[14:13] <saoungoumi> bonjour
[14:23] <IzaneFG> Bonjour :)
[14:25] <saoungoumi> j'ai un problème sérieux avec mon DNS
[14:26] <saoungoumi> je n'arrive plus à resoudre certain nom
[14:26] <saoungoumi> et je crois que la remarque que ongolaBoy m'a fait par mail est une conséquence de ce problème
[14:27] <saoungoumi> je vais dans quelques instant allez faire passer ces machines sur Jessie
[14:28] <saoungoumi> et j'aimerais avoir un conseil sous forme de doc tech pour la mise en place d'un DNS
[14:28] <saoungoumi> un peu comme chez vous à l'AUF
[14:28] <saoungoumi> SOS ongolaBoy !!!
[14:39] <ongolaBoy> saoungoumi: oui
[14:39] <ongolaBoy> je reviens
[14:39] <ongolaBoy> mais avant de partir .. que veux tu savoir exactement ?
[14:39] <ongolaBoy> tu utilises quoi pour résoudre les noms ?
[14:40] <ongolaBoy> bon .. je dois bouger . petite réunion
[14:40] <ongolaBoy> je viens dans 15 min
[14:41] <saoungoumi> ok
[14:41] <saoungoumi> je veux une bonne doc pour la mise en place from strash de mon DNS
[14:43] <saoungoumi> sans raison apparente (qui n'ayant fait auncune manip) mon dns a commencer depuis Lundi à déconner
[14:55] <saoungoumi> après le retour de l'électricité
[14:55] <saoungoumi> je suis entrain de lire ceci pour la mise en place
[14:55] <saoungoumi> https://wiki.debian.org/fr/Bind9
[14:55]  * ongolaBoy est de retour
[14:56] <ongolaBoy> bon .. déjà .. que veux tu faire avec ton DNS ? car il y a deux types de services
[14:56] <ongolaBoy> résolveur récursif (cad celui qui va aider les clients à résoudre des adresses)
[14:57] <ongolaBoy> et serveur d'autorité : cad celui qui est responsable/esclave d'une ou plusieurs zones
[14:57] <ongolaBoy> pour bind9 . un aptitude install bind9 le rend résolveur récursif localement par défaut
[14:57] <saoungoumi> je veux un DNS qui va permettre de resoudre mes services (nom interne) et les nom sur internet
[14:58] <ongolaBoy> j'imagine bien .. donc .. pour tu commences avec le premier
[14:58] <ongolaBoy> tout cela signifie deux choses
[14:58] <ongolaBoy> résolveur récursif et serveur d'autorité
[14:58] <ongolaBoy> le plus simple c'est le premier
[14:59] <saoungoumi> .
[15:00] <ongolaBoy> après avoir installé bind9 , tu peux ajouter des forwarders dans named.conf.options
[15:00] <ongolaBoy> les forwarders seront les DNS à employer
[15:00] <ongolaBoy> typiquement ceux de CAMTEL
[15:01] <saoungoumi> un de mes grand soucis actuellement est le fait que je n'arrive pas resoudre des noms meme lorsque je change mon resolv.conf
[15:01] <ongolaBoy> faut aller pas à pas rodrigue :)
[15:01] <ongolaBoy> si tu veux je te montre mon fichier de config tout de suite mais tu verras que ça ne va pas te servir car à première vue il va sembler compliqué
[15:01] <saoungoumi> en fait je ne suis pas encore sur le serveur DNS proprement dit
[15:02] <ongolaBoy> resolv.conf c'est autre chose
[15:02] <ongolaBoy> en fonction de la machine que tu utilises faut voir si tu n'as pas dhcpconf d'installé
[15:02] <ongolaBoy> à ce moment là , ton système ne prend pas vraiment en compte ton resolv.conf
[15:03] <ongolaBoy> donc soit tu regardes d'abord pour dhcpconf soit tu travailles sur ton serveur DNS; c'est deux choses différentes et qui ne sont pas liées ;)
[15:04] <ongolaBoy> je signale au passage que sur un serveur, tu ne devrais pas utilisé dhcponf (car son adressage devrait être manuel et tout ce qui va avec)
[15:04] <saoungoumi> ma question avant de commencer est de savoir si un serveur DNS peut se mettre à faire de bettisses comme actuellement de lui seul
[15:04] <saoungoumi> ?
[15:05] <ongolaBoy> bon .. changer _dhcpconf_ par _resolvconf_ sur tout ce que j'ai dis tantôt . toutes mes excuses
[15:06] <ongolaBoy> saoungoumi: moi je te dirais : regarde dans les logs.
[15:06] <ongolaBoy> qu'est-ce qui est dit ?
[15:06] <ongolaBoy> et soit plus précis en terme de bêtises
[15:06] <ongolaBoy> et soit plus précis en terme de ce que tu qualifies de «bêtises»
[15:07] <saoungoumi> success resolving '185.93.204.4success resolving '185.93.204.41.in-addr.arpa/PTR' (in '41.in-addr.arpa'?) after reducing the advertised EDNS UDP packet size to 512 octets1.in-addr.arpa/PTR' (in '41.in-addr.arpa'?) after reducing the advertised EDNS UDP packet size to 512 octets
[15:07] <ongolaBoy> ce n'est pas un soucis ici ..
[15:08] <saoungoumi> je vois
[15:08] <ongolaBoy> mais tu peux omettre ces informations sur EDNS dans la config de bind9
[15:10] <ongolaBoy> mon named.conf.options actuel http://paste.debian.net/367195/
[15:10] <ongolaBoy> les lignes 29 à 31 servent à omettre certaines infos dans les logs notamment les informations sur EDNS
[15:11] <saoungoumi> lorsque je fait un
[15:12] <saoungoumi> dig yahoo.fr par exemple
[15:12] <saoungoumi> je n'est aucun resultat
[15:12] <ongolaBoy> hum ... encore une fois allons pas à pas :)
[15:13] <ongolaBoy> comment as tu configuré ton bind9 ? named.conf ? named.conf.local ?
[15:13] <ongolaBoy> qu'as tu fais dedans ?
[15:13] <ongolaBoy> et puis tu n'as pas «aucun résultat» mais tu dois avoir un truc du genre _NXDOMAIN_ ou bien _FAILED_ mais tu ne peux pas avoir «aucun résultat» ;)
[15:14] <ongolaBoy> pour tester ton résolveur récursif tu dois faire dig @adresse.ip.de.mon.resolveur
[15:15] <ongolaBoy> ainsi .. quelque soit la config de la machine depuis laquelle tu exécutes la requête tu es sur que tu t'adresses au serveur DNS derrière le '@'
[15:15] <ongolaBoy> fais dig @192.24.192.35 yahoo.fr par exemple
[15:17] <saoungoumi> connection timed out; no servers could be reached
[15:17] <ongolaBoy> ça c'est le firewall qui rentre en jeu si tu as tapé ce que je viens de dire
[15:17] <ongolaBoy> de la machine où tu as exécuté ton dig, les requêtes sur le port 53 en sortie ne sont pas acceptées
[15:18] <ongolaBoy> j'ai bien dis «de la machine où tu as exécuté ..»
[15:19] <saoungoumi> oui
[15:19] <ongolaBoy> oui genre ? :)
[15:19] <saoungoumi> en fait sur le firewall tous le port de 0 à 1023 sont ouvert
[15:19] <ongolaBoy> en sortie ?
[15:20] <ongolaBoy> via le FORWARD (en considérant que de la machine où tu as exécuté et le firewall il y a une passrelle)
[15:20] <ongolaBoy> ?
[15:20] <saoungoumi> sur ma machine la machine sur laquellj'ai fait le dig
[15:20] <ongolaBoy> tu as fais le dig depuis ta machine ?
[15:20] <ongolaBoy> ou le serveur DNS ?
[15:21] <saoungoumi> toutes le chaines sont ouvert (iptables)
[15:22] <ongolaBoy> je ne sais pas comment c'est configuré chez toi mais le 'dig @192.24...' que je t'ai dis de taper tout à l'heure
[15:22] <saoungoumi> j'ai le meme resultat que se soit sur ma machine ou sur le serveur DNS
[15:22] <ongolaBoy> chez moi depuis un poste ce genre de chose ne marche pas
[15:23] <ongolaBoy> tout le monde passe par le DNS de la maison pour avoir une réponse DNS
[15:23] <ongolaBoy> donc ça dépend des configs/politiques
[15:23] <ongolaBoy> donc encore une fois c'est un filtre :)
[15:24] <ongolaBoy> sur ton parefeu tape iptables -I FORWARD -s 41.67.236.42 -p udp --dport domain -j ACCEPT
[15:24] <ongolaBoy> en considérant que c'est l'IP de ton DNS
[15:24] <ongolaBoy> sinon tu corriges
[15:24] <ongolaBoy> ça va se placer au dessus de toutes les règles existantes
[15:25] <ongolaBoy> hum .. minute
[15:25] <ongolaBoy> essaye plutôt la 195.24.192.33 comme DNS ; la .35 semble ne pas répondre
[15:27] <saoungoumi> meêm chose
[15:27] <ongolaBoy> là tu as un souci car la .33 marche bien
[15:27] <ongolaBoy> essaye voir avec la 5.11.11.5
[15:28] <ongolaBoy> c'est un résolveur ouvert sur le sol africain :)
[15:28] <ongolaBoy> là si ça ne marche pas, il faudra taper la règle iptables dont je viens de parler
[15:30] <saoungoumi> avec 5.11.11.55.11.11.5
[15:30] <saoungoumi> ca mache
[15:30] <ongolaBoy> ok
[15:31] <ongolaBoy> après avoir tapé la règle iptables ou pas ?
[15:31] <saoungoumi> je voulais dire 5.11.11.5
[15:31] <IzaneFG> saoungoumi: Bassirou demande le nom du prof pour la machine
[15:31] <saoungoumi> IzaneFG:  DJALO HAMAN
[15:32] <saoungoumi> avec ou sans cela
[15:32] <IzaneFG> ok
[15:32] <saoungoumi> dans les deux cas ça marche
[15:32] <saoungoumi> @on
[15:32] <saoungoumi> ongolaBoy:
[15:32] <ongolaBoy> bon .. peut être est-ce juste camtel qui refuse de résoudre vos requêtes
[15:32] <ongolaBoy> jusqu'ici tu utilisais des forwarders dans ton bind ?
[15:32] <ongolaBoy> dans named.conf.options je veux dire
[15:34] <saoungoumi> 4.2.2.2;
[15:34] <ongolaBoy> et quand tu l'interroges ça marche ? je  veux dire un dig @4.2.2.2 ?
[15:35] <saoungoumi> non
[15:35] <saoungoumi> donc je le remplace??
[15:36] <ongolaBoy> si tu veux
[15:36] <ongolaBoy> mais je suis curieux de savoir ce que tu reçois comme erreur de la part de ce serveur de google ?
[15:36] <ongolaBoy> connection timed out aussi ?
[15:39]  * ongolaBoy regarde sa montre car il va rentrer dans moins d'une heure
[15:41] <saoungoumi> quel est la quesion
[15:41] <ongolaBoy> le 4.2.2.2 t'affichait aussi un «connection timed out» ?
[15:41] <saoungoumi> ouui
[15:41] <ongolaBoy> peut être que tes IP sont bannis par certains serveurs alors
[15:42] <ongolaBoy> faudra surveiller tout ça
[15:42] <ongolaBoy> en tout cas niveau DNS; moi je te conseille de ne laisser interroger l'extérieur que ton serveur DNS ou tes serveurs DNS
[15:42] <ongolaBoy> tout le reste dans le réseau doit passer par eux; absolument tout le reste
[15:43] <ongolaBoy> maintenant faut revoir la configuration de ton DNS
[15:45] <ongolaBoy> il faut noter aussi que tu n'es pas obligé d'utiliser un forwarder
[15:45] <saoungoumi> comment ca?
[15:45] <ongolaBoy> regarde bien chez moi
[15:45] <ongolaBoy> toute la section forwarder est commentée ;)
[15:46] <saoungoumi> j'ai remarqué
[15:46] <ongolaBoy> bind , en bon résolveur, sait interroger les serveurs racines et à partir d'eux descendre jusqu'au serveur qui gère le domaine que tu veux résoudre
[15:47] <ongolaBoy> ensuite il cache les infos pendant un temps donné avant de redemander
[15:47] <ongolaBoy> le forwarder sert surtout à optimiser ce temps
[15:47] <ongolaBoy> il faut utiliser les forwarders quand c'est possible/souhaité
[15:47] <ongolaBoy> moi je n'utilise pas CAMTEL bien que j'aurais optimisé en terme de temps
[15:48] <ongolaBoy> *mais* leurs DNS ne font pas les validations DNSSEC
[15:48] <ongolaBoy> donc je préfère laisser bind faire tout le job tout seul comme un grand
[15:48] <ongolaBoy> et ça marche bien depuis plus d'un an et demi
[15:49] <ongolaBoy> pas de Google non plus ; je ne vais pas contribuer à leur fournir encore plus d'informations qu'ils en ont déjà :)
[15:49] <ongolaBoy> et encore moins tout le reste des serveurs récursifs ouverts
[15:49] <ongolaBoy> bref .. tout ça pour dire que la section forwarders n'est pas obligatoire
[15:49] <saoungoumi> je vois
[15:50] <saoungoumi> mais jusqu'ici je n'ouvre pas toujours les pages yahoo
[15:50] <saoungoumi> c'est vraiment bizard
[15:50] <ongolaBoy> avec un forwarder ou pas ?
[15:50] <saoungoumi> ??
[15:50] <ongolaBoy> je t'ai dis qu'il faut y aller pas à pas .. il ya plein d'étapes avant d'aller tester depuis ton poste ;)
[15:51] <saoungoumi> ya t-il un site pour savoir si oui ou nonmes addresse ou serveur DNS sont bannis
[15:51] <ongolaBoy> difficile
[15:51] <saoungoumi> j'ai deja fait un dig
[15:51] <ongolaBoy> mais suis ce que je te dis ..
[15:51] <saoungoumi> ok
[15:51] <ongolaBoy> qu'est-ce que tu as fais dans ton named.conf.options ?
[15:51] <ongolaBoy> je reviens encore dessus
[15:53] <saoungoumi> http://paste.debian.net/367212/
[15:54] <ongolaBoy> hum .. tes lignes allow .. any là .. moi j'ai un peu peur mais bon
[15:54] <ongolaBoy> tu as rechargé ton serveur dns au passage ? (rndc reload)
[15:54] <saoungoumi> ce sont les ligne de depuis longtemps
[15:54] <saoungoumi> oui
[15:54] <ongolaBoy> si oui , fais dig @127.0.0.1 yahoo.fr et tu me dis
[15:54] <ongolaBoy> depuis le serveur dns bien sur
[15:56] <saoungoumi> sisi
[15:56] <ongolaBoy> et ? résultat ?
[15:57] <saoungoumi> connexion refuse
[15:57] <saoungoumi> mais j'ai fait un stop start de bind est c'est passé
[15:57] <saoungoumi> log
[15:58] <saoungoumi> http://paste.debian.net/367213/
[15:58] <ongolaBoy> qu'est-ce qui est passé ? la requête dig @127 ?
[16:00] <saoungoumi> http://paste.debian.net/367215/
[16:03] <saoungoumi> plutot ceci http://paste.debian.net/367218/
[16:04] <ongolaBoy> tu as fais dig @127.0.0.1 sans rien ?
[16:04] <ongolaBoy> en tout cas on t'a répondu
[16:04] <saoungoumi> oui
[16:04] <ongolaBoy> faut faire dig @127.0.0.1 yahoo.fr
[16:04] <ongolaBoy> par exemple
[16:05] <ongolaBoy> parce que la réponse à ta dernière requête ton serveur DNS a cette réponse en local
[16:05] <ongolaBoy> dans le fichier db.root pour être précis
[16:06] <saoungoumi> http://paste.debian.net/367219/
[16:07] <ongolaBoy> bah .. ça marche
[16:07] <ongolaBoy> ligne 6
[16:07] <ongolaBoy> tu as eu 5 réponses à ta requête
[16:08] <ongolaBoy> en d'autres termes, tu as interrogé ton résolveur et lui a interrogé le forwarder et t'a retourné le résultat que tu vois
[16:08] <ongolaBoy> et la ligne 32 me montre qu'il avait djéà ça en cache => ce n'est pas le premier essai
[16:09] <ongolaBoy> donc .. ton résolveur fonctionne
[16:09] <saoungoumi> mais alors
[16:09] <ongolaBoy> reste à voir les autorisations; déjà dans le fichier de conf de ton DNS
[16:09] <ongolaBoy> puis ensuite faudra voir niveau firewall
[16:09] <ongolaBoy> tu vois pourquoi je disais qu'il fallait aller pas à pas ? ;)
[16:10] <ongolaBoy> maintenant faut voir les autorisations dans la conf de ton DNS
[16:10] <ongolaBoy> moi je dois bientôt rentrer
[16:11] <saoungoumi> mais il n'y a rien de spécifique relativement au permission
[16:11] <saoungoumi> dans quel fichier par exemple quelque chose de genre peut avoir été fait
[16:11] <saoungoumi> ?
[16:12] <ongolaBoy> tout part de ton named.conf
[16:12] <ongolaBoy> normalement dans debian, on recommande de faire ses config dans named.conf.local
[16:12] <ongolaBoy> mais faut déjà voir ton named.conf pour voir ce qu'il a
[16:13] <ongolaBoy> quand tu es sur un poste client, le statut des requêtes dig c'est quoi ? FAILED, NXDOMAIN, ???
[16:13] <ongolaBoy> là .. plus besoin de faire un dig @Ip.DNS .. juste dig
[16:14] <ongolaBoy> car je suppose que ton DHCP a fournit la bonne adresse de serveur DNS à utiliser
[16:14] <saoungoumi> oui
[16:15] <ongolaBoy> et le statut est donc ?
[16:17] <saoungoumi> tous les dig
[16:17] <ongolaBoy> bah le dernier dig depuis le poste client
[16:17] <saoungoumi> marche
[16:17] <ongolaBoy> dig un.org
[16:18] <ongolaBoy> ça va alors non ? :)
[16:18] <saoungoumi> non
[16:18] <saoungoumi> sur les navigateurs il ya toujours le meme soucis
[16:18] <saoungoumi> vraiment bizar non?
[16:19] <ongolaBoy> navigateur .. plusieurs choses
[16:19] <ongolaBoy> tu utilises un proxy/cache web ?
[16:19] <saoungoumi> peut-être dois-je redemarrer la machine
[16:19] <ongolaBoy> tu as essayé de saisir n'importe quel site ?
[16:19] <ongolaBoy> non..
[16:19] <saoungoumi> pas de proxy
[16:19] <ongolaBoy> dans la config ?
[16:19] <saoungoumi> google ok
[16:19] <ongolaBoy> vérifie bien
[16:19] <saoungoumi> yahoo non
[16:19] <saoungoumi> camer.be non
[16:19] <saoungoumi> facebook non
[16:20] <ongolaBoy> afrinic.net
[16:20] <ongolaBoy> http://miroir.cm.auf.org
[16:20] <ongolaBoy> tiens d'ailleurs .. essaye le miroir de l'AUF
[16:20] <ongolaBoy> je vais voir si tu vas arriver ici
[16:21] <ongolaBoy> ah ah je t'ai vu
[16:21] <saoungoumi> afrinic non
[16:21] <saoungoumi> miroir.auf... ok
[16:21] <ongolaBoy> oui, j'ai vu
[16:21] <ongolaBoy> vérifie bien ta config dans ton navigateur
[16:21] <ongolaBoy> en tout cas je te laisse voir
[16:21] <ongolaBoy> moi suis parti
[16:22] <saoungoumi> ok