Attention suivi positionné sur le forum fr.comp.sys.mac.communication
Notamment car les forums réseaux semble peu actif.
Bonjour,
Je souhaite partager ici un problème récurrent et très étrange que je
rencontre régulièrement à la maison.
Contexte
--------
Connextion Free ADSL lente (bout de ligne), débit environ 1,2 Mbps.
Vielle maison à la campagne avec murs épais, avec pas trop de
possibilité de connection filaire, donc plutot sans fils du coup.
Box : Free Mini 4K avec boitier Android TV relié en CPL.
2 réseaux :
* wifi sans fil avec répéteur pour les ordinateurs
- 1 imac
- 1 ipad
- PC windows 10
- PC Linux Debian
* CPL pour la box android TV
Problématique
-------------
Par moment perte d'internet sur certains poste, notamment les postes
MacOS et Linux (rarement Windows). Cette perte se traduit par un
phénomène fort bizarre. Les sites internet ne répondent pas (firefox
retourne une erreur de non connection) ; par contre certains sites
internet marchent, notamment google, wikipedia et facebook (même si ils
sont plus lent que d'habitude). En général sur le PC Windows ça tout
fonctionne correctement...
Le standard de config c'est les DNS par défaut de free, j'ai aussi
essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner
mieux.
Pour revenir à la normale il y a cas possibles (mais ça semble surtout
aléatoire) :
* parfois un simple redémarrage d ela box suffit
* parfois une resynchro des boitiers CPL
* parfois rien n'y fait faut attendre plusieurs jours
Du coup au final ça ressemble un soucis DNS, mais uniquement sur MacOS
et Linux mélé peut être à un soucis entre wifi et CPL...
Si vous avez des pistes, je suis preneur car c'est fort agaçant quand se
produit.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JKB
Le Mon, 18 Nov 2019 10:08:17 +0100, Pierre-Alain Dorange écrivait :
Attention suivi positionné sur le forum fr.comp.sys.mac.communication Notamment car les forums réseaux semble peu actif.
Xpost, je ne suis pas abonné à fcsmc. Fu2: fr.comp.reseaux.ip
Bonjour,
Bonjour,
Je souhaite partager ici un problème récurrent et très étrange que je rencontre régulièrement à la maison. Contexte -------- Connextion Free ADSL lente (bout de ligne), débit environ 1,2 Mbps. Vielle maison à la campagne avec murs épais, avec pas trop de possibilité de connection filaire, donc plutot sans fils du coup.
Même chose, mais pas avec le même FAI (Nérim) et avec 6Mbps. Pas de TV, pas de CPL, tout en filaire.
Box : Free Mini 4K avec boitier Android TV relié en CPL. 2 réseaux : * wifi sans fil avec répéteur pour les ordinateurs - 1 imac - 1 ipad - PC windows 10 - PC Linux Debian * CPL pour la box android TV Problématique ------------- Par moment perte d'internet sur certains poste, notamment les postes MacOS et Linux (rarement Windows). Cette perte se traduit par un phénomène fort bizarre. Les sites internet ne répondent pas (firefox retourne une erreur de non connection) ; par contre certains sites internet marchent, notamment google, wikipedia et facebook (même si ils sont plus lent que d'habitude). En général sur le PC Windows ça tout fonctionne correctement... Le standard de config c'est les DNS par défaut de free, j'ai aussi essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner mieux.
Même constatation chez moi. La configuration est un peu différente : - modem Philips ; - routeur NetBSD (qui fait tourner un proxy squid et qui sert de DNS). Les postes Linux tapant sur le squid se prennent des timeout aléatoires. La résolution de nom se fait correctement (squid donne l'adresse IP). Pas de problème visible sous FreeBSD. Pas de problème de MTU. Chose intéressante. J'ai un VPN qui tape sur un broker IPv6. Les sites IPv6 ne montrent pas le dysfonctionnement. Pour être tout à fait honnête, j'utilise un serveur à 500 bornes que j'héberge et qui est aussi sur une connexion Nérim.
Pour revenir à la normale il y a cas possibles (mais ça semble surtout aléatoire) : * parfois un simple redémarrage d ela box suffit * parfois une resynchro des boitiers CPL * parfois rien n'y fait faut attendre plusieurs jours Du coup au final ça ressemble un soucis DNS, mais uniquement sur MacOS et Linux mélé peut être à un soucis entre wifi et CPL... Si vous avez des pistes, je suis preneur car c'est fort agaçant quand se produit.
Lorsqu'un site part en timeout, les autres fonctionnent toujours. Je suspecte donc soit une table NAT du modem pleine (mais cela ne semble pas être le cas), soit un problème de collecte. Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange (pas le choix). Votre collecte est-elle Free ou Orange ? JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Mon, 18 Nov 2019 10:08:17 +0100,
Pierre-Alain Dorange <pierre-alain@pas-de-pub-merci.dorange.email> écrivait :
Attention suivi positionné sur le forum fr.comp.sys.mac.communication
Notamment car les forums réseaux semble peu actif.
Xpost, je ne suis pas abonné à fcsmc. Fu2: fr.comp.reseaux.ip
Bonjour,
Bonjour,
Je souhaite partager ici un problème récurrent et très étrange que je
rencontre régulièrement à la maison.
Contexte
--------
Connextion Free ADSL lente (bout de ligne), débit environ 1,2 Mbps.
Vielle maison à la campagne avec murs épais, avec pas trop de
possibilité de connection filaire, donc plutot sans fils du coup.
Même chose, mais pas avec le même FAI (Nérim) et avec 6Mbps.
Pas de TV, pas de CPL, tout en filaire.
Box : Free Mini 4K avec boitier Android TV relié en CPL.
2 réseaux :
* wifi sans fil avec répéteur pour les ordinateurs
- 1 imac
- 1 ipad
- PC windows 10
- PC Linux Debian
* CPL pour la box android TV
Problématique
-------------
Par moment perte d'internet sur certains poste, notamment les postes
MacOS et Linux (rarement Windows). Cette perte se traduit par un
phénomène fort bizarre. Les sites internet ne répondent pas (firefox
retourne une erreur de non connection) ; par contre certains sites
internet marchent, notamment google, wikipedia et facebook (même si ils
sont plus lent que d'habitude). En général sur le PC Windows ça tout
fonctionne correctement...
Le standard de config c'est les DNS par défaut de free, j'ai aussi
essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner
mieux.
Même constatation chez moi. La configuration est un peu différente :
- modem Philips ;
- routeur NetBSD (qui fait tourner un proxy squid et qui sert de
DNS).
Les postes Linux tapant sur le squid se prennent des timeout
aléatoires. La résolution de nom se fait correctement (squid donne
l'adresse IP). Pas de problème visible sous FreeBSD. Pas de problème
de MTU.
Chose intéressante. J'ai un VPN qui tape sur un broker IPv6. Les
sites IPv6 ne montrent pas le dysfonctionnement. Pour être tout à
fait honnête, j'utilise un serveur à 500 bornes que j'héberge et qui
est aussi sur une connexion Nérim.
Pour revenir à la normale il y a cas possibles (mais ça semble surtout
aléatoire) :
* parfois un simple redémarrage d ela box suffit
* parfois une resynchro des boitiers CPL
* parfois rien n'y fait faut attendre plusieurs jours
Du coup au final ça ressemble un soucis DNS, mais uniquement sur MacOS
et Linux mélé peut être à un soucis entre wifi et CPL...
Si vous avez des pistes, je suis preneur car c'est fort agaçant quand se
produit.
Lorsqu'un site part en timeout, les autres fonctionnent toujours.
Je suspecte donc soit une table NAT du modem pleine (mais cela ne
semble pas être le cas), soit un problème de collecte.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange
(pas le choix). Votre collecte est-elle Free ou Orange ?
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Mon, 18 Nov 2019 10:08:17 +0100, Pierre-Alain Dorange écrivait :
Attention suivi positionné sur le forum fr.comp.sys.mac.communication Notamment car les forums réseaux semble peu actif.
Xpost, je ne suis pas abonné à fcsmc. Fu2: fr.comp.reseaux.ip
Bonjour,
Bonjour,
Je souhaite partager ici un problème récurrent et très étrange que je rencontre régulièrement à la maison. Contexte -------- Connextion Free ADSL lente (bout de ligne), débit environ 1,2 Mbps. Vielle maison à la campagne avec murs épais, avec pas trop de possibilité de connection filaire, donc plutot sans fils du coup.
Même chose, mais pas avec le même FAI (Nérim) et avec 6Mbps. Pas de TV, pas de CPL, tout en filaire.
Box : Free Mini 4K avec boitier Android TV relié en CPL. 2 réseaux : * wifi sans fil avec répéteur pour les ordinateurs - 1 imac - 1 ipad - PC windows 10 - PC Linux Debian * CPL pour la box android TV Problématique ------------- Par moment perte d'internet sur certains poste, notamment les postes MacOS et Linux (rarement Windows). Cette perte se traduit par un phénomène fort bizarre. Les sites internet ne répondent pas (firefox retourne une erreur de non connection) ; par contre certains sites internet marchent, notamment google, wikipedia et facebook (même si ils sont plus lent que d'habitude). En général sur le PC Windows ça tout fonctionne correctement... Le standard de config c'est les DNS par défaut de free, j'ai aussi essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner mieux.
Même constatation chez moi. La configuration est un peu différente : - modem Philips ; - routeur NetBSD (qui fait tourner un proxy squid et qui sert de DNS). Les postes Linux tapant sur le squid se prennent des timeout aléatoires. La résolution de nom se fait correctement (squid donne l'adresse IP). Pas de problème visible sous FreeBSD. Pas de problème de MTU. Chose intéressante. J'ai un VPN qui tape sur un broker IPv6. Les sites IPv6 ne montrent pas le dysfonctionnement. Pour être tout à fait honnête, j'utilise un serveur à 500 bornes que j'héberge et qui est aussi sur une connexion Nérim.
Pour revenir à la normale il y a cas possibles (mais ça semble surtout aléatoire) : * parfois un simple redémarrage d ela box suffit * parfois une resynchro des boitiers CPL * parfois rien n'y fait faut attendre plusieurs jours Du coup au final ça ressemble un soucis DNS, mais uniquement sur MacOS et Linux mélé peut être à un soucis entre wifi et CPL... Si vous avez des pistes, je suis preneur car c'est fort agaçant quand se produit.
Lorsqu'un site part en timeout, les autres fonctionnent toujours. Je suspecte donc soit une table NAT du modem pleine (mais cela ne semble pas être le cas), soit un problème de collecte. Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange (pas le choix). Votre collecte est-elle Free ou Orange ? JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
pierre-alain
JKB wrote: Merci de votre retour rapide.
[...] Lorsqu'un site part en timeout, les autres fonctionnent toujours. Je suspecte donc soit une table NAT du modem pleine (mais cela ne semble pas être le cas), soit un problème de collecte.
C'est une piste intéressante. Toutefois je suis pas sur que ce soit une histoire de timeout. Car quand le problème survient ça concerne tout les sites, sauf Google, wikipedia et facebook (a priori aucun rapport entre les 3). Bien sur j'ai pas testé tout les sites possibles.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange (pas le choix). Votre collecte est-elle Free ou Orange ?
Par contre si je suis bien informaticien à la base (formation initiale) c'est plutot dans le domaine du développement logiciel... En réseau je suis plutot une bille et si "Table NAT" me dis bien quelquechose, je sais pas trop ce que c'est. Quand à la "collecte" je sais pas du tout ce que c'est... -- Pierre-Alain Dorange Moof <http://clarus.chez-alice.fr/> Ce message est sous licence Creative Commons "by-nc-sa-2.0" <http://creativecommons.org/licenses/by-nc-sa/2.0/fr/>
JKB <jkb@koenigsberg.invalid> wrote:
Merci de votre retour rapide.
[...]
Lorsqu'un site part en timeout, les autres fonctionnent toujours.
Je suspecte donc soit une table NAT du modem pleine (mais cela ne
semble pas être le cas), soit un problème de collecte.
C'est une piste intéressante.
Toutefois je suis pas sur que ce soit une histoire de timeout. Car quand
le problème survient ça concerne tout les sites, sauf Google, wikipedia
et facebook (a priori aucun rapport entre les 3). Bien sur j'ai pas
testé tout les sites possibles.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange
(pas le choix). Votre collecte est-elle Free ou Orange ?
Par contre si je suis bien informaticien à la base (formation initiale)
c'est plutot dans le domaine du développement logiciel... En réseau je
suis plutot une bille et si "Table NAT" me dis bien quelquechose, je
sais pas trop ce que c'est. Quand à la "collecte" je sais pas du tout ce
que c'est...
[...] Lorsqu'un site part en timeout, les autres fonctionnent toujours. Je suspecte donc soit une table NAT du modem pleine (mais cela ne semble pas être le cas), soit un problème de collecte.
C'est une piste intéressante. Toutefois je suis pas sur que ce soit une histoire de timeout. Car quand le problème survient ça concerne tout les sites, sauf Google, wikipedia et facebook (a priori aucun rapport entre les 3). Bien sur j'ai pas testé tout les sites possibles.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange (pas le choix). Votre collecte est-elle Free ou Orange ?
Par contre si je suis bien informaticien à la base (formation initiale) c'est plutot dans le domaine du développement logiciel... En réseau je suis plutot une bille et si "Table NAT" me dis bien quelquechose, je sais pas trop ce que c'est. Quand à la "collecte" je sais pas du tout ce que c'est... -- Pierre-Alain Dorange Moof <http://clarus.chez-alice.fr/> Ce message est sous licence Creative Commons "by-nc-sa-2.0" <http://creativecommons.org/licenses/by-nc-sa/2.0/fr/>
JKB
Le Mon, 18 Nov 2019 17:46:08 +0100, Pierre-Alain Dorange écrivait :
JKB wrote: Merci de votre retour rapide.
[...] Lorsqu'un site part en timeout, les autres fonctionnent toujours. Je suspecte donc soit une table NAT du modem pleine (mais cela ne semble pas être le cas), soit un problème de collecte.
C'est une piste intéressante. Toutefois je suis pas sur que ce soit une histoire de timeout. Car quand le problème survient ça concerne tout les sites, sauf Google, wikipedia et facebook (a priori aucun rapport entre les 3). Bien sur j'ai pas testé tout les sites possibles.
Google, wikipedia et facebook utilisent des caches internet.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange (pas le choix). Votre collecte est-elle Free ou Orange ?
Par contre si je suis bien informaticien à la base (formation initiale) c'est plutot dans le domaine du développement logiciel... En réseau je suis plutot une bille et si "Table NAT" me dis bien quelquechose, je sais pas trop ce que c'est. Quand à la "collecte" je sais pas du tout ce que c'est...
La collecte, c'est le réseau d'acheminement. Ce n'est pas parce que vous payez un abonnement à Free que vous avez une collecte Free. Vous pouvez très bien avoir une collecte Orange. Dans mon cas, j'ai une collecte Orange, mais un abonnement Nerim. Ce qui me met la puce à l'oreille, c'est que j'ai déjà vu des proxies transparents dans ces centraux téléphoniques (en plein Paris, Free était à une époque un champion, j'ai des photos). Je suspecte, sur la collecte Orange, un proxy transparent quelque part qui peine à répondre de temps en temps parce que j'ai évacué le problème de table NAT (la translation d'adresse IPv4 entre le réseau public et le réseau privé). Pourquoi ? Lorsque j'observe ce dysfonctionnement, la seule chose qui merdoie sont les ports http/https alors que la table NAT peut encore recevoir de nouvelles adresses. Je peux aussi pinger le serveur injoignable sur http/https. J'ai comme dans l'idée qu'il y a un proxy assez près de chez moi pour faire croire qu'il y a un débit considérable pour certains services. JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Mon, 18 Nov 2019 17:46:08 +0100,
Pierre-Alain Dorange <pierre-alain@pas-de-pub-merci.dorange.email> écrivait :
JKB <jkb@koenigsberg.invalid> wrote:
Merci de votre retour rapide.
[...]
Lorsqu'un site part en timeout, les autres fonctionnent toujours.
Je suspecte donc soit une table NAT du modem pleine (mais cela ne
semble pas être le cas), soit un problème de collecte.
C'est une piste intéressante.
Toutefois je suis pas sur que ce soit une histoire de timeout. Car quand
le problème survient ça concerne tout les sites, sauf Google, wikipedia
et facebook (a priori aucun rapport entre les 3). Bien sur j'ai pas
testé tout les sites possibles.
Google, wikipedia et facebook utilisent des caches internet.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange
(pas le choix). Votre collecte est-elle Free ou Orange ?
Par contre si je suis bien informaticien à la base (formation initiale)
c'est plutot dans le domaine du développement logiciel... En réseau je
suis plutot une bille et si "Table NAT" me dis bien quelquechose, je
sais pas trop ce que c'est. Quand à la "collecte" je sais pas du tout ce
que c'est...
La collecte, c'est le réseau d'acheminement. Ce n'est pas parce que
vous payez un abonnement à Free que vous avez une collecte Free.
Vous pouvez très bien avoir une collecte Orange. Dans mon cas, j'ai
une collecte Orange, mais un abonnement Nerim.
Ce qui me met la puce à l'oreille, c'est que j'ai déjà vu des
proxies transparents dans ces centraux téléphoniques (en plein
Paris, Free était à une époque un champion, j'ai des photos).
Je suspecte, sur la collecte Orange, un proxy transparent quelque part
qui peine à répondre de temps en temps parce que j'ai évacué le problème
de table NAT (la translation d'adresse IPv4 entre le réseau public et
le réseau privé). Pourquoi ? Lorsque j'observe ce dysfonctionnement,
la seule chose qui merdoie sont les ports http/https alors que la
table NAT peut encore recevoir de nouvelles adresses. Je peux
aussi pinger le serveur injoignable sur http/https. J'ai comme
dans l'idée qu'il y a un proxy assez près de chez moi pour faire
croire qu'il y a un débit considérable pour certains services.
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Mon, 18 Nov 2019 17:46:08 +0100, Pierre-Alain Dorange écrivait :
JKB wrote: Merci de votre retour rapide.
[...] Lorsqu'un site part en timeout, les autres fonctionnent toujours. Je suspecte donc soit une table NAT du modem pleine (mais cela ne semble pas être le cas), soit un problème de collecte.
C'est une piste intéressante. Toutefois je suis pas sur que ce soit une histoire de timeout. Car quand le problème survient ça concerne tout les sites, sauf Google, wikipedia et facebook (a priori aucun rapport entre les 3). Bien sur j'ai pas testé tout les sites possibles.
Google, wikipedia et facebook utilisent des caches internet.
Si mon FAI est bien Nérim, la collecte est faite sur un lien Orange (pas le choix). Votre collecte est-elle Free ou Orange ?
Par contre si je suis bien informaticien à la base (formation initiale) c'est plutot dans le domaine du développement logiciel... En réseau je suis plutot une bille et si "Table NAT" me dis bien quelquechose, je sais pas trop ce que c'est. Quand à la "collecte" je sais pas du tout ce que c'est...
La collecte, c'est le réseau d'acheminement. Ce n'est pas parce que vous payez un abonnement à Free que vous avez une collecte Free. Vous pouvez très bien avoir une collecte Orange. Dans mon cas, j'ai une collecte Orange, mais un abonnement Nerim. Ce qui me met la puce à l'oreille, c'est que j'ai déjà vu des proxies transparents dans ces centraux téléphoniques (en plein Paris, Free était à une époque un champion, j'ai des photos). Je suspecte, sur la collecte Orange, un proxy transparent quelque part qui peine à répondre de temps en temps parce que j'ai évacué le problème de table NAT (la translation d'adresse IPv4 entre le réseau public et le réseau privé). Pourquoi ? Lorsque j'observe ce dysfonctionnement, la seule chose qui merdoie sont les ports http/https alors que la table NAT peut encore recevoir de nouvelles adresses. Je peux aussi pinger le serveur injoignable sur http/https. J'ai comme dans l'idée qu'il y a un proxy assez près de chez moi pour faire croire qu'il y a un débit considérable pour certains services. JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Pascal Hambourg
Le 19/11/2019 à 20:40, JKB a écrit :
Je suspecte, sur la collecte Orange, un proxy transparent quelque part qui peine à répondre de temps en temps (...) Pourquoi ? Lorsque j'observe ce dysfonctionnement, la seule chose qui merdoie sont les ports http/https
On peut faire du proxy transparent sur du HTTPS ?
Le 19/11/2019 à 20:40, JKB a écrit :
Je suspecte, sur la collecte Orange, un proxy transparent quelque part
qui peine à répondre de temps en temps (...)
Pourquoi ? Lorsque j'observe ce dysfonctionnement,
la seule chose qui merdoie sont les ports http/https
Je suspecte, sur la collecte Orange, un proxy transparent quelque part qui peine à répondre de temps en temps (...) Pourquoi ? Lorsque j'observe ce dysfonctionnement, la seule chose qui merdoie sont les ports http/https
On peut faire du proxy transparent sur du HTTPS ?
Pascal Hambourg
Le 18/11/2019 à 10:08, Pierre-Alain Dorange a écrit :
Attention suivi positionné sur le forum fr.comp.sys.mac.communication
La discussion s'étant établie ici, je rejette le suivi sans crossposter.
Le standard de config c'est les DNS par défaut de free, j'ai aussi essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner mieux.
(...)
Du coup au final ça ressemble un soucis DNS
Comment arrivez-vous à cette conclusion après avoir écrit que le changement de DNS n'avait pas d'impact ? Identifier un problème de résolution DNS, c'est assez simple, en faisant des tests croisés comme souvent : on fait des requêtes DNS pures d'une part et d'autres types de requêtes (ping, HTTP(S)...) vers des adresses IP (pour ne pas faire intervenir la résolution DNS) connues pour répondre en temps normal d'autre part. Si les requêtes DNS pures n'aboutissent pas alors que les autres types de requêtes aboutissent, alors on peut effectivement soupçonner un problème de DNS.
Le 18/11/2019 à 10:08, Pierre-Alain Dorange a écrit :
Attention suivi positionné sur le forum fr.comp.sys.mac.communication
La discussion s'étant établie ici, je rejette le suivi sans crossposter.
Le standard de config c'est les DNS par défaut de free, j'ai aussi
essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner
mieux.
(...)
Du coup au final ça ressemble un soucis DNS
Comment arrivez-vous à cette conclusion après avoir écrit que le
changement de DNS n'avait pas d'impact ? Identifier un problème de
résolution DNS, c'est assez simple, en faisant des tests croisés comme
souvent : on fait des requêtes DNS pures d'une part et d'autres types de
requêtes (ping, HTTP(S)...) vers des adresses IP (pour ne pas faire
intervenir la résolution DNS) connues pour répondre en temps normal
d'autre part. Si les requêtes DNS pures n'aboutissent pas alors que les
autres types de requêtes aboutissent, alors on peut effectivement
soupçonner un problème de DNS.
Le 18/11/2019 à 10:08, Pierre-Alain Dorange a écrit :
Attention suivi positionné sur le forum fr.comp.sys.mac.communication
La discussion s'étant établie ici, je rejette le suivi sans crossposter.
Le standard de config c'est les DNS par défaut de free, j'ai aussi essayé avec les DNS google (8.8.8.8) mais ça semble pas fonctionner mieux.
(...)
Du coup au final ça ressemble un soucis DNS
Comment arrivez-vous à cette conclusion après avoir écrit que le changement de DNS n'avait pas d'impact ? Identifier un problème de résolution DNS, c'est assez simple, en faisant des tests croisés comme souvent : on fait des requêtes DNS pures d'une part et d'autres types de requêtes (ping, HTTP(S)...) vers des adresses IP (pour ne pas faire intervenir la résolution DNS) connues pour répondre en temps normal d'autre part. Si les requêtes DNS pures n'aboutissent pas alors que les autres types de requêtes aboutissent, alors on peut effectivement soupçonner un problème de DNS.
JKB
Le Tue, 19 Nov 2019 21:54:28 +0100, Pascal Hambourg écrivait :
Le 19/11/2019 à 20:40, JKB a écrit :
Je suspecte, sur la collecte Orange, un proxy transparent quelque part qui peine à répondre de temps en temps (...) Pourquoi ? Lorsque j'observe ce dysfonctionnement, la seule chose qui merdoie sont les ports http/https
On peut faire du proxy transparent sur du HTTPS ?
Je n'ai pas mis en oeuvre mais il y a la doc pour cela dans squid. JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Tue, 19 Nov 2019 21:54:28 +0100,
Pascal Hambourg <pascal@plouf.fr.eu.org> écrivait :
Le 19/11/2019 à 20:40, JKB a écrit :
Je suspecte, sur la collecte Orange, un proxy transparent quelque part
qui peine à répondre de temps en temps (...)
Pourquoi ? Lorsque j'observe ce dysfonctionnement,
la seule chose qui merdoie sont les ports http/https
On peut faire du proxy transparent sur du HTTPS ?
Je n'ai pas mis en oeuvre mais il y a la doc pour cela dans squid.
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Tue, 19 Nov 2019 21:54:28 +0100, Pascal Hambourg écrivait :
Le 19/11/2019 à 20:40, JKB a écrit :
Je suspecte, sur la collecte Orange, un proxy transparent quelque part qui peine à répondre de temps en temps (...) Pourquoi ? Lorsque j'observe ce dysfonctionnement, la seule chose qui merdoie sont les ports http/https
On peut faire du proxy transparent sur du HTTPS ?
Je n'ai pas mis en oeuvre mais il y a la doc pour cela dans squid. JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Marc SCHAEFER
JKB wrote:
On peut faire du proxy transparent sur du HTTPS ?
Je n'ai pas mis en oeuvre mais il y a la doc pour cela dans squid.
Avec du proxy transparent et les bonnes API, on peut obtenir l'adresse IP destination originale avant réécriture DNAT et donc faire comme si le client était au courant du proxy et avait fait un CONNECT ip:port, et établir un tunnel transparent avec terminaison de l'HTTPS sur le vrai serveur. Toutefois, avec cette technique on ne peut que filtrer sur la base des adresses IP destination, pas de nom de domaine ni du contenu. Il y a longtemps je travaillais sur listes blanches d'ailleurs. Pour aller plus loin, on peut utiliser SNI (l'indication du nom de domaine avant la négociation HTTPS), et filtrer également par nom de domaine -- si SNI activé: il faut peut-être laisser la connexion débuter (comme ci-dessus) et bloquer au moment où le SNI est envoyé (*) spécifiant un domaine interdit. Mais pour filtrer sur le contenu, il n'y a pas le choix, il faut créer un faux certificat autosigné à déployer sur les clients, et faire du man-in-the-middle (pas bien); c'est ce que font certains IDS par exemple pour les écoles en Suisse quand Swisscom les connecte; ou installer un plugin dans le navigateur AVANT chiffrement. (*) cela veut dire aussi qu'une capture de trafic vous montrera à quel domaine HTTPS SNI vous parlez, mais pas le contenu, certains IDS utilisent cela pour bloquer.
JKB <jkb@koenigsberg.invalid> wrote:
On peut faire du proxy transparent sur du HTTPS ?
Je n'ai pas mis en oeuvre mais il y a la doc pour cela dans squid.
Avec du proxy transparent et les bonnes API, on peut obtenir l'adresse IP
destination originale avant réécriture DNAT et donc faire comme si le client
était au courant du proxy et avait fait un CONNECT ip:port, et établir
un tunnel transparent avec terminaison de l'HTTPS sur le vrai serveur.
Toutefois, avec cette technique on ne peut que filtrer sur la base
des adresses IP destination, pas de nom de domaine ni du contenu. Il y
a longtemps je travaillais sur listes blanches d'ailleurs.
Pour aller plus loin, on peut utiliser SNI (l'indication du nom
de domaine avant la négociation HTTPS), et filtrer également par
nom de domaine -- si SNI activé: il faut peut-être laisser la
connexion débuter (comme ci-dessus) et bloquer au moment où le
SNI est envoyé (*) spécifiant un domaine interdit.
Mais pour filtrer sur le contenu, il n'y a pas le choix, il faut
créer un faux certificat autosigné à déployer sur les clients,
et faire du man-in-the-middle (pas bien); c'est ce que font certains
IDS par exemple pour les écoles en Suisse quand Swisscom les connecte;
ou installer un plugin dans le navigateur AVANT chiffrement.
(*) cela veut dire aussi qu'une capture de trafic vous montrera
à quel domaine HTTPS SNI vous parlez, mais pas le contenu,
certains IDS utilisent cela pour bloquer.
Je n'ai pas mis en oeuvre mais il y a la doc pour cela dans squid.
Avec du proxy transparent et les bonnes API, on peut obtenir l'adresse IP destination originale avant réécriture DNAT et donc faire comme si le client était au courant du proxy et avait fait un CONNECT ip:port, et établir un tunnel transparent avec terminaison de l'HTTPS sur le vrai serveur. Toutefois, avec cette technique on ne peut que filtrer sur la base des adresses IP destination, pas de nom de domaine ni du contenu. Il y a longtemps je travaillais sur listes blanches d'ailleurs. Pour aller plus loin, on peut utiliser SNI (l'indication du nom de domaine avant la négociation HTTPS), et filtrer également par nom de domaine -- si SNI activé: il faut peut-être laisser la connexion débuter (comme ci-dessus) et bloquer au moment où le SNI est envoyé (*) spécifiant un domaine interdit. Mais pour filtrer sur le contenu, il n'y a pas le choix, il faut créer un faux certificat autosigné à déployer sur les clients, et faire du man-in-the-middle (pas bien); c'est ce que font certains IDS par exemple pour les écoles en Suisse quand Swisscom les connecte; ou installer un plugin dans le navigateur AVANT chiffrement. (*) cela veut dire aussi qu'une capture de trafic vous montrera à quel domaine HTTPS SNI vous parlez, mais pas le contenu, certains IDS utilisent cela pour bloquer.
