Bind9 et Lenny : reducing the advertised EDNS UDP packet size to 512 octets

Le
Michel Grentzinger
Bonjour,

Depuis quelques jours, j'ai ceci dans mes logs et à part le titre de l=
a page,
je n'ai rien d'autre dans mon navigateur (ça tourne en boucle) :

Apr 9 21:49:03 kayak named[19058]: too many timeouts
resolving 'mm.chitika.net/A' (in 'chitika.NET'?): reducing the advertised
EDNS UDP packet size to 512 octets

J'ai vu sur un forum que il fallait passer "-4" comme option à bind9 m=
ais cela
n'a pas eu d'effet
Il semble que ce comportement soir intervenu quelques jours après mon =
passage
en lenny.

Une idée ?
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Bortzmeyer
Le #19110311
On Thu, Apr 09, 2009 at 09:53:36PM +0200,
Michel Grentzinger a message of 31 lines which said:

Apr 9 21:49:03 kayak named[19058]: too many timeouts resolving
'mm.chitika.net/A' (in 'chitika.NET'?): reducing the advertised EDNS
UDP packet size to 512 octets



Les serveurs de noms de dnsmadeeasy, qui gèrent chitika.net, gèrent
correctement EDNS. Donc, le problème est probablement chez vous,
surtout si cela arrive avec d'autres domaines que chitika.net. Il y a
probablement un routeur NAT ou un pare-feu mal configuré sur le trajet.

J'ai vu sur un forum que il fallait passer "-4" comme option à bind9
mais cela n'a pas eu d'effet...



Stupide conseil qui n'a rien à voir avec les symptômes (-4 est pour
forcer l'utilisation de la vieille version 4 d'IP).

Il semble que ce comportement soir intervenu quelques jours après
mon passage en lenny.



Probablement une coïncidence, le BIND de lenny n'a pas de tels
problèmes.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Michel Grentzinger
Le #19116251
Le lundi 13 avril 2009, Stephane Bortzmeyer a écrit :
On Thu, Apr 09, 2009 at 09:53:36PM +0200,
Michel Grentzinger
a message of 31 lines which said:
> Apr 9 21:49:03 kayak named[19058]: too many timeouts resolving
> 'mm.chitika.net/A' (in 'chitika.NET'?): reducing the advertised EDNS
> UDP packet size to 512 octets

Les serveurs de noms de dnsmadeeasy, qui gèrent chitika.net, gèrent
correctement EDNS. Donc, le problème est probablement chez vous,
surtout si cela arrive avec d'autres domaines que chitika.net. Il y a
probablement un routeur NAT ou un pare-feu mal configuré sur le trajet.




Effectivement, c'était mon pare-feu (je bloque tout sauf ce qui est autor isé
explicitement). Merci ULOG !
J'ai du rajouter :
$IPTABLES -A dns_serveur -i $IF_INPUT -p tcp --sport 53 --dport 1024: -j
ACCEPT
$IPTABLES -A dns_serveur -o $IF_OUTPUT -p tcp --sport 1024: --dport 53 -j
ACCEPT

En plus de ça (présent avant) :
$IPTABLES -A dns_serveur -i $IF_INPUT -p udp --sport 1024: --dport 53 -j
ACCEPT
$IPTABLES -A dns_serveur -o $IF_OUTPUT -p udp --sport 53 --dport 1024: -j
ACCEPT


Et pour mes tests, j'ai laissé ceci dans mon named.conf.option
edns-udp-size 512;
max-udp-size 512;

N'empêche que ça coincide à quelques jours près à mon passage sur lenny...
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Stephane Bortzmeyer
Le #19126121
On Tue, Apr 14, 2009 at 10:03:29PM +0200,
Michel Grentzinger a message of 50 lines which said:

Et pour mes tests, j'ai laissé ceci dans mon named.conf.option
edns-udp-size 512;
max-udp-size 512;



Pourquoi ces curieuses options ? 512 octets est déjà l'ancienne taille
des paquets DNS et, aujourd'hui, avec DNSSEC, IDN et IPv6, c'est très
bas !

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Michel Grentzinger
Le #19129251
Le jeudi 16 avril 2009, Stephane Bortzmeyer a écrit :
On Tue, Apr 14, 2009 at 10:03:29PM +0200,
Michel Grentzinger
a message of 50 lines which said:
> Et pour mes tests, j'ai laissé ceci dans mon named.conf.option
> edns-udp-size 512;
> max-udp-size 512;

Pourquoi ces curieuses options ? 512 octets est déjà l'ancienne taille
des paquets DNS et, aujourd'hui, avec DNSSEC, IDN et IPv6, c'est très
bas !



Et bien en raison des logs :
Apr 9 21:49:03 kayak named[19058]: too many timeouts resolving
'mm.chitika.net/A' (in 'chitika.NET'?): reducing the advertised EDNS
UDP packet size to 512 octets

J'ai encore des logs identiques (moins nombreux) mais je n'ai plus
de "blocage" de ma connection.
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Stephane Bortzmeyer
Le #19141761
On Thu, Apr 16, 2009 at 10:14:51PM +0200,
Michel Grentzinger a message of 33 lines which said:

Apr 9 21:49:03 kayak named[19058]: too many timeouts resolving
'mm.chitika.net/A' (in 'chitika.NET'?): reducing the advertised EDNS
UDP packet size to 512 octets

J'ai encore des logs identiques (moins nombreux)



Comme les serveurs de noms de chitika.net gèrent correctement l'EDNS0,
cela signifie qu'il y a toujours un problème (peut-être intermittent)
de votre côté.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Michel Grentzinger
Le #19149691
Le samedi 18 avril 2009, Stephane Bortzmeyer a écrit :
On Thu, Apr 16, 2009 at 10:14:51PM +0200,
Michel Grentzinger
a message of 33 lines which said:
> Apr 9 21:49:03 kayak named[19058]: too many timeouts resolving
> 'mm.chitika.net/A' (in 'chitika.NET'?): reducing the advertised EDNS
> UDP packet size to 512 octets
>
> J'ai encore des logs identiques (moins nombreux)

Comme les serveurs de noms de chitika.net gèrent correctement l'EDNS0,
cela signifie qu'il y a toujours un problème (peut-être intermittent)
de votre côté.



Oui, le tout est de l'identifier...

Voici mes logs pour ce matin :
Apr 20 08:18:13 kayak named[5913]: network unreachable
resolving 'dns1.eclipse.net.uk/A/IN': 2001:dc3::35#53
Apr 20 08:18:13 kayak named[5913]: network unreachable
resolving 'dns1.eclipse.net.uk/AAAA/IN': 2001:dc3::35#53
Apr 20 08:18:13 kayak named[5913]: network unreachable
resolving 'dns1.eclipse.net.uk/A/IN': 2001:503:c27::2:30#53
Apr 20 08:18:13 kayak named[5913]: network unreachable
resolving 'dns1.eclipse.net.uk/AAAA/IN': 2001:503:c27::2:30#53

Est-ce du à l'IPv6 ?

D'autre part, j'ai du remettre
edns-udp-size 512;
max-udp-size 512;

Sans ces options, la connection fonctionne mais au bout d'un moment, j'ai u n
blocage de ma navigation et de mon courrier (POP)...

PS : je suis abonné à la liste, le CC est inutile.
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme