Site web et IP introuvable => VPN KO en cascade

sebastien · 25 Novembre 2013 à 22:02:03

Bonjour,

Depuis vendredi 22/11 après midi, je n'arrive plus à accéder au site web http://www.merckgroup.com/ alors qu'il est bien up et accessible depuis mon smartphone en 3G par exemple.
Idem si je tape direct l'adresse IP correspondante : http://155.250.129.245/

et en cascade, du coup, impossible de connecter en vpn mon PC professionnel Merck qui cherche forcément un serveur du même accabit.

Tout le reste (autres sites web, TV, téléphone) est OK.

Je précise que tout marchait bien jusqu'à vendredi matin, que le site web en question ne marche d'aucun de mes PC (pro ou perso) et que le VPN sur mon pro marche bien ailleurs que sur mon réseau wifi => le pb vient donc bien du réseau, pas du PC.

Vu les récents messages de route bizarres ou de sites / ports bloqués, pouvez vous svp voir au plus vite ou est le problème et le résoudre? J'ai en effet besoin au plus vite de mon accès vpn pour le boulot.

Merci

Sébastien Fournier

TiTi · 25 Novembre 2013 à 22:26:29

Les DNS de K-net qui déconnent.
Pour accéder par l'ip direct c'est souvent qu'on force le nom de domaine pour le site. Donc normal que ça ne marche pas.
Pour y remédier, ouvre les paramètres de ta carte réseau, ensuite dans IPV4 tu clique sur propriété et tu tape les DNS manuellement : 8.8.8.8 et 8.8.4.4.

(http://puu.sh/5tcXL.png)

Damien · 25 Novembre 2013 à 23:27:57

@sebastien, vous avez coupé l'accès à distance sur votre routeur ? J'aimerai vérifier quels dns vous utilisez

jack · 26 Novembre 2013 à 00:29:47

Mouais, même si les serveurs DNS ont bon dos, il semble que le problème possède une autre origine (mauvais routage depuis eux vers nous).
Du coup, je suppute qu'utiliser les DNS de google ne résoudra en rien la problématique (mais je peux me tromper)

Pouvez-vous tester la manipulation proposée par Titi afin de confirmer ?

Merci

TiTi · 26 Novembre 2013 à 06:55:54

Non mais Jack tu crois que j'ai pas testé ?
Le site ne marche pas aussi chez moi x)
(Au passage dans DNS propagation, ceux de NordNet n'arrivent pas à résoudre l'adresse comme les votre.)
Avec vos DNS => Ne marche pas
Ceux de Google => Marche.

Arnaud · 26 Novembre 2013 à 15:55:23

Sans vouloir médire titi (tu sais que ce n'est pas mon genre) de mon test de là tout de suite ils répondent bien la même chose

par contre très clairement, et là j'ai beaucoup beaucoup de mal a comprendre comment ils arrivent a ce miracle, on arrive a constater 2 comportement différents au niveau IP pour
joindre cette destination depuis 2 machines dans le même subnet et routé par la même passerelle chez nous (oui le comportement totalement irrationnel).

De fait, j'ai testé depuis d'autre réseau que le réseau K-Net et j'ai curieusement le même résultat. Donc non pas un problème de DNS mais clairement un souci coté IP chez Mediaways (ca se prononce telefonica DE).

Il semblerait que pas mal de monde remonte ce souci sur le réseau DE de telefonica.

Du peu de looking glass que l'on ai pu trouver sur leur réseau, ça semble effectivement pas glorieux. Plein de routes visiblement désapprises par une partie de leur réseau.

Du coup, j'aurais plutôt tendance a penser qu'il y'a un soucis sur la voie retour ce qui explique bien des choses sur le comportement des réponses DNS.

On va ouvrir un ticket chez Telefonica et on vous tiendra au courant si l'on a une réponse.

Frank · 26 Novembre 2013 à 20:58:29

Bon, ben il faudrait faire autre chose que des mesures empiriques, par ce que ca a rien à voir avec les DNS x):

Code Sélectionner

08:57:32 ~$ dig +short [url=http://www.merckgroup.com]www.merckgroup.com[/url]
td.merck.de.
155.250.129.245
08:57:37 ~$ dig +short @ns1.k-net.fr [url=http://www.merckgroup.com]www.merckgroup.com[/url]
td.merck.de.
155.250.129.245
08:57:42 ~$ dig +short @8.8.8.8 [url=http://www.merckgroup.com]www.merckgroup.com[/url]
td.merck.de.
155.250.129.245

TiTi · 26 Novembre 2013 à 21:02:18

Ba avec DNS google => marche
Sans => ne marche pas

Frank · 26 Novembre 2013 à 21:06:22

Si tu as une explication technique, je veux bien, par ce qu'actuellement, ca me semble impossible

TiTi · 26 Novembre 2013 à 21:14:25

Aucune explication technique. Mais je ne suis pas fou !
(http://puu.sh/5u6X7.png)
(http://puu.sh/5u6ZZ.png)

Un petit linux, car je vois venir le Ha mais oui tu le fais sous windows :
(http://puu.sh/5u72H.png)

Tu as tes preuves ?

Frank · 26 Novembre 2013 à 21:56:17

Hum ? Je comprends pas trop ce que tu veux expliquer.. Généralement, pour diagnostiquer les "DNS", on utilise dig (ou équivalent)

TiTi · 26 Novembre 2013 à 22:01:36

Ba toutes les applications n'arrivent pas à résoudre le nom de domaine.

Dig :
pi@raspberrypi ~ $ dig www.merckgroup.com

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> www.merckgroup.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 29141
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.merckgroup.com. IN A

;; Query time: 4006 msec
;; SERVER: 178.250.209.34#53(178.250.209.34)
;; WHEN: Tue Nov 26 22:00:27 2013
;; MSG SIZE rcvd: 36

1er constat, c'est qu'il met très longtemps à résoudre 4006 ms contre 20 ms pour Google.fr
2ème, Pas d'enregistrement ?

Frank · 26 Novembre 2013 à 22:17:07

Haha, c'est si obvious que c'est marrant

Concernant tes deux questions qui sont liées, man dig, et plus spécifiquement le champ status (et oui, il indique SERVFAIL, et pas NOERROR).
Ensuite, un champ qui n'à pa de A (même pour un NOERROR), c'est très plausible (par exemple, tous les champs pour les rdns).

TiTi · 26 Novembre 2013 à 22:31:08

Je serais pas t'en dire plus, voilà ce que ça donne avec les DNS de googler :
pi@raspberrypi ~ $ dig www.merckgroup.com

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> www.merckgroup.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14505
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.merckgroup.com. IN A

;; ANSWER SECTION:
www.merckgroup.com. 21600 IN CNAME td.merck.de.
td.merck.de. 600 IN A 155.250.129.245

;; Query time: 47 msec
;; SERVER: 8.8.8.8#53(8.8.8.

;; WHEN: Tue Nov 26 22:30:31 2013
;; MSG SIZE rcvd: 77

Frank · 26 Novembre 2013 à 22:45:20

Nan, je sais pourquoi ca marche pas

En fait, j'utilisais pas les même DNS kwaoo pour tester que vous. Le serveur que t'utilise est le le subnet qui arrive pas à acceder à merckgroup.com; ceux-ci hostant leur prores DNS, ben on peut pas non-plus accèder au serveur DNS; d'ou le temps d'attente imense (tps max, quoi), et le servfail.

Après, pourquoi ca marchait pour moi et pour ns1.kwaoo.net ?

Ben quand tu hoste un NS, tu essaie de séparer au max la localisation des serveurs:

Code Sélectionner

inetgate.merck.de.	86400	IN	A	155.250.129.1
wingate.merck.de.	86400	IN	A	155.250.128.1

Subnets différents => on peut accèder à 155.250.129.1 mais pas 155.250.128.1. Il suffit que le résolveur choissie le bon NS (ou pas) pour que ca marche (ou ca plante).

Bref, un petit problème assez marrant, dans le fond ^^

(ma réponse est un peu le bordel, et je suis crevé, mais qui veut comprendre comprendra

)

Rechercher