar

Ce genre de blague illustre parfaitement la légèreté avec laquelle nos FAIs considèrent leurs eyeballs clients, aucune box grand public ne tient la route.

Un SoC avec ce type de configuration scabreuse n’aurait jamais du être qualifié, et quand bien même ce serait le seul sur le marché, si des développeurs avec des connaissances réseau avaient réalisé le firmware de la box, ils auraient à minima isolé ça dans une table de routage séparée (VRF pour les intimes) pour ne pas mettre la pagaille du côté utilisateur.

À la place on a surement mis des stagiaires sur le coup et un marketeux chef de projet&nbsp;product owner&nbsp;qui a dit “c’est pas grave ce sera jamais utilisé ailleurs”.

votre avatar

Il reste la solution VPN… La majorité utilise leur propre serveur DNS.

votre avatar







athlon64 a écrit :



Les dev/sysadmin etc. ne sont ils pas censés expliquer a leurs chefs les normes et pourquoi ils ne devraient pas le faire ?





Oui c’est vrai. Mais dans les vrai vie… <img data-src=" />


votre avatar







madz06 a écrit :



si des développeurs avec des connaissances réseau avaient réalisé le firmware de la box







On peut rêver…


votre avatar

Perso, comme conseillé par différentes personnes dans la news précédente, j’ai mis en place un service unbound sur un raspberry-pi chez moi.

Je n’ai pas senti de différence particulière, et ça fonctionne bien.

(Mais faudrait que je valide que ça fonctionne réellement&nbsp;<img data-src=" />)

votre avatar

Les chefs sont incompétents ? <img data-src=" />

votre avatar

Ils auraient du prendre des adresses IP 127.0.0.0/8 ou au moins non-routable&nbsp;<img data-src=" />

votre avatar







fred42 a écrit :



Et tu interdis donc d’utiliser cette adresse sur le réseau privé derrière la Livebox : tu n’as fait que reporter le problème. Comme je le dis dans mon message précédent, il faut taper dans une plage d’adresses privées mais être capable d’en changer si celle-ci est utilisée, ce n’est pas si simple à mettre en place.





C’est quand même beaucoup moins grave de bloquer 1 ip dans une plage privé qu’une ip dans une plage publique. Avec 16 millions d’IP dans la place 10.x.x.x je suis pas sur et certains que le problèmes soit insurmontable. Surtout que bon le pékin moyen ne joue jamais dans la place 10. Et l’entreprise qui utilise une Livebox sur son réseau tant pis pour elle <img data-src=" />.


votre avatar

Tu aurais pu lire les commentaires précédents.

votre avatar







Jarodd a écrit :



J’ai une Livebox mais je ne sais pas si c’est la “4”… Est-ce la blanche qui est fournie pour les offres fibre (Orange/Sosh) ?





Ah, bah en fait c’est parce que c’est pas la 4 dont je dispose. Moi c’est la boîte noire avec un écran LCD orange en face avant et qui tombe en panne comme une horloge tous les 365 jours d’activité. <img data-src=" />



Oh, wait….. En fait c’est exactement la même description entre la 3 et la 4 <img data-src=" />


votre avatar

  1. ce n’est pas Orange qui a choisi ces adresses mais le fournisseur de chipset Wi-Fi qui doit être aussi utilisé sur du matériel pro.



    1. quand tu as conscience d’un problème (ne pas utiliser une adresse IP qui peut être utilisée par d’autres, tu le traites complètement (y compris pour les plages d’adresses privées), et ce n’est pas si simple comme je l’ai indiqué. En fait, je parle d’expérience, j’ai déjà été confronté à ce genre de problématique sur des produits très différents et on y avait réfléchit en détail pour finir par choisir la plage 169.254 sans être très fiers de ce choix, mais il nous avait semblé le moins mauvais.


votre avatar

<img data-src=" /> C’est la 3 que tu as, la Play, comme chez moi. Elle ne tombe pas en panne ici.

votre avatar







fred42 a écrit :





  1. ce n’est pas Orange qui a choisi ces adresses mais le fournisseur de chipset Wi-Fi qui doit être aussi utilisé sur du matériel pro.



    1. quand tu as conscience d’un problème (ne pas utiliser une adresse IP qui peut être utilisée par d’autres, tu le traites complètement (y compris pour les plages d’adresses privées), et ce n’est pas si simple comme je l’ai indiqué. En fait, je parle d’expérience, j’ai déjà été confronté à ce genre de problématique sur des produits très différents et on y avait réfléchit en détail pour finir par choisir la plage 169.254 sans être très fiers de ce choix, mais il nous avait semblé le moins mauvais.





      Et le chipset wifi peut pas avoir une IP privée affectée par DHCP ? (question de béotien, ne pas taper si elle est stupide <img data-src=" />)



votre avatar

Je parlais de proxy dans le sens ou la config box -&gt; Wi-fi ne peut pas être dynamique, la composante proxy permettrais de cloisonner ce réseaux fixe, et de rendre dynamique son accession grâce à la configuration de ce dit proxy.

C’était juste une réflexion sur les problématiques précédemment énoncées, et une potentielle résolution en fonction de ce que j’avais compris.

Mais c’est peu-être hors propos.

votre avatar

Si elle pourrait éventuellement, mais il faudrait quand même que la partie routeur de la livebox la récupère pour la connaître et ça ferait une adresse de moins de disponible dans la plage. Il vaut donc mieux une plage d’adresse différente de la plage d’adresse réseau privé géré par la box. (Dans le cas auquel j’avais été confronté, cela n’était pas possible, c’était une émulation d’internet sur un lien USB.)

votre avatar

Tu expliques “proxy” par “proxy”, je n’ai toujours rien compris. <img data-src=" />



C’est quoi un proxy pour toi dans ce contexte ?

votre avatar

Si le fabricant de chipset donne la même adresse IP à tous ses composants, c’est bien qu’il s’attend à ce que cette adresse ne soit pas visible de l’extérieur. Donc, sans dédouaner totalement le fournisseur, Orange s’est planté en laissant fuiter cette adresse.

votre avatar

Le coût de licence de VxWorks me parait incompatible avec la recherche d’économie dans tous les sens qui s’applique sur les box FAI

votre avatar

Ce n’est pas qu’une question de coût, sur de gros volumes, ça pourrait beaucoup baisser.

C’est aussi que Linux sur ce genre de produits est nettement supérieur à la fois sur la qualité de la pile réseau et des softs disponibles. Ce n’est pas pour rien que Wind River a aussi une offre Linux pour couvrir cette part de marché.

En plus, on n’a pas besoin d’un “temps réel dur” sur ces produits.

votre avatar

Il me semble que dans certaines entreprises ou hôtels, le portail captif pour les clients se trouve sur cette IP.

votre avatar

Avec tout ça (et les autres lectures sur le sujet), je ne me suis toujours pas déterminé à utiliser ces DNS alternatifs..

votre avatar

Hum désolé effectivement c’était pas très clair, j’entends par proxy dans ce cas une système qui va recevoir un flux qu’il va rediriger vers une destination différente et potentiellement sur un réseau différent (dans notre cas c’est donc un reverse proxy), mais ce n’est pas le rôle à la base d’un proxy ou reverse proxy en soit, c’est juste quelque chose que je connais pouvant s’en rapprocher, en soit un NAT pourrais aussi correspondre au besoin.

votre avatar

Pourquoi 1.1.1.1 ? parce que 1.3.3.7 était déjà utilisée ? par qui ? Tout ça n’est pas clair. <img data-src=" />

votre avatar

Utiliser IP pour faire communiquer des processus sur un même système, ça marche.



(Si nécessaire, ce cher 127.0.0.1 doit pouvoir expliquer comment faire :))

votre avatar

N’en demandons pas trop à Orange

votre avatar

C’est ironique que Google lutte contre la censure, alors qu’ils sont eux mêmes les plus grands censeurs.

votre avatar

Le 1.1.1.1 utilisé en interne c’est sale mais pas à 100% de leur faute, pendant très longtemps cette plage était expérimentale…

votre avatar

Comme souvent, ça ignore les bonnes pratiques et après ça s’étonne que ça ne marche pas correctement.

Utiliser une IP publique pour faire communiquer 2 SOC, c’est fort!

votre avatar

De ce que j’ai pu comprendre en cherchant et en m’aidant de google traduction puis directement sur le site du fabricant, le chipset wi-fi est en fait un ensemble intégré avec son processeur et son système d’exploitation (Linux). Il est connecté au routeur de la box par Ethernet. Voici un exemple de descriptif d’un de leur chipset, les interfaces RGMMI sont les interfaces Ethernet. Vu que les débits atteints sont en Gb/s cela n’est pas idiot. On voit même qu’ils ont prévu 2 liens Ethernet pour cela.



À partir de là, il est assez intuitif d’utiliser ce lien Ethernet pour communiquer et configurer le Wi-Fi.



Par contre, il devrait être proscrit d’utiliser des adresses IP routables comme 1.1.1.1 et 1.1.1.2.

Il faut utiliser des adresse IP privées, mais dans un routeur où l’on ne sait pas dans quel contexte il va être utilisé et quelle plage d’adresse privée va être utilisée avec lui. Il faut donc un système qui s’adapte pour ne pas utiliser celle choisie par l’utilisateur du router (ici, la livebox) et ça commence à être une usine à gaz…

Personnellement, j’aurais tapé dans la plage d’adresse IP auto-assignée en 169.254., cela a l’avantage que les appareils savent réagir s’ils se sont assignés la même adresse que celle du chipset Wi-Fi en s’en assignant une autre. Mais ce n’est pas génial non plus.



La faute initiale est celle du fabricant du chipset, le problème peut peut-être être résolu uniquement en travaillant sur les tables de routages interne de la box, mais j’ai un peu la flemme d’y réfléchir.

votre avatar







Minikea a écrit :



en fait si: sur un système unix on peut utiliser des socket, du moment que les services sont sur le même système.

après, ça enlève peut-être un peu d’homogénéité dans le fonctionnement de l’appli si on utilise de l’IP partout ailleurs, mais ça reste plus propre que d’utiliser des adresses publiques!



source:en.wikipedia.org WikipediaOui mais quand j’ai lu interne, j’ai lu “interne au réseau Orange” avec mon petit cerveau fatigué.

127.0.0.1 est pas fait pour les chiens quand c’est sur le même périphérique, et c’est tellement plus rapide !


votre avatar

J’ai une Livebox 4 et le DNS 1.1.1.1 marche très bien, je ne comprends pas …

votre avatar

Et tu interdis donc d’utiliser cette adresse sur le réseau privé derrière la Livebox : tu n’as fait que reporter le problème. Comme je le dis dans mon message précédent, il faut taper dans une plage d’adresses privées mais être capable d’en changer si celle-ci est utilisée, ce n’est pas si simple à mettre en place.

votre avatar

Ce n’est justement pas des communications sur un même host, mais entre la Livebox (sa partie routeur) et le point d’accès Wi-Fi de cette même Livebox.

votre avatar







patos a écrit :



127.0.0.1 est pas fait pour les chiens quand c’est sur le même périphérique, et c’est tellement plus rapide !





C’est simple, ca marche de partout et le risque de mettre le souk en dehors de sa gamelle est extrèmement restreint.



Bref pourquoi faire simple quand on peut faire compliqué <img data-src=" /> <img data-src=" />


votre avatar







fred42 a écrit :



Ce n’est justement pas des communications sur un même host, mais entre la Livebox (sa partie routeur) et le point d’accès Wi-Fi de cette même Livebox.



Oué j’ai rerererelu et ai enfin compris que ces cons là n’ont pas découvert l’IPv6 quand ils ont fait leur chipset wifi.


votre avatar

Le problème aurait été le même en IP V6, même s’il y a plus d’adresses disponibles et en particulier plus d’adresse privées mais honnêtement, le réflexe IP V4 est assez naturel dans ce genre de cas : il y a quelques dizaines d’années d’habitudes.



Les traiter de cons, est un peu rapide, j’allais dire idiot. <img data-src=" />

votre avatar

Je comprends pas, chez moi ça fonctionne <img data-src=" />

Le tracert me renvoie 10 sauts jusqu’à 1dot1dot1dot1.cloudflare-dns.com [1.1.1.1]

votre avatar

En fait j’ai un boitier noir et un boitier blanc. J’ai un doute sur lequel est la Livebox 4 (vu la photo ça doit être le noir).

votre avatar

Pour connaître le modèle de box, aller dans le menu assistance du site WEB de la box et choisir informations systèmes.



Chez moi, je vois :

modèle Livebox 3



Comme tu as un mélange de box noire et blanche, j’aurais tendance à dire que tu as aussi une Livebox 3.

votre avatar

bah ?

et IPV6 ??

votre avatar

Merci, je testerai ce soir <img data-src=" />

votre avatar







Apone a écrit :



bah ?

et IPV6 ??





déjà répondu plus haut : ça aurait juste déplacé le problème, l’aurait un peu mitigé mais ne l’aurait pas empêché de se produire <img data-src=" />


votre avatar

Pour obtenir une liaison avec des résolveurs DNS libres, réactifs (proches de chez soi) et non mouchards :

https://www.opennic.org/

votre avatar







Commentaire_supprime a écrit :



C’était pas possible d’éviter ce genre de gag ? Peut-on faire communiquer les composants en interne d’une box, ou d’un appareil correspondant, sans prendre des adresses IP externe, voire des adresses IP tout court ?



C’est une question, le problème m’intéresse d’un point de vue technique. En plus, j’ai une LB 4…





Si tu savais le nombre de boites qui utilisent des ranges publics pour leurs LANs … Y compris des (très) grands groupes …


votre avatar

Bonjour ,



Si le développement du système WiFi mis en cause est récent, ils auraient pu utiliser une plage en /30 dans 100.64.0.0/10 ( pour ceux qui ne connaissent pas du private network utilisé par les FAI). &nbsp;



&nbsp;cdlt,

votre avatar

Ha yes je vois l’idée, merci pour vos réponses !

votre avatar

ils utilisaient Linux + des logiciels libres, ça doit être toujours le cas et ils publient les sources ici:

https://opensource.orange.com/en/software/home-sofware/

votre avatar

Dans le même ordre d’idée orange reroute systématiquement le port 21 vers leur serveur mail. Difficile d’auto-héberger à la maison son serveur d’email du coup…

votre avatar

Tous les&nbsp;[fournisseurs d’accès Internet espagnols]&nbsp;ont le même souci » détaille le spécialiste.&nbsp; nop aucun soucis chez adamo.es

votre avatar

Tu nous conseilles quel serveur pour la France ?

votre avatar

Tu veux dire qu’on devrait utiliser un résolveur DNS contrôlé par des individus, qui n’y connaissent peut-être rien du tout à la sécurité ou pire qui sont malveillants et sur lesquels personne n’exerce le moindre contrôle ?

votre avatar

+1.



Au pire le block 240.0.0.0/4 aurait été mieux qu’une adresse publique.

votre avatar

Tu veux dire qu’ils ont enfin fait l’interception correcte des requêtes ? Non parce que sfr intercepte les requêtes vers opendns/google pour les timeout et/ou utiliser ses résultats…

votre avatar

Depuis quelques jours, sur SFR THD (câble), le 1.1.1.1 remarche enfin.

votre avatar

Pour moi ça fonctionne depuis 6 jours avec SFR coaxial.

votre avatar



Autrement dit, ces adresses IP sont préemptées par la Livebox pour les communications entre différents composants, alors qu’une adresse publique (destinée à être utilisée sur Internet) n’est en principe pas utilisable sur un réseau local, et encore moins par un appareil pour sa mécanique interne.





C’était pas possible d’éviter ce genre de gag ? Peut-on faire communiquer les composants en interne d’une box, ou d’un appareil correspondant, sans prendre des adresses IP externe, voire des adresses IP tout court ?



C’est une question, le problème m’intéresse d’un point de vue technique. En plus, j’ai une LB 4…

votre avatar

Quelqu’un pourrait m’expliquer le système économique des fournisseurs DNS de ce genre ? S’il n’y a aucune monétisation d’une partie des données, je ne vois pas comment le système peut vivre.

Merci&nbsp;<img data-src=" />

votre avatar

Déjà si on pouvait changer le resolveur DNS de la livebox ça serait bien.

Là on est obligé de faire la manip sur chaque appareil.

votre avatar

Je ne connais pas par cœur les différents normes ISO ou IEE, mais elles ne doivent pas être respectées avec ce mode de fonctionnement&nbsp;

votre avatar

Je n’ai pas de solution toute faite, mais une raison importante pour Google et CloudFlare&nbsp; est le coût très faible quand on a déjà un réseau mondial, et l’intérêt très fort pour que le DNS fonctionne bien (en Afrique ou en Asie tous les opérateurs n’ont pas un résolveur DNS qui fonctionne bien ; et même en France, des installateurs de hotspots wifi utilisent le DNS Google par facilité)

votre avatar

Heureusement que le fabricant n’a pas utilisé 8.8.8.8 !

votre avatar

Le fournisseur gagne en visibilité par le simple fait qu’on en parle, et cela apporte de la clientèle pour les services existants.



Ou alors ils revendent toutes les données de connexion.

votre avatar

C’est la bonne question !

Pourquoi utiliser des mécanismes de haut niveau (par rapport à du hardware / firmware) comme l’IP / ICMP / … ?



Pour moi, c’est un signe de « paresse intellectuelle » dans la conception des produits. Dans le monde logiciel, on parle de dévs avec les pieds.

votre avatar

J’ai lu quelque part que ça faisait toujours une sonde de plus pour connaitre le trafic au niveau mondial.

Pas sur le contenu bien sur mais sur les noms les plus résolus, à quelle heure etc.

Pour un gestionnaire de réseau ou un CDN comme Cloudflare c’est plutôt sympa comme info.

votre avatar

Ben j’imagine qu’il doit y avoir des plages réservées pour ce genre de choses ou au moins des conventions/normes pour empêcher ce genre de conflit, au même titre que sur internet un serveur n’aura jamais pour IP 192.168.0.1

&nbsp;

Mais 1.1.1.1 ça sent le truc du développeur qui voulait pouvoir le taper rapidement. <img data-src=" />

votre avatar







KBO Zoreil a écrit :



Quelqu’un pourrait m’expliquer le système économique des fournisseurs DNS de ce genre ? S’il n’y a aucune monétisation d’une partie des données, je ne vois pas comment le système peut vivre.

Merci&nbsp;<img data-src=" />





Dans le cas de Cloudflare, qui est un énorme CDN, le gros avantage est qu’ils peuvent gérer la répartition géographique des clients de leurs clients tout en “rendant le service” pour les autres (ce qui ne coute pas bien cher par rapport au bénéfice du premier cas)



&nbsp;





Commentaire_supprime a écrit :



C’était pas possible d’éviter ce genre de gag ? Peut-on faire communiquer les composants en interne d’une box, ou d’un appareil correspondant, sans prendre des adresses IP externe, voire des adresses IP tout court ?



C’est une question, le problème m’intéresse d’un point de vue technique. En plus, j’ai une LB 4…





Non, c’est pour ça qu’on a inventé les adresses IP privées des classes A B et C (10.0.0.0/8, etc…)

Mais pour cela, il faut que les gens les respectent. Et là c’était pas le cas.


votre avatar

C’est d’autant plus gag/grave que personne ne me fera croire que c’était TELLEMENT plus simple d’écrire 1.1.1.1 que d’écrire 10.0.0.0 qui lui est disponible en utilisation privée.&nbsp;

votre avatar

en fait si: sur un système unix on peut utiliser des socket, du moment que les services sont sur le même système.

après, ça enlève peut-être un peu d’homogénéité dans le fonctionnement de l’appli si on utilise de l’IP partout ailleurs, mais ça reste plus propre que d’utiliser des adresses publiques!



source:en.wikipedia.org Wikipedia

Orange répond sur le détournement de l’adresse 1.1.1.1 par la Livebox 4

  • « Une erreur involontaire d’attribution d’adresse »

  • D'autres fournisseurs d'accès seraient concernés

Fermer