Caps Services - Forum

Bonjour,

Depuis vendredi 22/11 après midi, je n'arrive plus à accéder au site web http://www.merckgroup.com/ (http://www.merckgroup.com/)  alors qu'il est bien up et accessible depuis mon smartphone en 3G par exemple.
Idem si je tape direct l'adresse IP correspondante : http://155.250.129.245/ (http://155.250.129.245/)

et en cascade, du coup, impossible de connecter en vpn mon PC professionnel Merck qui cherche forcément un serveur du même accabit.

Tout le reste (autres sites web, TV, téléphone) est OK.

Je précise que tout marchait bien jusqu'à vendredi matin, que le site web en question ne marche d'aucun de mes PC (pro ou perso) et que le VPN sur mon pro marche bien ailleurs que sur mon réseau wifi => le pb vient donc bien du réseau, pas du PC.

Vu les récents messages de route bizarres ou de sites / ports bloqués, pouvez vous svp voir au plus vite ou est le problème et le résoudre? J'ai en effet besoin au plus vite de mon accès vpn pour le boulot.

Merci

Sébastien Fournier

Les DNS de K-net qui déconnent.
Pour accéder par l'ip direct c'est souvent qu'on force le nom de domaine pour le site. Donc normal que ça ne marche pas.
Pour y remédier, ouvre les paramètres de ta carte réseau, ensuite dans IPV4 tu clique sur propriété et tu tape les DNS manuellement : 8.8.8.8 et 8.8.4.4.

(http://puu.sh/5tcXL.png)

@sebastien, vous avez coupé l'accès à distance sur votre routeur ? J'aimerai vérifier quels dns vous utilisez

Mouais, même si les serveurs DNS ont bon dos, il semble que le problème possède une autre origine (mauvais routage depuis eux vers nous).
Du coup, je suppute qu'utiliser les DNS de google ne résoudra en rien la problématique (mais je peux me tromper)

Pouvez-vous tester la manipulation proposée par Titi afin de confirmer ?

Merci

Non mais Jack tu crois que j'ai pas testé ?
Le site ne marche pas aussi chez moi x)
(Au passage dans DNS propagation, ceux de NordNet n'arrivent pas à résoudre l'adresse comme les votre.)
Avec vos DNS => Ne marche pas
Ceux de Google => Marche.

Sans vouloir médire titi (tu sais que ce n'est pas mon genre) de mon test de là tout de suite ils répondent bien la même chose ;)

par contre très clairement, et là j'ai beaucoup beaucoup de mal a comprendre comment ils arrivent a ce miracle, on arrive a constater 2 comportement différents au niveau IP pour
joindre cette destination depuis 2 machines dans le même subnet et routé par la même passerelle chez nous (oui le comportement totalement irrationnel).

De fait, j'ai testé depuis d'autre réseau que le réseau K-Net et j'ai curieusement le même résultat. Donc non pas un problème de DNS mais clairement un souci coté IP chez Mediaways (ca se prononce telefonica DE).

Il semblerait que pas mal de monde remonte ce souci sur le réseau DE de telefonica.

Du peu de looking glass que l'on ai pu trouver sur leur réseau, ça semble effectivement pas glorieux. Plein de routes visiblement désapprises par une partie de leur réseau.

Du coup, j'aurais plutôt tendance a penser qu'il y'a un soucis sur la voie retour ce qui explique bien des choses sur le comportement des réponses DNS.

On va ouvrir un ticket chez Telefonica et on vous tiendra au courant si l'on a une réponse.

Bon, ben il faudrait faire autre chose que des mesures empiriques, par ce que ca a rien à voir avec les DNS x):
08:57:32 ~$ dig +short [url=http://www.merckgroup.com]www.merckgroup.com[/url]
td.merck.de.
155.250.129.245
08:57:37 ~$ dig +short @ns1.k-net.fr [url=http://www.merckgroup.com]www.merckgroup.com[/url]
td.merck.de.
155.250.129.245
08:57:42 ~$ dig +short @8.8.8.8 [url=http://www.merckgroup.com]www.merckgroup.com[/url]
td.merck.de.
155.250.129.245


Ba avec DNS google => marche
Sans => ne marche pas

Si tu as une explication technique, je veux bien, par ce qu'actuellement, ca me semble impossible  ;)

Aucune explication technique. Mais je ne suis pas fou !
(http://puu.sh/5u6X7.png)
(http://puu.sh/5u6ZZ.png)

Un petit linux, car je vois venir le Ha mais oui tu le fais sous windows :
(http://puu.sh/5u72H.png)

Tu as tes preuves ?

Hum ? Je comprends pas trop ce que tu veux expliquer.. Généralement, pour diagnostiquer les "DNS", on utilise dig (ou équivalent) ;)

Ba toutes les applications n'arrivent pas à résoudre le nom de domaine.

Dig :
pi@raspberrypi ~ $ dig www.merckgroup.com (http://www.merckgroup.com)

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> www.merckgroup.com (http://www.merckgroup.com)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 29141
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.merckgroup.com (http://www.merckgroup.com).            IN      A

;; Query time: 4006 msec
;; SERVER: 178.250.209.34#53(178.250.209.34)
;; WHEN: Tue Nov 26 22:00:27 2013
;; MSG SIZE  rcvd: 36


1er constat, c'est qu'il met très longtemps à résoudre 4006 ms contre 20 ms pour Google.fr
2ème, Pas d'enregistrement ?

Haha, c'est si obvious que c'est marrant  :P

Concernant tes deux questions qui sont liées, man dig, et plus spécifiquement le champ status (et oui, il indique SERVFAIL, et pas NOERROR).
Ensuite, un champ qui n'à pa de A (même pour un NOERROR), c'est très plausible (par exemple, tous les champs pour les rdns).

Je serais pas t'en dire plus, voilà ce que ça donne avec les DNS de googler :
pi@raspberrypi ~ $ dig www.merckgroup.com (http://www.merckgroup.com)

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> www.merckgroup.com (http://www.merckgroup.com)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14505
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.merckgroup.com (http://www.merckgroup.com).            IN      A

;; ANSWER SECTION:
www.merckgroup.com (http://www.merckgroup.com).     21600   IN      CNAME   td.merck.de.
td.merck.de.            600     IN      A       155.250.129.245

;; Query time: 47 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Nov 26 22:30:31 2013
;; MSG SIZE  rcvd: 77

Nan, je sais pourquoi ca marche pas ;)

En fait, j'utilisais pas les même DNS kwaoo pour tester que vous. Le serveur que t'utilise est le le subnet qui arrive pas à acceder à merckgroup.com; ceux-ci hostant leur prores DNS, ben on peut pas non-plus accèder au serveur DNS; d'ou le temps d'attente imense (tps max, quoi), et le servfail.

Après, pourquoi ca marchait pour moi et pour ns1.kwaoo.net ?

Ben quand tu hoste un NS, tu essaie de séparer au max la localisation des serveurs:
inetgate.merck.de. 86400 IN A 155.250.129.1
wingate.merck.de. 86400 IN A 155.250.128.1
Subnets différents => on peut accèder à 155.250.129.1 mais pas 155.250.128.1. Il suffit que le résolveur choissie le bon NS (ou pas) pour que ca marche (ou ca plante).

Bref, un petit problème assez marrant, dans le fond ^^

(ma réponse est un peu le bordel, et je suis crevé, mais qui veut comprendre comprendra :P)

Comme indiqué ici, un site comme Zalando est actuellement injoignable et pour les mêmes raisons :
https://lafibre.info/gix/impossible-de-joindre-www-zalando-fr-telefonica-germany/

Depuis Bouygues c'est pareil, impossible d'y accéder.

Globalement c'est ce que dit Frank. Quand on trace la requete (dig +trace titi pour info) tu vois bien que les root server DNS répondent correctement.

Par contre lorsqu'il s'agit d'aller parler aux serveurs autoritaires de la zone, impossible vu qu'il y'a un problème de route (que ce soit en v4 ou v6).

Du coup, pas moyen pour les resolvers de demander la définition de la zone et donc de la servir, CQFD.

Pourquoi est ce que les resolvers de google s'en sortent ? Très probablement parceque google dispose d'un PNI avec Telefonica et que donc dans leurs cas a eux, il y'a une route qui répond correctement.

Ce n'est donc pas un problème sur les DNS de K-Net, mais bien un problème de réseau. Le DNS qui ne répond n'est qu'un symptôme du problème, mais pas plus qu'un symptôme. Ce n'en est certainement pas la cause.

Salut Sebastien,

Est ce que cela est corrigé pour ton VPN ?

J'ai fait quelques modifications.

Cordialement,

Mon VPN de Merck marche maintenant.
Merci.

Nous venons de monter une session avec l'AS6805 Telefonica Germany à l'AMS-IX à l'instant même  :P

Bonjour Guillaume,

Désolé pour la réponse tardive mais me voilà de retour de déplacement professionnel dans la foulée de mon premier mail.

Tout ca pour dire que tout marche très bien maintenant, le site web, mais aussi et surtout le VPN, alors un immense MERCI pour les modifications et la résolution du problème.

Excellent week end à tous, sous la neige!  8)

Sébastien