Uwe Koloska <m...@koloro.de> (Di 14 Jun 2016 13:23:33 CEST): > > > Über/durch meine 7490 geht der Request zu beantworten. > > Ich habe mittlerweile festgestellt, dass es nicht die Fritzbox ist > sondern der DNS meines Providers. Es scheint viele DNS-Server zu geben, > die nicht mehr als 512 Zeichen in einem Record akzeptieren. Deshalb > haben die ganzen großen Mailanbieter auch nur 2048 Bit Schlüssel.
Ich glaube, das ist so nicht richtig.
Es gibt kaputte Routerfirmware und kaputte Firewalleinstellungen, die
meinen, bei Port 53/UDP dürften es nicht mehr als 512B sein. Das stimmte
früher, da was das tatsächlich die maximale Größe bei DNS.
Heute wird Dein Client (dig) dem Server mitteilen, wie groß die UDP
Pakete sein dürfen.
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
Sonst wären zu oft TCP-Verbindungen notwendig. Das kannst du mit
+bufsize=…
beim Dig probieren.
dig @8.8.8.8 +qr +bufsize=256 RRSIG ssl.schlitterman.de
In Deinem Fall wehrt sich der DNS-Proxy (in der Fritzbox ist das, glaube
ich, Dnsmasq) mit SERVFAIL. Das kann viele Ursachen haben, z.B.
fehlerhafte DNSSec Validierung (der von Dir genannte Name ist aber nicht
über DNSSec geschützt).
Dnsmasq ist mir bis jetzt nicht immer durch korrektes Verhalten
aufgefallen, allerdings würde ich vermuten, dass auch Dnsmasq schon was
von EDNS gehört haben sollte und von DNS-Paketen, die 512+ Byte groß
sind.
SERVFAIL kommt bestimmt sehr schnell.
dig +qr …
Was kommt da, wie sieht also die Query und wie sieht die komplette
Antwort aus?
--
Heiko
signature.asc
Description: Digital signature
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
