le 24-08-2024 12:05
Bonjour,
TLDR: Depuis quelques temps, quand je suis sur le réseau mobile orange, il m'est impossible de contacter certains sites compatible IPv4 uniquement et mêmes des IPv4 directement (Destination Net Unreachable).
Après un peu d'investigation, j'ai remarqué qu'il y avait que les sites sans enregistrement DNS en AAAA (donc sans IPv6) qui m'était impossible de contacter, j'ai fait quelques requêtes DNS à partir de mon téléphone pour m'en apercevoir.
Pour m'assurer si c'était un problème au niveau de mon téléphone qui ferait que des requêtes AAAA sans essayer de A pour IPv4 ou du réseau Orange, j'ai décider de contacter directement des IPv4 que je connaissais et il se trouve qu'il est également impossible de les contacter en allant sur le site ou en faisant des ping.
Cela m'indique que c'est bien un problème au niveau du réseau lui même.
Il faut savoir que j'ai mon propre serveur DNS privé et sécurisé de configuré sur mon téléphone (DNS over TLS), que j'utilise le mien ou celui de Google ou Cloudflare, le résultat est identique.
Quand j'enlève le DoT (et passe donc par la configuration par défaut i.e DNS Orange), les sites sont à nouveau accessibles et je vois que sur les requêtes DNS AAAA de sites qui sont en IPv4, le résultat est présent avec des IPv6 commençant par 64:ff96b:: (correspondant à la RFC8215), en sachant que les autres formes de conversion IPv4 ne fonctionnent pas non plus.
Autre chose étrange, quand je regarde mon IP personnelle via https://ifconfig.me/, ça me montre que j'ai une IPv6 et quand j'accède à un de mes serveurs (qui n'a qu'une IPv4, donc en passant par le 64:ff96b::), je vois que l'IP qu'il voit est une IPv4.
Est-ce un comportement normal ? Pour mes besoin professionnel, j'ai besoin d'être en capacité de contacter des serveurs en IPv4 à tout moment et sans devoir m'amuser à les mettre dans un format particulier...
24-08-2024 12:08 - modifié 24-08-2024 12:11
Bonjour,
Au delà du souci qui m'a l'air en dehors des questions auxquelles les conseillers répondent ordinairement, on va quand même rappeler que les abonnement Sosh ne sont pas prévus pour les usages professionnels.
Tu as des exemples ? Ou en fait, si je comprends bien, en usage "normal" (DNS d'Orange), il n'y a aucun souci d'usage ?
le 26-08-2024 09:52
Bonjour,
Merci pour votre réponse.
Je précise que mon abonnement est bien pour un usage personnel, mais il m'arrive d'avoir du mal à déconnecter c'est pour cela que ce besoin reste important pour moi.
Mais cela mis de côté, je peux donner des exemples anodins, CityMapper ne fonctionne pas non plus car uniquement en IPv4. L'autre jour je me suis retrouvé a faire des recherches sur Google et je ne pouvais pas accéder à certains sites comme EDF, Le Robert...
Je suis soucieux de ma vie privée et je sais également qu'il est très simple d'intercepter des requêtes DNS en UDP et créer des attaques Man In The Middle, c'est pour cela que je préfère utiliser du DoT ou DoH quand je navigue sur internet à tout moment.
Les exemples cités sont donc avec un usage du DoT de Cloudflare (one.one.one.one) configuré sur mon smartphone, dans un usage "normal" avec le DNS d'Orange potentiellement non sécurisé il n'y a pas de souci d'usage.
Ma question principale était si c'était un comportement normal de ne pas pouvoir accéder à des IPv4 quand notre IP publique est une IPv6 et si c'était normal que les réponses DNS AAAA retournent des IPv6 avec comme prefixe 64:ff96b::
En lisant la RFC8215, je pense comprendre, Orange nous donne une IPv6 pour accéder à internet ce qui est pratique car il y a beaucoup d'IP disponible, en étant dans leur réseau et potentiellement pour des raison de simplicité et compatibilité avec les vieux systèmes, quand un utilisateur souhaite accéder à une IPv4, le réseau Orange va router en interne la requête via leurs IP de conversion 64:ff96b:: qui peuvent pointer vers toutes les IPv4. En sortie de ce type de requêtes (IPv6 vers IPv4) l'utilisateur se retrouve avec une nouvelle IPv4. Dans le cas d'une IPv6 vers IPv6, rien n'est modifié et il y a un comportement "normal".
De mon point de vue je me serais dit que lors de la demande explicite d'une IPv4 cela aurait dû marcher quitte à ce que le serveur distant ne fonctionne pas correctement étant donné que l'usage "normal" en utilisant le DNS Orange tout est géré 🤷.
le 19-09-2024 19:54
Je n'ai pas eu de réponse, mais je retire mon hypothèse où ca serait pour de la compatibilité avec les vieux systèmes. Sur les box internet Orange, le comportement en IPv6 est celui qui est attendu, c'est à dire qui ne va pas tricher avec son DNS sur les requêtes AAAA et le préfixe 64:ff96b::....
Le mystère reste donc entier.