Les requêtes EDNS0 ne fonctionnent pas à travers les pare-feu

L'exécution des requêtes EDNS0 délai d'expiration avec une erreur comme indiqué dans la capture d'écran.

• Pare-feu Palo Alto
• PAN-OS 9.1.x ou supérieur.
• Pare-feu PA entre le serveur DNS et le client avec la fonctionnalité EDNS0.

Ce problème peut être causé par un ou plusieurs des éléments suivants :

• Proxy DNS activé sur le pare-feu PA avec l'option « cache EDNS Response » cochée.
• profil de sécurité anti-espion avec sécurité DNS activée.
• profil de protection de zone avec option de trafic fragmenté activée sous la protection contre les attaques par paquets.
• Le paquet EDNS0 est surdimensionné par rapport au DNS normal, ce qui provoque une fragmentation sur les périphériques réseau.

1. Vérifiez si le proxy DNS est configuré avec l'option « cache EDNS0 Responses » activée sous avancé > cache

2. Exécutez les commandes suivantes pour vérifier le compteur global afin de vérifier les pertes de paquets DNS , c'est-à-dire « ctd_dns_wait_pkt_drop » et la fragmentation IP. Répétez les commandes plusieurs fois pendant le test

debug dataplane packet-diag clear filter-marked-session all
debug dataplane packet-diag set filter match source ip1 destination ip2
debug dataplane packet-diag set filter match source ip2 destination ip1
debug dataplane packet-diag set filter on 
show counter global filter delta yes | match "dns"
show counter global filter delta yes | match "ctd_dns_wait_pkt_drop"
show counter global filter delta yes | match "ipfrag"

3. Si le profil de sécurité anti-spyware avec sécurité DNS est activé, désactivez-le et vérifiez les requêtes.

4. profil de protection de zone avec option de trafic fragmenté activée sous la protection contre les attaques par paquets, puis désactivez-la et testez

5. Il est également possible de créer une contrôle prioritaire sur l'application pour que l' application DNS puisse vérifier.

6. Si aucun compteur pertinent n'est visible sur le pare-feu et avec le dépannage ci-dessus, des captures de paquets peuvent être effectuées pour rechercher une requête et une réponse de fragmentation IP.

• Exemple de captures :

• Exemple de requête EDNS0 réussie via un pare-feu:

• Les captures montrent le pare-feu recevant, traitant, transmettant et recevant la réponse .
• Si vous ne voyez aucune réponse reçue sur le pare-feu, vérifiez les périphériques en amont impliqués, car EDNS0 n'est pas largement pris en charge par les périphériques réseau jusqu'à présent, il peut donc le supprimer en raison d'un problème de fragmentation ou d'un paquet surdimensionné avec le bit DF activé, etc. ou il peut s'agir d'un problème de routage asymétrique.
• Si la réponse est reçue sur le pare-feu mais que le serveur DNS client ne voit toujours pas la réponse, vérifiez si le bit DF (ne pas fragmenter le bit) est activé dans le paquet de réponse et si le pare-feu le supprime.
• De plus, des captures de paquets détaillées, c'est-à-dire des flux de base, l'ID de l'application peuvent être nécessaires pour voir si le pare-feu les reçoit et les abandonne. Pour obtenir de l'aide, ouvrez un dossier d'assistance.