EDNS0 クエリがファイアウォール経由で機能しない

スクリーンショットに示すように、EDNS0 クエリを実行するとエラーが発生し、タイムアウト。

• パロアルトファイアウォール
• PAN-OS 9.1.x 以上。
• EDNS0機能を備えたDNSサーバーとクライアント間の PA ファイアウォール。

この問題は、次のいずれかまたは複数の原因によって発生する可能性があります。

• PAファイアウォールでDNSプロキシが有効になっており、オプション「EDNS 応答をキャッシュ」がオンになっています。
• DNSセキュリティが有効になっているスパイウェア セキュリティプロファイル。
• パケットベースの攻撃保護の下でフラグメント トラフィック オプションが有効になっているゾーン保護プロファイル。
• EDNS0 パケットが通常のDNSと比較して大きすぎるため、ネットワーク デバイスで断片化が発生します。

1. DNSプロキシが、詳細設定>キャッシュで「EDNS0応答をキャッシュする」オプションが有効になって設定されているかどうかを確認します。

2.次のコマンドを実行して、グローバル カウンターをチェックし、 DNSパケットのドロップ (つまり「ctd_dns_wait_pkt_drop」と IP フラグメント化) を確認します。テスト中にコマンドを複数回繰り返します。

debug dataplane packet-diag clear filter-marked-session all
debug dataplane packet-diag set filter match source ip1 destination ip2
debug dataplane packet-diag set filter match source ip2 destination ip1
debug dataplane packet-diag set filter on 
show counter global filter delta yes | match "dns"
show counter global filter delta yes | match "ctd_dns_wait_pkt_drop"
show counter global filter delta yes | match "ipfrag"

3. DNSセキュリティを備えたスパイウェア セキュリティプロファイルが有効になっている場合は、無効にしてクエリを確認します。

4.パケットベースの攻撃防御でフラグメントトラフィックオプションを有効にしたゾーン保護プロファイルを無効にしてテストする

5. DNSアプリケーションの検証用にアプリケーション オーバーライドを作成することもできます。

6.ファイアウォール上に関連するカウンターが表示されず、上記のトラブルシューティングを行った場合は、 パケット キャプチャを実行してIP フラグメンテーション クエリと応答を探すことができます。

• キャプチャの例:

• ファイアウォール経由の成功した EDNS0 クエリの例:

• キャプチャは、ファイアウォールの受信、処理、送信、および応答の応答を示します。
• ファイアウォールで応答を受信しなかった場合は、関連する上流デバイスを確認してください。EDNS0 は今のところネットワーク デバイスで広くサポートされていないため、断片化の問題や DFbit (ビット- bit )がオンになっているためにパケットが大きすぎることなどによりドロップされる可能性があり、非対称ルーティングの問題である可能性もあります。
• ファイアウォールで応答が受信されても​​、クライアントDNSサーバーが応答を認識しない場合は、応答パケットで DFbit (ビット- bit )(フラグメント禁止bit (ビット- bit )) がオンになっていて、ファイアウォールがそれをドロップしているかどうかを確認します。
• さらに、ファイアウォールを受信して​​ドロップしているかどうかについてさらに詳しく知るには、フローの基本情報やアプリ ID などの詳細なパケット キャプチャを実行する必要がある場合があります。さらにサポートが必要な場合は、サポート ケースを開いてください。