DNS resolving probleem idp.iamfas.belgium.be

[SpecialK]

Ik werd net even bij de (bijna) buren geroepen voor een probleempje met eBox. Bleek dat Scarlet (en dus ook Proximus?) idp.iamfas.belgium.be niet kan resolven en dan raak je uiteraard niet aangemeld.

Ik heb even getest met nslookup, en inderdaad, dat werkte niet. In eerste instantie was de BBOX3 de DNS-server, maar ook als ik de DNS-servers die de modem gebruikt rechtstreeks instel (195.238.2.21 en 195.238.2.22), werkt het ook niet. BBOX is gereboot, maar dat maakte geen verschil. Logisch ook, als de upstream DNS servers het ook niet weten...
> server 195.238.2.21
Default Server: dnspool041.isp.belgacom.be
Address: 195.238.2.21

> idp.iamfas.belgium.be
Server: dnspool041.isp.belgacom.be
Address: 195.238.2.21

*** dnspool041.isp.belgacom.be can't find idp.iamfas.belgium.be: Server failed
En hetzelfde voor 195.238.2.22:
*** dnspool042.isp.belgacom.be can't find idp.iamfas.belgium.be: Server failed

Ik heb dan de Google DNS servers ingesteld in de hoop dat die braaf luisteren naar de voetbalmaffia en hun diensten niet meteen gaan stopzetten, en daarmee werkt het weer normaal.

Kan iemand met Scarlet/Proximus en de standaard setup eens proberen dit probleem te reproduceren? Het is al minstens een week "kapot".

[freggy]

Volgens https://dnsviz.net/d/idp.iamfas.belgium.be/dnssec/ zijn er wat problemen met DNS-servers van iamfas.belgium.be die niet antwoorden en met de DNSSEC-ondertekening. Ik vermoed dat dit ervoor kan zorgen dat stricte DNS-resolvers hier een probleem van maken.

Edit: De resultaten van dnsviz waren van 2 jaar geleden. Na een update zijn die fouten weg, dus dat kan het niet zijn.

[Flying]

Ik heb ook een identiek probleem gehad vandaag, met dat verschil dat ik Unbound gebruik in combinatie met AdGuard Home. Verschillende websites in de afgelopen 24u die niet werkten.

[streulma]

Getest op échte Proximus lijn en geen probleem.
Op Proximus 4G ook geen probleem.

[SpecialK]

Getest op échte Proximus lijn en geen probleem.

Maar gebruik je de standaard DNS van Proximus (en zijn dat dezelfde servers)? Als je een andere DNS server gebruikt is het niet onlogisch dat het wel werkt.

[CCatalyst]

Kan je niet meer detail geven over de foutmelding? NXDOMAIN? SERVFAIL?

In ieder geval, het ziet er toch allemaal normaal uit hier.

Code: Selecteer alles

% dig idp.iamfas.belgium.be @195.238.2.21

; <<>> DiG 9.10.6 <<>> idp.iamfas.belgium.be @195.238.2.21
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24833
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
...
;; ANSWER SECTION:
idp.iamfas.belgium.be.	14399	IN	A	193.191.245.173
...

Code: Selecteer alles

% dig idp.iamfas.belgium.be @195.238.2.22

; <<>> DiG 9.10.6 <<>> idp.iamfas.belgium.be @195.238.2.22
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55409
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
...
;; ANSWER SECTION:
idp.iamfas.belgium.be.	12844	IN	A	193.191.245.173
...

Code: Selecteer alles

% dig idp.iamfas.belgium.be @8.8.8.8     

; <<>> DiG 9.10.6 <<>> idp.iamfas.belgium.be @8.8.8.8
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40648
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
...
;; ANSWER SECTION:
idp.iamfas.belgium.be.	10009	IN	A	193.191.245.173
...

Code: Selecteer alles

% dig idp.iamfas.belgium.be @208.67.220.220

; <<>> DiG 9.10.6 <<>> idp.iamfas.belgium.be @208.67.220.220
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 37410
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 2
...
;; ADDITIONAL SECTION:
idp.iamfas.belgium.be.	0	IN	TXT	"Due to a court order in Belgium issued under Articles XVII.34./1. et seq. of the Code of Economic Law, the OpenDNS service is not currently available to users in Belgium. We apologize for the inconvenience."
...

[SpecialK]

In de browser zag ik NXDOMAIN, maar als ik via nslookup probeerde zag ik een SERVFAIL. Andere domeinen (ik heb ze uiteraard niet allemaal getest resolven wel probleemloos via de Proximus DNS servers.

[CCatalyst]

Ja, als het enkel op die domeinnaam is dat er problemen zijn, mss eens kijken richting malware? Dit in de veronderstelling dat je hun computer gebruikt hebt om je testen te doen.

idp.iamfas.belgium.be wordt gebruikt voor authenticatie bij de overheid, dus die kan wel geviseerd worden. Mogelijks malware die die gegevens probeert (of probeerde) te onderscheppen?

Waarom dan SERVFAIL? Malwarecampagne is mogelijks al voorbij en offline gehaald, of hun hosting is geseized door Cloudflare of Amazon oid, of malware zit vol met bugs en werkt niet deftig (zoals zo vaak).

Waarom werkt het dan wel met Google Public DNS? Als het malware is, zou het kunnen dat specifiek queries op Belgische ISP DNS geviseerd worden, terwijl queries via andere resolvers met rust gelaten worden. Waarom? Omdat wie een andere resolver gebruikt in de regel een grotere kans heeft om technisch onderlegd te zijn en de campagne dus sneller zou kunnen spotten. Of gewoon om te maken dat de campagne enkel in Belgie werkt en dat buitenlandse infosec analysten/scanners het moeilijker kunnen detecteren/onderzoeken (ISP DNS is in de regel enkel bereikbaar in het netwerk van de ISP zelf). Malware werkt vaak selectief op zo'n manieren.

Mss eens testen met je eigen laptop oid? Als je reeds getest hebt met je eigen laptop, dan zal het wel geen malware zijn, of de BBOX zelf moet gehackt zijn en dan hebben we de primeur voor groot nieuws vrees ik (alhoewel de kans klein is - zoiets zou in principe een reboot niet mogen overleven).

Als het geen malware is, dan misschien gewoon weer Windows being Windows?

[CCatalyst]

@SpecialK, is er hier nog opklaring over gekomen?

[infas]

Ik heb hetzelfde probleem en wanneer ik mijn virusscanner uitschakel (avast) dan werkt het wel....

Deze foutmelding

DNS_PROBE_FINISHED_NXDOMAIN