Ben si le filtre est en input du côté du WAN de ton client, genre: From 172/8 -> deny
Ça va faire exactement ce que tu vois, surtout que le 172.217.19.238 est à priori au saut 8. Essaie de pinger 172.65.10.1 Si ça marche pas non plus, y a plus trop de doute. > Le 6 avr. 2020 à 17:42, Clément Guivy <clement_fr...@guivy.fr> a écrit : > > C'est une idée en effet, mais si c'était le cas, mon traceroute n'irait même > pas jusque chez google, si ? ci-dessous le traceroute depuis le site > défectueux, le saut 72.14.194.189 est chez google : > > $ traceroute myaccount.google.com > traceroute to myaccount.google.com (172.217.19.238), 30 hops max, 60 byte > packets > 1 192.168.110.193 (192.168.110.193) 0.617 ms 1.312 ms 1.296 ms > 2 37.58.144.102 (37.58.144.102) 1.560 ms 1.576 ms 1.583 ms > 3 100.65.0.134 (100.65.0.134) 1.808 ms 1.769 ms 1.734 ms > 4 c2-vno.c1-ntc.c1-ntc.backbone.adista.fr (212.51.191.239) 15.704 ms > 15.743 ms 15.858 ms > 5 72.14.194.189 (72.14.194.189) 15.452 ms 15.403 ms 15.315 ms > 6 108.170.244.193 (108.170.244.193) 14.982 ms 108.170.245.1 (108.170.245.1) > 15.414 ms 108.170.244.193 (108.170.244.193) 14.446 ms > 7 216.239.59.209 (216.239.59.209) 14.358 ms 216.239.59.211 (216.239.59.211) > 14.483 ms 216.239.59.209 (216.239.59.209) 14.544 ms > 8 * * * > 9 * * * > 10 * * * > [ lignes suivantes zappées, on n'a rien de plus ensuite ] > > > > Le 2020-04-06 17:39, Raphael Mazelier a écrit : >> Non mais je sais :^p mais des filtres en 172/8 j'en ai vu un paquet >> dans ma carrière. >> Cdt, >> On 06/04/2020 17:29, Yoann Moulin wrote: >>> Le 06/04/2020 à 17:27, Raphael Mazelier a écrit : >>>> 172. Il n'y a que moi que cela fait tilter ? :) >>> NetRange: 172.217.0.0 - 172.217.255.255 >>> CIDR: 172.217.0.0/16 >>> NetName: GOOGLE >>> NetHandle: NET-172-217-0-0-1 >>> Parent: NET172 (NET-172-0-0-0-0) >>> NetType: Direct Allocation >>> OriginAS: AS15169 >>> Organization: Google LLC (GOGL) >>> RegDate: 2012-04-16 >>> Updated: 2012-04-16 >>> Ref: https://rdap.arin.net/registry/ip/172.217.0.0 >>> NetRange: 172.16.0.0 - 172.31.255.255 >>> CIDR: 172.16.0.0/12 >>> NetName: PRIVATE-ADDRESS-BBLK-RFC1918-IANA-RESERVED >>> NetHandle: NET-172-16-0-0-1 >>> Parent: NET172 (NET-172-0-0-0-0) >>> NetType: IANA Special Use >>> ;) >>>> On 06/04/2020 17:20, Clément Guivy wrote: >>>>> bonjour, >>>>> Des users nous remontent des problèmes pour accéder à >>>>> https://myaccount.google.com/ (l'authentification de google pour ses >>>>> différents >>>>> services) depuis un site en particulier (qui a son propre accès >>>>> internet). Concrètement dans ce cas c'est un timeout, on ne reçoit aucun >>>>> paquet en réponse de la part de google. >>>>> Mes constatations : >>>>> Depuis le site pour lequel cela ne fonctionne pas, myaccount.google.com >>>>> résoud sur 172.217.19.238 >>>>> Depuis le site pour lequel cela fonctionne, myaccount.google.com résoud >>>>> sur 216.58.206.238 >>>>> Depuis le site qui ne fonctionne pas, le ping vers 172.217.19.238 ne >>>>> répond pas, le ping vers 216.58.206.238 répond >>>>> Depuis le site qui fonctionne, le ping vers les deux IP répond >>>>> Depuis le site qui ne fonctionne pas, le traceroute vers 172.217.19.238 >>>>> arrive jusque chez google, dernier saut 216.239.59.209 (IP google), >>>>> puis pas de réponse au delà >>>>> Depuis le site qui fonctionne, le traceroute vers 172.217.19.238 arrive à >>>>> destination >>>>> Si je modifie les résolveurs des PC du site qui ne fonctionne pas pour >>>>> utiliser les mêmes que ceux du site qui fonctionne, tout fonctionne bien. >>>>> Donc en conclusion, depuis le site qui ne fonctionne pas, la résolution >>>>> DNS de myaccount.google.com nous répond une IP qui n'est pas joignable >>>>> depuis ce site. Un traceroute vers cette IP montre que 1) elle est >>>>> joignable depuis d'autres endroits, donc elle n'est pas entièrement HS, et >>>>> 2) quand on tente de la joindre on arrive jusque chez google, donc on ne >>>>> peut pas incriminer notre FAI sur cette base. >>>>> Des idées ? >>>>> Autre curiosité pas forcément liée au problème, je remarque qu'on reçoit >>>>> de nos transitaires des annonces en provenance de l'AS google plus >>>>> spécifiques que ce que google annonce sur France IX. Exemple Google >>>>> annonce 216.58.192.0/19 via France IX, mais par transitaire on reçoit >>>>> 216.58.196.0/23, 216.58.198.0/24, 216.58.199.0/24 etc. Ca vous semble >>>>> normal ? >>>>> --------------------------- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
