https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2022-11-15T16:39:53ZEnsemble Ouvert Libre Évolutifeole-common - Tâche #35005: BIND : support des passerelles qui n'ont pas de support des cookies DNShttps://dev-eole.ac-dijon.fr/issues/35005?journal_id=1706302022-11-15T16:39:53ZLaurent Gourvenec
<ul></ul><p>Lorsqu'on redémarre le service 'named' sur un DC1 il est possible de faire des requêtes DNS pendant un certain temps (de l'ordre de la minute).<br />Après ce délai il n'est plus possible de faire des requêtes DNS.<br />En réalité on ne peut plus faire de requête dès qu'on retrouve l'erreur suivante dans les logs :</p>
<pre>
nov. 15 14:36:40 dc1.domseth.ac-test.fr named[34315]: missing expected cookie from 192.168.0.1#53
</pre>
<p>Si on ajoute l'option <code>send-cookie no;</code> dans le fichier /etc/bind/named.conf.options, l'erreur n’apparaît plus et les requêtes sont tout le temps possible.<br />Si on remplace dnsmasq par un serveur bind sur la passerelle, il n'y a plus d'erreur non plus (sans modifier la configuration bind).<br />Le problème c'est que la gestion des cookies DNS n'est pas implémentée sur dnsmasq.</p>
<pre>
root@dc1:~# dig dev-eole.ac-dijon.fr | grep COOKIE
; COOKIE: 11cf8ac7386e412f0100000063739825f8992fd68cc27155 (good)
root@dc1:~# dig @192.168.0.1 dev-eole.ac-dijon.fr | grep COOKIE
root@dc1:~#
</pre>
<p>Informations complétementaires sur les cookies DNS : <a class="external" href="https://kb.isc.org/docs/aa-01387">https://kb.isc.org/docs/aa-01387</a></p>
<p>Nous voyons deux solutions :</p>
<p>- désactiver la gestion des cookies dans la configuration de bind. Cela semble être une mauvaise idée de baisser la sécurité d'environnement avec des serveurs DNS gérant les cookies DNS ;<br />- proposer une options pour pouvoir désactiver les cookies DNS :
* les cookies DNS sont activés par défaut
* un diagnose qui vérifie si les cookies sont supportés par la passerelle (quelque chose comme<br /><pre>
for dns in $(CreoleGet adresse_ip_dns); do
dig @$dns +cookie $(CreoleGet test_distant_domaine) | grep -q "; COOKIE: " || echo "pas de support des cookies DNS pour $dns";
done
</pre><br />)
* laisser le nouveau comportement même en cas de migration.</p> eole-common - Tâche #35005: BIND : support des passerelles qui n'ont pas de support des cookies DNShttps://dev-eole.ac-dijon.fr/issues/35005?journal_id=1709542022-11-23T09:27:19ZDaniel Dehennin
<ul></ul><p>Dans <a href="https://kb.isc.org/docs/aa-01387" class="external">la documentation</a>, il est noté que s’il n’y a pas de cookie, il y a un fallback TCP.</p>
<p>Le soucis semble venir de ce fallback qui ne fonctionne pas à travers la gateway:</p>
<pre>
root@gateway90:~# dig +tcp @192.168.232.2 dev-eole.ac-dijon.fr
;; Connection to 192.168.232.2#53(192.168.232.2) for dev-eole.ac-dijon.fr failed: timed out.
</pre> eole-common - Tâche #35005: BIND : support des passerelles qui n'ont pas de support des cookies DNShttps://dev-eole.ac-dijon.fr/issues/35005?journal_id=1709572022-11-23T09:39:56ZDaniel Dehennin
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>En cours</i></li><li><strong>Assigné à</strong> mis à <i>Daniel Dehennin</i></li><li><strong>Début</strong> mis à <i>23/11/2022</i></li></ul><p>Le problème semble se situer sur les machines virtuelle OpenNebula, je vais devoir inspecter toute la pile réseau.</p> eole-common - Tâche #35005: BIND : support des passerelles qui n'ont pas de support des cookies DNShttps://dev-eole.ac-dijon.fr/issues/35005?journal_id=1711502022-11-28T15:02:27ZDaniel Dehennin
<ul></ul><p>J’ai ouvert un <a href="https://cepages.region-academique-bourgogne-franche-comte.fr/pages/UI.php?operation=details&class=Incident&id=4861&c%5Bmenu%5D=Incident%253AMySupportIncidents" class="external">ticket</a> auprès des équipes du rectorat.</p> eole-common - Tâche #35005: BIND : support des passerelles qui n'ont pas de support des cookies DNShttps://dev-eole.ac-dijon.fr/issues/35005?journal_id=1713602022-12-02T09:33:54ZDaniel Dehennin
<ul><li><strong>Statut</strong> changé de <i>En cours</i> à <i>Résolu</i></li><li><strong>% réalisé</strong> changé de <i>0</i> à <i>100</i></li></ul><p>Jean-Philippe a corrigé une règle de parfeu qui n’autorisait que le DNS en UDP, il est désormais ouvert aussi en TCP.</p> eole-common - Tâche #35005: BIND : support des passerelles qui n'ont pas de support des cookies DNShttps://dev-eole.ac-dijon.fr/issues/35005?journal_id=1714032022-12-05T10:16:03ZLaurent Gourvenec
<ul><li><strong>Statut</strong> changé de <i>Résolu</i> à <i>Fermé</i></li><li><strong>Restant à faire (heures)</strong> mis à <i>0.0</i></li></ul><p>Sur la maquette qui était en erreur il y 20 jours, je peux maintenant faire des requêtes DNS sans soucis.</p> eole-common - Tâche #35005: BIND : support des passerelles qui n'ont pas de support des cookies DNShttps://dev-eole.ac-dijon.fr/issues/35005?journal_id=1721552023-02-03T08:45:23ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Bloque</strong> <i><a class="issue tracker-5 status-16 priority-4 priority-default closed parent" href="/issues/34941">Scénario #34941</a>: [EOLE 2.9] Impossibilité d'instancier DC2 si un service podman est installé sur le DC1 avant instance</i> supprimé</li></ul> eole-common - Tâche #35005: BIND : support des passerelles qui n'ont pas de support des cookies DNShttps://dev-eole.ac-dijon.fr/issues/35005?journal_id=1721572023-02-03T08:45:33ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Temps estimé</strong> mis à <i>0.00 h</i></li><li><strong>Tâche parente</strong> mis à <i>#34941</i></li></ul>