Coupe-feu ou DNS défaillant ?

Bonsoir,

Je tente tant bien que mal de faire fonctionner mon service Airtunes (diffuser la musique iTunes depuis mon OSX Serveur vers ma borne airport express).

J'ai désactivé l'IP V6 comme mentionnée sur le forum d'Apple, mais cela n'a pas suffit à rétablir le bon fonctionnement en continu (à chaque nouvelle chançon le son ne passe plus).

J'épluche le log du coupe-feu qui posait problème en IPV6 (maintenant en IPV4 il fonctionne partiellement comme dit ci-dessus).

J'ai par contre dans le log l'erreur suivante :

Jun 25 21:01:23 serveurmacmini ipfw[243]: 65534 Deny ICMP:3.3 192.168.YYY.XXX 212.27.40.240 out via en0

où:

192.168.YYY.XXX est l'adresse IP locale de mon OSX Serveur

et 212.27.40.240 est l'adresse IP du serveur DNS de mon hébergeur Free

A votre avis, puis-je autoriser la communication ?

Hello et bienvenue parmi nous !

Je ne vois pas trés bien le rapport entre ton FAI, ses DNS et une borne Airport Express en local… Peux-tu nous en dire plus ?

Franck Mereo (zekiller28) a écrit:

Hello et bienvenue parmi nous !

Je ne vois pas trés bien le rapport entre ton FAI, ses DNS et une borne Airport Express en local… Peux-tu nous en dire plus ?

Salut,

Merci pour ton accueil et ta réponse rapide !

Moi aussi je suis d'acc avec toi.

En fait il n'y a pas de rapport entre mon problème de DNS et le problème que j'avais sur Airtunes avec la borne airport. Il s'agit juste de 2 problèmes que j'ai en même temps et que je cherche à résoudre.

Pour le problème de Airtunes, je crois que c'est réglé, j'ai ajouté le port 6002 en UDP qui m'a permis de faire fonctionner Airtunes sans bugs depuis quelques heures donc je croise les doigts ;-)

Bon sinon, j'ai par contre des questions concernant la config DNS.

Mon réseau local est le suivant :

- 1 freebox en routeur
- 1 serveur NAS
- 1 borne airport express
- 1 Mac Mini avec OSX Serveur 10.6.4
- 1 powerBook avec OSX 10.5.8

Tous ces appareils sont reliés en RJ-45 et CPL (pour éviter d'utiliser le WiFi)

J'ai indiqué à OSX du Mac Mini et du PowerBook les adresses des serveurs DNS de mon FAI (Free). De même pour le NAS et pour la borne Airport.

Pour OSX Serveur qui possède son service DNS, je ne suis pas allé au delà de la configuration par défaut à effectuer lors de l'installation d'OSX. En fait je ne vois pas quelle utilité je pourrais avoir de ce service. Pour l'instant il est activé, mais il ne sert à rien, n'est ce pas ?

Dans les logs de mon coupe-feu, j'ai quand même la ligne suivante qui me chiffonne :


Jun 25 21:01:23 serveurmacmini ipfw[243]: 65534 Deny ICMP:3.3 192.168.YYY.XXX 212.27.40.240 out via en0

où:

192.168.YYY.XXX est l'adresse IP locale de mon OSX Serveur

et 212.27.40.240 est l'adresse IP du serveur DNS de mon hébergeur Free


A votre avis, puis-je autoriser cette communication ?

Faut que je regarde à quoi pourrait me servir le service DNS... quand même !

Merci d'avance pour ton avis sur ma question !

Effectivement ton service DNS ne doit pas te servir à grand chose pour l'instant.

Pense bien tout de même à mettre l'adresse IP du serveur dans son propre paramétrage réseau à la section DNS.

Concernant ton erreur ICMP 3.3, il s'agit juste d'un port non autorisé par ton Firewall, ce port sert à l'envoi de message d'erreur lors de transfert de paquets IP.

Où as-tu renseigné les DNS de Free sur ton serveur ?

Franck Mereo (zekiller28) a écrit:

Effectivement ton service DNS ne doit pas te servir à grand chose pour l'instant.

Bonjour,

Merci pour ta réponse.

Franck Mereo (zekiller28) a écrit:

Pense bien tout de même à mettre l'adresse IP du serveur dans son propre paramétrage réseau à la section DNS.

Est ce que tu me suggère de mettre l'adresse IP 127.0.0.1, ou l'adresse IP qu'a le serveur sur le réseau local ?

Franck Mereo (zekiller28) a écrit:

Concernant ton erreur ICMP 3.3, il s'agit juste d'un port non autorisé par ton Firewall, ce port sert à l'envoi de message d'erreur lors de transfert de paquets IP.

Ok, a priori je peux sans crainte cocher la ligne "ICMP - types obligatoire uniquement (3, 4, 11, 12)" dans les "autorisations de trafic vers certains ports" pour "Quelconque", dans le panneau d'administration du coupe feu du serveur ?


[quote="Franck Mereo (zekiller28)"]
Où as-tu renseigné les DNS de Free sur ton serveur ?

J'ai renseigné les DNS de Free dans les préférences réseau des préférences systèmes de l'ordinateur. Elles sont aussi dans la case "Adresses IP du réexpéditeur" du panneau de configuration du service DNS du serveur, bien que celui-ci soit désactivé pour l'heure.
Est ce que c'est suffisant ?


Merci d'avance pour ton aide d'expérimenté, et d'avance désolé pour mes questions de Newbee !

Hello !

Je te suggère de mettre plutôt l'adresse IP LAN de ton serveur car l'adresse de broadcast (127.0.0.1) peut entraîner des soucis.

Oui je pense que tu peux ouvrir le port sans souci, ceci dit s'il reste fermé c'est juste une ligne dans le journal d'activité donc pas très grave.

Concernant l'adresse DNS de Free tu as fait ceinture et bretelles à partir du moment où ton service DNS est utilisé mais ce n'est dans l'absolu pas un souci, il faudra juste penser à modifier les DNS de ton FAI à 2 endroits s'ils venaient à être modifiés…

Franck Mereo (zekiller28) a écrit:

Hello !

Je te suggère de mettre plutôt l'adresse IP LAN de ton serveur car l'adresse de broadcast (127.0.0.1) peut entraîner des soucis.

Ok je vais faire cette modification, merci

Franck Mereo (zekiller28) a écrit:

Oui je pense que tu peux ouvrir le port sans souci, ceci dit s'il reste fermé c'est juste une ligne dans le journal d'activité donc pas très grave.

Ok je vais donc le laisser ouvert.

Franck Mereo (zekiller28) a écrit:

Concernant l'adresse DNS de Free tu as fait ceinture et bretelles à partir du moment où ton service DNS est utilisé mais ce n'est dans l'absolu pas un souci, il faudra juste penser à modifier les DNS de ton FAI à 2 endroits s'ils venaient à être modifiés…

Ton dernier commentaire signifie que je ne serai pas obligé de renseigner les DNS de Free, mais dans lequel des 2 panneaux de configuration ? Celui des préférences réseaux des préférences systèmes de l'ordinateur, ou alors la case "Adresses IP du réexpéditeur" du panneau de configuration du service DNS de la fonction serveur ?

Je ferai un test ce soir en indiquant juste l'adresse IP LAN de mon OSX Serveur à un OSX client qui se trouve sur le LAN, pour voir si cela fonctionne bien ;-)

Les 2 mon capitaine ;-)

A partir du moment où tu mets l'adresse de ton serveur dans ses propres DNS, tu n'as plus besoin de mettre ceux de Free dans les prefs réseau du serveur dans l'absolu… Maintenant si ton service DNS tombe, ton serveur ira piocher dans les DNS mis dans ses prefs réseau aprés son propre DNS…

Inversement, si tu mets les DNS de free dans la config réseau du serveur, il n'aura pas besoin d'aller les chercher dans son propre DNS.

Ce n'est donc pas grave.

Quand je parle de config réseau, je parle de la config réseau des préférences système.

Je ne sais pas si je suis très clair là ?

Bonsoir Franck,

Je réagis seulement maintenant à ton dernier post. Merci pour tes conseils c'était très clair !

Par contre, ce week-end, j'ai dû lutter avec mon OSX Serveur, qui me sert à diffuser de la musique sur ma borne Airport Express, et un autre problème d'accès à Internet.

En fait, pour l'accès à Internet, je crois que mon serveur DNS me joue des tours. Je m'explique :

Ce matin, lorsque j'ai allumé le MacMini avec OSX Serveur, impossible d'accéder à Internet. Pourtant dans les préférences réseau d'OSX le serveur DNS était bien mon OSX Serveur, et son service était bien activé avec en adresses IP du réexpéditeur les 2 serveurs DNS de mon FAI.

En fait, j'ai plusieurs questions sur le fonctionnement du service DNS d'OSX Serveur :

1) Est ce que mes problèmes de pertes d'accès Internet pourraient provenir du fait que j'arrête mon MacMini avec OSX Serveur le soir, pour le rallumer le lendemain matin. En gros, est-ce que pour bien fonctionner un OSX Serveur avec le DNS activé devrait être allumé en permanence ?

2) Est-ce qu'il y a un délai nécessaire entre le moment où le service DNS est activé, et le moment où celui-ci a reçu suffisamment d'informations de "serveurs DNS Primaires" pour fonctionner ?

3) Est ce que ce service DNS peut présenter une utilité pour moi ? Pour l'instant j'ai surtout besoin de configurer mon OSX Serveur pour pouvoir accéder à mon réseau local à partir d'un OSX client.

Voilà, je suis dans la remise en question ce soir, et avant de remettre les mains dans le cambouis, je souhaite prendre un peu de hauteur, à la lumière de vos avis d'experts !

Merci d'avance !

Kara

Salut Kara,

Alors je vais répondre dans l'ordre :
1) : non, même si un serveur (et donc son OS) sont conçus pour fonctionner 24h/24.
2) Pas de délai nécessaire que je sache (contrairement à Windaube qui affiche le bureau AVANT d'activer ses différents Services, MacOS X lui le fait dans l'autre sens, c'est d'ailleurs ce qui a permis de dire à Microsoft que Windaube bootait plus vite que MacOS X)
3) le Service DNS est quasi indispensable au bon fonctionnement de MacOS X Server surtout quand tu commences à utiliser les Services collaboratifs (Calendrier partagés, Messagerie, iChat Server, etc.)…

Tu peux essayer de mettre les DNS de ton FAI directement dans les prefs réseau de ton OSX ça ne posera pas de problème…

Merci Franck pour ta réponse aussi rapide !

Pour l'instant je préfère essayer la méthode où les DNS de mon FAI son uniquement renseignés dans le service DNS de mon OSX Serveur.

Je pense que c'est la manière la plus "carré" d'utiliser les apports d'OSX Serveur par rapport à OSX Client, et cela me permettra de vérifier à travers les logs si mon service DNS est en rade ou pas.

Pour l'instant, je préfère me documenter pour savoir comment mettre en marche mon accès au réseau local depuis l'extérieur. Le VPN fonctionne, mais je n'arrive pas à voir mon OSX Serveur comme une machine "locale" de mon VPN.

Faut que je me documente sur ce sujet... la suite au prochain épisode (prochaine série de questions)

Salut Kara

Je ne comprend pas bien ton probleme avec les bornes Airport, j'ai une installation a peut prêt du même type que la tienne et tout fonctionne sans probleme.

LA seule difference pour moi c'est que je n'utilise pas la freebox comme routeur, je l'ai laisser en pont, et c'est le mini qui fait office de routeur (carte Ethernet en USB et nat activé)

Je me demande ci c'est pas cette differenec qui fait toute la difference, car je n'ai pas non plus le probleme que tu rencontre avec la visibilité de ta machine quand tu te connecte en VPN

Bonjour Ions,

Merci de venir apporter ton expérience à mon problème, vous ne serez pas trop de deux pour m'aider je pense !

Bon, alors suite de l'histoire aujourd'hui:

J'ai de nouveau plus d'accès à internet, et plus possibilité de me connecter à ma borne.

En fait je crois avoir trouvé d'où vient mon problème : mon service DNS n'est pas stable.

Lorsque je vais dans ma console de gestion des services, et que je clique que le service DNS j'ai accès par exemple à l'onglet "historique". Puis quand je change d'onglet ou que je change de service, un message m'invite à enregistrer ou non les changements effectués sur ce service DNS.

Si je clique sur enregistrer et que je retourne dans l'historique du service DNS, je m'aperçois que le service DNS a redémarré tout seul !

J'y ai pensé tout à l'heure, mais peut être qu'en réparant les autorisations (chose que je n'ai pas faite depuis des lustres) cela résoudrait tout simplement mon problème ?

Lorsque mon service DNS ne fonctionne pas, il me remonte un problème de taille limite de 512 octets pour le paquet EDNS qui n'a pas pu être négocié.

Ce soir si j'ai le problème malgré la réparation des autorisations, je vous ferai une copie des logs.

Est-ce que vous avez déjà rencontré ce problème ou déjà entendu parlé ?

Merci d'avance pour votre aide !

Je me demande si ce n'est pas normal que le Service DNS se relance lorsqu'on y apporte des modifications…

Comme le dit Franck, quand tu apporte une modif au service de DNS (et a d'autres services aussi) il redémarre

Pour la limite de taille des paquet, j'ai jamais vue ce type d'erreur, d'un autre coté mon expérience serveur Mac ce limite a chez moi

Chez moi quand je change d'onglet, je n'ai pas d'invitation a enregitrer, il est donc possible que tu ai un probleme a ce niveau
Ton serveur est stable ?, a une epoque j'avais des plantages a repetition j'ai du reinstallé, mais pour moi sa devais venir de la memoire que j'avais changé

Pour la borne quand tu dit plus d'acces, c'est que tu n'arrive plus a envoyer de musique dessus ou que tu ne la voie plus dans l'utilitaire airport ?

Oui sauf que là, je n'ai effectué aucune modification sur le service !

Simplement, en parcourant ses onglets, le message "voulez-vous enregistrer les modifications apparues" est envoyé ?

Là je suis en train de réparer les autorisations... je vais bien voir.

La réparation des permissions a semble-t'il fonctionné !

Internet fonctionne sur le serveur et ma musique se diffuse bien via AirPlay sur ma borne Airrport Express !

Je croise les doigts pour que ça fonctionne toujours demain, sans avoir à retoucher quoi que ce soit !

je les croise aussi pour toi !

Tout pareil !

Hé bien non, toujours le problème.

Voici les logs du serveur DNS pour un exemple :

08-Nov-2010 11:06:17.848 createfetch: www.facebook.com A
08-Nov-2010 11:06:17.857 createfetch: www.facebook.com AAAA
08-Nov-2010 13:00:10.373 createfetch: www.facebook.com A
08-Nov-2010 13:00:10.384 createfetch: www.facebook.com AAAA
08-Nov-2010 13:02:30.018 createfetch: connect.facebook.net A
08-Nov-2010 13:02:30.028 createfetch: connect.facebook.net AAAA
08-Nov-2010 13:02:31.020 createfetch: connect.facebook.net A
08-Nov-2010 13:02:31.030 createfetch: connect.facebook.net AAAA
08-Nov-2010 14:40:33.254 createfetch: m.facebook.com A
08-Nov-2010 14:40:36.296 createfetch: touch.facebook.com A
08-Nov-2010 15:34:35.021 decrement_reference: delete from rbt: 0x100425580 touch.facebook.com
08-Nov-2010 16:41:26.777 createfetch: m.facebook.com A
08-Nov-2010 16:41:29.057 createfetch: touch.facebook.com A
08-Nov-2010 17:45:55.431 createfetch: m.facebook.com A
08-Nov-2010 17:45:57.301 createfetch: touch.facebook.com A
08-Nov-2010 17:46:47.825 createfetch: connect.facebook.net A
08-Nov-2010 17:46:50.277 createfetch: www.facebook.com A
08-Nov-2010 18:42:25.955 decrement_reference: delete from rbt: 0x10040b5d8 touch.facebook.com
08-Nov-2010 18:43:31.104 decrement_reference: delete from rbt: 0x10040c8f0 connect.facebook.NET
08-Nov-2010 18:46:14.857 decrement_reference: delete from rbt: 0x10042b840 m.facebook.com
08-Nov-2010 18:52:05.918 decrement_reference: delete from rbt: 0x10041e790 www.facebook.com
08-Nov-2010 18:55:09.801 createfetch: www.facebook.com A
08-Nov-2010 18:55:09.812 createfetch: www.facebook.com AAAA
08-Nov-2010 18:56:11.991 createfetch: connect.facebook.net A
08-Nov-2010 18:56:11.999 createfetch: connect.facebook.net AAAA
08-Nov-2010 19:45:15.291 createfetch: connect.facebook.net A
08-Nov-2010 19:45:19.779 createfetch: www.facebook.com A
08-Nov-2010 21:58:28.892 createfetch: m.facebook.com A
08-Nov-2010 21:58:32.190 createfetch: touch.facebook.com A
08-Nov-2010 21:59:15.616 decrement_reference: delete from rbt: 0x10042c000 connect.facebook.net.edgekey.NET
09-Nov-2010 11:18:05.385 createfetch: m.facebook.com A
09-Nov-2010 11:18:05.453 createfetch: m.facebook.com A
09-Nov-2010 11:18:09.736 createfetch: touch.facebook.com A
09-Nov-2010 11:47:52.760 decrement_reference: delete from rbt: 0x100422948 touch.facebook.com
09-Nov-2010 12:24:25.575 decrement_reference: delete from rbt: 0x10041a840 m.facebook.com
09-Nov-2010 13:08:47.219 createfetch: connect.facebook.net A
09-Nov-2010 13:08:47.229 createfetch: connect.facebook.net AAAA
09-Nov-2010 13:08:48.221 createfetch: connect.facebook.net A
09-Nov-2010 13:08:48.231 createfetch: connect.facebook.net AAAA
09-Nov-2010 13:08:53.630 host unreachable resolving 'connect.facebook.net/AAAA/IN': 2001:500:2f::f#53
09-Nov-2010 13:08:54.431 host unreachable resolving 'connect.facebook.net/AAAA/IN': 2001:503:c27::2:30#53
09-Nov-2010 13:08:55.231 host unreachable resolving 'connect.facebook.net/AAAA/IN': 2001:7fe::53#53
09-Nov-2010 13:08:55.231 host unreachable resolving 'connect.facebook.net/AAAA/IN': 2001:503:ba3e::2:30#53
09-Nov-2010 13:08:56.831 host unreachable resolving 'connect.facebook.net/AAAA/IN': 2001:7fd::1#53
09-Nov-2010 13:08:57.632 host unreachable resolving 'connect.facebook.net/AAAA/IN': 2001:500:3::42#53
09-Nov-2010 13:08:57.632 host unreachable resolving 'connect.facebook.net/AAAA/IN': 2001:dc3::35#53
09-Nov-2010 13:08:58.432 host unreachable resolving 'connect.facebook.net/AAAA/IN': 2001:500:1::803f:235#53
09-Nov-2010 13:08:59.961 success resolving 'connect.facebook.net/AAAA' (in 'net'?) after reducing the advertised EDNS UDP packet size to 512 octets
09-Nov-2010 13:09:05.206 createfetch: www.facebook.com A
09-Nov-2010 13:09:05.216 createfetch: www.facebook.com AAAA


Question à deux balles ( ) : A votre avis, d'où peut provenir ce problème ?

Hello,

Je viens de trouver la discussion suivante sur le forum Apple, qu'en pensez vous ?

Discussion sur le forum Apple Support

Malheureusement, sur ma FreeBox je n'ai pas le moyen de réduire la taille du paquet UDP pour le transport de l'EDNS.

Pensez-vous que c'est malgré tout là qu'il faut que je cherche ?

Pourtant, ce qui est étrange, c'est que tout à l'heure, mon accès à Internet s'est rétabli "progressivement", au fur et à mesure que mon service DNS atteignait pour chaque URL le statut suivant : resolving 'connect.facebook.net/AAAA' (in 'net'?) after reducing the advertised EDNS UDP packet size to 512 octets

Sinon, que pensez-vous d'ouvrir le port 53 sur le routeur de la freebox, pour le rediriger vers l'adresse IP de mon OSX Serveur ? Le problème pourrait venir de là ?

Car si je prend en compte la page du site Apple listant les ports utilisés communément j'ai la ligne suivante :

Code:

53 TCP/UDP Domain Name System (DNS) 1034 MacDNS, FaceTime

Est ce que MacDNS correspondrait au service DNS de OSX Serveur ?

Si oui, alors cela expliquerait pourquoi mon service DNS fonctionne aléatoirement !

Quels sont les DNS configuré sur le routeur, dans la partie DNS ?
Quels sont les DNS configuré sur ta machiene dans la partie connexion reseau ?
Comment est configuré la freebox par rapport au serveur, il est en DMZ ?

Je me demande si il n'y a pas un probleme a ce niveau


Edit : le port 53 est utilisé pour le DNS et depuis peut pour FaceTime, essaye de configurer sur la Freebox l'adresse du serveur en DMZ,

Bonjour Ions,

Merci pour ton aide, alors voici ce que je peux répondre (ce que je sais dire) :

Mon routeur est ma FreeBox. Donc il n'est pas possible de lui indiquer de DNS, n'est ce pas ?

En tout cas sur la plateforme de gestion je n'ai pas trouvé de tel paramètre.

Sur mon OSX Serveur, le DNS de ma config réseau est sa propre adresse IP, car il a le service DNS activé.

Dans le service DNS, les serveurs de redirection de requête sont les 2 serveurs DNS de Free : 212.27.40.240 et 212.27.40.241.

Enfin, je n'ai pas mis mon OSX serveur sur la DMZ de ma freebox, car je ne veux surtout pas qu'il soit exposé à de potentielles attaques.

En gros, ma freebox est le routeur, mon OSX Serveur possède une IP LAN fixe.

Ma freebox possède à la fois une IP LAN fixe et une IP WAN fixe.

Les ports ouverts de ma free vers mon OSX Serveur sont ceux du service VPN L2P IPSec uniquement.

Enfin, le firewall de mon OSX Serveur est activé.

Voilà, qu'en pensez-vous ?

En fait, le port 53, hors toute question de Facetime, sert (à mon sens) à accéder à ton DNS depuis l’extérieur.
Ce devrait être utile si, par exemple, tu as acheté le domaine toto.com, et tu souhaites le gérer entièrement. Tu dis alors à ton registrar que le serveur qui gère ton domaine est chez toi et plus chez lui, et tu devras alors indiquer ton IP Wan fixe.

ensuite, tout ton domaine sera géré par ton Mini. C'est mini qui dira au reste du monde que le mail est ici, que le www.toto.com est là, que intranet.toto.com, c'est telle IP, que blog.toto.com, c'est ce serveur-ci... Là, oui, 53 est obligatoire. sinon, je ne vois pas.

mais ici, ce n'est pas le cas. du moins je ne pense pas.

il faut alors faire comme suit :
pour ton réseau local, indiquer mini comme DNS, et c'est Mini qui résoudra les requêtes. (s'il ne connait pas, il renvoie au redirecteur, où les adresses de Free sont alors renseignées et donc utilisées)
ainsi, dans ton réseau local, tu as accès aux noms dans ton réseau.

Quant à ton routeur, il travaille avec des IP et n'a pas besoin de DNS.