Re: DNS TXT Record größer 512 Zeichen wird nicht weitergegeben (was Re: AW: DNS TXT Record wird von Fritzbox nicht zurückgegeben)

2016-06-16 Diskussionsfäden Heiko Schlittermann 
Uwe Koloska  (Mi 15 Jun 2016 18:29:48 CEST):
> Ich bin mir aber ziemlich sichere, dass es in diesem Fall nicht die
> Fritzbox ist, denn der Fehler tritt auch auf, wenn ich den von der
> Fritzbox benutzten Nameserver direkt frage und da es mit dem Google
> Nameserver auch klappt, sollte es eigentlich nichts in meinem Netzwerk sein.

Ok, da ist was dran.

> Provider ist Kabeldeutschland/Vodafone und der (einer der) Nameserver ist:
>   83-169-185-161-isp.superkabel.de: 83.169.185.161

Hm, die kann man leider von außerhalb KD nicht befragen. Da müsste also
mal jemand, der auch an KD hängt, das Experiment wiederholen.

> > Heute wird Dein Client (dig) dem Server mitteilen, wie groß die UDP
> > Pakete sein dürfen.
> > 
> > ;; OPT PSEUDOSECTION:
> > ; EDNS: version: 0, flags:; udp: 4096
> > ;; QUESTION SECTION:
> 
> Und was bedeutet es, wenn dieser Abschnitt in der Ausgabe von dig nicht
> vorhanden ist?  Beim Google  Nameserver und bei der Fritzbox ist dieser
> Abschnitt vorhanden, beim superkabel-ns nicht.

Dann wird EDNS vom angefragten Server nicht unterstützt. Meine Deutung.
Im Übrigen passiert genau das hier bei mir zu Hause (T-Online, Speedport
W 724V).

Wenn ich den DNS-Proxy auf dem Speedport frage, gibt es eine „truncated“
UDP-Antwort und anschließend eine richtige Antwort über TCP. Wenn ich
den DNS-Server frage, den der Speedport auch nutzt, dann das selbe
Symptom, also truncated und dann TCP.

Aber es funktionert dann erwartungsgemäß, halt ohne EDNS.
(Also in der Query ist das EDNS noch drin, in der Response vom Server
nicht mehr.)


> ;luna2._domainkey.archlinux.org.  IN  TXT

Ich würde nun mal mutmaßen, dass der Server, den Dein Router verwendet,
entweder am EDNS scheitert (was ich aber für unwahrscheinlich halte,
denn dann würde er es bei anderen Anfragen vermutlich auch tun), oder
aber, dass der am Problem der großen Antwort scheitert.

Wenn ich einen DNS-Forwarder verwende, dessen TCP-Verbindungen nach
außen ich blocke (hier: @localhost), dann bekomme ich SERVFAIL, wenn ich
gleichzeitig noch max-udp-size und edns-udp-size auf 512 setze.

http://web.mit.edu/ops/services/hesiod/src/bind-9.5.0-P1/doc/arm/Bv9ARM.ch06.html

Es wäre jetzt weiter zu erforschen, welcher Parameter hier der
entscheidende ist.

Meine Vermutung ist immer noch eine broken Firewall, vielleicht bei KD.
Tritt dieser Effekt bei allen Antworten auf, die >512 sind?


-- 
Heiko


signature.asc
Description: Digital signature
___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: DNS TXT Record größer 512 Zeichen wird nicht weitergegeben (was Re: AW: DNS TXT Record wird von Fritzbox nicht zurückgegeben)

2016-06-15 Diskussionsfäden Uwe Koloska 
Am 15.06.2016 um 18:29 schrieb Uwe Koloska:
>> dig +qr …
> 
> Was macht '+qr'?  Ich kann's in der Manpage nicht finden.

Hab's doch gefunden.  Irgendwie hat die Suche in der manpage eben gesponnen.

+[no]qr
Print [do not print] the query as it is sent. By
default, the query is not printed.

Uwe

___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: DNS TXT Record größer 512 Zeichen wird nicht weitergegeben (was Re: AW: DNS TXT Record wird von Fritzbox nicht zurückgegeben)

2016-06-15 Diskussionsfäden Uwe Koloska 
Hallo Heiko,

On 15.06.2016 12:20, Heiko Schlittermann wrote:
> Ich glaube, das ist so nicht richtig.

Das ist möglich, ich habe auch keine direkte Aussage dazu gefunden, nur
Indizien.

> Es gibt kaputte Routerfirmware und kaputte Firewalleinstellungen, die
> meinen, bei Port 53/UDP dürften es nicht mehr als 512B sein. Das stimmte
> früher, da was das tatsächlich die maximale Größe bei DNS.

Ich bin mir aber ziemlich sichere, dass es in diesem Fall nicht die
Fritzbox ist, denn der Fehler tritt auch auf, wenn ich den von der
Fritzbox benutzten Nameserver direkt frage und da es mit dem Google
Nameserver auch klappt, sollte es eigentlich nichts in meinem Netzwerk sein.

Provider ist Kabeldeutschland/Vodafone und der (einer der) Nameserver ist:
  83-169-185-161-isp.superkabel.de: 83.169.185.161

> Heute wird Dein Client (dig) dem Server mitteilen, wie groß die UDP
> Pakete sein dürfen.
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 4096
> ;; QUESTION SECTION:

Und was bedeutet es, wenn dieser Abschnitt in der Ausgabe von dig nicht
vorhanden ist?  Beim Google  Nameserver und bei der Fritzbox ist dieser
Abschnitt vorhanden, beim superkabel-ns nicht.

> dig +qr …

Was macht '+qr'?  Ich kann's in der Manpage nicht finden.

> Was kommt da, wie sieht also die Query und wie sieht die komplette
> Antwort aus?

Mit direkter Abfrage des Nameservers:

> dig +qr @83.169.185.161 luna2._domainkey.archlinux.org TXT

; <<>> DiG 9.10.3-P4 <<>> +qr @83.169.185.161
luna2._domainkey.archlinux.org TXT
; (1 server found)
;; global options: +cmd
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5992
;; flags: rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;luna2._domainkey.archlinux.org.IN  TXT

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 5992
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;luna2._domainkey.archlinux.org.IN  TXT

;; Query time: 37 msec
;; SERVER: 83.169.185.161#53(83.169.185.161)
;; WHEN: Wed Jun 15 18:25:14 CEST 2016
;; MSG SIZE  rcvd: 48

Uwe

___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: DNS TXT Record größer 512 Zeichen wird nicht weitergegeben (was Re: AW: DNS TXT Record wird von Fritzbox nicht zurückgegeben)

2016-06-15 Diskussionsfäden Heiko Schlittermann 
Uwe Koloska  (Di 14 Jun 2016 13:23:33 CEST):
> 
> > Über/durch meine 7490 geht der Request zu beantworten.
> 
> Ich habe mittlerweile festgestellt, dass es nicht die Fritzbox ist
> sondern der DNS meines Providers.  Es scheint viele DNS-Server zu geben,
> die nicht mehr als 512 Zeichen in einem Record akzeptieren. Deshalb
> haben die ganzen großen Mailanbieter auch nur 2048 Bit Schlüssel.

Ich glaube, das ist so nicht richtig.

Es gibt kaputte Routerfirmware und kaputte Firewalleinstellungen, die
meinen, bei Port 53/UDP dürften es nicht mehr als 512B sein. Das stimmte
früher, da was das tatsächlich die maximale Größe bei DNS.

Heute wird Dein Client (dig) dem Server mitteilen, wie groß die UDP
Pakete sein dürfen.

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:

Sonst wären zu oft TCP-Verbindungen notwendig. Das kannst du mit

+bufsize=…

beim Dig probieren.

dig @8.8.8.8 +qr +bufsize=256 RRSIG ssl.schlitterman.de


In Deinem Fall wehrt sich der DNS-Proxy (in der Fritzbox ist das, glaube
ich, Dnsmasq) mit SERVFAIL. Das kann viele Ursachen haben, z.B.
fehlerhafte DNSSec Validierung (der von Dir genannte Name ist aber nicht
über DNSSec geschützt).

Dnsmasq ist mir bis jetzt nicht immer durch korrektes Verhalten
aufgefallen, allerdings würde ich vermuten, dass auch Dnsmasq schon was
von EDNS gehört haben sollte und von DNS-Paketen, die 512+ Byte groß
sind.

SERVFAIL kommt bestimmt sehr schnell.

dig +qr …

Was kommt da, wie sieht also die Query und wie sieht die komplette
Antwort aus?

-- 
Heiko


signature.asc
Description: Digital signature
___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd