Re: DNS TXT Record größer 512 Zeichen wird nicht weitergegeben (was Re: AW: DNS TXT Record wird von Fritzbox nicht zurückgegeben)
Uwe Koloska(Mi 15 Jun 2016 18:29:48 CEST): > Ich bin mir aber ziemlich sichere, dass es in diesem Fall nicht die > Fritzbox ist, denn der Fehler tritt auch auf, wenn ich den von der > Fritzbox benutzten Nameserver direkt frage und da es mit dem Google > Nameserver auch klappt, sollte es eigentlich nichts in meinem Netzwerk sein. Ok, da ist was dran. > Provider ist Kabeldeutschland/Vodafone und der (einer der) Nameserver ist: > 83-169-185-161-isp.superkabel.de: 83.169.185.161 Hm, die kann man leider von außerhalb KD nicht befragen. Da müsste also mal jemand, der auch an KD hängt, das Experiment wiederholen. > > Heute wird Dein Client (dig) dem Server mitteilen, wie groß die UDP > > Pakete sein dürfen. > > > > ;; OPT PSEUDOSECTION: > > ; EDNS: version: 0, flags:; udp: 4096 > > ;; QUESTION SECTION: > > Und was bedeutet es, wenn dieser Abschnitt in der Ausgabe von dig nicht > vorhanden ist? Beim Google Nameserver und bei der Fritzbox ist dieser > Abschnitt vorhanden, beim superkabel-ns nicht. Dann wird EDNS vom angefragten Server nicht unterstützt. Meine Deutung. Im Übrigen passiert genau das hier bei mir zu Hause (T-Online, Speedport W 724V). Wenn ich den DNS-Proxy auf dem Speedport frage, gibt es eine „truncated“ UDP-Antwort und anschließend eine richtige Antwort über TCP. Wenn ich den DNS-Server frage, den der Speedport auch nutzt, dann das selbe Symptom, also truncated und dann TCP. Aber es funktionert dann erwartungsgemäß, halt ohne EDNS. (Also in der Query ist das EDNS noch drin, in der Response vom Server nicht mehr.) > ;luna2._domainkey.archlinux.org. IN TXT Ich würde nun mal mutmaßen, dass der Server, den Dein Router verwendet, entweder am EDNS scheitert (was ich aber für unwahrscheinlich halte, denn dann würde er es bei anderen Anfragen vermutlich auch tun), oder aber, dass der am Problem der großen Antwort scheitert. Wenn ich einen DNS-Forwarder verwende, dessen TCP-Verbindungen nach außen ich blocke (hier: @localhost), dann bekomme ich SERVFAIL, wenn ich gleichzeitig noch max-udp-size und edns-udp-size auf 512 setze. http://web.mit.edu/ops/services/hesiod/src/bind-9.5.0-P1/doc/arm/Bv9ARM.ch06.html Es wäre jetzt weiter zu erforschen, welcher Parameter hier der entscheidende ist. Meine Vermutung ist immer noch eine broken Firewall, vielleicht bei KD. Tritt dieser Effekt bei allen Antworten auf, die >512 sind? -- Heiko signature.asc Description: Digital signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: DNS TXT Record größer 512 Zeichen wird nicht weitergegeben (was Re: AW: DNS TXT Record wird von Fritzbox nicht zurückgegeben)
Am 15.06.2016 um 18:29 schrieb Uwe Koloska: >> dig +qr … > > Was macht '+qr'? Ich kann's in der Manpage nicht finden. Hab's doch gefunden. Irgendwie hat die Suche in der manpage eben gesponnen. +[no]qr Print [do not print] the query as it is sent. By default, the query is not printed. Uwe ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: DNS TXT Record größer 512 Zeichen wird nicht weitergegeben (was Re: AW: DNS TXT Record wird von Fritzbox nicht zurückgegeben)
Hallo Heiko, On 15.06.2016 12:20, Heiko Schlittermann wrote: > Ich glaube, das ist so nicht richtig. Das ist möglich, ich habe auch keine direkte Aussage dazu gefunden, nur Indizien. > Es gibt kaputte Routerfirmware und kaputte Firewalleinstellungen, die > meinen, bei Port 53/UDP dürften es nicht mehr als 512B sein. Das stimmte > früher, da was das tatsächlich die maximale Größe bei DNS. Ich bin mir aber ziemlich sichere, dass es in diesem Fall nicht die Fritzbox ist, denn der Fehler tritt auch auf, wenn ich den von der Fritzbox benutzten Nameserver direkt frage und da es mit dem Google Nameserver auch klappt, sollte es eigentlich nichts in meinem Netzwerk sein. Provider ist Kabeldeutschland/Vodafone und der (einer der) Nameserver ist: 83-169-185-161-isp.superkabel.de: 83.169.185.161 > Heute wird Dein Client (dig) dem Server mitteilen, wie groß die UDP > Pakete sein dürfen. > > ;; OPT PSEUDOSECTION: > ; EDNS: version: 0, flags:; udp: 4096 > ;; QUESTION SECTION: Und was bedeutet es, wenn dieser Abschnitt in der Ausgabe von dig nicht vorhanden ist? Beim Google Nameserver und bei der Fritzbox ist dieser Abschnitt vorhanden, beim superkabel-ns nicht. > dig +qr … Was macht '+qr'? Ich kann's in der Manpage nicht finden. > Was kommt da, wie sieht also die Query und wie sieht die komplette > Antwort aus? Mit direkter Abfrage des Nameservers: > dig +qr @83.169.185.161 luna2._domainkey.archlinux.org TXT ; <<>> DiG 9.10.3-P4 <<>> +qr @83.169.185.161 luna2._domainkey.archlinux.org TXT ; (1 server found) ;; global options: +cmd ;; Sending: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5992 ;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;luna2._domainkey.archlinux.org.IN TXT ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 5992 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;luna2._domainkey.archlinux.org.IN TXT ;; Query time: 37 msec ;; SERVER: 83.169.185.161#53(83.169.185.161) ;; WHEN: Wed Jun 15 18:25:14 CEST 2016 ;; MSG SIZE rcvd: 48 Uwe ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: DNS TXT Record größer 512 Zeichen wird nicht weitergegeben (was Re: AW: DNS TXT Record wird von Fritzbox nicht zurückgegeben)
Uwe Koloska(Di 14 Jun 2016 13:23:33 CEST): > > > Über/durch meine 7490 geht der Request zu beantworten. > > Ich habe mittlerweile festgestellt, dass es nicht die Fritzbox ist > sondern der DNS meines Providers. Es scheint viele DNS-Server zu geben, > die nicht mehr als 512 Zeichen in einem Record akzeptieren. Deshalb > haben die ganzen großen Mailanbieter auch nur 2048 Bit Schlüssel. Ich glaube, das ist so nicht richtig. Es gibt kaputte Routerfirmware und kaputte Firewalleinstellungen, die meinen, bei Port 53/UDP dürften es nicht mehr als 512B sein. Das stimmte früher, da was das tatsächlich die maximale Größe bei DNS. Heute wird Dein Client (dig) dem Server mitteilen, wie groß die UDP Pakete sein dürfen. ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: Sonst wären zu oft TCP-Verbindungen notwendig. Das kannst du mit +bufsize=… beim Dig probieren. dig @8.8.8.8 +qr +bufsize=256 RRSIG ssl.schlitterman.de In Deinem Fall wehrt sich der DNS-Proxy (in der Fritzbox ist das, glaube ich, Dnsmasq) mit SERVFAIL. Das kann viele Ursachen haben, z.B. fehlerhafte DNSSec Validierung (der von Dir genannte Name ist aber nicht über DNSSec geschützt). Dnsmasq ist mir bis jetzt nicht immer durch korrektes Verhalten aufgefallen, allerdings würde ich vermuten, dass auch Dnsmasq schon was von EDNS gehört haben sollte und von DNS-Paketen, die 512+ Byte groß sind. SERVFAIL kommt bestimmt sehr schnell. dig +qr … Was kommt da, wie sieht also die Query und wie sieht die komplette Antwort aus? -- Heiko signature.asc Description: Digital signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd