Re: Problèmes d'accès HTTP/S sur les serveurs à plusieurs résolution de nom

[Erwann Le Bras <erwann.le-bras@laposte.net>]

Le 11/09/2024 à 11:28, Michel Verdier a écrit :

> Le 10 septembre 2024 Pierre Malard a écrit :
>
> > Voilà un exemple :
> > # wget --tries=2  --timeout=1  --no-check-certificate  https://huggingface.co/models
> > --2024-09-10 10:07:17--  https://huggingface.co/models
> > Résolution de huggingface.co (huggingface.co)… 18.161.111.80, 18.161.111.71, 18.161.111.116, ...
> > Connexion à huggingface.co (huggingface.co)|18.161.111.80|:443… échec : Connexion terminée par expiration du délai d'attente.
> >       
> Essaie de rajouter --debug avant et après que ça coince pour comparer.
>
> Ici je n'ai pas les mêmes IP. Est-ce que tu ne resterais pas bloqué sur
> des anciennes IP ?
>
> As-tu regardé tes logs autour du moment où ça coince ?
>
> Pour vérifier qu'il n'y a pas un filtrage dynamique qui se met en place :
> nft list ruleset
> iptables --list
>
>

bonjour

du coup j'ai regardé chez moi aussi :

• le site https://huggingface.co/models répond très bien chez moi
• la résolution de nom me donne des IP différents (18.155 au lieu de 18.161)

$ nslookup huggingface.co
Server:        192.168.2.1
Address:    192.168.2.1#53

Non-authoritative answer:
Name:    huggingface.co
Address: 18.155.129.60
Name:    huggingface.co
Address: 18.155.129.4
Name:    huggingface.co
Address: 18.155.129.31
Name:    huggingface.co
Address: 18.155.129.129
Name:    huggingface.co
Address: 2600:9000:244f:c00:17:b174:6d00:93a1
Name:    huggingface.co
Address: 2600:9000:244f:5400:17:b174:6d00:93a1
Name:    huggingface.co
Address: 2600:9000:244f:a200:17:b174:6d00:93a1
Name:    huggingface.co
Address: 2600:9000:244f:c400:17:b174:6d00:93a1
Name:    huggingface.co
Address: 2600:9000:244f:4600:17:b174:6d00:93a1
Name:    huggingface.co
Address: 2600:9000:244f:e400:17:b174:6d00:93a1
Name:    huggingface.co
Address: 2600:9000:244f:ce00:17:b174:6d00:93a1
Name:    huggingface.co
Address: 2600:9000:244f:7c00:17:b174:6d00:93a1

Ce n'est pas un problème de filtrage mais bien un problème DNS qui sert des adresses erronées.

d'ailleurs le wget ne passe pas sur les adresses en 18.161 car il n'y a rien de standard à l'écoute en face sur le port 443 :

$ wget -vv https://18.161.111.103:443
--2024-09-17 10:48:16--  https://18.161.111.103/
Connexion à 18.161.111.103:443… connecté.
GnuTLS: Une alerte TLS fatale a été reçue.
GnuTLS: received alert [40]: Négociation échouée
Incapable d’établir une connexion SSL.

Il ne s'agit pas d'un problème de filtrage mais bien de résolution DNS.  soit le DNS local sert des adresses erronées, soit il est en relai d'un DNS secondaire erroné.

Personnellement je suis en relai de OpenDNS et ma Freebox :

    forwarders {
        208.67.222.222;208.67.220.220; #Opendns
        192.168.1.254; # Freebox
    };

amitiés

Erwann Le Bras