| saoungoumi | bonjour | 14:13 |
|---|---|---|
| IzaneFG | Bonjour :) | 14:23 |
| saoungoumi | j'ai un problème sérieux avec mon DNS | 14:25 |
| saoungoumi | je n'arrive plus à resoudre certain nom | 14:26 |
| saoungoumi | et je crois que la remarque que ongolaBoy m'a fait par mail est une conséquence de ce problème | 14:26 |
| saoungoumi | je vais dans quelques instant allez faire passer ces machines sur Jessie | 14:27 |
| saoungoumi | et j'aimerais avoir un conseil sous forme de doc tech pour la mise en place d'un DNS | 14:28 |
| saoungoumi | un peu comme chez vous à l'AUF | 14:28 |
| saoungoumi | SOS ongolaBoy !!! | 14:28 |
| ongolaBoy | saoungoumi: oui | 14:39 |
| ongolaBoy | je reviens | 14:39 |
| ongolaBoy | mais avant de partir .. que veux tu savoir exactement ? | 14:39 |
| ongolaBoy | tu utilises quoi pour résoudre les noms ? | 14:39 |
| ongolaBoy | bon .. je dois bouger . petite réunion | 14:40 |
| ongolaBoy | je viens dans 15 min | 14:40 |
| saoungoumi | ok | 14:41 |
| saoungoumi | je veux une bonne doc pour la mise en place from strash de mon DNS | 14:41 |
| saoungoumi | sans raison apparente (qui n'ayant fait auncune manip) mon dns a commencer depuis Lundi à déconner | 14:43 |
| saoungoumi | après le retour de l'électricité | 14:55 |
| saoungoumi | je suis entrain de lire ceci pour la mise en place | 14:55 |
| saoungoumi | https://wiki.debian.org/fr/Bind9 | 14:55 |
| * ongolaBoy est de retour | 14:55 | |
| ongolaBoy | bon .. déjà .. que veux tu faire avec ton DNS ? car il y a deux types de services | 14:56 |
| ongolaBoy | résolveur récursif (cad celui qui va aider les clients à résoudre des adresses) | 14:56 |
| ongolaBoy | et serveur d'autorité : cad celui qui est responsable/esclave d'une ou plusieurs zones | 14:57 |
| ongolaBoy | pour bind9 . un aptitude install bind9 le rend résolveur récursif localement par défaut | 14:57 |
| saoungoumi | je veux un DNS qui va permettre de resoudre mes services (nom interne) et les nom sur internet | 14:57 |
| ongolaBoy | j'imagine bien .. donc .. pour tu commences avec le premier | 14:58 |
| ongolaBoy | tout cela signifie deux choses | 14:58 |
| ongolaBoy | résolveur récursif et serveur d'autorité | 14:58 |
| ongolaBoy | le plus simple c'est le premier | 14:58 |
| saoungoumi | . | 14:59 |
| ongolaBoy | après avoir installé bind9 , tu peux ajouter des forwarders dans named.conf.options | 15:00 |
| ongolaBoy | les forwarders seront les DNS à employer | 15:00 |
| ongolaBoy | typiquement ceux de CAMTEL | 15:00 |
| saoungoumi | un de mes grand soucis actuellement est le fait que je n'arrive pas resoudre des noms meme lorsque je change mon resolv.conf | 15:01 |
| ongolaBoy | faut aller pas à pas rodrigue :) | 15:01 |
| ongolaBoy | si tu veux je te montre mon fichier de config tout de suite mais tu verras que ça ne va pas te servir car à première vue il va sembler compliqué | 15:01 |
| saoungoumi | en fait je ne suis pas encore sur le serveur DNS proprement dit | 15:01 |
| ongolaBoy | resolv.conf c'est autre chose | 15:02 |
| ongolaBoy | en fonction de la machine que tu utilises faut voir si tu n'as pas dhcpconf d'installé | 15:02 |
| ongolaBoy | à ce moment là , ton système ne prend pas vraiment en compte ton resolv.conf | 15:02 |
| ongolaBoy | donc soit tu regardes d'abord pour dhcpconf soit tu travailles sur ton serveur DNS; c'est deux choses différentes et qui ne sont pas liées ;) | 15:03 |
| ongolaBoy | je signale au passage que sur un serveur, tu ne devrais pas utilisé dhcponf (car son adressage devrait être manuel et tout ce qui va avec) | 15:04 |
| saoungoumi | ma question avant de commencer est de savoir si un serveur DNS peut se mettre à faire de bettisses comme actuellement de lui seul | 15:04 |
| saoungoumi | ? | 15:04 |
| ongolaBoy | bon .. changer _dhcpconf_ par _resolvconf_ sur tout ce que j'ai dis tantôt . toutes mes excuses | 15:05 |
| ongolaBoy | saoungoumi: moi je te dirais : regarde dans les logs. | 15:06 |
| ongolaBoy | qu'est-ce qui est dit ? | 15:06 |
| ongolaBoy | et soit plus précis en terme de bêtises | 15:06 |
| ongolaBoy | et soit plus précis en terme de ce que tu qualifies de «bêtises» | 15:06 |
| saoungoumi | success resolving '185.93.204.4success resolving '185.93.204.41.in-addr.arpa/PTR' (in '41.in-addr.arpa'?) after reducing the advertised EDNS UDP packet size to 512 octets1.in-addr.arpa/PTR' (in '41.in-addr.arpa'?) after reducing the advertised EDNS UDP packet size to 512 octets | 15:07 |
| ongolaBoy | ce n'est pas un soucis ici .. | 15:07 |
| saoungoumi | je vois | 15:08 |
| ongolaBoy | mais tu peux omettre ces informations sur EDNS dans la config de bind9 | 15:08 |
| ongolaBoy | mon named.conf.options actuel http://paste.debian.net/367195/ | 15:10 |
| ongolaBoy | les lignes 29 à 31 servent à omettre certaines infos dans les logs notamment les informations sur EDNS | 15:10 |
| saoungoumi | lorsque je fait un | 15:11 |
| saoungoumi | dig yahoo.fr par exemple | 15:12 |
| saoungoumi | je n'est aucun resultat | 15:12 |
| ongolaBoy | hum ... encore une fois allons pas à pas :) | 15:12 |
| ongolaBoy | comment as tu configuré ton bind9 ? named.conf ? named.conf.local ? | 15:13 |
| ongolaBoy | qu'as tu fais dedans ? | 15:13 |
| ongolaBoy | et puis tu n'as pas «aucun résultat» mais tu dois avoir un truc du genre _NXDOMAIN_ ou bien _FAILED_ mais tu ne peux pas avoir «aucun résultat» ;) | 15:13 |
| ongolaBoy | pour tester ton résolveur récursif tu dois faire dig @adresse.ip.de.mon.resolveur | 15:14 |
| ongolaBoy | ainsi .. quelque soit la config de la machine depuis laquelle tu exécutes la requête tu es sur que tu t'adresses au serveur DNS derrière le '@' | 15:15 |
| ongolaBoy | fais dig @192.24.192.35 yahoo.fr par exemple | 15:15 |
| saoungoumi | connection timed out; no servers could be reached | 15:17 |
| ongolaBoy | ça c'est le firewall qui rentre en jeu si tu as tapé ce que je viens de dire | 15:17 |
| ongolaBoy | de la machine où tu as exécuté ton dig, les requêtes sur le port 53 en sortie ne sont pas acceptées | 15:17 |
| ongolaBoy | j'ai bien dis «de la machine où tu as exécuté ..» | 15:18 |
| saoungoumi | oui | 15:19 |
| ongolaBoy | oui genre ? :) | 15:19 |
| saoungoumi | en fait sur le firewall tous le port de 0 à 1023 sont ouvert | 15:19 |
| ongolaBoy | en sortie ? | 15:19 |
| ongolaBoy | via le FORWARD (en considérant que de la machine où tu as exécuté et le firewall il y a une passrelle) | 15:20 |
| ongolaBoy | ? | 15:20 |
| saoungoumi | sur ma machine la machine sur laquellj'ai fait le dig | 15:20 |
| ongolaBoy | tu as fais le dig depuis ta machine ? | 15:20 |
| ongolaBoy | ou le serveur DNS ? | 15:20 |
| saoungoumi | toutes le chaines sont ouvert (iptables) | 15:21 |
| ongolaBoy | je ne sais pas comment c'est configuré chez toi mais le 'dig @192.24...' que je t'ai dis de taper tout à l'heure | 15:22 |
| saoungoumi | j'ai le meme resultat que se soit sur ma machine ou sur le serveur DNS | 15:22 |
| ongolaBoy | chez moi depuis un poste ce genre de chose ne marche pas | 15:22 |
| ongolaBoy | tout le monde passe par le DNS de la maison pour avoir une réponse DNS | 15:23 |
| ongolaBoy | donc ça dépend des configs/politiques | 15:23 |
| ongolaBoy | donc encore une fois c'est un filtre :) | 15:23 |
| ongolaBoy | sur ton parefeu tape iptables -I FORWARD -s 41.67.236.42 -p udp --dport domain -j ACCEPT | 15:24 |
| ongolaBoy | en considérant que c'est l'IP de ton DNS | 15:24 |
| ongolaBoy | sinon tu corriges | 15:24 |
| ongolaBoy | ça va se placer au dessus de toutes les règles existantes | 15:24 |
| ongolaBoy | hum .. minute | 15:25 |
| ongolaBoy | essaye plutôt la 195.24.192.33 comme DNS ; la .35 semble ne pas répondre | 15:25 |
| saoungoumi | meêm chose | 15:27 |
| ongolaBoy | là tu as un souci car la .33 marche bien | 15:27 |
| ongolaBoy | essaye voir avec la 5.11.11.5 | 15:27 |
| ongolaBoy | c'est un résolveur ouvert sur le sol africain :) | 15:28 |
| ongolaBoy | là si ça ne marche pas, il faudra taper la règle iptables dont je viens de parler | 15:28 |
| saoungoumi | avec 5.11.11.55.11.11.5 | 15:30 |
| saoungoumi | ca mache | 15:30 |
| ongolaBoy | ok | 15:30 |
| ongolaBoy | après avoir tapé la règle iptables ou pas ? | 15:31 |
| saoungoumi | je voulais dire 5.11.11.5 | 15:31 |
| IzaneFG | saoungoumi: Bassirou demande le nom du prof pour la machine | 15:31 |
| saoungoumi | IzaneFG: DJALO HAMAN | 15:31 |
| saoungoumi | avec ou sans cela | 15:32 |
| IzaneFG | ok | 15:32 |
| saoungoumi | dans les deux cas ça marche | 15:32 |
| saoungoumi | @on | 15:32 |
| saoungoumi | ongolaBoy: | 15:32 |
| ongolaBoy | bon .. peut être est-ce juste camtel qui refuse de résoudre vos requêtes | 15:32 |
| ongolaBoy | jusqu'ici tu utilisais des forwarders dans ton bind ? | 15:32 |
| ongolaBoy | dans named.conf.options je veux dire | 15:32 |
| saoungoumi | 4.2.2.2; | 15:34 |
| ongolaBoy | et quand tu l'interroges ça marche ? je veux dire un dig @4.2.2.2 ? | 15:34 |
| saoungoumi | non | 15:35 |
| saoungoumi | donc je le remplace?? | 15:35 |
| ongolaBoy | si tu veux | 15:36 |
| ongolaBoy | mais je suis curieux de savoir ce que tu reçois comme erreur de la part de ce serveur de google ? | 15:36 |
| ongolaBoy | connection timed out aussi ? | 15:36 |
| * ongolaBoy regarde sa montre car il va rentrer dans moins d'une heure | 15:39 | |
| saoungoumi | quel est la quesion | 15:41 |
| ongolaBoy | le 4.2.2.2 t'affichait aussi un «connection timed out» ? | 15:41 |
| saoungoumi | ouui | 15:41 |
| ongolaBoy | peut être que tes IP sont bannis par certains serveurs alors | 15:41 |
| ongolaBoy | faudra surveiller tout ça | 15:42 |
| ongolaBoy | en tout cas niveau DNS; moi je te conseille de ne laisser interroger l'extérieur que ton serveur DNS ou tes serveurs DNS | 15:42 |
| ongolaBoy | tout le reste dans le réseau doit passer par eux; absolument tout le reste | 15:42 |
| ongolaBoy | maintenant faut revoir la configuration de ton DNS | 15:43 |
| ongolaBoy | il faut noter aussi que tu n'es pas obligé d'utiliser un forwarder | 15:45 |
| saoungoumi | comment ca? | 15:45 |
| ongolaBoy | regarde bien chez moi | 15:45 |
| ongolaBoy | toute la section forwarder est commentée ;) | 15:45 |
| saoungoumi | j'ai remarqué | 15:46 |
| ongolaBoy | bind , en bon résolveur, sait interroger les serveurs racines et à partir d'eux descendre jusqu'au serveur qui gère le domaine que tu veux résoudre | 15:46 |
| ongolaBoy | ensuite il cache les infos pendant un temps donné avant de redemander | 15:47 |
| ongolaBoy | le forwarder sert surtout à optimiser ce temps | 15:47 |
| ongolaBoy | il faut utiliser les forwarders quand c'est possible/souhaité | 15:47 |
| ongolaBoy | moi je n'utilise pas CAMTEL bien que j'aurais optimisé en terme de temps | 15:47 |
| ongolaBoy | *mais* leurs DNS ne font pas les validations DNSSEC | 15:48 |
| ongolaBoy | donc je préfère laisser bind faire tout le job tout seul comme un grand | 15:48 |
| ongolaBoy | et ça marche bien depuis plus d'un an et demi | 15:48 |
| ongolaBoy | pas de Google non plus ; je ne vais pas contribuer à leur fournir encore plus d'informations qu'ils en ont déjà :) | 15:49 |
| ongolaBoy | et encore moins tout le reste des serveurs récursifs ouverts | 15:49 |
| ongolaBoy | bref .. tout ça pour dire que la section forwarders n'est pas obligatoire | 15:49 |
| saoungoumi | je vois | 15:49 |
| saoungoumi | mais jusqu'ici je n'ouvre pas toujours les pages yahoo | 15:50 |
| saoungoumi | c'est vraiment bizard | 15:50 |
| ongolaBoy | avec un forwarder ou pas ? | 15:50 |
| saoungoumi | ?? | 15:50 |
| ongolaBoy | je t'ai dis qu'il faut y aller pas à pas .. il ya plein d'étapes avant d'aller tester depuis ton poste ;) | 15:50 |
| saoungoumi | ya t-il un site pour savoir si oui ou nonmes addresse ou serveur DNS sont bannis | 15:51 |
| ongolaBoy | difficile | 15:51 |
| saoungoumi | j'ai deja fait un dig | 15:51 |
| ongolaBoy | mais suis ce que je te dis .. | 15:51 |
| saoungoumi | ok | 15:51 |
| ongolaBoy | qu'est-ce que tu as fais dans ton named.conf.options ? | 15:51 |
| ongolaBoy | je reviens encore dessus | 15:51 |
| saoungoumi | http://paste.debian.net/367212/ | 15:53 |
| ongolaBoy | hum .. tes lignes allow .. any là .. moi j'ai un peu peur mais bon | 15:54 |
| ongolaBoy | tu as rechargé ton serveur dns au passage ? (rndc reload) | 15:54 |
| saoungoumi | ce sont les ligne de depuis longtemps | 15:54 |
| saoungoumi | oui | 15:54 |
| ongolaBoy | si oui , fais dig @127.0.0.1 yahoo.fr et tu me dis | 15:54 |
| ongolaBoy | depuis le serveur dns bien sur | 15:54 |
| saoungoumi | sisi | 15:56 |
| ongolaBoy | et ? résultat ? | 15:56 |
| saoungoumi | connexion refuse | 15:57 |
| saoungoumi | mais j'ai fait un stop start de bind est c'est passé | 15:57 |
| saoungoumi | log | 15:57 |
| saoungoumi | http://paste.debian.net/367213/ | 15:58 |
| ongolaBoy | qu'est-ce qui est passé ? la requête dig @127 ? | 15:58 |
| saoungoumi | http://paste.debian.net/367215/ | 16:00 |
| saoungoumi | plutot ceci http://paste.debian.net/367218/ | 16:03 |
| ongolaBoy | tu as fais dig @127.0.0.1 sans rien ? | 16:04 |
| ongolaBoy | en tout cas on t'a répondu | 16:04 |
| saoungoumi | oui | 16:04 |
| ongolaBoy | faut faire dig @127.0.0.1 yahoo.fr | 16:04 |
| ongolaBoy | par exemple | 16:04 |
| ongolaBoy | parce que la réponse à ta dernière requête ton serveur DNS a cette réponse en local | 16:05 |
| ongolaBoy | dans le fichier db.root pour être précis | 16:05 |
| saoungoumi | http://paste.debian.net/367219/ | 16:06 |
| ongolaBoy | bah .. ça marche | 16:07 |
| ongolaBoy | ligne 6 | 16:07 |
| ongolaBoy | tu as eu 5 réponses à ta requête | 16:07 |
| ongolaBoy | en d'autres termes, tu as interrogé ton résolveur et lui a interrogé le forwarder et t'a retourné le résultat que tu vois | 16:08 |
| ongolaBoy | et la ligne 32 me montre qu'il avait djéà ça en cache => ce n'est pas le premier essai | 16:08 |
| ongolaBoy | donc .. ton résolveur fonctionne | 16:09 |
| saoungoumi | mais alors | 16:09 |
| ongolaBoy | reste à voir les autorisations; déjà dans le fichier de conf de ton DNS | 16:09 |
| ongolaBoy | puis ensuite faudra voir niveau firewall | 16:09 |
| ongolaBoy | tu vois pourquoi je disais qu'il fallait aller pas à pas ? ;) | 16:09 |
| ongolaBoy | maintenant faut voir les autorisations dans la conf de ton DNS | 16:10 |
| ongolaBoy | moi je dois bientôt rentrer | 16:10 |
| saoungoumi | mais il n'y a rien de spécifique relativement au permission | 16:11 |
| saoungoumi | dans quel fichier par exemple quelque chose de genre peut avoir été fait | 16:11 |
| saoungoumi | ? | 16:11 |
| ongolaBoy | tout part de ton named.conf | 16:12 |
| ongolaBoy | normalement dans debian, on recommande de faire ses config dans named.conf.local | 16:12 |
| ongolaBoy | mais faut déjà voir ton named.conf pour voir ce qu'il a | 16:12 |
| ongolaBoy | quand tu es sur un poste client, le statut des requêtes dig c'est quoi ? FAILED, NXDOMAIN, ??? | 16:13 |
| ongolaBoy | là .. plus besoin de faire un dig @Ip.DNS .. juste dig | 16:13 |
| ongolaBoy | car je suppose que ton DHCP a fournit la bonne adresse de serveur DNS à utiliser | 16:14 |
| saoungoumi | oui | 16:14 |
| ongolaBoy | et le statut est donc ? | 16:15 |
| saoungoumi | tous les dig | 16:17 |
| ongolaBoy | bah le dernier dig depuis le poste client | 16:17 |
| saoungoumi | marche | 16:17 |
| ongolaBoy | dig un.org | 16:17 |
| ongolaBoy | ça va alors non ? :) | 16:18 |
| saoungoumi | non | 16:18 |
| saoungoumi | sur les navigateurs il ya toujours le meme soucis | 16:18 |
| saoungoumi | vraiment bizar non? | 16:18 |
| ongolaBoy | navigateur .. plusieurs choses | 16:19 |
| ongolaBoy | tu utilises un proxy/cache web ? | 16:19 |
| saoungoumi | peut-être dois-je redemarrer la machine | 16:19 |
| ongolaBoy | tu as essayé de saisir n'importe quel site ? | 16:19 |
| ongolaBoy | non.. | 16:19 |
| saoungoumi | pas de proxy | 16:19 |
| ongolaBoy | dans la config ? | 16:19 |
| saoungoumi | google ok | 16:19 |
| ongolaBoy | vérifie bien | 16:19 |
| saoungoumi | yahoo non | 16:19 |
| saoungoumi | camer.be non | 16:19 |
| saoungoumi | facebook non | 16:19 |
| ongolaBoy | afrinic.net | 16:20 |
| ongolaBoy | http://miroir.cm.auf.org | 16:20 |
| ongolaBoy | tiens d'ailleurs .. essaye le miroir de l'AUF | 16:20 |
| ongolaBoy | je vais voir si tu vas arriver ici | 16:20 |
| ongolaBoy | ah ah je t'ai vu | 16:21 |
| saoungoumi | afrinic non | 16:21 |
| saoungoumi | miroir.auf... ok | 16:21 |
| ongolaBoy | oui, j'ai vu | 16:21 |
| ongolaBoy | vérifie bien ta config dans ton navigateur | 16:21 |
| ongolaBoy | en tout cas je te laisse voir | 16:21 |
| ongolaBoy | moi suis parti | 16:21 |
| saoungoumi | ok | 16:22 |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!