EDNS0-Abfragen funktionieren nicht durch Firewalls

Beim Ausführen von EDNS0-Abfragen tritt ein Timeout mit Fehler auf, wie im Screenshot gezeigt.

• Palo Alto-Firewalls
• PAN-OS 9.1.x oder höher.
• PA-Firewalls zwischen DNS -Server und Client mit EDNS0- Merkmal.

Dieses Problem kann eine oder mehrere der folgenden Ursachen haben:

• DNS Proxy auf PA Firewall aktiviert, Option „EDNS-Antwort zwischenspeichern“ aktiviert.
• Spyware- Profil mit aktivierter DNS Sicherheit.
• Profil mit aktivierter Option zum Fragmentieren des Datenverkehrs unter paketbasiertem Angriffsschutz.
• Das EDNS0-Paket ist im Vergleich zum normalen DNS zu groß, was zu einer Fragmentierung der Netzwerkgeräte führt.

1. Überprüfen Sie, ob der DNS Proxy mit der Option „EDNS0-Antworten zwischenspeichern“ unter „Erweitert > Cache“ konfiguriert ist.

2. Führen Sie die folgenden Befehle aus, um den globalen Zähler zu überprüfen und die DNS Paketverluste zu überprüfen, z. B. „ctd_dns_wait_pkt_drop“ und die IP-Fragmentierung. Wiederholen Sie die Befehle während des Tests mehrmals

debug dataplane packet-diag clear filter-marked-session all
debug dataplane packet-diag set filter match source ip1 destination ip2
debug dataplane packet-diag set filter match source ip2 destination ip1
debug dataplane packet-diag set filter on 
show counter global filter delta yes | match "dns"
show counter global filter delta yes | match "ctd_dns_wait_pkt_drop"
show counter global filter delta yes | match "ipfrag"

3. Wenn das Spyware- Profil mit DNS Sicherheit aktiviert ist, deaktivieren und überprüfen Sie die Abfragen.

4. Profil mit aktivierter Option für Fragmentverkehr unter paketbasiertem Angriffsschutz, dann deaktivieren und testen

5. Zur Überprüfung kann auch eine Anwendungs-Außerkraftsetzung für die DNS Anwendung erstellt werden.

6. Wenn auf der Firewall und mit der oben beschriebenen Fehlerbehebung keine relevanten Zähler angezeigt werden, können Paketerfassungen durchgeführt werden, um nach IP-Fragmentierungsabfragen und Antwort zu suchen.

• Beispiel für Aufnahmen:

• Beispiel einer erfolgreichen EDNS0-Abfrage über eine Firewall:

• Die Aufnahmen zeigen, wie die Firewall Antwort empfängt, verarbeitet, überträgt und zurückerhält.
• Wenn Sie keine Antwort von der Firewall erhalten sehen, überprüfen Sie die beteiligten Upstream-Geräte, da EDNS0 bisher nicht von allen Netzwerkgeräten unterstützt wird und es daher aufgrund eines Fragmentierungsproblems oder eines übergroßen Pakets mit aktiviertem DF- Bit (Bit) usw. abgebrochen werden kann oder ein Problem mit asymmetrischem Routing vorliegt.
• Wenn die Firewall eine Antwort empfängt, der DNS Server des Clients die Antwort jedoch immer noch nicht sieht, überprüfen Sie, ob das DF- Bit (Bit) ( Bit (Bit)) im Antwort aktiviert ist und die Firewall es verwirft.
• Darüber hinaus müssen möglicherweise detaillierte Paketerfassungen (z. B. Flow Basic und App-ID) ausgeführt werden, um mehr Einblick zu erhalten, ob die Firewall sie empfängt und verwirft. Öffnen Sie für weitere Unterstützung einen Supportfall.