Comunidad Orange

[SOLUCIONADO] Incidencia DNS over TLS Cloudflare 1.1.1.1

RESUELTAS
Responder
Nuevo Solucionador

[SOLUCIONADO] Incidencia DNS over TLS Cloudflare 1.1.1.1

Buenas Tardes,


Desde hoy Miércoles a las 1:00 AM de la mañana he recibido una alerta de mi sistema de monitorización con diversos cortes de  a los DNScomunicación 1.1.1.1 atraves del protocolo DNS over TLS (TCP 853) en mi red de FTTH de orange.

intepciones.PNG


Analizando las trazas de log del servidor DNS ( stubby)

STUBBY: 1.1.1.1 : Conn opened: TLS - Strict Profile
STUBBY: 2a04:b900:0:100::38 : Conn closed: TLS - Resps= 0, Timeouts = 0, Curr_auth = None, Keepalive(ms)= 0
STUBBY: 2a04:b900:0:100::38 : Upstream : TLS - Resps= 0, Timeouts = 0, Best_auth = None
STUBBY: 2a04:b900:0:100::38 : Upstream : !Backing off TLS on this upstream - Will retry again in 8s at Wed Mar 4 20:02:41 2020
STUBBY: 1.1.1.1 : Verify passed : TLS


Analizando una captura de trafico con Wireshark se observa como algun elemento intermedio de la red esta intentado romper el Tunel TLS del trafico DNS.


Soy consciente de que Orange realizada  SNIanálisis de HTTPS para el bloqueo de webs con orden judicial.


Es por ello que lo primero que planteo.

- Orange bloqueo o interrecta trafico DNS over TLS a partir de ahora y no ya es operativo dentro de la red de orange?


- En caso de que sea que no , Tenéis registrada alguna incidencia en enrutamiento o cambio realizado esta madrugada que provoque esto? Quiero pensar que a sido algun tipo de error humano que ha llevado a que se este intentado romper el  TLStúnel del trafico DNS over TLS.


Podeis revisarlo ? Gracias de antemano.


Adjunto traceroute y ping


1 _gateway (192.168.41.1) 0.220 ms 0.198 ms 0.170 ms
2 * * *
3 10.255.152.89 (10.255.152.89) 3.504 ms 10.255.152.93 (10.255.152.93) 2.673 ms 2.652 ms
4 10.34.221.1 (10.34.221.1) 9.399 ms 10.34.221.129 (10.34.221.129) 11.132 ms 11.967 ms
5 10.34.35.81 (10.34.35.81) 8.268 ms 10.34.34.109 (10.34.34.109) 11.987 ms 12.260 ms
6 10.34.34.2 (10.34.34.2) 9.275 ms 8.925 ms 10.34.34.45 (10.34.34.45) 11.666 ms
7 188.114.108.252 (188.114.108.252) 8.689 ms 11.295 ms 11.267 ms
8 one.one.one.one (1.1.1.1) 8.572 ms 12.577 ms 11.494 ms


PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
64 bytes from 1.1.1.1: icmp_seq=1 ttl=57 time=11.6 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=57 time=11.5 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=57 time=12.0 ms
64 bytes from 1.1.1.1: icmp_seq=4 ttl=57 time=12.3 ms
64 bytes from 1.1.1.1: icmp_seq=5 ttl=57 time=12.2 ms
64 bytes from 1.1.1.1: icmp_seq=6 ttl=57 time=12.6 ms
64 bytes from 1.1.1.1: icmp_seq=7 ttl=57 time=12.1 ms
64 bytes from 1.1.1.1: icmp_seq=8 ttl=57 time=11.9 ms
64 bytes from 1.1.1.1: icmp_seq=9 ttl=57 time=11.9 ms
64 bytes from 1.1.1.1: icmp_seq=10 ttl=57 time=12.2 ms
64 bytes from 1.1.1.1: icmp_seq=11 ttl=57 time=12.0 ms
64 bytes from 1.1.1.1: icmp_seq=12 ttl=57 time=12.2 ms
64 bytes from 1.1.1.1: icmp_seq=13 ttl=57 time=12.8 ms
64 bytes from 1.1.1.1: icmp_seq=14 ttl=57 time=11.9 ms
^C
--- 1.1.1.1 ping statistics ---
14 packets transmitted, 14 received, 0% packet loss, time 13019ms
rtt min/avg/max/mdev = 11.453/12.083/12.759/0.323 ms


Soluciones aceptadas
Highlighted
Nuevo Solucionador

Re: Incidencia DNS over TLS Cloudflare 1.1.1.1

Hola @Astor_orange @Javier_orange @Ivan_orange 

 

después de distintas comprobaciones en los CPD de Cloudflare y distintas pruebas realizadas tanto en la red de orange. Tras el trabajo realizado conjuntamente con Cloudflare hemos localizado la incidencia en la red de Orange y ha sido subsanada por parte de Orange en el dia de ayer.

 

Agradecimiento a los ingenieros de Cloudflare por su rápida respuesta e intereses desde el primer momento en resolver el problema.

 

Por otra de orange, Lamentable como moderadores y en representación de orange los hayais negado a responder a la incidencia y agilizar los tramites para resolverla. Muy poco serio y deja bien remarcado la nula preocupación que tiene orange con las incidencias en su red y el compromiso con la seguridad de sus clientes.

 

Por otra parte no comprendo como hais cogido otro hilo con un tema totalmente distinto respeto a una sugerencia y lo hais agrupado con una incidencia de transito de DNS. es como juntar agua y aceite. no entiendo el criterio adoptado para dicha agrucacion.

Ver la solución en mensaje original publicado


Todas las respuestas
Highlighted
Nuevo Solucionador

Re: Incidencia DNS over TLS Cloudflare 1.1.1.1

Actualizacion ( el departamento de transito de Cloudflare tambien esta investigando que sucede) , Por el momento se ha confirmado que solo afecta a Orange Spain.

Highlighted
Nuevo Solucionador

Re: Incidencia DNS over TLS Cloudflare 1.1.1.1

Hola @Astor_orange @Javier_orange @Ivan_Orange 

 

Agradecia que echarais un vistazado a esta incidencia y la revisarais.

 

Considero mover la incidencia a "los usuarios responden" cuando se trata de una incidencia grave y que podria afectar a la privacidad de los clientes de orange.

 

Cloudflare esta trabajando en estos momentos seriamente para localizar el foco del problema, se agradecia que por vuestra parte escalarais la incidencia para que la revisaran tambien.

 

 

 

.

 

Lo menciono como input a mejorar en orange.

 

Editado. Normas de comportamiento y spam

 

 

Highlighted
Nuevo Solucionador

Re: Incidencia DNS over TLS Cloudflare 1.1.1.1

Hola @Astor_orange @Javier_orange @Ivan_Orange 

 

Hais podido revisar algo al respecto?

 

Un Saludo

Highlighted
Nuevo Solucionador

Re: Incidencia DNS over TLS Cloudflare 1.1.1.1

Hola @Astor_orange @Javier_orange @Ivan_Orange 

 

Vais a revisar algo al respecto?me gustaria saber si teneis intereses en resolver la incidencia o no. Y si finalmente no respondeis entendere que Orange hace caso omiso a este incidente.

 

Un Saludo

Highlighted
Nuevo Solucionador

Re: Incidencia DNS over TLS Cloudflare 1.1.1.1

Hola @Astor_orange @Javier_orange @Ivan_Orange 

 

Me parece muy poco serio por vuestra parte y la de Orange la politica del silencio ante una incidencia de un usuario.
Creo que recalca esto la falta de seriedad de Orange con sus clientes.

Un Saludo

Highlighted
Nuevo Solucionador

{Sugerencia] Implementar una politica open source y abierta a la comunidad de usuarios con los Routers Libebox y sus configuraciones.

Hola,

 

Como Cliente de Orange desde hace tiempo , he observado que Orange tiene como un miedo irracional a perder el control de la configuración de red y parámetros de sus equipos y de sus routers.

 

Por ejemplo, en el Livebox fibra. Utilizais una implementacion propietaria de DD-WRT totalmente ofuscada y encriptada del firmware que Arcadyan desarrolla para vosotros. Este firmware es mucho menos estable, rápido y funcional que una versión desarrollada por la comunidad DD-WRT directamente por ejemplo.

 

Además con el fin de dificultar el uso de Routers de terceros Orange por ejemplo en el servicio de IPTV utilizada una implementacion fuera de standard RFC 4605 con el de evitar que cualquier otro Router que si cumpla las normas RFC funcione la TV.

 

Por otra parte Orange sigue queriendo de forma irracional un control absoluto de los datos de telefonia SIP o otros parámetros de configuración del Router no facilitando a los usuarios además de enfocando la mayoría de actualizaciones de firmware del Router a bloquear métodos que la comunidad de usuarios descubre para extraer estos datos y poder una el router que quieran libremente.

 

Creo que Orange debería aprender de operadores como Movistar , que si son cercanos a la comunidad de usuarios. Y facilitaran todos los datos de configuración de su servicio sin ningún problema, Colaboran con los usuarios en programas BETA para nuestros Routers o Decodificadores además de desarrollar firmware basados en Código abierto con implementaciones propietarias , Como Hace Google con Android.

 

La politica actual de Orange solo consigo que la comunidad de usuarios no colabore con Orange para nada y cuando descubre una vulnerablidad en los routers o demas directamente la publiquen en internet con el fin de por ejemplo extraer los datos SIP del Router. Poniendo asi en riesgo la seguridad de los demas clientes de orange. Usuarios, Que lo unico que desean por ejemplo es usar teléfonos SIP en su casa enmede de Roseta telefónica y asi tener la telefonía 100% digital o su propio Router ya que por ejemplo desean tener WIFI 6 que el de orange no ofrece.  Por otra parte al realizar implementaciones fuera de norma o con parámetros complejos solo conseguís tener una red mas compleja y menos optima.

 

Por ejemplo la implementación IPV6 de orange en españa ha sido un fracaso, Por quererlo hacer a la fuerza y sin tener en cuenta a la Comunidad y las necesidades de los clientes, En movistar por ejemplo han preferido hacer pruebas con usuarios gamers y de distinto ambito con IPV6 antes de lanzar nada al mercado que ocasiones como a ocasionado provoquen problemas a los usuarios.

 

Creo que en actualidad donde Orange tienen datos negativos de portabilidad en los ultimos meses, ademas cada vez le es mas dificil tener segmento definido entre Low cost y Premium estaría bien que Orange realizara un enfoque diferencial realizan una estrecha colaboración con los usuarios, rompiendo barreras como la de abrir la telefonia SIP a los usuarios para que de un vez por todas podamos matar el cobre y usar el 100% de casa digitalmente.

 

Orange por ejemplo en francia, Tiene una iniciativa open source que aunque limitada , la comunidad a aporta. https://opensource.orange.com/en/open-source-orange/

 

Deberías de dejar de ver el usuario avanzado como un enemigo y convertirlo en un aliado potencial. Solo a si sereis capaces de tener un producto de calidad.

 

 

Highlighted
Superusuario

Re: {Sugerencia] Implementar una politica open source y abierta a la comunidad de usuarios con los Routers Libebox y sus configuraciones.

Hola @Fiberhome 

Después de este publireportaje de Movistar.. entiendo que lo que sucede es que Orange no te da lo que necesitas.

Entonces utilizas la ya más que típica táctica de a ver si picándolos diciendo lo bueno que es Movistar me dan lo que yo quiero.

La verdad que es algo que está muy visto. 

En todo caso. Si crees que Movistar es ta maravilloso, quizá la solución a tu sugerencia se llama portabilidad Emoticono feliz

¡Un saludo!

Highlighted
Nuevo Solucionador

Re: {Sugerencia] Implementar una politica open source y abierta a la comunidad de usuarios con los Routers Libebox y sus configuraciones.

Hola @malem 

 

Lamento que no hayas podido comprender que la intención de este mensaje sea la de mejorar el producto de Orange y indicar que si otros compañías han sido capaces de implementar dichas medidas, Orange podía hacerlo igual o mejor.

 

No tengo intención de picar a nadie , Simplemente mencionar una sugerencia que tengo como cliente al observar el funcionamiento del servicio a diario.

 

Respecto a la portabilidad, Como cualquier usuario voy a la oferta mas conveniente en calidad precio que me ofrecen el mercado. No esque tenga especial amor a ninguna operadora sino cientificamente analizado periódicamente cual me proporciona mejores soluciones a mis necesidades.

Highlighted
Superusuario

Re: {Sugerencia] Implementar una politica open source y abierta a la comunidad de usuarios con los Routers Libebox y sus configuraciones.

Hola @Fiberhome 

Vaya, siento que no me creas capaz de comprender un texto. En todo caso te recuerdo que yo soy usuario avanzado de la comu por lo que mi comprensión lectora está más que demostrada Emoticono feliz

(Incluso a leer entre líneas)

Hay un detalle que desmonta tu afirmación de lo malo que es Orange. Y es que leyendo tus hilos, hay que ver lo fino que hilas a veces para poder encontrar uno de esos supuestos fallos Emoticono feliz

Saludos.