Accessibilité de postfinance.ch

Salutations aux réseauteurs 😉

Depuis environ 3 semaines, je vis un phénomène vraiment excitant qui, à mon avis, ne peut être expliqué. J’ai un XGS-PON Anschluss avec Pfsense etc. Ce Anschluss fonctionne très bien depuis un an et je peux tout faire et ouvrir n’importe quelle page que je veux. Mais depuis 3 semaines, je n’ai pas toujours pu accéder à postfinance.ch et post.ch. Malheureusement, c’est un peu difficile car j’ai un compte chez Postfinance.

Je ne parviens pas à accéder aux deux sites Web via mon téléphone portable via WiFi, mais je peux y accéder sans aucun problème via VPN ou 4G. C’est pourquoi je suppose qu’il s’agit au mieux d’un problème de Swisscom. Fait intéressant, tous les autres sites Web fonctionnent sans aucun problème.

J’ai déjà redémarré Pfsense 2 à 3 fois mais cela ne fait aucune différence. Il y a des jours où les deux sites Web fonctionnent sans aucun problème.

nslookup postfinance.ch

gnome2018_1-1688753816677.png

J’ai Google et Quad9 stockés en tant que DNS sur le Pfsense. Comme écrit, tout fonctionne sans problème via VPN. J’ai presque l’impression que mon IP est bloquée. Mais cela pourrait aussi être un problème de routage Swisscom car je ne suis plus dans la CGNAT et possède mon propre routeur et un XGS-PON Anschluss. Un autre problème pourrait être IPv6, qui est actif pour moi.

J’ai encore un peu de rattrapage à faire avec IPv6 car tout n’est pas encore correctement configuré…

gnome2018_2-1688754014445.png

Quelqu’un a-t-il de bonnes idées ?

Merci beaucoup pour votre contribution…

Afficher la langue d’origine (Allemand)

Salut @gnome2018,

Sur votre capture d’écran, vous pouvez voir que le serveur DNS ne répond pas. Donc je suppose que DNS 😉

Voyez-vous quelque chose à ce sujet dans le journal pfsense ? Pouvez-vous nous montrer votre configuration DNS sur le sens ?

J’ai eu un problème similaire avec Quad9 il y a quelque temps, alors essayez-le comme test avec Cloudflare, par exemple :

C:\sers\00t>nslookup <entrée>
Serveur par défaut : prl-local-ns-server.shared
Adresse : 10.211.55.1

> serveur 1.1.1.1 <enter>
Serveur par défaut : one.one.one.one
Adresse : 1.1.1.1

> postfinance.ch <enter>
Serveur : one.one.one.one
Adresse : 1.1.1.1

Réponse ne faisant pas autorité :
Nom: postfinance.ch
Adresses : 2a00:17c9:0:103::20e
194.41.166.32

>

Si cela fonctionne avec Cloudflare, Support Quad9 serait heureux de recevoir un ticket. (J’ai finalement résolu le problème pour moi)

LG

r00t

Afficher la langue d’origine (Allemand)

4b 65 69 6e 65 20 4d 61 63 68 74 20 64 65 72 20 6c 65 67 61 63 79 20 49 50 21

Comme vous pouvez facilement le constater avec le débogueur DNSSEC de Verisign, www.postfinance.ch est l’un des rares domaines suisses sécurisés avec DNSSEC. Ici, l’erreur peut être trouvée dans la zone DNS.

https://dnssec-debugger.verisignlabs.com/

Lors de la configuration et de la déconnexion du tunnel VPN, le cache DNS provient du système d’exploitation avec la commande en ligne de commande :

# ipconfig /flushdns

à vider. Voici l’extrait de mon flux de test DNSSEC pour Linux :

Test positif
-------------------------------------------------- ----------------------
# dig +multili +dnssec www.nic.ch
=> statut : NOERREUR
=> drapeaux : annonce
=> EDNS : version : 0, drapeaux : faire ;
=> SERVEUR : 127.0.0.1


# dig +multili +dnssec www.nic.cz
=> statut : NOERREUR
=> drapeaux : annonce
=> EDNS : version : 0, drapeaux : faire ;
=> SERVEUR : 127.0.0.1


Test négatif
-------------------------------------------------- ---------------------
# nslookup www.rhybar.cz
=> J'ai obtenu la réponse SERVFAIL de 127.0.0.1

# dig +multili +dnssec www.rhybar.cz
=> statut : SERVFAIL

# nslookup www.dnssec-failed.org
=> J'ai obtenu la réponse SERVFAIL de 127.0.0.1

# dig +multili +dnssec www.dnssec-failed.org
=> statut : SERVFAIL



Test TCP
-------------------------------------------------- --------------------------------
# dig +tcp www.meteoschweiz.admin.ch @192.168.1.1

Ce test DNSSEC peut être adapté à Windows.

Les serveurs DNS de Swisscom sont compatibles DNSSEC.

[https://community.swisscom.ch/t5/Archiv-Internet/Swisscom-DNS-Server-kein-dnssec/m-p/486189](https://community.swisscom.ch/t5/Archiv-Internet/Swisscom- Serveur DNS-no-dnssec/m-p/486189)

Pour des raisons de performances, il convient d’utiliser les serveurs DNS de Swisscom.

pfSense utilise non lié. Et le non lié dans pfSense prend en charge son utilisation en tant que serveur DNS de validation DNSSEC s’il est configuré correctement.

https://docs.netgate.com/pfsense/en/latest/services/dns/resolver.html

[https://docs.netgate.com/pfsense/en/latest/services/dns/resolver-config.html](https://docs.netgate.com/pfsense/en/latest/services/dns/resolver- config.html)

[https://docs.netgate.com/pfsense/en/latest/services/dns/resolver-advanced.html](https://docs.netgate.com/pfsense/en/latest/services/dns/resolver- avancé.html)

Je ne peux que chaudement recommander d’utiliser unbound sur votre propre pare-feu/routeur matériel en tant que serveur DNS de validation DNSSEC dans le réseau domestique. Voir:

https://community.sunrise.ch/d/19158-dns-problem/9

La plupart des sites eBanking suisses sont désormais sécurisés avec DNSSEC. Par exemple Raiffeisen : https://login.raiffeisen.ch/de?applicationId=ebanking :

https://dnssec-debugger.verisignlabs.com/login.raiffeisen.ch

Veuillez consulter les informations sur DNS et DNSSEC dans mon article plus long du 28 juin 2020 à l’adresse :

[https://community.sunrise.ch/d/4397-diagnose-tool-der-connect-box-says-your-heim-netzwerk-hat-derzeit-einige-probl/2](https://community. Sunrise.ch/d/4397-diagnose-tool-der-connect-box-says-your-home-network-has-derzeit-einige-probl/2)

observer!

Afficher la langue d’origine (Allemand)