Las consultas EDNS0 no funcionan a través de firewalls

La ejecución de consultas EDNS0 tiempo de espera con un error como se muestra en la captura de pantalla.

• Cortafuegos de Palo Alto
• PAN-OS 9.1.x o superior.
• Cortafuegos PA entre el servidor DNS y el cliente con función EDNS0.

Este problema puede deberse a uno o más de los siguientes motivos:

• Proxy DNS habilitado en el cortafuegos PA con la opción "Respuesta EDNS en caché" marcada.
• perfil de seguridad de software espía con seguridad DNS habilitada.
• perfil de protección de zona con opción de tráfico de fragmentos habilitada bajo protección contra ataques basados ​​en paquetes.
• El paquete EDNS0 tiene un tamaño excesivo en comparación con el DNS normal, lo que provoca fragmentación en los dispositivos de red.

1. Verifique si el proxy DNS está configurado con la opción "Respuestas EDNS0 en caché" habilitada en avanzado > caché

2. Ejecute los siguientes comandos para verificar el contador global y verificar las pérdidas de paquetes DNS , es decir, "ctd_dns_wait_pkt_drop" y la fragmentación de IP. Repita los comandos varias veces durante la prueba.

debug dataplane packet-diag clear filter-marked-session all
debug dataplane packet-diag set filter match source ip1 destination ip2
debug dataplane packet-diag set filter match source ip2 destination ip1
debug dataplane packet-diag set filter on 
show counter global filter delta yes | match "dns"
show counter global filter delta yes | match "ctd_dns_wait_pkt_drop"
show counter global filter delta yes | match "ipfrag"

3. Si el perfil de seguridad antispyware con seguridad DNS está habilitado, deshabilítelo y verifique las consultas.

4. perfil de protección de zona con la opción de tráfico de fragmentos habilitada en la protección contra ataques basados ​​en paquetes, luego deshabilítela y pruebe

5. También se puede crear una cancelación de aplicación para que la aplicación DNS realice la verificación.

6. Si no se ven contadores relevantes en el cortafuegos y con la solución de problemas anterior, se pueden realizar capturas de paquetes para buscar consultas y respuesta de fragmentación de IP.

• Ejemplo de capturas:

• Ejemplo de una consulta EDNS0 exitosa a través del cortafuegos:

• Las capturas muestran la recepción, el procesamiento, la transmisión y la recepción de la respuesta del cortafuegos .
• Si no ve ninguna respuesta recibida en el cortafuegos, verifique los dispositivos ascendentes involucrados, ya que EDNS0 no es ampliamente compatible con los dispositivos de red hasta el momento, por lo tanto, puede descartarse debido a un problema de fragmentación o un paquete de gran tamaño con el bit DF activado, etc. o podría ser un problema de enrutamiento asimétrico.
• Si se recibe una respuesta en el cortafuegos pero el servidor DNS del cliente aún no ve la respuesta, verifique si el bit DF ( bit de no fragmentación) está activado en el paquete de respuesta y si el cortafuegos lo está descartando.
• Además, es posible que se requieran capturas de paquetes detalladas, es decir, flujo básico, ID de aplicación para ejecutarlas y tener más información sobre si el cortafuegos las recibe y las descarta. Para obtener más ayuda, abra un caso de soporte.