Discussion :

[clavier12AZQSWX]

bonjour,

Notre propre site internet n'est plus accessible depuis le bureau (où nous avons une ip fixe via le prestataire Appliwave) depuis 3 jours. C'est très grave car plus personne ne peut plus bosser dessus et nous n'avons pas de copie locale ou sur un autre serveur hébergé ailleurs.
A la maison (orange, bouygues...) ou par le biais du réseau 4g, on arrive à accèder à notre site internet (qui est stocké à l'étranger).

Quand je fais un traceroute du bureau vers notre site www.monsite.com, on voit que la requete n'aboutit pas et coince quelque part sur le trajet des noeuds (ip rouge 116.251.117.165).


on voit aussi qu'elle quitte notre bureau (marque bleu) indiquant que ce n'est pas un problème internet de notre firewall.


Quand je fais un traceroute de chez moi (Orange), le site est accessible, le traceroute est complet (mais différent).


du coup quel est le souci ?

est-ce que notre IP est blacklisté par un noeud de la planète ? est-ce un problème de l'ISP (appliwave) ? est-ce un problème de DNS d'un des routeurs du trajet ?

Que faire ? (à part accéder à notre site via un proxy ou vpn ce qui est très très lent, surtout avec 50 utilisateurs) ?

merci de votre aide.
Question supplémentaire :je ne sais pas si c'est possible, mais peut-on configurer un firewall pour lui dire de faire la même
chose qu'un VPN pour toutes personnes voulant visiter le site www.monsite.com ?connectes à ce site (en gros faire le boulot d'un vpn

[chrtophe]

Si ça marche avec un autre opérateur, c'est un problème de route (ip blacklistée restant possible) A voir avec la FAI : bon courage.

[clavier12AZQSWX]

bonjour,

Si ça marche avec un autre opérateur, c'est un problème de route (ip blacklistée restant possible) A voir avec la FAI : bon courage.

En faisant un whois sur la dernière IP qui nous bloque, je vois un prestataire IT asiatique et ses coordonnées de contacts, admin., support..etc.
Est-ce peine perdue de prendre contact avec eux pour transmettre le problème ? est-ce à moi (usager) de le faire ou à notre prestataire ISP qui nous vend notre ip fixe et le réseau fibré FTTO ?

une idée de temps de traitement d'une telle demande ?

est-ce plus simple de voir avec notre ISP de changer notre ip fixe ?

merci pour vos commentaires et/ou idées.

[chrtophe]

Je pense qu'il faut que tu passes par ton FAI, délai de résolution inconnue surtout si FAI grand-public. Mais vu que tu as du FTTO, tu as déjà un peu plus de poids.

Changer ton ip fixe peut résoudre ou non le problème, si c'est un problème de route, et que la nouvelle ip est dans la même plage, ça changera rien.

[fredoche]

Question supplémentaire :je ne sais pas si c'est possible, mais peut-on configurer un firewall pour lui dire de faire la même
chose qu'un VPN pour toutes personnes voulant visiter le site www.monsite.com ?connectes à ce site (en gros faire le boulot d'un vpn

ça tu peux le faire
Monter un tunnel entre ton firewall et ce serveur, à qui tu attribueras une IP non routable (RFC1918), et pour lequel ensuite tu peux rentrer une correspondance dans tes services DNS où www.monsite.com pointe sur cette IP locale

Juste une remarque sinon : un serveur web sur internet est sur internet, il est adressable par n'importe qui n'importe quand, et donc par tous les pirates de la planète, qui ne vont pas se priver de passer dessus et de tester, c'est comme ça.

Alors juste parce que tu viens demander de l'aide sur un forum (de pros hein), tu te mets à tout masquer, hostname, ip de ton bureau et ip de destination, c'est juste débile. Et ça ne facilite absolument pas que l'on t'aide.

Parce que de toute façon si ton serveur est mal sécurisé, il se fera enfoncer un jour ou l'autre, que tu aies mis l'IP sur ce forum ou non

[clavier12AZQSWX]

bonjour,
le problème a été transmis au FTTO.
donc on attend maintenant.

bonne journée.

ps : maintenant je vais penser à la redondance multi-géolocalisée de notre site web !

[Invité]

on voit que la requete n'aboutit pas et coince quelque part sur le trajet des noeuds (ip rouge 116.251.117.165).

Pour info, la seule chose qu'on peut déduire de cet affichage c'est que la gateway 116.251.117.165 n'est peut être pas configurée pour supporter traceroute...

-VX

[clavier12AZQSWX]

Pour info, la seule chose qu'on peut déduire de cet affichage c'est que la gateway 116.251.117.165 n'est peut être pas configurée pour supporter traceroute...

-VX

116.251.117.165 (qui passe pas ou n'est pas configurée pour traceroute) alors que l'autre 116.251.94.194 du même prestataire fonctionnerait et laisserait passer traceroute quand on passe par orange.


116.251.117.168 https://www.whois.com/whois/116.251.94.194
116.251.117.165 https://www.whois.com/whois/116.251.117.165
je ne vois pas de différence fondamentale entre ces deux gateways...

[Invité]

116.251.117.165 (qui passe pas ou n'est pas configurée pour traceroute) alors que l'autre 116.251.94.194 du même prestataire fonctionnerait et laisserait passer traceroute quand on passe par orange.


116.251.117.168 https://www.whois.com/whois/116.251.94.194
116.251.117.165 https://www.whois.com/whois/116.251.117.165
je ne vois pas de différence fondamentale entre ces deux gateways...

En ce qui me concerne, mes 2 conclusions seraient:
- l'adresse 116.251.94.194 supporte traceroute,
- l'adresse 116.251.117.165 ne supporte peut-être pas traceroute.

Le support de traceroute peut être configuré par interface. Si je suis un ISP et qu'un de mes routeurs présente 2 interfaces IP à deux opérateurs différents, je peux décider d'appliquer deux "policy" différentes en fonction de l'opérateur. Je peux même décider que tous les routeurs de mon infra ne répondent pas aux requêtes traceroute histoire qu'un hacker ne s'amuse pas à cartographier le transit L3 des paquets dans mon AS.

Mon intervention dans ce fil était de montrer que si un routeur affiche le message "Délai d'attente de la demande dépassée" (qui relève de fonctions du Control Plane), ça ne veut pas dire que le routeur ne route plus les paquets (opérations qui relèvent celles-ci du Forwarding Plane d'un routeur et qui n'ont rien à voir avec le traceroute)...

-VX

[clavier12AZQSWX]

bonjour,
notre ISP a changé notre adresse IP, du coup ça fonctionne maintenant.

La route 116.251.117.165 bloquée avant fonctionne désormais. (même isp, même classe d'adresse).
On ne sait toujours pas pourquoi c'est arrivée (pb de blacklist, réputation, erreur manuel de config..)


résolu!