Archlinux.fr [Forums]

Bonjour à toutes et à tous

Depuis ce jour (vendredi 26 avril) je rencontre le problème suivant concernant l'accés aux sites web suffixés en .org, par exemple : aur.archlinux.org
Au lancement du système, pas de problème,
- le ping sur ces services marche correctement
- je peux me connecter directement
- consultation et téléchargement sans problème

Au bout de quelques minutes, les services .org deviennent inaccessibles et j'ai le message classique
"Impossible de se connecter au serveur à l’adresse ..."
Je peux continuer à me connecter à tous les autres serveurs ou services internet... mais plus aux .org !
La seule solution est de rebooter pour retrouver "temporairement" un accès normal ...

quelques précisions
- mon système est à jour (mise à jour complète du 25.04.2019 :
version de Linux 5.0.9-arch1-1-ARCH, KDE Frameworks 5.57.0, Qt 5.12.3 (construit sur 5.12.2)
version de systemd : systemd-242.0-3-x86_64
- j'ai cru au début que c'était un problème lié à firefox, mais le problème se produit même quand celui-ci n'est pas ou n'a pas été utilisé
- je n'ai pas de problème d'accès au réseau, celui-ci fonctionne correctement en ethernet comme en wifi
- le problème est manifestement propre à mon installation, car sur un autre PC familial, sur le même réseau, le problème ne se pose pas

Pourtant je n'ai rien modifié de la configuration réseau
iptables-1:1.8.2-1-x86_64 est la dernière version installée et je n'ai rien touché à la configuration (iptables.rules) qui date un peu (janvier 2015) mais qui ne m'a jamais posé problème jusqu'à présent...
J'ai désactivé iptables.service... mais sans retrouver l'accés aux sites .org

QQch s'est passé quelque part, mais je ne vois pas où !!!
Ce que je comprends pas c'est pourquoi cela marche au début, puis bloque ensuite...

Comme d'hab, je suis preneur de toute solution !

Cordialement

je progresse un peu !

En fouillant dans mes logs, j'ai trouvé le message suivant :
27/04/2019 10:35 systemd-resolved DNSSEC validation failed for question archlinux.org IN DS: failed-auxiliary

que confirme l'instruction :

$ systemd-resolve www.archlinux.org
www.archlinux.org: resolve call failed: DNSSEC validation failed: failed-auxiliary

Manifestement, je ne suis pas le seul à avoir ce genre de problème !
Comme quoi les problèmes que l'on rencontre sont rarement uniques !

Il y a quelques topics sur "DNSSEC validation failed" sur le site archlinux.org
par exemple :
https://bbs.archlinux.org/viewtopic.php?id=240427
qui renvoie au bug suivant : :
https://bugs.archlinux.org/task/59391

Description:
systemd's default DNSSEC mode is "allow-downgrade", but the systemd package is built with -Ddefault-dnssec=no .
"allow-downgrade" is little better than "no".

ou encore cet autre topic :
https://bbs.archlinux.org/viewtopic.php?id=244430

et cet autre :
https://bbs.archlinux.org/viewtopic.php?id=240799

Un peu complexe pour moi...

Pour l'instant, j'ai trouvé une solution simple :
si je relance par :
systemctl restart systemd-resolved
cela remarche !

A voir si cela tient dans le temps !

Je reste preneur d'autres explications et/ou solutions !

Le premier topic mentionné ci-dessus indique qu'il faut modifier la ligne DNSSEC dans resolved.conf
https://bbs.archlinux.org/viewtopic.php?id=240427
il écrit :

I'm also surprised that not more people are reporting problems. At work (ipv4 only), I wasn't able to ping Google servers (google.com, youtube.com) at all without settings DNSSEC=no. At home, resolving hosts sometimes takes a long time before ping starts working (using an ipv6 address, in case that matters). Some services (discord in browser) don't seem to be able to connect at all without setting DNSSEC=no.

Le second indique la même chose :
https://bbs.archlinux.org/viewtopic.php?id=244430

The DNS server you redacted is broken, add "DNSSEC=off" to resolved.conf - the default is allow-downgrade which will attempt DNSSEC and only resort to the unsecure query if DNSSEC isn't available. You DNS doesn't provide DNSSEC and (very most likely) misimplements EDNS what's going to break the downgrade. iow: actually kick that DNS server.

Que faire ?

Mon /etc/systemd/resolved.conf est le suivant :

[Resolve]
#DNS=
#FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
#Domains=
#LLMNR=yes
#MulticastDNS=yes
#DNSSEC=allow-downgrade
#DNSOverTLS=no
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yesDNSSEC validation failed

où tout est désactivé

J'ai lu le paragraphe dans le MAN concernant l'option DNSSEC mais cela reste trop compliqué pour moi.
D'où une question simple :

Faut-il modifier la ligne
#DNSSEC=allow-downgrade
pour la passer à :
DNSSEC=no
comme l'indique un des contributeurs du topic cité ?

ou tout simplement la décommenter ?
comme l'indique :

https://bugs.archlinux.org/task/59391
Description:
systemd's default DNSSEC mode is "allow-downgrade", but the systemd package is built with -Ddefault-dnssec=no .
"allow-downgrade" is little better than "no".

Il y a ici deux réponses contradictoires !

Si quelqu'un peut confirmer la bonne option, je suis, on ne peut plus, preneur !

Reste une question : pourquoi ce problème se manifeste maintenant ?

Peux tu donner la sortie de :

Code : Tout sélectionner

resolvectl
cat /etc/resolv.conf

systemd-resolve www.archlinux.org
dig +dnssec +multi www.archlinux.org
dig +dnssec +multi @1.1.1.1 www.archlinux.org
dig +dnssec +multi @W.X.Y.Z www.archlinux.org

systemd-resolve  example.net
dig +dnssec +multi example.net
dig +dnssec +multi @1.1.1.1 example.net
dig +dnssec +multi @W.X.Y.Z example.net

Change W.X.Y.Z avec toutes les IP de tes serveurs DNS

Bonjour !
voilà les éléments de réponse.
Je sépare en plusieurs blocs pour plus de lisibilité

Code : Tout sélectionner

 $ resolvectl
Global
       LLMNR setting: yes
MulticastDNS setting: yes
  DNSOverTLS setting: no
      DNSSEC setting: allow-downgrade
    DNSSEC supported: yes
Fallback DNS Servers: 1.1.1.1
                      9.9.9.10
                      8.8.8.8
                      2606:4700:4700::1111
                      2620:fe::10
                      2001:4860:4860::8888
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Link 3 (wlp3s0)
      Current Scopes: DNS LLMNR/IPv4
DefaultRoute setting: yes
       LLMNR setting: yes
MulticastDNS setting: no
  DNSOverTLS setting: no
      DNSSEC setting: allow-downgrade
    DNSSEC supported: yes
  Current DNS Server: 192.168.1.1
         DNS Servers: 192.168.1.1

Link 2 (enp0s25)
      Current Scopes: DNS LLMNR/IPv4
DefaultRoute setting: yes
       LLMNR setting: yes
MulticastDNS setting: no
  DNSOverTLS setting: no
      DNSSEC setting: allow-downgrade
    DNSSEC supported: yes
  Current DNS Server: 192.168.1.1
         DNS Servers: 192.168.1.1

------------------------

Code : Tout sélectionner

 $ cat /etc/resolv.conf
# This file is managed by man:systemd-resolved(8). Do not edit.
#
# This is a dynamic resolv.conf file for connecting local clients directly to
# all known uplink DNS servers. This file lists all configured search domains.
#
# Third party programs must not access this file directly, but only through the
# symlink at /etc/resolv.conf. To manage man:resolv.conf(5) in a different way,
# replace this symlink by a static file or a different symlink.
#
# See man:systemd-resolved.service(8) for details about the supported modes of
# operation for /etc/resolv.conf.

nameserver 192.168.1.1

------------------

Code : Tout sélectionner

 $ systemd-resolve www.archlinux.org
www.archlinux.org: 138.201.81.199              -- link: enp0s25
                   (apollo.archlinux.org)

-- Information acquired via protocol DNS in 24.2ms.
-- Data is authenticated: no

----------------------

Code : Tout sélectionner

 $ dig +dnssec +multi www.archlinux.org

; <<>> DiG 9.14.1 <<>> +dnssec +multi www.archlinux.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8352
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
; COOKIE: c57c60a16cfcc40f9ab348d75cc44b4aaa559c73801985e9 (good)
;; QUESTION SECTION:
;www.archlinux.org.     IN A

;; ANSWER SECTION:
www.archlinux.org.      2806 IN CNAME apollo.archlinux.org.
apollo.archlinux.org.   3112 IN A 138.201.81.199

;; Query time: 13 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: sam. avril 27 14:30:02 CEST 2019
;; MSG SIZE  rcvd: 111

-------------------

Code : Tout sélectionner

$ dig +dnssec +multi @1.1.1.1 www.archlinux.org

; <<>> DiG 9.14.1 <<>> +dnssec +multi @1.1.1.1 www.archlinux.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23209
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1452
;; QUESTION SECTION:
;www.archlinux.org.     IN A

;; ANSWER SECTION:
www.archlinux.org.      3226 IN CNAME apollo.archlinux.org.
apollo.archlinux.org.   3237 IN A 138.201.81.199

;; Query time: 8 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: sam. avril 27 14:34:31 CEST 2019
;; MSG SIZE  rcvd: 83

--------------------------

Pour les DNS, ma Livebox me donne :

Adresse IP du DNSv4 primaire : 80.10.246.1
Adresse IP du DNSv4 secondaire : 81.253.149.9

Adresse IP du DNSv6 primaire : rien
Adresse IP du DNSv6 secondaire : rien

Code : Tout sélectionner

$ dig +dnssec +multi @80.10.246.1 www.archlinux.org

; <<>> DiG 9.14.1 <<>> +dnssec +multi @80.10.246.1 www.archlinux.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54822
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
; COOKIE: 53afdad973e7b4017a1b1c875cc452e1350b6d3301bb706e (good)
;; QUESTION SECTION:
;www.archlinux.org.     IN A

;; ANSWER SECTION:
www.archlinux.org.      863 IN CNAME apollo.archlinux.org.
apollo.archlinux.org.   1169 IN A 138.201.81.199

;; Query time: 13 msec
;; SERVER: 80.10.246.1#53(80.10.246.1)
;; WHEN: sam. avril 27 15:02:25 CEST 2019
;; MSG SIZE  rcvd: 111

----

Code : Tout sélectionner

$ dig +dnssec +multi @81.253.149.9 www.archlinux.org

; <<>> DiG 9.14.1 <<>> +dnssec +multi @81.253.149.9 www.archlinux.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22647
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
; COOKIE: 4583ed5def2dbb2614e3b6705cc45334fc635e8faafa31a9 (good)
;; QUESTION SECTION:
;www.archlinux.org.     IN A

;; ANSWER SECTION:
www.archlinux.org.      635 IN CNAME apollo.archlinux.org.
apollo.archlinux.org.   335 IN A 138.201.81.199

;; Query time: 8 msec
;; SERVER: 81.253.149.9#53(81.253.149.9)
;; WHEN: sam. avril 27 15:03:48 CEST 2019
;; MSG SIZE  rcvd: 111

============================

systemd-resolve example.net
dig +dnssec +multi example.net
dig +dnssec +multi @1.1.1.1 example.net
dig +dnssec +multi @W.X.Y.Z example.net

--------------------

Code : Tout sélectionner

$ systemd-resolve  example.net
example.net: 93.184.216.34                     -- link: enp0s25

-- Information acquired via protocol DNS in 294.7ms.
-- Data is authenticated: yes

-------------------

Code : Tout sélectionner

$ dig +dnssec +multi example.net

; <<>> DiG 9.14.1 <<>> +dnssec +multi example.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4559
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
; COOKIE: 12c7dc53e6c9187a7ed3a46f5cc45393cf2ce560a82b870d (good)
;; QUESTION SECTION:
;example.net.           IN A

;; ANSWER SECTION:
example.net.            86357 IN A 93.184.216.34
example.net.            86357 IN RRSIG A 8 2 86400 (
                                20190504054552 20190412191956 871 example.net.
                                i+8gHVzmB/P7ISyaN6++AQv4v3j/xR0SlFIrfBAbv9ZY
                                mI6xNOf1CdjtcCYuzsXIJafPXWQ8QyHsyx+M+ed3cm3z
                                Ebdf9nXXe8V3lCRbMoqNz7ZFLdwSSMGTJOHDo0RgLWV8
                                UmpY/+dPt6pKZ/L02ewqsRD3CLezJlO9BV56dAk= )

;; Query time: 13 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: sam. avril 27 15:05:23 CEST 2019
;; MSG SIZE  rcvd: 255

------------------

Code : Tout sélectionner

$ dig +dnssec +multi @1.1.1.1 example.net

; <<>> DiG 9.14.1 <<>> +dnssec +multi @1.1.1.1 example.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31668
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1452
;; QUESTION SECTION:
;example.net.           IN A

;; ANSWER SECTION:
example.net.            6272 IN A 93.184.216.34
example.net.            6272 IN RRSIG A 8 2 86400 (
                                20190504054552 20190412191956 871 example.net.
                                i+8gHVzmB/P7ISyaN6++AQv4v3j/xR0SlFIrfBAbv9ZY
                                mI6xNOf1CdjtcCYuzsXIJafPXWQ8QyHsyx+M+ed3cm3z
                                Ebdf9nXXe8V3lCRbMoqNz7ZFLdwSSMGTJOHDo0RgLWV8
                                UmpY/+dPt6pKZ/L02ewqsRD3CLezJlO9BV56dAk= )

;; Query time: 8 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: sam. avril 27 15:07:09 CEST 2019
;; MSG SIZE  rcvd: 227

-------------------------

Code : Tout sélectionner

$ dig +dnssec +multi @80.10.246.1 example.net

; <<>> DiG 9.14.1 <<>> +dnssec +multi @80.10.246.1 example.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59324
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
; COOKIE: f4f446bc11c8f8af73584ad45cc454355a47e5f8644a720b (good)
;; QUESTION SECTION:
;example.net.           IN A

;; ANSWER SECTION:
example.net.            86195 IN A 93.184.216.34
example.net.            86195 IN RRSIG A 8 2 86400 (
                                20190504054552 20190412191956 871 example.net.
                                i+8gHVzmB/P7ISyaN6++AQv4v3j/xR0SlFIrfBAbv9ZY
                                mI6xNOf1CdjtcCYuzsXIJafPXWQ8QyHsyx+M+ed3cm3z
                                Ebdf9nXXe8V3lCRbMoqNz7ZFLdwSSMGTJOHDo0RgLWV8
                                UmpY/+dPt6pKZ/L02ewqsRD3CLezJlO9BV56dAk= )

;; Query time: 13 msec
;; SERVER: 80.10.246.1#53(80.10.246.1)
;; WHEN: sam. avril 27 15:08:05 CEST 2019
;; MSG SIZE  rcvd: 255

----------------------------------

Code : Tout sélectionner

$ dig +dnssec +multi @81.253.149.9 example.net

; <<>> DiG 9.14.1 <<>> +dnssec +multi @81.253.149.9 example.net
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51039
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
; COOKIE: 79b8610e8f4b88fdb452651a5cc4545d2dd9bf29dfb45e16 (good)
;; QUESTION SECTION:
;example.net.           IN A

;; ANSWER SECTION:
example.net.            86400 IN A 93.184.216.34
example.net.            86400 IN RRSIG A 8 2 86400 (
                                20190504054552 20190412191956 871 example.net.
                                i+8gHVzmB/P7ISyaN6++AQv4v3j/xR0SlFIrfBAbv9ZY
                                mI6xNOf1CdjtcCYuzsXIJafPXWQ8QyHsyx+M+ed3cm3z
                                Ebdf9nXXe8V3lCRbMoqNz7ZFLdwSSMGTJOHDo0RgLWV8
                                UmpY/+dPt6pKZ/L02ewqsRD3CLezJlO9BV56dAk= )

;; Query time: 161 msec
;; SERVER: 81.253.149.9#53(81.253.149.9)
;; WHEN: sam. avril 27 15:08:45 CEST 2019
;; MSG SIZE  rcvd: 255

Désactive DNSSEC, visiblement il est mal géré sur une partie du réseau et/ou serveur dns.

Code : Tout sélectionner

DNSSEC=no

OK, merci pour l'info.
Je mets en place et rendrai compte de l'évolution !

Suivi du problème cinq jours plus tard...
Avant de désactiver DNSSEC, j'ai tout laissé en l'état !
Le problème s'est manifesté une seule fois et je l'ai résolu par la commande
systemctl restart systemd-resolved
qui instantanément m'a redonné la main.
Donc pour l'instant je ne touche à rien !

@benjarobin
As-tu pu regarder les logs demandés et voir si quelque chose cloche dessus ?

Les sorties de dig sont OK, rien d'anormal...

Ok et merci.

Depuis une semaine, plus de nouveaux blocages.
Je mets le sujet en résolu

Archlinux.fr [Forums]

[Réseau] connexion aléatoire aux sites suffixés en .org ou "DNSSEC validation failed"(Résolu)

[Réseau] connexion aléatoire aux sites suffixés en .org ou "DNSSEC validation failed"(Résolu)

Re: [Réseau] connexion aléatoire aux sites suffixés en .org ou "DNSSEC validation failed"

Re: [Réseau] connexion aléatoire aux sites suffixés en .org (DNSSEC validation failed)

Re: [Réseau] connexion aléatoire aux sites suffixés en .org ou "DNSSEC validation failed"

Re: [Réseau] connexion aléatoire aux sites suffixés en .org ou "DNSSEC validation failed"

Re: [Réseau] connexion aléatoire aux sites suffixés en .org ou "DNSSEC validation failed"

Re: [Réseau] connexion aléatoire aux sites suffixés en .org ou "DNSSEC validation failed"

Re: [Réseau] connexion aléatoire aux sites suffixés en .org ou "DNSSEC validation failed"

Re: [Réseau] connexion aléatoire aux sites suffixés en .org ou "DNSSEC validation failed"(Résolu)