Le 02/07/2023 à 18:33, Stephane Bortzmeyer a écrit :
On Wed, Jun 28, 2023 at 04:28:24PM +0200,
Laurent Barme <5...@barme.fr> wrote
a message of 73 lines which said:
https://www.dnsleaktest.com/
Même pas d'IPv6 dans ces tests.
Effectivement, bgp.tools est mieux, merci Willy.
…
Autre rappel : il n'y a aucun rapport entre l'adresse de transport de
la requête DNS (IPv4 ou IPv6) et le type de données demandé (A ou
AAAA).
L'adresse de transport de la requête DNS dépend quand même de ce que peut faire
le poste : s'il n'a pas d'IPv6, la requête se fera seulement en IPv4 et
l'adresse retournée sera une IPv4 (heureusement).
En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que
son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse
de transport de la requête.
Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP, ce qui
explique des comportements différents selon le contexte (OS/ISP) lorsqu'un nom
de domaine contacté a simultanément une adresse IPv4 et une adresse IPv6.
Depuis un mobile android/Free, je constate avec bgp.tools que je n'ai pas
d'IPv6. Les requêtes DNS sont donc servies en IPv4 et le mobile peut accéder à
un site pourvu d'une A et d'une AAAA mais qui n'écoute que sur l'A.
Depuis un mobile iOS/Orange, je constate avec bgp.tools que j'ai une IPv4 et une
IPv6. Les requêtes DNS sont donc a priori servies en IPv6 et le mobile ne peut
pas accéder à un site pourvu d'une A et d'une AAAA mais qui n'écoute que sur l'A.
Alors, on est d'accord, ce qui ne va pas c'est le site pourvu d'une A et d'une
AAAA mais qui n'écoute que sur l'A. Dans cette situation, la solution la plus
simple pour moi est de supprimer l'AAAA pour le nom de domaine (d'autant plus
que le serveur en question n'a pas IPv6, ce qui lui épargne potentiellement 2^64
sources d'attaques à filtrer).
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
