Orange répond sur le détournement de l'adresse 1.1.1.1 par la Livebox 4

Orange répond sur le détournement de l’adresse 1.1.1.1 par la Livebox 4

We are number 1.1.1.1

Avatar de l'auteur

Guénaël Pépin

Publié dansInternet

10/04/2018
122
Orange répond sur le détournement de l'adresse 1.1.1.1 par la Livebox 4

Les clients d'Orange disposant d'une Livebox 4 sont privés du nouveau résolveur DNS 1.1.1.1, monté par Cloudflare. L'explication ? Le routeur utilise cette adresse IP en interne, comme nous le confirme l'opérateur.

Les résolveurs DNS poussent comme des champignons. En 2009, Google lançait son 8.8.8.8, devenu un standard pour la vérification de problèmes liés au DNS, soit le lien entre un nom de domaine et le serveur d'un site. Sa référence est même devenue un symbole dans certains mouvements anti-censure, notamment lors du Printemps arabe.

En novembre 2017, Quad9 se lançait avec 9.9.9.9, promettant une meilleure vie privée. La semaine dernière, Cloudflare a suivi cette voie avec 1.1.1.1, qui mise également sur la sécurité et la vie privée. 

En principe, utiliser un tel résolveur DNS est simple : il suffit de l'entrer dans les paramètres de son système d'exploitation, pour outrepasser celui fourni par son fournisseur d'accès. Pourtant, avec 1.1.1.1, des clients d'Orange ont eu une surprise. La consultation du site mène vers une erreur sur les Livebox 4.

« Une erreur involontaire d’attribution d’adresse »

Le 3 avril sur la liste de discussion NANOG, un responsable de Cloudflare confirme le problème, sans pour autant avoir d'explication précise. Aux abonnés gênés, l'opérateur historique recommande d'utiliser l'adresse 1.0.0.1, qui fait office d'IP de secours du résolveur DNS.

Pourquoi donc ce problème ? Contacté, l'opérateur plaide d'abord la bévue. « Suite à une erreur involontaire d’attribution d’adresse au détriment de Cloudflare, Orange est en contact et travaille en bonne entente avec cette dernière pour régler la situation dans les plus brefs délais » nous écrit-il.

La résolution du problème n'entrainera pas d'autre changement pour les clients selon la société, pour qui l'incident est bien isolé. Pourquoi donc cette adresse est-elle indisponible au départ ? « En fait, trois adresses publiques dont 1.1.1.1 sont utilisées par la Livebox 4 pour son fonctionnement interne, ce qui les rend injoignables » justifie l'entreprise.

D'autres fournisseurs d'accès seraient concernés

Elle nous assure que la question est limitée aux Livebox 4, sans lien avec le cœur de réseau ni d'épisode précédent. Selon un membre du forum LaFibre.info, le problème n'affecte effectivement pas la Livebox 3.

Pour l'ingénieur télécom Yan Grunenberger, sur Twitter, le problème viendrait du chipset Wi-Fi Quantenna. « Le bridge interne utilise 1.1.1.1 et 1.1.1.2 pour l’API entre les deux SoC. Tous les [fournisseurs d'accès Internet espagnols] ont le même souci » détaille le spécialiste.

Autrement dit, ces adresses IP sont préemptées par la Livebox pour les communications entre différents composants, alors qu'une telle adresse publique (destinée à être utilisée sur Internet) n'est en principe pas utilisable sur un réseau local, et encore moins par un appareil pour sa mécanique interne.

Selon l'un de nos lecteurs, le problème affecterait aussi des clients de SFR, que nous avons contacté pour en avoir confirmation.

122
Avatar de l'auteur

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 7
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 37

Sommaire de l'article

Introduction

« Une erreur involontaire d’attribution d’adresse »

D'autres fournisseurs d'accès seraient concernés

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 7
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 37
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 21

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 37
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 20
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 24
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 103
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 7

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (122)


Etre_Libre Abonné
Le 10/04/2018 à 07h07

Depuis quelques jours, sur SFR THD (câble), le 1.1.1.1 remarche enfin.


Samsara
Le 10/04/2018 à 07h12

Pour moi ça fonctionne depuis 6 jours avec SFR coaxial.


Commentaire_supprime
Le 10/04/2018 à 07h15


Autrement dit, ces adresses IP sont préemptées par la Livebox pour les communications entre différents composants, alors qu’une adresse publique (destinée à être utilisée sur Internet) n’est en principe pas utilisable sur un réseau local, et encore moins par un appareil pour sa mécanique interne.


C’était pas possible d’éviter ce genre de gag ? Peut-on faire communiquer les composants en interne d’une box, ou d’un appareil correspondant, sans prendre des adresses IP externe, voire des adresses IP tout court ?

C’est une question, le problème m’intéresse d’un point de vue technique. En plus, j’ai une LB 4…


KBO Zoreil
Le 10/04/2018 à 07h18

Quelqu’un pourrait m’expliquer le système économique des fournisseurs DNS de ce genre ? S’il n’y a aucune monétisation d’une partie des données, je ne vois pas comment le système peut vivre.
Merci&nbsp;<img data-src=" />


tanguy_k Abonné
Le 10/04/2018 à 07h19

Déjà si on pouvait changer le resolveur DNS de la livebox ça serait bien.
Là on est obligé de faire la manip sur chaque appareil.


Jim PROFIT
Le 10/04/2018 à 07h20

Je ne connais pas par cœur les différents normes ISO ou IEE, mais elles ne doivent pas être respectées avec ce mode de fonctionnement&nbsp;


alegui Abonné
Le 10/04/2018 à 07h24

Je n’ai pas de solution toute faite, mais une raison importante pour Google et CloudFlare&nbsp; est le coût très faible quand on a déjà un réseau mondial, et l’intérêt très fort pour que le DNS fonctionne bien (en Afrique ou en Asie tous les opérateurs n’ont pas un résolveur DNS qui fonctionne bien ; et même en France, des installateurs de hotspots wifi utilisent le DNS Google par facilité)


Zone démilitarisée Abonné
Le 10/04/2018 à 07h25

Heureusement que le fabricant n’a pas utilisé 8.8.8.8 !


Zone démilitarisée Abonné
Le 10/04/2018 à 07h28

Le fournisseur gagne en visibilité par le simple fait qu’on en parle, et cela apporte de la clientèle pour les services existants.

Ou alors ils revendent toutes les données de connexion.


TNZfr
Le 10/04/2018 à 07h30

C’est la bonne question !
Pourquoi utiliser des mécanismes de haut niveau (par rapport à du hardware / firmware) comme l’IP / ICMP / … ?

Pour moi, c’est un signe de « paresse intellectuelle » dans la conception des produits. Dans le monde logiciel, on parle de dévs avec les pieds.


FlamingFlowair
Le 10/04/2018 à 07h34

J’ai lu quelque part que ça faisait toujours une sonde de plus pour connaitre le trafic au niveau mondial.
Pas sur le contenu bien sur mais sur les noms les plus résolus, à quelle heure etc.
Pour un gestionnaire de réseau ou un CDN comme Cloudflare c’est plutôt sympa comme info.


MisterDams Abonné
Le 10/04/2018 à 07h37

Ben j’imagine qu’il doit y avoir des plages réservées pour ce genre de choses ou au moins des conventions/normes pour empêcher ce genre de conflit, au même titre que sur internet un serveur n’aura jamais pour IP 192.168.0.1
&nbsp;
Mais 1.1.1.1 ça sent le truc du développeur qui voulait pouvoir le taper rapidement. <img data-src=" />


patos Abonné
Le 10/04/2018 à 07h42






KBO Zoreil a écrit :

Quelqu’un pourrait m’expliquer le système économique des fournisseurs DNS de ce genre ? S’il n’y a aucune monétisation d’une partie des données, je ne vois pas comment le système peut vivre.
Merci&nbsp;<img data-src=" />


Dans le cas de Cloudflare, qui est un énorme CDN, le gros avantage est qu’ils peuvent gérer la répartition géographique des clients de leurs clients tout en “rendant le service” pour les autres (ce qui ne coute pas bien cher par rapport au bénéfice du premier cas)

&nbsp;


Commentaire_supprime a écrit :

C’était pas possible d’éviter ce genre de gag ? Peut-on faire communiquer les composants en interne d’une box, ou d’un appareil correspondant, sans prendre des adresses IP externe, voire des adresses IP tout court ?

C’est une question, le problème m’intéresse d’un point de vue technique. En plus, j’ai une LB 4…


Non, c’est pour ça qu’on a inventé les adresses IP privées des classes A B et C (10.0.0.0/8, etc…)
Mais pour cela, il faut que les gens les respectent. Et là c’était pas le cas.



TheGuit Abonné
Le 10/04/2018 à 07h47

C’est d’autant plus gag/grave que personne ne me fera croire que c’était TELLEMENT plus simple d’écrire 1.1.1.1 que d’écrire 10.0.0.0 qui lui est disponible en utilisation privée.&nbsp;


Minikea
Le 10/04/2018 à 07h47

en fait si: sur un système unix on peut utiliser des socket, du moment que les services sont sur le même système.
après, ça enlève peut-être un peu d’homogénéité dans le fonctionnement de l’appli si on utilise de l’IP partout ailleurs, mais ça reste plus propre que d’utiliser des adresses publiques!

source:https://en.wikipedia.org/wiki/Unix_domain_socket


anonyme_7c080d0b57a30a99451672cfc228f71f
Le 10/04/2018 à 07h50

Pourquoi 1.1.1.1 ? parce que 1.3.3.7 était déjà utilisée ? par qui ? Tout ça n’est pas clair. <img data-src=" />


levhieu
Le 10/04/2018 à 07h53

Utiliser IP pour faire communiquer des processus sur un même système, ça marche.

(Si nécessaire, ce cher 127.0.0.1 doit pouvoir expliquer comment faire :))


psikobare
Le 10/04/2018 à 07h58

N’en demandons pas trop à Orange


MoonRa
Le 10/04/2018 à 07h59

C’est ironique que Google lutte contre la censure, alors qu’ils sont eux mêmes les plus grands censeurs.


Hugues1337
Le 10/04/2018 à 08h00

Le 1.1.1.1 utilisé en interne c’est sale mais pas à 100% de leur faute, pendant très longtemps cette plage était expérimentale…


DownThemAll
Le 10/04/2018 à 08h01

Comme souvent, ça ignore les bonnes pratiques et après ça s’étonne que ça ne marche pas correctement.
Utiliser une IP publique pour faire communiquer 2 SOC, c’est fort!


fred42 Abonné
Le 10/04/2018 à 08h13

De ce que j’ai pu comprendre en cherchant et en m’aidant de google traduction puis directement sur le site du fabricant, le chipset wi-fi est en fait un ensemble intégré avec son processeur et son système d’exploitation (Linux). Il est connecté au routeur de la box par Ethernet. Voici un exemple de descriptif d’un de leur chipset, les interfaces RGMMI sont les interfaces Ethernet. Vu que les débits atteints sont en Gb/s cela n’est pas idiot. On voit même qu’ils ont prévu 2 liens Ethernet pour cela.

À partir de là, il est assez intuitif d’utiliser ce lien Ethernet pour communiquer et configurer le Wi-Fi.

Par contre, il devrait être proscrit d’utiliser des adresses IP routables comme 1.1.1.1 et 1.1.1.2.
Il faut utiliser des adresse IP privées, mais dans un routeur où l’on ne sait pas dans quel contexte il va être utilisé et quelle plage d’adresse privée va être utilisée avec lui. Il faut donc un système qui s’adapte pour ne pas utiliser celle choisie par l’utilisateur du router (ici, la livebox) et ça commence à être une usine à gaz…
Personnellement, j’aurais tapé dans la plage d’adresse IP auto-assignée en 169.254., cela a l’avantage que les appareils savent réagir s’ils se sont assignés la même adresse que celle du chipset Wi-Fi en s’en assignant une autre. Mais ce n’est pas génial non plus.

La faute initiale est celle du fabricant du chipset, le problème peut peut-être être résolu uniquement en travaillant sur les tables de routages interne de la box, mais j’ai un peu la flemme d’y réfléchir.


patos Abonné
Le 10/04/2018 à 08h16






Minikea a écrit :

en fait si: sur un système unix on peut utiliser des socket, du moment que les services sont sur le même système.
après, ça enlève peut-être un peu d’homogénéité dans le fonctionnement de l’appli si on utilise de l’IP partout ailleurs, mais ça reste plus propre que d’utiliser des adresses publiques!

source:https://en.wikipedia.org/wiki/Unix_domain_socket


Oui mais quand j’ai lu interne, j’ai lu “interne au réseau Orange” avec mon petit cerveau fatigué.
127.0.0.1 est pas fait pour les chiens quand c’est sur le même périphérique, et c’est tellement plus rapide !



MilouseBW
Le 10/04/2018 à 08h18

J’ai une Livebox 4 et le DNS 1.1.1.1 marche très bien, je ne comprends pas …


fred42 Abonné
Le 10/04/2018 à 08h19

Et tu interdis donc d’utiliser cette adresse sur le réseau privé derrière la Livebox : tu n’as fait que reporter le problème. Comme je le dis dans mon message précédent, il faut taper dans une plage d’adresses privées mais être capable d’en changer si celle-ci est utilisée, ce n’est pas si simple à mettre en place.


fred42 Abonné
Le 10/04/2018 à 08h21

Ce n’est justement pas des communications sur un même host, mais entre la Livebox (sa partie routeur) et le point d’accès Wi-Fi de cette même Livebox.


Bourrique
Le 10/04/2018 à 08h23






patos a écrit :

127.0.0.1 est pas fait pour les chiens quand c’est sur le même périphérique, et c’est tellement plus rapide !


C’est simple, ca marche de partout et le risque de mettre le souk en dehors de sa gamelle est extrèmement restreint.

Bref pourquoi faire simple quand on peut faire compliqué <img data-src=" /> <img data-src=" />



patos Abonné
Le 10/04/2018 à 08h24






fred42 a écrit :

Ce n’est justement pas des communications sur un même host, mais entre la Livebox (sa partie routeur) et le point d’accès Wi-Fi de cette même Livebox.

Oué j’ai rerererelu et ai enfin compris que ces cons là n’ont pas découvert l’IPv6 quand ils ont fait leur chipset wifi.



fred42 Abonné
Le 10/04/2018 à 08h29

Le problème aurait été le même en IP V6, même s’il y a plus d’adresses disponibles et en particulier plus d’adresse privées mais honnêtement, le réflexe IP V4 est assez naturel dans ce genre de cas : il y a quelques dizaines d’années d’habitudes.

Les traiter de cons, est un peu rapide, j’allais dire idiot. <img data-src=" />


Nozalys Abonné
Le 10/04/2018 à 08h38

Je comprends pas, chez moi ça fonctionne <img data-src=" />
Le tracert me renvoie 10 sauts jusqu’à 1dot1dot1dot1.cloudflare-dns.com [1.1.1.1]


Minikea
Le 10/04/2018 à 08h42






patos a écrit :

Oui mais quand j’ai lu interne, j’ai lu “interne au réseau Orange” avec mon petit cerveau fatigué.
127.0.0.1 est pas fait pour les chiens quand c’est sur le même périphérique, et c’est tellement plus rapide !


+1 si faut vraiment de l’IP et si ça doit être deux IP différentes (logiciel codé avec les pieds) on utilise des IP locales. <img data-src=" />


levhieu a écrit :

Utiliser IP pour faire communiquer des processus sur un même système, ça marche.

(Si nécessaire, ce cher 127.0.0.1 doit pouvoir expliquer comment faire :))


ha mais je dis pas le contraire. juste que, du coup, c’est pas la seul technique possible sur un même système Unix. (après la livebox n’est peut-être pas basée sur du Unix mais ça serait un peu étrange de réinventer la roue)



tazvld Abonné
Le 10/04/2018 à 08h49

J’ai l’impression que les adresses sont hardcodé dans le firmeware (en soit, ça évite des indirections à tout va). J’ai aussi l’impression que ces composants doivent être accessible de l’extérieur de ce réseau de composant (sinon, il n’aurait jamais eu d’accès à partir du réseau local et donc pas d’interférence).
Je voyais donc la possibilité que ces composant soient plutôt isolé dans un sous réseau local (avec leur propre baille d’IP) qui possède une IP dans le réseau local. Mais du coup, il faut un routeur pour géré le routeur… <img data-src=" /> mouai, on est pas sortie


fred42 Abonné
Le 10/04/2018 à 08h50

Le problème est peut-être déjà corrigé. Tu es le deuxième à dire que ça marche ou tu n’utilises peut-être pas le Wi-Fi.


Jarodd Abonné
Le 10/04/2018 à 08h51

J’ai une Livebox mais je ne sais pas si c’est la “4”… Est-ce la blanche qui est fournie pour les offres fibre (Orange/Sosh) ?


MilouseBW
Le 10/04/2018 à 08h53
Leum Abonné
Le 10/04/2018 à 08h57






Minikea a écrit :

ha mais je dis pas le contraire. juste que, du coup, c’est pas la seul technique possible sur un même système Unix. (après la livebox n’est peut-être pas basée sur du Unix mais ça serait un peu étrange de réinventer la roue)


Il y a des équipements réseaux qui utilisent des OS temps réel, du classique pour l’embarqué.

VxWorks me semble être le plus populaire.

Par contre ce qui me surprends c’est que Wikipedia liste OS X et iOS comme OS temps réel sur la page en français. Un plaisantin?



Daweb Abonné
Le 10/04/2018 à 08h58






tanguy_k a écrit :

Déjà si on pouvait changer le resolveur DNS de la livebox ça serait bien.
Là on est obligé de faire la manip sur chaque appareil.



Carrément, c’est chiant ce truc…
Ou alors faut se faire un serveur DHCP sur un synopsis par exemple. Mais ca complique le truc

C’est pourtant une base de pouvoir régler cela..’



AltreX
Le 10/04/2018 à 09h00

hum pourquoi de pas mettre un genre de proxy devant comme ça il y a un réseau dédié pour les coms Wi-Fi et derrière tu rends l’interface Proxy réseau local configurable par l’utilisateur au besoin.
Après je n’ai pas étudié le problèmes réellement je me base simplement sur les commentaire, du coup il y a peu-être d’autres points bloquants.


Jarodd Abonné
Le 10/04/2018 à 09h03

Ok merci, il va falloir que je vérifie, je ne suis pas sûr d’avoir ce modèle…


fred42 Abonné
Le 10/04/2018 à 09h05

Je ne comprends pas ta notion de proxy dans ce contexte. Lire mon premier commentaire sous cet article, j’explique un peu plus le contexte et les difficultés à résoudre.


Minikea
Le 10/04/2018 à 09h10






tazvld a écrit :

J’ai l’impression que les adresses sont hardcodé dans le firmeware (en soit, ça évite des indirections à tout va). J’ai aussi l’impression que ces composants doivent être accessible de l’extérieur de ce réseau de composant (sinon, il n’aurait jamais eu d’accès à partir du réseau local et donc pas d’interférence).
Je voyais donc la possibilité que ces composant soient plutôt isolé dans un sous réseau local (avec leur propre baille d’IP) qui possède une IP dans le réseau local. Mais du coup, il faut un routeur pour géré le routeur… <img data-src=" /> mouai, on est pas sortie


ou alors utiliser une ou des IP publique mais qu’il possède. Orange est un FAI, il n’a qu’à se réserver deux IP publiques qu’il réutilisent dans ses box. là il est sûr que personne ira les piquer. ça reste crade mais il n’aurait pas le problème qu’il rencontre aujourd’hui.



Plastivore Abonné
Le 10/04/2018 à 09h11






Daweb a écrit :

Carrément, c’est chiant ce truc…
Ou alors faut se faire un serveur DHCP sur un synopsis par exemple. Mais ca complique le truc

C’est pourtant une base de pouvoir régler cela..’



Au risque de la jouer Captain Obvious, je pense que c’est tout simplement pour nous “inciter” à utiliser les DNS de l’opérateur. J’ai vu ça chez Sky et Virgin au Ryaume-Uni, aussi. Pas cool. Depuis le temps que je veux metter dnsmasq sur une de mes pi…



fred42 Abonné
Le 10/04/2018 à 09h15

Ce n’est pas Orange qui a choisi ces 2 adresse IP mais leur fournisseur de chipset Wi-Fi : Quantenna.
Ils auraient pu faire comme cela avec des adresses IP à eux, j’y ai aussi pensé, mais rien n’empêche une ré-attribution d’adresses IP à quelqu’un d’autre a priori, donc cela aurait pu être problématique, même si moins probable.


grunge666 Abonné
Le 10/04/2018 à 09h16






Plastivore a écrit :

Au risque de la jouer Captain Obvious, je pense que c’est tout simplement pour nous “inciter” à utiliser les DNS de l’opérateur.&nbsp;


Pas uniquement. C’est aussi pour des raisons de sécurité et qu’un “virus/trojan” modifie le DNS de la gateway par un fake DNS qui renverrait vers des faux site par exemple.



jdloic Abonné
Le 10/04/2018 à 09h16

Ils auraient du prendre des adresses IP 127.0.0.0/8 ou au moins non-routable&nbsp;<img data-src=" />


TheGuit Abonné
Le 10/04/2018 à 09h28






fred42 a écrit :

Et tu interdis donc d’utiliser cette adresse sur le réseau privé derrière la Livebox : tu n’as fait que reporter le problème. Comme je le dis dans mon message précédent, il faut taper dans une plage d’adresses privées mais être capable d’en changer si celle-ci est utilisée, ce n’est pas si simple à mettre en place.


C’est quand même beaucoup moins grave de bloquer 1 ip dans une plage privé qu’une ip dans une plage publique. Avec 16 millions d’IP dans la place 10.x.x.x je suis pas sur et certains que le problèmes soit insurmontable. Surtout que bon le pékin moyen ne joue jamais dans la place 10. Et l’entreprise qui utilise une Livebox sur son réseau tant pis pour elle <img data-src=" />.



fred42 Abonné
Le 10/04/2018 à 09h32

Tu aurais pu lire les commentaires précédents.


Nozalys Abonné
Le 10/04/2018 à 09h34






Jarodd a écrit :

J’ai une Livebox mais je ne sais pas si c’est la “4”… Est-ce la blanche qui est fournie pour les offres fibre (Orange/Sosh) ?


Ah, bah en fait c’est parce que c’est pas la 4 dont je dispose. Moi c’est la boîte noire avec un écran LCD orange en face avant et qui tombe en panne comme une horloge tous les 365 jours d’activité. <img data-src=" />

Oh, wait….. En fait c’est exactement la même description entre la 3 et la 4 <img data-src=" />



fred42 Abonné
Le 10/04/2018 à 09h38

  1. ce n’est pas Orange qui a choisi ces adresses mais le fournisseur de chipset Wi-Fi qui doit être aussi utilisé sur du matériel pro.


    1. quand tu as conscience d’un problème (ne pas utiliser une adresse IP qui peut être utilisée par d’autres, tu le traites complètement (y compris pour les plages d’adresses privées), et ce n’est pas si simple comme je l’ai indiqué. En fait, je parle d’expérience, j’ai déjà été confronté à ce genre de problématique sur des produits très différents et on y avait réfléchit en détail pour finir par choisir la plage 169.254 sans être très fiers de ce choix, mais il nous avait semblé le moins mauvais.



fred42 Abonné
Le 10/04/2018 à 09h40

<img data-src=" /> C’est la 3 que tu as, la Play, comme chez moi. Elle ne tombe pas en panne ici.


Mihashi Abonné
Le 10/04/2018 à 09h45






fred42 a écrit :




  1. ce n’est pas Orange qui a choisi ces adresses mais le fournisseur de chipset Wi-Fi qui doit être aussi utilisé sur du matériel pro.


    1. quand tu as conscience d’un problème (ne pas utiliser une adresse IP qui peut être utilisée par d’autres, tu le traites complètement (y compris pour les plages d’adresses privées), et ce n’est pas si simple comme je l’ai indiqué. En fait, je parle d’expérience, j’ai déjà été confronté à ce genre de problématique sur des produits très différents et on y avait réfléchit en détail pour finir par choisir la plage 169.254 sans être très fiers de ce choix, mais il nous avait semblé le moins mauvais.


      Et le chipset wifi peut pas avoir une IP privée affectée par DHCP ? (question de béotien, ne pas taper si elle est stupide <img data-src=" />)




AltreX
Le 10/04/2018 à 09h48

Je parlais de proxy dans le sens ou la config box -&gt; Wi-fi ne peut pas être dynamique, la composante proxy permettrais de cloisonner ce réseaux fixe, et de rendre dynamique son accession grâce à la configuration de ce dit proxy.
C’était juste une réflexion sur les problématiques précédemment énoncées, et une potentielle résolution en fonction de ce que j’avais compris.
Mais c’est peu-être hors propos.


fred42 Abonné
Le 10/04/2018 à 09h50

Si elle pourrait éventuellement, mais il faudrait quand même que la partie routeur de la livebox la récupère pour la connaître et ça ferait une adresse de moins de disponible dans la plage. Il vaut donc mieux une plage d’adresse différente de la plage d’adresse réseau privé géré par la box. (Dans le cas auquel j’avais été confronté, cela n’était pas possible, c’était une émulation d’internet sur un lien USB.)


fred42 Abonné
Le 10/04/2018 à 09h55

Tu expliques “proxy” par “proxy”, je n’ai toujours rien compris. <img data-src=" />

C’est quoi un proxy pour toi dans ce contexte ?


levhieu
Le 10/04/2018 à 10h18

Si le fabricant de chipset donne la même adresse IP à tous ses composants, c’est bien qu’il s’attend à ce que cette adresse ne soit pas visible de l’extérieur. Donc, sans dédouaner totalement le fournisseur, Orange s’est planté en laissant fuiter cette adresse.


levhieu
Le 10/04/2018 à 10h19

Le coût de licence de VxWorks me parait incompatible avec la recherche d’économie dans tous les sens qui s’applique sur les box FAI


fred42 Abonné
Le 10/04/2018 à 10h31

Ce n’est pas qu’une question de coût, sur de gros volumes, ça pourrait beaucoup baisser.
C’est aussi que Linux sur ce genre de produits est nettement supérieur à la fois sur la qualité de la pile réseau et des softs disponibles. Ce n’est pas pour rien que Wind River a aussi une offre Linux pour couvrir cette part de marché.
En plus, on n’a pas besoin d’un “temps réel dur” sur ces produits.


Seazor Abonné
Le 10/04/2018 à 10h38

Il me semble que dans certaines entreprises ou hôtels, le portail captif pour les clients se trouve sur cette IP.


seboquoi
Le 10/04/2018 à 10h39

Avec tout ça (et les autres lectures sur le sujet), je ne me suis toujours pas déterminé à utiliser ces DNS alternatifs..


AltreX
Le 10/04/2018 à 10h44

Hum désolé effectivement c’était pas très clair, j’entends par proxy dans ce cas une système qui va recevoir un flux qu’il va rediriger vers une destination différente et potentiellement sur un réseau différent (dans notre cas c’est donc un reverse proxy), mais ce n’est pas le rôle à la base d’un proxy ou reverse proxy en soit, c’est juste quelque chose que je connais pouvant s’en rapprocher, en soit un NAT pourrais aussi correspondre au besoin.


Jarodd Abonné
Le 10/04/2018 à 10h45

En fait j’ai un boitier noir et un boitier blanc. J’ai un doute sur lequel est la Livebox 4 (vu la photo ça doit être le noir).


fred42 Abonné
Le 10/04/2018 à 10h52

Pour connaître le modèle de box, aller dans le menu assistance du site WEB de la box et choisir informations systèmes.

Chez moi, je vois :
modèle Livebox 3

Comme tu as un mélange de box noire et blanche, j’aurais tendance à dire que tu as aussi une Livebox 3.


Apone Abonné
Le 10/04/2018 à 11h02

bah ?
et IPV6 ??


Jarodd Abonné
Le 10/04/2018 à 11h23

Merci, je testerai ce soir <img data-src=" />


WereWindle
Le 10/04/2018 à 11h27






Apone a écrit :

bah ?
et IPV6 ??


déjà répondu plus haut : ça aurait juste déplacé le problème, l’aurait un peu mitigé mais ne l’aurait pas empêché de se produire <img data-src=" />



Linuxation
Le 10/04/2018 à 11h45

Pour obtenir une liaison avec des résolveurs DNS libres, réactifs (proches de chez soi) et non mouchards :
https://www.opennic.org/


trexmaster
Le 10/04/2018 à 11h49






Commentaire_supprime a écrit :

C’était pas possible d’éviter ce genre de gag ? Peut-on faire communiquer les composants en interne d’une box, ou d’un appareil correspondant, sans prendre des adresses IP externe, voire des adresses IP tout court ?

C’est une question, le problème m’intéresse d’un point de vue technique. En plus, j’ai une LB 4…


Si tu savais le nombre de boites qui utilisent des ranges publics pour leurs LANs … Y compris des (très) grands groupes …



grdnico Abonné
Le 10/04/2018 à 11h58

Bonjour ,

Si le développement du système WiFi mis en cause est récent, ils auraient pu utiliser une plage en /30 dans 100.64.0.0/10 ( pour ceux qui ne connaissent pas du private network utilisé par les FAI). &nbsp;

&nbsp;cdlt,


KBO Zoreil
Le 10/04/2018 à 12h25

Ha yes je vois l’idée, merci pour vos réponses !


jaguar_fr Abonné
Le 10/04/2018 à 12h48

ils utilisaient Linux + des logiciels libres, ça doit être toujours le cas et ils publient les sources ici:
https://opensource.orange.com/en/software/home-sofware/


Geronimo54 Abonné
Le 10/04/2018 à 12h48

Dans le même ordre d’idée orange reroute systématiquement le port 21 vers leur serveur mail. Difficile d’auto-héberger à la maison son serveur d’email du coup…


cognitys Abonné
Le 10/04/2018 à 12h54

Tous les&nbsp;[fournisseurs d’accès Internet espagnols]&nbsp;ont le même souci » détaille le spécialiste.&nbsp; nop aucun soucis chez adamo.es


Remilitaire Abonné
Le 10/04/2018 à 13h05

Tu nous conseilles quel serveur pour la France ?


ErGo_404
Le 10/04/2018 à 13h37

Tu veux dire qu’on devrait utiliser un résolveur DNS contrôlé par des individus, qui n’y connaissent peut-être rien du tout à la sécurité ou pire qui sont malveillants et sur lesquels personne n’exerce le moindre contrôle ?


127.0.0.1
Le 10/04/2018 à 13h43

+1.

Au pire le block 240.0.0.0/4 aurait été mieux qu’une adresse publique.


XMalek
Le 10/04/2018 à 14h10

Tu veux dire qu’ils ont enfin fait l’interception correcte des requêtes ? Non parce que sfr intercepte les requêtes vers opendns/google pour les timeout et/ou utiliser ses résultats…


fred42 Abonné
Le 10/04/2018 à 14h27

Jamais bon d’utiliser quelque chose de réservè pour usage futur.

À la limite 192.0.2.0/24 ou une des 2 autres plages réservées pour être utilisées en exemple dans les documentations.

Je viens de découvrir. Au moins, il y a peu de risque d’interférence.


levhieu
Le 10/04/2018 à 14h28

Je n’ai cité que le coût parce que ça me semblait l’argument le plus rapide.
À ce sujet, je ne crois pas que la baisse à l’unité liée à la montée en quantité soit suffisante, parce que j’ai vu des fabricants d’imprimantes laser envisager de renoncer à VxWork pour cette raison de coût.

Mais sinon, je suis d’accord sur les 2 autres arguments: La logithèque Linux imbattable, et une box ne nécessite pas de temps réel dur en dehors des traitements réseau, qui sont délégués aux bloc HW dédiés.


fred42 Abonné
Le 10/04/2018 à 14h35

Pour avoir vécu le passage d’un OS temps réel (autre que VxWorks) à Linux justement dans le domaine des imprimantes laser, je sais que le coût R&D de réécriture/portage est colossal et qu’il aurait permis de payer beaucoup de licences.

On l’avait fait pour les autres raisons.


ajangot Abonné
Le 10/04/2018 à 14h48

Pour bosser sur du VxWorks tous les jours (hélas), ce n’est pas le cout de la licence (15k€/an/poste) mais les royalties qui sont exorbitants !!! pour du projet militaire, on est sur du 2,5k€ par cible materiel, usage unique donc quand tu change de matos, tu repayes, tu veux changer par exemple le CPU, tu repayes, tu changes le code avec un nouvelle librairie, tu repayes, bref tu payes bcp.
Et autre chose, tu dois rendre des compte à Wind River tous les 3 mois sur les applications que tu développes même ceux que tu as livré chez ton client….bref si je pouvais tous passer par du linux…..


boogieplayer
Le 10/04/2018 à 15h19

Pour ma part j’utilise et utiliserai 9.9.9.9 parce que cloudflare a déjà trop d’importance et est devenu un point de vulnérabilité du web. C’est donc inutile, de mon point de vue, d’utiliser 1.1.1.1 surtout le souk que ça met sur les routeurs.

Donc bon courage à admin à qui on imposera le 1.1.1.1 comme résolveur <img data-src=" />


levhieu
Le 10/04/2018 à 15h34

My bad, c’est bien aux «royautés» que je pensais


KP2
Le 10/04/2018 à 15h52






Hugues1337 a écrit :

Le 1.1.1.1 utilisé en interne c’est sale mais pas à 100% de leur faute, pendant très longtemps cette plage était expérimentale…



Ouais mais c’est pas une raison. C’est une plage qui est hors rfc1918 donc on l’utilise pas, point.
Franchement, je trouve qu’Orange et son constructeur sont vraiment des abrutis sur cette histoire.



KP2
Le 10/04/2018 à 15h54






boogieplayer a écrit :

Donc bon courage à admin à qui on imposera le 1.1.1.1 comme résolveur <img data-src=" />



Personne n’impose à personne d’utiliser un resolveur ou un autre. Et puis, il y a toujours la solution d’installer son propre resolveur. C’est pas excessivement compliqué (c’est même la conf par défaut de pratiquement tous les serveurs dns du marché)



KP2
Le 10/04/2018 à 16h01






fred42 a écrit :

La faute initiale est celle du fabricant du chipset, le problème peut peut-être être résolu uniquement en travaillant sur les tables de routages interne de la box, mais j’ai un peu la flemme d’y réfléchir.



Franchement, je comprends pas pourquoi il faudrait adresser les 2 morceaux dans ce cas. Ils pourraient très bien les laisser au niveau 2 et ça marcherait très bien. Pourquoi faire du routage ? ca me parait absurde…



bruce Abonné
Le 10/04/2018 à 16h01






Geronimo54 a écrit :

Dans le même ordre d’idée orange reroute systématiquement le port 21 vers leur serveur mail. Difficile d’auto-héberger à la maison son serveur d’email du coup…


C’est pas plutôt le port 25? 21 c’est FTP ;)
&nbsp;
Le port 25 est souvent bloqué pr les opérateurs car utilisé par les spambots et autres malwares.
&nbsp;
Pour l’hébergement maison, tout serveur de mail digne de ce nom propose un autre port, au moins le 587 ou le 465 (pour les connexions chiffrées), il ne devrait pas y avoir de problème.



boogieplayer
Le 10/04/2018 à 16h08






KP2 a écrit :

Personne n’impose à personne d’utiliser un resolveur ou un autre. Et puis, il y a toujours la solution d’installer son propre resolveur. C’est pas excessivement compliqué (c’est même la conf par défaut de pratiquement tous les serveurs dns du marché)



On est bien d’accord chacun fait comme il veut. Mais dans les entreprises y’a des DSI un peu fous qui sautent sur la première news venue et qui impose sans procès au tech/dev/admin de faire avec la mode du moment. Je prends le pari qu’il a en ce moment des admin qui s’arrachent les cheveux parce qu’un N+1 /+2 /+3 qui vient de leur imposer le 1.1.1.1 parce que… “c’est comme ça” (exemple d’explication, non exhaustif )



Commentaire_supprime
Le 10/04/2018 à 16h08






boogieplayer a écrit :

Pour ma part j’utilise et utiliserai 9.9.9.9 parce que cloudflare a déjà trop d’importance et est devenu un point de vulnérabilité du web. C’est donc inutile, de mon point de vue, d’utiliser 1.1.1.1 surtout le souk que ça met sur les routeurs.

Donc bon courage à admin à qui on imposera le 1.1.1.1 comme résolveur <img data-src=" />



+1.

Installé 9.9.9.9 sur la partie logicielle de la connexion RJ45 de ma station de travail. Fonctionne bien.



boogieplayer
Le 10/04/2018 à 16h11

Yep d’autant plus que 1.1.1.1 ne propose rien de plus que propose 9.9.9.9 Donc inutile de mettre trop d’œufs dans le panier de cloudflare. Soyons raisonnables et dispatchons, ça délayera le risque.


Poppu78
Le 10/04/2018 à 16h30

OK,
mais même en utilisant du lien Ethernet ils auraient pu utiliser autre chose que de l’IP quitte à mettre un protocole propriétaire puisque c’est de toute façon de la communication point à point en interne.


SebGF Abonné
Le 10/04/2018 à 17h19






Geronimo54 a écrit :

Dans le même ordre d’idée orange reroute systématiquement le port 21 vers leur serveur mail. Difficile d’auto-héberger à la maison son serveur d’email du coup…



Comme signalé par quelqu’un plus haut, tu dois vouloir dire port 25 pour le SMTP.

Un serveur de mail, c’est aussi celui qui héberge le courrier à proprement parler (imap, etc) et ça c’est pas restreint à ma connaissance.
Pour ma part, afin d’éviter les risques d’un SMTP qui parte en couille à cause d’un défaut de conf ou se fasse blacklister pour X raisons, j’ai choisi une autre option. Mon SMTP relaye à celui de Numericable.

Seul souci actuel, cc’est que mon SMTP n’accepte de relayer que ce qui vient d’IP précises (en gros j’ai autorisé que ma publique + le LAN). Donc je ne peux pas envoyer de mail via mon portable en 4G par exemple… Mais comme j’en ai besoin 2 fois dans l’année, j’ai le temps de trouver une autre solution. <img data-src=" />



athlon64
Le 10/04/2018 à 17h19






boogieplayer a écrit :

On est bien d’accord chacun fait comme il veut. Mais dans les entreprises y’a des DSI un peu fous qui sautent sur la première news venue et qui impose sans procès au tech/dev/admin de faire avec la mode du moment. Je prends le pari qu’il a en ce moment des admin qui s’arrachent les cheveux parce qu’un N+1 /+2 /+3 qui vient de leur imposer le 1.1.1.1 parce que… “c’est comme ça” (exemple d’explication, non exhaustif )


Expliquer qu’il y a des normes ça marche pas ?



Etre_Libre Abonné
Le 10/04/2018 à 17h38

Pour moi OpenNIC n’est pas assez fiable, au bout de quelques mois je devais souvent changer de DNS dans leur liste, pas très gérable.


Exagone313 Abonné
Le 10/04/2018 à 19h45

Les plages d’adresses IP réservées sont visibles sur cette page (en anglais).


Exagone313 Abonné
Le 10/04/2018 à 19h55

Et toute la plage 127.0.0.0/8 est dispo, la plupart des gens ne connaissent que 127.0.0.1.
Si ça se trouve ils ont plusieurs machines dans une livebox, ou ils utilisent des machines virtuelles (oups, c’est de l’embarqué). <img data-src=" />


Exagone313 Abonné
Le 10/04/2018 à 19h58

Faut bien augmenter son compteur de commentaire à un moment donné.


KP2
Le 10/04/2018 à 20h21






boogieplayer a écrit :

On est bien d’accord chacun fait comme il veut. Mais dans les entreprises y’a des DSI un peu fous qui sautent sur la première news venue et qui impose sans procès au tech/dev/admin de faire avec la mode du moment. Je prends le pari qu’il a en ce moment des admin qui s’arrachent les cheveux parce qu’un N+1 /+2 /+3 qui vient de leur imposer le 1.1.1.1 parce que… “c’est comme ça” (exemple d’explication, non exhaustif )



Bof, je pense pas… y’a des tarés chez les DSI (et plus haut) mais pas la dessus. Personne ne comprend rien à DNS et à son importance alors je doute que ce genre de situation survienne à grande échelle.
Après, je suis sur que dans le monde, on trouvera bien 2 ou 3 cas extrêmes de ce genre mais de là à s’en alarmer…

Par contre, y’a plus de risques d’avoir qq PME dont l’authentificaction AD deconnera sérieusement car le tech info (le fameux « responsable informatique ») aura pris l’initiactive de bricoler les resolveurs DNS de son réseau sans rien y comprendre aux conséquences… (déjà vu)



Zergy
Le 10/04/2018 à 22h38

J’ai une Livebox 4 mais vu que j’utilise un VPN FDN sur mon routeur perso (la LB4 ne sert que de modem) je n’ai pas de problème.
Sinon, faut dire à Orange que les IP privé de classe A, B et C ça existe.


lordofkill
Le 11/04/2018 à 03h54

Quand cloudflare parle de vie privé ou de liberté et que de l’autre coté on leur rapporte des site violant les loi de l’UE , du canada , des USA et j’en passe ,&nbsp;
Tel des site de vente de donnée personnel ou de faille de sécurité&nbsp;
Ou encore leur fameux cookie obligatoire pour supposément sépsré les bonne mahcine des mauvaise&nbsp;

J’ai un gros doute sur leur véritable but


J’ai du me battre pour faire retiré des donnée privé sur un siteweb et même ils disaient non responsable de ce que le site affichais même aprés trois plainte et le pire le site continu a opéré sur le service cloudflare&nbsp;

Je douterais même pas que cloudflare organise eux même des attaque ddos


boogieplayer
Le 11/04/2018 à 06h05






athlon64 a écrit :

Expliquer qu’il y a des normes ça marche pas ?


quel rapport avec ce que je viens d’écrire ?



athlon64
Le 11/04/2018 à 07h07

Les dev/sysadmin etc. ne sont ils pas censés expliquer a leurs chefs les normes et pourquoi ils ne devraient pas le faire ?


patos Abonné
Le 11/04/2018 à 07h26






SebGF a écrit :

Comme signalé par quelqu’un plus haut, tu dois vouloir dire port 25 pour le SMTP.

Un serveur de mail, c’est aussi celui qui héberge le courrier à proprement parler (imap, etc) et ça c’est pas restreint à ma connaissance.
Pour ma part, afin d’éviter les risques d’un SMTP qui parte en couille à cause d’un défaut de conf ou se fasse blacklister pour X raisons, j’ai choisi une autre option. Mon SMTP relaye à celui de Numericable.

Seul souci actuel, cc’est que mon SMTP n’accepte de relayer que ce qui vient d’IP précises (en gros j’ai autorisé que ma publique + le LAN). Donc je ne peux pas envoyer de mail via mon portable en 4G par exemple… Mais comme j’en ai besoin 2 fois dans l’année, j’ai le temps de trouver une autre solution. <img data-src=" />


Un SMTPS avec un port batard et une identification différente de ton mail mais rattachée à lui et roulez jeunesse (je faisais comme ça avant de me servir finalement d’outlook.com… )



madz06 Abonné
Le 11/04/2018 à 07h26

Ce genre de blague illustre parfaitement la légèreté avec laquelle nos FAIs considèrent leurs eyeballs clients, aucune box grand public ne tient la route.
Un SoC avec ce type de configuration scabreuse n’aurait jamais du être qualifié, et quand bien même ce serait le seul sur le marché, si des développeurs avec des connaissances réseau avaient réalisé le firmware de la box, ils auraient à minima isolé ça dans une table de routage séparée (VRF pour les intimes) pour ne pas mettre la pagaille du côté utilisateur.
À la place on a surement mis des stagiaires sur le coup et un marketeux chef de projet&nbsp;product owner&nbsp;qui a dit “c’est pas grave ce sera jamais utilisé ailleurs”.


anonyme_5e803125853bedc538ea8905114f61fa
Le 11/04/2018 à 07h52

Il reste la solution VPN… La majorité utilise leur propre serveur DNS.


boogieplayer
Le 11/04/2018 à 08h13






athlon64 a écrit :

Les dev/sysadmin etc. ne sont ils pas censés expliquer a leurs chefs les normes et pourquoi ils ne devraient pas le faire ?


Oui c’est vrai. Mais dans les vrai vie… <img data-src=" />



levhieu
Le 11/04/2018 à 08h28






madz06 a écrit :

si des développeurs avec des connaissances réseau avaient réalisé le firmware de la box



On peut rêver…



TheMyst Abonné
Le 11/04/2018 à 10h56

Perso, comme conseillé par différentes personnes dans la news précédente, j’ai mis en place un service unbound sur un raspberry-pi chez moi.
Je n’ai pas senti de différence particulière, et ça fonctionne bien.
(Mais faudrait que je valide que ça fonctionne réellement&nbsp;<img data-src=" />)


athlon64
Le 11/04/2018 à 11h46

Les chefs sont incompétents ? <img data-src=" />


Minikea
Le 11/04/2018 à 12h33

perso, j’ai utilisé dnsmasq mais c’est parce que j’ai d’autres besoins en plus du DNS. (PXE, adblock par DNS,…)


vermi
Le 11/04/2018 à 15h00






TheGuit a écrit :

C’est d’autant plus gag/grave que personne ne me fera croire que c’était TELLEMENT plus simple d’écrire 1.1.1.1 que d’écrire 10.0.0.0 qui lui est disponible en utilisation privée.&nbsp;


C’est clair, ou même utiliser une IP “Link Local” :&nbsphttps://en.wikipedia.org/wiki/Link-local_address#IPv4



fred42 Abonné
Le 11/04/2018 à 17h17

Je l’ai déjà proposé plus haut. <img data-src=" />


ForceRouge Abonné
Le 11/04/2018 à 20h19

Perso, j’ai deux serveurs DNS maison, dont un qui est le résolveur du synology.

Sinon, y a pas que google, quad-nine et cloud flare.

Level 3: 209.244.0.3 209.244.0.4
Verisign: 64.6.64.6 64.6.65.6


Etre_Libre Abonné
Le 12/04/2018 à 05h13

Pour VeriSign je les trouve pas mal, par contre Level 3 je l’ai déjà trouvé menteur, ça j’aime pas du tout.

Exemple :

&gt; server 209.244.0.3
Serveur par défaut : resolver1.level3.net
Address: 209.244.0.3

&gt; freeeeeeeeeeee31531255.fr
Serveur : resolver1.level3.net
Address: 209.244.0.3

Réponse ne faisant pas autorité :
Nom : freeeeeeeeeeee31531255.fr
Addresses: 198.105.254.11



       104.239.213.7   



&gt; server 9.9.9.9
Serveur par défaut : dns.quad9.net
Address: 9.9.9.9

&gt; freeeeeeeeeeee31531255.fr
Serveur : dns.quad9.net
Address: 9.9.9.9

*** dns.quad9.net ne parvient pas à trouver freeeeeeeeeeee31531255.fr : Non-existent domain


Quiproquo Abonné
Le 12/04/2018 à 05h58

L’un n’empêche pas l’autre.


Minikea
Le 12/04/2018 à 09h04

c’est vrai. <img data-src=" />
du coup mon dnsmasq pointe vers quad9 de base


ForceRouge Abonné
Le 12/04/2018 à 18h47

Oups, bien vu.

Hop level 3 =&gt; rayé de ma liste.


Geronimo54 Abonné
Le 13/04/2018 à 07h51

Merci pour les conseils. Je parlais effectivement du port 25 au début.


aphyo
Le 16/04/2018 à 09h45

Oui c’est possible en IP sans créer de conflit, il suffit d’utiliser les IPs 127.0.0.0/8 qui sont réservés précisément à cet usage.


fred42 Abonné
Le 16/04/2018 à 10h35

Cette plage ne concerne qu’un host local et pas 2 éléments de la box reliés par Ethernet comme ici.

127.0.0.0/8 - This block is assigned for use as the Internet host



loopback address.  A datagram sent by a higher level protocol to an   
address anywhere within this block should loop back inside the host.
This is ordinarily implemented using only 127.0.0.1/32 for loopback,
but no addresses within this block should ever appear on any network
anywhere [RFC1700, page 5]. (RFC 3330)



Quand on répond 6 jours après, on lit les commentaires déjà faits pour éviter d’écrire une bêtise.


dylem29 Abonné
Le 16/04/2018 à 13h15

T’es méchant toi. <img data-src=" />&nbsp;


fred42 Abonné
Le 16/04/2018 à 13h19

Non, j’ai été gentil, j’ai écrit bêtise alors que j’hésitais entre ânerie et connerie au début. <img data-src=" />