Accessibilità di postfinance.ch

Ggnome2018 · 7 lug 2023

Accessibilità di postfinance.ch

Saluti networker 😉

Da circa 3 settimane ho un fenomeno davvero emozionante che, secondo me, non si riesce a spiegare. Ho un XGS-PON Anschluss con Pfsense ecc. Questo Anschluss funziona alla grande da un anno e posso fare qualsiasi cosa e aprire qualsiasi pagina che voglio. Ma da 3 settimane non riesco sempre ad accedere a postfinance.ch e post.ch. Purtroppo questo è un po’ difficile perché ho un conto con Postfinance.

Non riesco a raggiungere i due siti web con il cellulare tramite WiFi, ma posso raggiungerli senza problemi tramite VPN o 4G. Per questo presumo che nella migliore delle ipotesi si tratti di un problema di Swisscom. È interessante notare che tutti gli altri siti Web funzionano senza problemi.

Ho già riavviato Pfsense 2-3 volte ma non fa alcuna differenza. Ci sono giorni in cui entrambi i siti funzionano senza problemi.

nslookup postfinance.ch

Ho Google e Quad9 memorizzati come DNS su Pfsense. Come scritto funziona tutto senza problemi tramite VPN. Mi sembra quasi che il mio IP sia bloccato. Ma potrebbe anche essere un problema di routing di Swisscom perché non sono più nel CGNAT e ho il mio router e un XGS-PON Anschluss. Un altro problema potrebbe essere IPv6, che per me è attivo.

Devo ancora recuperare un po’ di terreno con IPv6 poiché non tutto è ancora configurato correttamente…

Qualcuno ha qualche buona idea?

Grazie mille per il tuo contributo…

r00t · 7 lug 2023

Ciao @gnome2018,

Nel tuo screenshot puoi vedere che il server DNS non risponde. Quindi immagino il DNS 😉

Vedi qualcosa a riguardo nel registro di pfsense? Puoi mostrarci la tua configurazione DNS sul senso?

Ho avuto un problema simile con Quad9 qualche tempo fa, quindi provalo come test con Cloudflare, ad esempio:

C:\sers\00t>nslookup <invio>
Server predefinito: prl-local-ns-server.shared
Indirizzo: 10.211.55.1

> server 1.1.1.1 <invio>
Server predefinito: one.one.one.one
Indirizzo: 1.1.1.1

> postfinance.ch <entra>
Server: uno.uno.uno.uno
Indirizzo: 1.1.1.1

Risposta non autorevole:
Nome: postfinance.ch
Indirizzi: 2a00:17c9:0:103::20e
194.41.166.32

>

Se funziona con Cloudflare, il Supporto Quad9 sarebbe felice di ricevere un ticket. (Finalmente mi ha risolto il problema)

LG

r00t

GrandDixence · 7 lug 2023

Come puoi facilmente vedere con il debugger DNSSEC di Verisign, www.postfinance.ch è uno dei pochi domini svizzeri protetti con DNSSEC. Qui l’errore si trova nell’area DNS.

https://dnssec-debugger.verisignlabs.com/

Quando si configura e si disconnette il tunnel VPN, la cache DNS proviene dal sistema operativo con il comando della riga di comando:

# ipconfig /flushdns

svuotare. Ecco l’estratto dal mio flusso di test DNSSEC per Linux:

Prova positiva
-------------------------------------------------- ----------------------
# dig +multili +dnssec www.nic.ch
=> stato: NOERRORE
=> bandiere: ad
=> EDNS: versione: 0, flag: do;
=> SERVER: 127.0.0.1


# dig +multili +dnssec www.nic.cz
=> stato: NOERRORE
=> bandiere: ad
=> EDNS: versione: 0, flag: do;
=> SERVER: 127.0.0.1


Test negativo
-------------------------------------------------- ---------------------
#nslookupwww.rhybar.cz
=> Ho ricevuto risposta SERVFAIL da 127.0.0.1

# dig +multili +dnssec www.rhybar.cz
=> stato: SERVFAIL

# nslookupwww.dnssec-failed.org
=> Ho ricevuto risposta SERVFAIL da 127.0.0.1

# dig +multili +dnssec www.dnssec-failed.org
=> stato: SERVFAIL



Prova TCP
-------------------------------------------------- --------------------------------
# dig +tcp www.meteoschweiz.admin.ch @192.168.1.1

Questo test DNSSEC può essere adattato a Windows.

I server DNS di Swisscom sono compatibili con DNSSEC.

[https://community.swisscom.ch/t5/Archiv-Internet/Swisscom-DNS-Server-kein-dnssec/m-p/486189](https://community.swisscom.ch/t5/Archiv-Internet/Swisscom- Server DNS-no-dnssec/m-p/486189)

Per motivi di performance si dovrebbero utilizzare i server DNS di Swisscom.

pfSense utilizza non associato. E l’unbound in pfSense ne supporta l’uso come server DNS di convalida DNSSEC se configurato correttamente.

https://docs.netgate.com/pfsense/en/latest/services/dns/resolver.html

[https://docs.netgate.com/pfsense/en/latest/services/dns/resolver-config.html](https://docs.netgate.com/pfsense/en/latest/services/dns/resolver- configurazione.html)

[https://docs.netgate.com/pfsense/en/latest/services/dns/resolver-advanced.html](https://docs.netgate.com/pfsense/en/latest/services/dns/resolver- avanzato.html)

Posso solo consigliare vivamente di utilizzare Unbound sul proprio firewall/router hardware come server DNS di convalida DNSSEC nella rete domestica. Vedere:

https://community.sunrise.ch/d/19158-dns-problem/9

La maggior parte dei siti web di eBanking svizzeri sono ora protetti con DNSSEC. Ad esempio Raiffeisen: https://login.raiffeisen.ch/de?applicationId=ebanking:

https://dnssec-debugger.verisignlabs.com/login.raiffeisen.ch

Si prega di consultare le informazioni su DNS e DNSSEC nel mio articolo più lungo del 28 giugno 2020 all’indirizzo:

[https://community.sunrise.ch/d/4397-diagnose-tool-der-connect-box-says-your-heim-netzwerk-hat-derzeit-einige-probl/2](https://community.sunrise.ch/d/4397-diagnose-tool-der-connect-box-says-your-heim-netzwerk-hat-derzeit Sunrise.ch/d/4397-diagnose-tool-der-connect-box-says-your-home-network-has-derzeit-einige-probl/2)

osservare!