Migration dns racine, et bug en perspectives...
Résolu
le hollandais volant
Messages postés
4998
Date d'inscription
Statut
Membre
Dernière intervention
-
le hollandais volant Messages postés 4998 Date d'inscription Statut Membre Dernière intervention -
le hollandais volant Messages postés 4998 Date d'inscription Statut Membre Dernière intervention -
'soir à tous !
Depuis quelques mois, la migration des serveurs dns racines vers les dns sécurisé se fait, et apparemment ce sera fini en juillet.
On voir un peu partout sur les blogs (par exemple, chez Korben) que si le matériel ne supporte pas le changement, ce sera la fin du monde et tout...
Sur tous les sites on nous donne la commande à taper dans un terminal et si la réponse retourné n'est pas autour de 4000 bit, y'aura des ennuis.
Ce que j'aimerais savoir, c'est quels genre d'ennuis : plus d'internet ? ou seulement plus le web ?
Apriori, il s'agit des DNS, donc si on surfe en tapant l'IP du site dans la barre d'adresse, ça continuera à marcher.
Mais que doit-on faire ? Changer de matériel ?
Je lis qu'il faut vérifier chaque intermédiaire du réseau (routeur, pare feu, etc.) pour voir où se situe le composant qui a la limite de la taille des paquets ip (MTU)...
Une question donc : comment voir où se situe cette limite ?
(PS : quand je fais cette commande dans le terminal, l'obtient une limite de 496, et la limite par défaut à 512, c'est donc pas compatible avec les réponses dns sécurisés)
Je me doute bien que les personnes qui s'occupent des DNS racines ne sont pas n'importe qui, et qu'il ne vont pas changer la changer la configuration des serveurs si ça paralyse 1milliard d'internautes, mais étant donné que certains risquent d'avoir des problèmes, j'aimerais savoir ce qu'il en est...
merci :-)
Depuis quelques mois, la migration des serveurs dns racines vers les dns sécurisé se fait, et apparemment ce sera fini en juillet.
On voir un peu partout sur les blogs (par exemple, chez Korben) que si le matériel ne supporte pas le changement, ce sera la fin du monde et tout...
Sur tous les sites on nous donne la commande à taper dans un terminal et si la réponse retourné n'est pas autour de 4000 bit, y'aura des ennuis.
Ce que j'aimerais savoir, c'est quels genre d'ennuis : plus d'internet ? ou seulement plus le web ?
Apriori, il s'agit des DNS, donc si on surfe en tapant l'IP du site dans la barre d'adresse, ça continuera à marcher.
Mais que doit-on faire ? Changer de matériel ?
Je lis qu'il faut vérifier chaque intermédiaire du réseau (routeur, pare feu, etc.) pour voir où se situe le composant qui a la limite de la taille des paquets ip (MTU)...
Une question donc : comment voir où se situe cette limite ?
(PS : quand je fais cette commande dans le terminal, l'obtient une limite de 496, et la limite par défaut à 512, c'est donc pas compatible avec les réponses dns sécurisés)
Je me doute bien que les personnes qui s'occupent des DNS racines ne sont pas n'importe qui, et qu'il ne vont pas changer la changer la configuration des serveurs si ça paralyse 1milliard d'internautes, mais étant donné que certains risquent d'avoir des problèmes, j'aimerais savoir ce qu'il en est...
merci :-)
A voir également:
- Migration dns racine, et bug en perspectives...
- Changer dns - Guide
- Dns gratuit - Guide
- Flush dns - Guide
- Dns benchmark - Télécharger - Divers Réseau & Wi-Fi
- Dns orange - Accueil - Guide box et connexion Internet
8 réponses
Salut,
C'est quoi le rapport entre ces migrations DNS, le MTU et le matériel ? .......
Nouveau matériel pourquoi faire ? pourquoi l'ancien marcherait plus......
Comme si les serveurs DNS étaient les mm depuis le début d'internet... bref, c'pas la première migration...
Destination anywhere but here
Away from you
Now I'm on my way to the other side
I'll forget everything I left behind
These empty rooms are still filled with you
C'est quoi le rapport entre ces migrations DNS, le MTU et le matériel ? .......
Nouveau matériel pourquoi faire ? pourquoi l'ancien marcherait plus......
Comme si les serveurs DNS étaient les mm depuis le début d'internet... bref, c'pas la première migration...
Destination anywhere but here
Away from you
Now I'm on my way to the other side
I'll forget everything I left behind
These empty rooms are still filled with you
Ici ce sera la migration des réponses DNS normales en réponses sécurises non ?
Et les paquets IP sécurisés que les dns renverront seront de taille supérieur au MTU des réseaux actuels.
Le mtu chez moi est de 512o. Celui des futures réponses excèderont 1500o, donc, il faut que je trouve le point de mon réseau qui possède cet mtu le plus bas.
D'où ma question : comment faire ?
De plus, je ne pense pas être le seul dans ce cas là, donc risque t'il d'y avoir plein de monde qui ne pourra pas naviguer, car personne ne leur aura dit ce qui se passe ?
Mais toute la migration des dns vers dnssec peut aussi être totalement transparent, et les dizaines de sites qui en parlent se tromper... Cela dit, j'en doute...
Et les paquets IP sécurisés que les dns renverront seront de taille supérieur au MTU des réseaux actuels.
Le mtu chez moi est de 512o. Celui des futures réponses excèderont 1500o, donc, il faut que je trouve le point de mon réseau qui possède cet mtu le plus bas.
D'où ma question : comment faire ?
De plus, je ne pense pas être le seul dans ce cas là, donc risque t'il d'y avoir plein de monde qui ne pourra pas naviguer, car personne ne leur aura dit ce qui se passe ?
Mais toute la migration des dns vers dnssec peut aussi être totalement transparent, et les dizaines de sites qui en parlent se tromper... Cela dit, j'en doute...
p'tain OK, j'avais pas vu le lien de Korben dans ton premier post, du coup je comprenais pas du tout de quoi tu parlais.
Mais heu t'as un serveur DNS résolveurs chez toi ?
Parce que si t'es un simple internaute avec ta box, tu t'en tapes un peu, ça ne changera rien entre toi et ton DNS récursifs (celui de ton FAI en général (sauf ceux qui aiment bien OpenDNS), après ce qui se passe derrière (TLD / serveur racine) ils gèrent comme ils veulent c'est pas trop ton prb.
Mais heu t'as un serveur DNS résolveurs chez toi ?
Parce que si t'es un simple internaute avec ta box, tu t'en tapes un peu, ça ne changera rien entre toi et ton DNS récursifs (celui de ton FAI en général (sauf ceux qui aiment bien OpenDNS), après ce qui se passe derrière (TLD / serveur racine) ils gèrent comme ils veulent c'est pas trop ton prb.
:)
Ben j'ai un routeur à part (pas celui de mon FAI). Je suis chez OpenDNS aussi.
Donc j'ai mal compris alors : tous ces changements ne concernent que ce qui se passe entre les FAI et les DNS racines ?
Entre le FAI et l'abonné, y'aura rien ?
Ben j'ai un routeur à part (pas celui de mon FAI). Je suis chez OpenDNS aussi.
Donc j'ai mal compris alors : tous ces changements ne concernent que ce qui se passe entre les FAI et les DNS racines ?
Entre le FAI et l'abonné, y'aura rien ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bha je peux dire des bétises hein, chuis pas expert DNS mais déjà le dnssec n'est pas obligatoire, le système actuel perdura.
Donc un serveur DNS pourra répondre en dnssec et en non authentifié.
regarde mode non authentifié :
malekalmorte@MaK-tux:~$ !dig
dig @192.134.0.49 ripe.net
; <<>> DiG 9.6.1-P3 <<>> @192.134.0.49 ripe.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62090
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;ripe.net. IN A
;; ANSWER SECTION:
ripe.net. 172800 IN A 193.0.6.139
;; AUTHORITY SECTION:
ripe.net. 172800 IN NS ns3.nic.fr.
ripe.net. 172800 IN NS sunic.sunet.se.
ripe.net. 172800 IN NS sns-pb.isc.org.
ripe.net. 172800 IN NS ns-pri.ripe.net.
;; ADDITIONAL SECTION:
ns3.nic.fr. 172800 IN A 192.134.0.49
ns3.nic.fr. 172800 IN AAAA 2001:660:3006:1::1:1
ns-pri.ripe.net. 172800 IN A 193.0.0.195
ns-pri.ripe.net. 172800 IN AAAA 2001:610:240:0:53::3
;; Query time: 87 msec
;; SERVER: 192.134.0.49#53(192.134.0.49)
;; WHEN: Sun May 2 19:36:18 2010
;; MSG SIZE rcvd: 231
en authentifié :
malekalmorte@MaK-tux:~$ dig +dnssec @192.134.0.49 ripe.net
; <<>> DiG 9.6.1-P3 <<>> +dnssec @192.134.0.49 ripe.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7577
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 7
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;ripe.net. IN A
;; ANSWER SECTION:
ripe.net. 172800 IN A 193.0.6.139
ripe.net. 172800 IN RRSIG A 5 2 172800 20100601050008 20100502050008 47391 ripe.net. WCQDv1M8gYU7Nuv4j+4T82U9Ag9cSzdkbI3vKUhxA9PVD53m6+NbAVzH ig2DxGnDJuanCDkeJfhf8cWlrHRiAk8V6MnNJ7ht1HK1KRYnnEBs/hFx ARYedX6n/aFACBU8a22vHZ9aZykzPapiTPtoe7BSCakLVbe+BjpP0YOl qeaA5iE64rRkRQDZu6NLGxTqyGUf+Z3n
;; AUTHORITY SECTION:
ripe.net. 172800 IN NS sunic.sunet.se.
ripe.net. 172800 IN NS ns-pri.ripe.net.
ripe.net. 172800 IN NS sns-pb.isc.org.
ripe.net. 172800 IN NS ns3.nic.fr.
ripe.net. 172800 IN RRSIG NS 5 2 172800 20100601050008 20100502050008 47391 ripe.net. EeCMWon5u00I0ye0gOsXjOhie25u/whtkeYjLzAdwe9KgPYWo6RLrvU0 8viQKaShuR/9yhQNFTxoC4DUcSDK60xU9tJAaJ4178pnA/NoWj/XUFsS BMvO3W+cUF9+y6U57uA6upPZvLNZ2jD/2HY4vv4GlwiXDi0q31HYzvUi jUVvbV3hxosRVo7PrL25YBDGzzcSryEn
;; ADDITIONAL SECTION:
ns3.nic.fr. 172800 IN A 192.134.0.49
ns3.nic.fr. 172800 IN AAAA 2001:660:3006:1::1:1
ns-pri.ripe.net. 172800 IN A 193.0.0.195
ns-pri.ripe.net. 172800 IN AAAA 2001:610:240:0:53::3
ns-pri.ripe.net. 172800 IN RRSIG A 5 3 172800 20100601050008 20100502050008 47391 ripe.net. 2e6H+qiZJHsLV5M1MijLl27DtKYE/C6lwtlXIqHB6aI86eCekgwXZyds z0Zx0yj38JMFTKoabXAKMco1fdUjzaWVPxHAILg+s2V8YWrC9PG7F57W J4ySobhQdJ5Sh9w61kvNKU+AsYBROs/vcF5gxPBpf3RM4ouspAgFp7LS PhaZGDplRIl4wvQR67b1H6vofB2Sk6G+
ns-pri.ripe.net. 172800 IN RRSIG AAAA 5 3 172800 20100601050008 20100502050008 47391 ripe.net. uWjhH9y6HylU5kIpseJ/1g5xbOxb+5DFc3zvm/V2jE0Tw6owWCTpgHfH GFkb0EcDm5GhgX6qX2f1m4KDYah7AEmep1J/ULNTfymb0DUUGaaNL6oN 9vcK5Z3TBuby9Z+O8RR2kfdrYbc+psWdb+cVgzIxV3HQRd4yRfrh7KoI e/s51ZeGFS+auR0zwyl6/abDm6SWUw/j
;; Query time: 39 msec
;; SERVER: 192.134.0.49#53(192.134.0.49)
;; WHEN: Sun May 2 19:36:41 2010
;; MSG SIZE rcvd: 1002
Donc dans ton cas, tu as les DNS de ton FAI, ils gèrent leur machin comme ils volent soit tout de bout en bout en non authentifié.
Soit entre toi et eux en non authentifié avec leurs DNS récursifs et derrière en authentifiés.
Donc au final la migration changera rien.
Pour que ça merde faudrait par exemple que tu forces ton clients DNS en dnssec et que celui de ton FAI (ou OpenDNS) le gèrent pas ou qu'il y est un routeur/fw qui fout la grouille (et encore doit y avoir la fragmentation).
ou certains sites vont merder si le DNS du domaine est mal configuré, genre il est configuré pour être en authentifié et tjrs un routeur/fw qui bloque et encore ça se trouve ça repasse en non authentifié derrière si ça échoue.
Bref, à mon avis, la news, c'est de la c*nnerie.
Donc un serveur DNS pourra répondre en dnssec et en non authentifié.
regarde mode non authentifié :
malekalmorte@MaK-tux:~$ !dig
dig @192.134.0.49 ripe.net
; <<>> DiG 9.6.1-P3 <<>> @192.134.0.49 ripe.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62090
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;ripe.net. IN A
;; ANSWER SECTION:
ripe.net. 172800 IN A 193.0.6.139
;; AUTHORITY SECTION:
ripe.net. 172800 IN NS ns3.nic.fr.
ripe.net. 172800 IN NS sunic.sunet.se.
ripe.net. 172800 IN NS sns-pb.isc.org.
ripe.net. 172800 IN NS ns-pri.ripe.net.
;; ADDITIONAL SECTION:
ns3.nic.fr. 172800 IN A 192.134.0.49
ns3.nic.fr. 172800 IN AAAA 2001:660:3006:1::1:1
ns-pri.ripe.net. 172800 IN A 193.0.0.195
ns-pri.ripe.net. 172800 IN AAAA 2001:610:240:0:53::3
;; Query time: 87 msec
;; SERVER: 192.134.0.49#53(192.134.0.49)
;; WHEN: Sun May 2 19:36:18 2010
;; MSG SIZE rcvd: 231
en authentifié :
malekalmorte@MaK-tux:~$ dig +dnssec @192.134.0.49 ripe.net
; <<>> DiG 9.6.1-P3 <<>> +dnssec @192.134.0.49 ripe.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7577
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 7
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;ripe.net. IN A
;; ANSWER SECTION:
ripe.net. 172800 IN A 193.0.6.139
ripe.net. 172800 IN RRSIG A 5 2 172800 20100601050008 20100502050008 47391 ripe.net. WCQDv1M8gYU7Nuv4j+4T82U9Ag9cSzdkbI3vKUhxA9PVD53m6+NbAVzH ig2DxGnDJuanCDkeJfhf8cWlrHRiAk8V6MnNJ7ht1HK1KRYnnEBs/hFx ARYedX6n/aFACBU8a22vHZ9aZykzPapiTPtoe7BSCakLVbe+BjpP0YOl qeaA5iE64rRkRQDZu6NLGxTqyGUf+Z3n
;; AUTHORITY SECTION:
ripe.net. 172800 IN NS sunic.sunet.se.
ripe.net. 172800 IN NS ns-pri.ripe.net.
ripe.net. 172800 IN NS sns-pb.isc.org.
ripe.net. 172800 IN NS ns3.nic.fr.
ripe.net. 172800 IN RRSIG NS 5 2 172800 20100601050008 20100502050008 47391 ripe.net. EeCMWon5u00I0ye0gOsXjOhie25u/whtkeYjLzAdwe9KgPYWo6RLrvU0 8viQKaShuR/9yhQNFTxoC4DUcSDK60xU9tJAaJ4178pnA/NoWj/XUFsS BMvO3W+cUF9+y6U57uA6upPZvLNZ2jD/2HY4vv4GlwiXDi0q31HYzvUi jUVvbV3hxosRVo7PrL25YBDGzzcSryEn
;; ADDITIONAL SECTION:
ns3.nic.fr. 172800 IN A 192.134.0.49
ns3.nic.fr. 172800 IN AAAA 2001:660:3006:1::1:1
ns-pri.ripe.net. 172800 IN A 193.0.0.195
ns-pri.ripe.net. 172800 IN AAAA 2001:610:240:0:53::3
ns-pri.ripe.net. 172800 IN RRSIG A 5 3 172800 20100601050008 20100502050008 47391 ripe.net. 2e6H+qiZJHsLV5M1MijLl27DtKYE/C6lwtlXIqHB6aI86eCekgwXZyds z0Zx0yj38JMFTKoabXAKMco1fdUjzaWVPxHAILg+s2V8YWrC9PG7F57W J4ySobhQdJ5Sh9w61kvNKU+AsYBROs/vcF5gxPBpf3RM4ouspAgFp7LS PhaZGDplRIl4wvQR67b1H6vofB2Sk6G+
ns-pri.ripe.net. 172800 IN RRSIG AAAA 5 3 172800 20100601050008 20100502050008 47391 ripe.net. uWjhH9y6HylU5kIpseJ/1g5xbOxb+5DFc3zvm/V2jE0Tw6owWCTpgHfH GFkb0EcDm5GhgX6qX2f1m4KDYah7AEmep1J/ULNTfymb0DUUGaaNL6oN 9vcK5Z3TBuby9Z+O8RR2kfdrYbc+psWdb+cVgzIxV3HQRd4yRfrh7KoI e/s51ZeGFS+auR0zwyl6/abDm6SWUw/j
;; Query time: 39 msec
;; SERVER: 192.134.0.49#53(192.134.0.49)
;; WHEN: Sun May 2 19:36:41 2010
;; MSG SIZE rcvd: 1002
Donc dans ton cas, tu as les DNS de ton FAI, ils gèrent leur machin comme ils volent soit tout de bout en bout en non authentifié.
Soit entre toi et eux en non authentifié avec leurs DNS récursifs et derrière en authentifiés.
Donc au final la migration changera rien.
Pour que ça merde faudrait par exemple que tu forces ton clients DNS en dnssec et que celui de ton FAI (ou OpenDNS) le gèrent pas ou qu'il y est un routeur/fw qui fout la grouille (et encore doit y avoir la fragmentation).
ou certains sites vont merder si le DNS du domaine est mal configuré, genre il est configuré pour être en authentifié et tjrs un routeur/fw qui bloque et encore ça se trouve ça repasse en non authentifié derrière si ça échoue.
Bref, à mon avis, la news, c'est de la c*nnerie.
okok.
Bah c'est bon alors, si la migration laisse le système actuel en place. Et si c'est la cuisine entre les serveurs DNS, les sites et les FAI, ça ne concerne pas le client/abonné.
On verra.
Merci :)
Bah c'est bon alors, si la migration laisse le système actuel en place. Et si c'est la cuisine entre les serveurs DNS, les sites et les FAI, ça ne concerne pas le client/abonné.
On verra.
Merci :)
