Basculement des serveurs DNS Racine

Skyline · [↑]

D'ici Juillet 2010, les serveurs DNS Racine (13 serveurs DNS mondial) auront migrés pour accepter les paquets DNS supérieurs à 512 octets et donc les MTU à 512 octets par defaut, c'est bientôt fini. La migration pour diffuser les zones en les signants avec DNSSEC. Cela permet plus de sécurité au niveau des serveurs DNS et clients DNS.

Donc appel aux administrateurs et aux particuliers ---> donc tous le monde ! A mettre à jour votre réseau ! Sans quoi, il est possible que vous risquez de ne plus avoir internet correctement !

Pour vérifier que votre réseau accepte des paquets supérieur à 512 octets :

dig +short rs.dns-oarc.net txt ---> Pour Linux/Unix

Pour Windows, en ligne de commande (MS-dos) taper :

nslookup -q=txt rs.dns-oarc.net

Si vous êtes en dessous de 1500 octets, il faudra revoir votre réseau.

A bon entendeur.

Source 1
Source 2
Source 3

Dernière modification par Skyline (27-01-2010 15:28:58)

Eusèbe d'Ar Faoued · [↑]

Le particulier "lambda"ne bite pas grand chose à cette migration et qui plus est n'a rien faire si ce n'est que de prier que l'admin de son FAI fasse son taf.

Skyline · [↑]

Concernant les FAI ne t'inquiète pas de côté là c'est déjà fait depuis longtemps ou si ce n'est pas encore fait il le sera.
Le problème serait des entreprises ou particuliers qui n'ont pas mise à jour leur routeur Cisco, Firewall Hardware ou Software, ... .
Ton firewall (software) s'il n'est pas à jour, il se peut qu'il ne laisse passer qu'uniquement que du 512 octets. Et le problème ne viendrait pas de ton FAI mais de ton Firewall. C'est un exemple.

Eusèbe d'Ar Faoued · [↑]

Skyline a écrit :

leur routeur Cisco

Arf, heureusement qu'il n'y a pas que du Cisco sur le marché ... au prix que ça coûte

"... le prix s'oublie, la qualité reste ..."

Une petite précision concernant les particuliers, le FW software installé sur nos machines, ignore la taille des paquets entrant/sortant des requêtes DNS, il ne filtre que des ports de communication et/ou des protocoles.

Par contre et tu fait bien de le souligner, les routeurs/FW hardware d'ancienne génération devront être reconfigurés et si ce n'est pas possible, ils devront êtres remplacés.

Degseth · [↑]

Et comment on sait au final sous windows à combien on est?

Anto · [↑]

Hello,

Merci de l'info. Je viens de faire l'essai (routeur Netgear) :

Premier essai :

dig +short rs.dns-oarc.net txt

rst.x1002.rs.dns-oarc.net.
rst.x1222.x1002.rs.dns-oarc.net.
rst.x1403.x1222.x1002.rs.dns-oarc.net.
"Tested at 2010-01-27 18:27:49 UTC"
"80.xx.xxx.xxx DNS reply size limit is at least 1403"
"80.xx.xxx.xxx sent EDNS buffer size 4096"

Puis j'ai essayé, comme indiqué sur les sites,

dig +dnssec @192.134.0.49 DNSKEY ripe.net

et obtenu la réponse... donc ça semble être OK.

Anto

Skyline · [↑]

Anto a écrit :

Hello,
...
"80.xx.xxx.xxx DNS reply size limit is at least 1403"
...

On voit ici que tu as fait ton test derrière un Firewall. Sans ça normalement il serait encore plus haut au alentour de plus de 4000.
L'IP a été fragmenté par ton Firewall (filtrage).

Anto · [↑]

Euh oui et non .

Certes, il me semble qu'un pare-feu est installé sur le routeur. (Il me semble... perso m'en fous j'ai Linux (humour)).

En revanche, les "xxx" dans l'IP c'est moi qui les ai mis . Si c'est de ça que tu parlais par "fragmentation d'IP" (appelez Ptipilot ! )).

Dernière modification par Anto (27-01-2010 21:15:19)

Skyline · [↑]

Rien à voir avec le xxx que tu as mis, j'avais bien compris que c'est pour cacher l'IP.
Je voulais dire par là que les packets ont été fragmentés lors de ton test par ton routeur (firewall ?). D'où le résultat obtenue de 1403.

Dernière modification par Skyline (27-01-2010 21:32:13)

babar · [↑]

ou par windows qui a une MTU de 1500.

lepingouin · [↑]

J'ai obtenu ça :

rst.x2027.rs.dns-oarc.net.
rst.x1997.x2027.rs.dns-oarc.net.
rst.x2003.x1997.x2027.rs.dns-oarc.net.
"Tested at 2010-01-27 20:56:28 UTC"
"88.179.xxx.xxx sent EDNS buffer size 2048"
"88.179.xxx.xxx DNS reply size limit is at least 2027"

Suis-je en bonne santé, docteur ?

Skyline · [↑]

babar a écrit :

ou par windows qui a une MTU de 1500.

Heuu ... ne pas confondre. On parle ici de "DNS reply size" pas de la MTU. Ici on reçoit un paquet qui est envoyé par le DNS. La mtu on envoie un paquet limité à 1500.

Dernière modification par Skyline (27-01-2010 22:47:03)

Skyline · [↑]

lepingouin a écrit :

J'ai obtenu ça :

rst.x2027.rs.dns-oarc.net.
rst.x1997.x2027.rs.dns-oarc.net.
rst.x2003.x1997.x2027.rs.dns-oarc.net.
"Tested at 2010-01-27 20:56:28 UTC"
"88.179.xxx.xxx sent EDNS buffer size 2048"
"88.179.xxx.xxx DNS reply size limit is at least 2027"

Suis-je en bonne santé, docteur ?

Bien, Bien

"Si les différentes valeurs sont inférieures à 2048 octets, votre configuration pourrait rencontrer des problèmes avec le passage en DNSSEC."

Dernière modification par Skyline (27-01-2010 22:55:10)

Degseth · [↑]

Je suis à 400 quelque chose... Faut que je m'inquiète?

babar · [↑]

T'es sur les DNS d'openDNS , si c'est le cas, moi aussi ...
Sinon il y a 6 serveur DNS gratuit et libre :

4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6

Il faudrait les tester aussi ...

Skyline · [↑]

Degseth a écrit :

Je suis à 400 quelque chose... Faut que je m'inquiète?

Oui

Fait le test plusieurs fois, si tu n'atteins pas une seul fois plus de 512, va falloir peut-être revoir ton réseau. T'as jusqu'a Juillet 2010 d'après eux. Enfin c'est pas une catastrophe mais ça peut devenir chiant pour la résolutions de noms DNS.

Dernière modification par Skyline (27-01-2010 23:42:43)

Skyline · [↑]

babar a écrit :

T'es sur les DNS d'openDNS , si c'est le cas, moi aussi ...
Sinon il y a 6 serveur DNS gratuit et libre :
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6
Il faudrait les tester aussi ...

Les serveurs DNS de Google ne gère pas l'EDNS donc il est limité à 512. Pour tester prendre un serveur DNS de votre FAI de préférence. Par contre OpenDNS impeccable, très bon serveurs DNS.

Dernière modification par Skyline (28-01-2010 00:11:06)

Gérard BERNARD · [↑]

Skyline a écrit :

D'ici Juillet 2010, les serveurs DNS Racine (13 serveurs DNS mondial) auront migrés pour accepter les paquets DNS supérieurs à 512 octets et donc les MTU à 512 octets par defaut, c'est bientôt fini. La migration pour diffuser les zones en les signants avec DNSSEC. Cela permet plus de sécurité au niveau des serveurs DNS et clients DNS.
Donc appel aux administrateurs et aux particuliers ---> donc tous le monde ! A mettre à jour votre réseau ! Sans quoi, il est possible que vous risquez de ne plus avoir internet correctement !
Pour vérifier que votre réseau accepte des paquets supérieur à 512 octets :
dig +short rs.dns-oarc.net txt ---> Pour Linux/Unix
Pour Windows, en ligne de commande (MS-dos) taper :
nslookup -q=txt rs.dns-oarc.net
Si vous êtes en dessous de 1500 octets, il faudra revoir votre réseau.
A bon entendeur.
Source 1
Source 2
Source 3

Pour moi c'est du:

2010nián7yuè， gāi yù míng gēn fú wù qì（13quán qiúDNS fú wù qì） yǐ yí jū jiē shòu dà yú512zì jié deDNS shù jù bāo， cóng ér jiāngMTU mò rèn wéi512zì jié， xiàn yǐ jiē jìn wěi shēng。qiān yí chuán bò yǔDNSSEC de qiān shǔ qū。zhè shǐ de gèng dà de ān quán jí bié deDNS fú wù qì héDNS kè hù duān。

yīn cǐ， yāo qiú guǎn lǐ rén yuán hé gè rén---“ràng suǒ yǒu de shì jiè！yào gēng xīn nín de wǎng luò！fǒu zé， hěn kě néng， nǐ kě néng bù zài yǒu hù lián wǎng zhèng què！

yào yàn zhèng nín de wǎng luò jiē shòu de shù jù bāo dà yú512zì jié：

wā+duǎnrs.dns oarc.net běn wén dàng---“duìLinux / Unix

duì yúWindows， mìng lìng xíng（MS - DOS de） lèi xíng：

Nslookup deQ zhí= TXT ders.dns oarc.net

Allez bonne journée ;-)

gibsondc · [↑]

Ici nicolas hulot pssssshiiiit en direct d'une autre planète pssssssssssshiiiiiiit ou le dialecte local psshiiiiiiit est des plus étrange. Pshiiiiiiiiiiiiiiiiiiiiiit A vous les studios!

Ptipilot · [↑]

Anto a écrit :

.... Si c'est de ça que tu parlais par "fragmentation d'IP" (appelez Ptipilot ! )).

Ha ! NON!...=(=(=(=(
Je défragmente déjà mes disques 5 fois par jour, si maintenant il faut que je fasse pareil avec mes trames IP!.....:col

Vive le SNA!.....=8

OK.... Je suis déjà ---> []

Dernière modification par Ptipilot (28-01-2010 10:45:39)

Skyline · [↑]

Pour Gérard BERNARD et gibsondc on va faire simple, vous attendez juillet 2010 puis si vous avez pas de problème oublié ce poste si à partir de Juillet vous avez des problèmes revenez nous voir.

Gérard BERNARD · [↑]

Re,

chāo jí xiè xiè nǐ shì yī gè zhēn zhèng de péng yǒu

[Spoiler]

babar · [↑]

Skyline a écrit :

babar a écrit :
T'es sur les DNS d'openDNS , si c'est le cas, moi aussi ...
Sinon il y a 6 serveur DNS gratuit et libre :
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6
Il faudrait les tester aussi ...
Les serveurs DNS de Google ne gère pas l'EDNS donc il est limité à 512. Pour tester prendre un serveur DNS de votre FAI de préférence. Par contre OpenDNS impeccable, très bon serveurs DNS.

Les serveurs DNS de Google c'est
8.8.8.8
8.8.4.4

Visiblement ceux que j'ai donné sont des serveurs DNS de Verizon

Butch Coolidge · [↑]

A ce sujet, ce soir je vais me bouffer un onglet avec un fondu d'échalottes accompagné de patates au four... et il me reste encore un flacon de Pauillac

BERDE · [↑]

Butch Coolidge a écrit :

A ce sujet, ce soir je vais me bouffer un onglet avec un fondu d'échalottes accompagné de patates au four... et il me reste encore un flacon de Pauillac

Bonsoir !

Ton onglet, tu le fais à la poêle ou au grill ?

Personnellement, j'utilise un grill en fonte, bien préchauffé, de manière à saisir ma viande sur les deux faces rapidement, puis je termine la cuisson à feu doux .

Je sale et poivre toujours avant ; le fait de saler avant va permettre la formation d'une petite croûte avec la coagulation du jus qui ainsi ne s'échappera pas de la viande ...!

Bon appétit .

Bernard .

#1 [↑][↓] 27-01-2010 13:41:45

Basculement des serveurs DNS Racine

#2 [↑][↓] 27-01-2010 16:22:51

Re : Basculement des serveurs DNS Racine

#3 [↑][↓] 27-01-2010 18:01:21

Re : Basculement des serveurs DNS Racine

#4 [↑][↓] 27-01-2010 19:24:11

Re : Basculement des serveurs DNS Racine

#5 [↑][↓] 27-01-2010 19:25:10

Re : Basculement des serveurs DNS Racine

#6 [↑][↓] 27-01-2010 19:30:55

Re : Basculement des serveurs DNS Racine

#7 [↑][↓] 27-01-2010 21:05:30

Re : Basculement des serveurs DNS Racine

#8 [↑][↓] 27-01-2010 21:14:28

Re : Basculement des serveurs DNS Racine

#9 [↑][↓] 27-01-2010 21:31:45

Re : Basculement des serveurs DNS Racine

#10 [↑][↓] 27-01-2010 21:37:21

Re : Basculement des serveurs DNS Racine

#11 [↑][↓] 27-01-2010 22:01:26

Re : Basculement des serveurs DNS Racine

#12 [↑][↓] 27-01-2010 22:46:21

Re : Basculement des serveurs DNS Racine

#13 [↑][↓] 27-01-2010 22:52:08

Re : Basculement des serveurs DNS Racine

#14 [↑][↓] 27-01-2010 23:01:00

Re : Basculement des serveurs DNS Racine

#15 [↑][↓] 27-01-2010 23:19:04

Re : Basculement des serveurs DNS Racine

#16 [↑][↓] 27-01-2010 23:27:09

Re : Basculement des serveurs DNS Racine

#17 [↑][↓] 27-01-2010 23:48:11

Re : Basculement des serveurs DNS Racine

#18 [↑][↓] 28-01-2010 08:42:19

Re : Basculement des serveurs DNS Racine

#19 [↑][↓] 28-01-2010 09:02:59

Re : Basculement des serveurs DNS Racine

#20 [↑][↓] 28-01-2010 10:44:19

Re : Basculement des serveurs DNS Racine

#21 [↑][↓] 28-01-2010 10:52:56

Re : Basculement des serveurs DNS Racine

#22 [↑][↓] 28-01-2010 12:29:31

Re : Basculement des serveurs DNS Racine

#23 [↑][↓] 28-01-2010 14:41:56

Re : Basculement des serveurs DNS Racine

#24 [↑][↓] 28-01-2010 14:56:03

Re : Basculement des serveurs DNS Racine

#25 [↑][↓] 28-01-2010 16:41:31

Re : Basculement des serveurs DNS Racine

Pied de page des forums