DNS proxy no resuelve sitios web (URL)
9814
Created On 09/30/22 17:15 PM - Last Modified 03/02/23 05:27 AM
Symptom
- Los sitios web no se cargan.
- NSlookups se agota el tiempo de espera.
- DNSPproxyd.log muestra los siguientes mensajes de error:
Warning: pan_dnsproxy_check_udp_size(pan_dnsproxy_pkt_parse.c:188): Adding this record exceeds udp size limit, current 508, record size: 112, udp size limit: 512 Warning: pan_dnsproxy_check_udp_size(pan_dnsproxy_pkt_parse.c:188): Adding this record exceeds udp size limit, current 454, record size: 122, udp size limit: 512
Environment
- PA-220
- PANOS-10.0.4
- DNS Caché de proxy habilitada
Cause
Cuando la caché dnsproxy está habilitada, siempre preparamos la respuesta de la caché (independientemente de si ya tenemos los registros en caché o si necesitamos reenviar la solicitud a un servidor de nombre primero).
Durante este proceso, dnsproxy no comprueba si la respuesta preparada DNS es demasiado grande o no (el límite de udp predeterminado debe ser de 512 bytes). Por lo tanto, la DNS respuesta preparada por dnsproxy podría ser eliminada por otros PAN FW o dispositivos de red si el tamaño es mayor que el límite (512 o especificado de otra manera en EDNS).
Este problema suele ocurrir con registros anidados CNAME y cuando se utiliza caché debido a la capacidad de compresión limitada de dnsproxy.
Resolution
Como solución alternativa, se puede aplicar cualquiera de las siguientes opciones:
- Deshabilitar caché
- Agregar DNS regla de proxy para esto FQDN y no usar caché
- Uso EDNS (permite mayor UDP DNS)
Additional Information
HOW TO VERIFY DNS PROXY
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleyCAC