DNS Le proxy ne résout pas les sites Web (URL)
9830
Created On 09/30/22 17:15 PM - Last Modified 03/02/23 05:27 AM
Symptom
- Les sites Web ne se chargent pas.
- nslookups arrive à expiration.
- DNSPROXYD.log affiche les messages d’erreur suivants :
Warning: pan_dnsproxy_check_udp_size(pan_dnsproxy_pkt_parse.c:188): Adding this record exceeds udp size limit, current 508, record size: 112, udp size limit: 512 Warning: pan_dnsproxy_check_udp_size(pan_dnsproxy_pkt_parse.c:188): Adding this record exceeds udp size limit, current 454, record size: 122, udp size limit: 512
Environment
- PA-220
- PANOS-10.0.4
- DNS Cache proxy activé
Cause
Lorsque le cache dnsproxy est activé, nous préparons toujours la réponse à partir du cache (que nous ayons déjà les enregistrements en cache ou que nous devions d’abord transférer la demande à un serveur de noms).
Au cours de ce processus, dnsproxy ne vérifie pas si la réponse préparée DNS est trop volumineuse ou non (la limite udp par défaut doit être de 512 octets). Ainsi, la réponse préparée par dnsproxy peut être abandonnée par d’autres PAN FW ou périphériques réseau si la taille est supérieure à la DNS limite (512 ou autrement spécifié dans ).
EDNS Ce problème se produit généralement avec les enregistrements imbriqués CNAME et lorsque le cache est utilisé en raison de la capacité de compression limitée de dnsproxy.
Resolution
Pour contourner le problème, l’une des options suivantes peut être appliquée :
- Désactiver le cache
- Ajouter une DNS règle de proxy pour cela FQDN et ne pas utiliser le cache
- Utilisation EDNS (il permet plus grand UDP DNS)
Additional Information
HOW TO VERIFY DNS PROXY
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleyCAC