info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
FYI: Palo Alto - Problem mit dns proxy und EDNS
52 views
Skip to first unread message
Christian Winther
Jan 19, 2017, 4:32:36 PM1/19/17
to
Hallo Miteinander,
ich hatte in der Firma diverse Probleme mit der DNS-Auflösung nach
Wechsel des Providers.
Als Ursache stellte sich der DNS Reverse Proxy der Palo Alto heraus.
Dieser leitet EDNS-Anfrage an die entsprechenden DNS-Server des
Providers weiter, wirft die EDNS-Antworten aber kommentarlos weg.
Im Log der FW sieht man es aber.
Anscheinend lieferten die DNS-Server des alten Providers kein EDNS, die
des neuen schon, da an der FW diesbezüglich nichts umkonfiguriert wurde.
Das hat vor einiger Zeit auch schon jemand anderes festgestellt und
schön beschrieben:
https://medium.com/@kolyshkin/palo-alto-networks-pan-os-dns-proxy-a-bug-story-49fd7c53a050
"Würgaround":
Bei Windows-DNS-Servern EDNS abschalten:
https://support.microsoft.com/de-de/help/832223/some-dns-name-queries-are-unsuccessful-after-you-deploy-a-windows-based-dns-server
Dnscmd /config /enableednsprobes 0
HTH Christian
ich hatte in der Firma diverse Probleme mit der DNS-Auflösung nach
Wechsel des Providers.
Als Ursache stellte sich der DNS Reverse Proxy der Palo Alto heraus.
Dieser leitet EDNS-Anfrage an die entsprechenden DNS-Server des
Providers weiter, wirft die EDNS-Antworten aber kommentarlos weg.
Im Log der FW sieht man es aber.
Anscheinend lieferten die DNS-Server des alten Providers kein EDNS, die
des neuen schon, da an der FW diesbezüglich nichts umkonfiguriert wurde.
Das hat vor einiger Zeit auch schon jemand anderes festgestellt und
schön beschrieben:
https://medium.com/@kolyshkin/palo-alto-networks-pan-os-dns-proxy-a-bug-story-49fd7c53a050
"Würgaround":
Bei Windows-DNS-Servern EDNS abschalten:
https://support.microsoft.com/de-de/help/832223/some-dns-name-queries-are-unsuccessful-after-you-deploy-a-windows-based-dns-server
Dnscmd /config /enableednsprobes 0
HTH Christian
Juergen P. Meier
Jan 21, 2017, 2:57:52 AM1/21/17
to
Christian Winther <cw20...@gmx.de>:
> Anscheinend lieferten die DNS-Server des alten Providers kein EDNS, die
> des neuen schon, da an der FW diesbezüglich nichts umkonfiguriert wurde.
Ist die Firewall denn auf dem aktuellsten Patchstand?
(wenn nicht, kann *jeder* mal von Remote drauf schauen...)
> Das hat vor einiger Zeit auch schon jemand anderes festgestellt und
> schön beschrieben:
>
> https://medium.com/@kolyshkin/palo-alto-networks-pan-os-dns-proxy-a-bug-story-49fd7c53a050
wie jetzt? Palo Alto, die von sich behaupten die tollste und besteste
Firewall auf dem Markt zu haben, sprechen nicht einmal ein 30 Jahre
altes Basisprotokoll Standardkonform?
PS: EDNS ist seit 1999 BESTANDTEIL DES INTERNETSTANDARDS fuer DNS.
D.h. es wird diesees Jahr Volljaehrig.
Ersetzt diesen Schrott doch bitte durch was verneunftiges.
> "Würgaround":
>
> Bei Windows-DNS-Servern EDNS abschalten:
>
> https://support.microsoft.com/de-de/help/832223/some-dns-name-queries-are-unsuccessful-after-you-deploy-a-windows-based-dns-server
>
> Dnscmd /config /enableednsprobes 0
Oh ja klar. Schiesst euch in die eigenen Knie nur weil die Deppen zu
bloed sind einen 18 Jahre alten Standard zu verstehen.
Warum gebt ihr denen noch viel Geld?
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
> Hallo Miteinander,
>
> ich hatte in der Firma diverse Probleme mit der DNS-Auflösung nach
> Wechsel des Providers.
>
> Als Ursache stellte sich der DNS Reverse Proxy der Palo Alto heraus.
>
> Dieser leitet EDNS-Anfrage an die entsprechenden DNS-Server des
> Providers weiter, wirft die EDNS-Antworten aber kommentarlos weg.
> Im Log der FW sieht man es aber.
Also doch nicht Kommentarlos. Palo Alto ist eine Firewall.
>
> ich hatte in der Firma diverse Probleme mit der DNS-Auflösung nach
> Wechsel des Providers.
>
> Als Ursache stellte sich der DNS Reverse Proxy der Palo Alto heraus.
>
> Dieser leitet EDNS-Anfrage an die entsprechenden DNS-Server des
> Providers weiter, wirft die EDNS-Antworten aber kommentarlos weg.
> Im Log der FW sieht man es aber.
> Anscheinend lieferten die DNS-Server des alten Providers kein EDNS, die
> des neuen schon, da an der FW diesbezüglich nichts umkonfiguriert wurde.
(wenn nicht, kann *jeder* mal von Remote drauf schauen...)
> Das hat vor einiger Zeit auch schon jemand anderes festgestellt und
> schön beschrieben:
>
> https://medium.com/@kolyshkin/palo-alto-networks-pan-os-dns-proxy-a-bug-story-49fd7c53a050
Firewall auf dem Markt zu haben, sprechen nicht einmal ein 30 Jahre
altes Basisprotokoll Standardkonform?
PS: EDNS ist seit 1999 BESTANDTEIL DES INTERNETSTANDARDS fuer DNS.
D.h. es wird diesees Jahr Volljaehrig.
Ersetzt diesen Schrott doch bitte durch was verneunftiges.
> "Würgaround":
>
> Bei Windows-DNS-Servern EDNS abschalten:
>
> https://support.microsoft.com/de-de/help/832223/some-dns-name-queries-are-unsuccessful-after-you-deploy-a-windows-based-dns-server
>
> Dnscmd /config /enableednsprobes 0
bloed sind einen 18 Jahre alten Standard zu verstehen.
Warum gebt ihr denen noch viel Geld?
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Christian Winther
Jan 21, 2017, 3:47:50 AM1/21/17
to
Am 21.01.2017 um 08:50 schrieb Juergen P. Meier:
[Probleme mit DNS Proxy ...]
dass die DNS-Abfragen in einen Timeout laufen.
> Also doch nicht Kommentarlos. Palo Alto ist eine Firewall.
Deshalb habe ich diese Gruppe gewählt. ;-)
Und im Subject steht "FYI:" : Es war als Info für andere Betroffene
gedacht, damit die schneller zu den Ursachen kommen.
Kommentare sind natürlich willkommen.
[...]
[...]
interessierte Frage: Was ist denn im Bereich FW/ALG derzeit brauchbar,
Deiner Meinung nach. Also ohne selber basteln ... Möglichst enterprisy ...
>> "Würgaround":
>>
>> Bei Windows-DNS-Servern EDNS abschalten:
>>
>>
https://support.microsoft.com/de-de/help/832223/some-dns-name-queries-are-unsuccessful-after-you-deploy-a-windows-based-dns-server
>>
>> Dnscmd /config /enableednsprobes 0
>
> Oh ja klar. Schiesst euch in die eigenen Knie nur weil die Deppen zu
> bloed sind einen 18 Jahre alten Standard zu verstehen.
Darum steht da auch "Würgaround".
Ich gebe ja zu, mein Hintergedanke war - da der gute Herr Kir Kolyshkin
mit seinem Artikel von 04/2016 und Beschwerde bei Palo Alto nix bewirkt
hat - das Thema etwas breit zu tragen, damit die "Entscheider" bei PA
mittels Druck von Betroffenen etc. in ihren "Entscheidungen" etwas
"beschleunigt" werden ...
> Warum gebt ihr denen noch viel Geld?
Kieselsteine nehmen die nicht.
Strategische Entscheidung ...
MfG Christian
[Probleme mit DNS Proxy ...]
>> Im Log der FW sieht man es aber.
Ich habe keinen Zugriff auf das Log. Nur die EP-Admins. Ich sehe nur,
dass die DNS-Abfragen in einen Timeout laufen.
> Also doch nicht Kommentarlos. Palo Alto ist eine Firewall.
Und im Subject steht "FYI:" : Es war als Info für andere Betroffene
gedacht, damit die schneller zu den Ursachen kommen.
Kommentare sind natürlich willkommen.
[...]
> Ist die Firewall denn auf dem aktuellsten Patchstand?
Ja.
[...]
> Ersetzt diesen Schrott doch bitte durch was verneunftiges.
Liegt nicht in meiner Hand. Wird auf Ebene Firmengruppe entschieden.
interessierte Frage: Was ist denn im Bereich FW/ALG derzeit brauchbar,
Deiner Meinung nach. Also ohne selber basteln ... Möglichst enterprisy ...
>> "Würgaround":
>>
>> Bei Windows-DNS-Servern EDNS abschalten:
>>
>>
https://support.microsoft.com/de-de/help/832223/some-dns-name-queries-are-unsuccessful-after-you-deploy-a-windows-based-dns-server
>>
>> Dnscmd /config /enableednsprobes 0
>
> Oh ja klar. Schiesst euch in die eigenen Knie nur weil die Deppen zu
> bloed sind einen 18 Jahre alten Standard zu verstehen.
Ich gebe ja zu, mein Hintergedanke war - da der gute Herr Kir Kolyshkin
mit seinem Artikel von 04/2016 und Beschwerde bei Palo Alto nix bewirkt
hat - das Thema etwas breit zu tragen, damit die "Entscheider" bei PA
mittels Druck von Betroffenen etc. in ihren "Entscheidungen" etwas
"beschleunigt" werden ...
> Warum gebt ihr denen noch viel Geld?
Strategische Entscheidung ...
MfG Christian
Bastian Blank
Jan 21, 2017, 5:09:56 AM1/21/17
to
Moin
Christian Winther wrote:
> ich hatte in der Firma diverse Probleme mit der DNS-Auflösung nach
> Wechsel des Providers.
> Als Ursache stellte sich der DNS Reverse Proxy der Palo Alto heraus.
Was war die Reaktion des Verkäufers auf das Bestehen auf Nachbesserung?
Bastian
Christian Winther wrote:
> ich hatte in der Firma diverse Probleme mit der DNS-Auflösung nach
> Wechsel des Providers.
> Als Ursache stellte sich der DNS Reverse Proxy der Palo Alto heraus.
Bastian
Christian Winther
Jan 21, 2017, 6:53:21 AM1/21/17
to
die EP-Admins/die Firmengruppe.
Muss ich mal Nachfragen, wie die Diskussion mit PA verläuft.
Aus
https://medium.com/@kolyshkin/palo-alto-networks-pan-os-dns-proxy-a-bug-story-49fd7c53a050
...
It took their engineer a couple of weeks to figure it out, and their
verdict was something like “it’s not a bug, it’s a misfeature — absense
of EDNS support” (to which I don’t agree as in such case the software
should at least return an error). Based on that verdict, they said
they’d consider implementing the “feature” of supporting EDNS in
dnsproxy in their future releases.
...
und deren Interpretation nicht als Fehler (bug) sondern als "misfeature"
(fehlende Zusatzeigenschaft(?)) schlussfolgere ich, dass die das nicht
so ernst nehmen.
MfG Christian
Juergen Ilse
Jan 21, 2017, 9:30:50 AM1/21/17
to
Hallo,
Juergen P. Meier <nospa...@jors.net> wrote:
> Christian Winther <cw20...@gmx.de>:
macht (also wenn sie schon stateful inspection fuer DNS macht, entweder
bei EDNS0-Anfragen auch EDNS0-Antworten zurueckliefert oder die Anfragen
als Standard-DNS Anfragen rausschickte statt als EDNS0, aber nicht einfach
EDNS0 Antworten unterdrueckt. Das was das Ding macht, ist IMHO einfach
kaputt (EDNS0 Anfragen als solche unveraendert rauslassen, aber EDNS0
Antworten unterdruecken).
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Juergen P. Meier <nospa...@jors.net> wrote:
> Christian Winther <cw20...@gmx.de>:
>> ich hatte in der Firma diverse Probleme mit der DNS-Auflösung nach
>> Wechsel des Providers.
>> Als Ursache stellte sich der DNS Reverse Proxy der Palo Alto heraus.
>> Dieser leitet EDNS-Anfrage an die entsprechenden DNS-Server des
>> Providers weiter, wirft die EDNS-Antworten aber kommentarlos weg.
>> Im Log der FW sieht man es aber.
> Also doch nicht Kommentarlos. Palo Alto ist eine Firewall.
.i. und von einer Firewall wuerde ich erwarten, dass sie DNS nicht kaputt
>> Wechsel des Providers.
>> Als Ursache stellte sich der DNS Reverse Proxy der Palo Alto heraus.
>> Dieser leitet EDNS-Anfrage an die entsprechenden DNS-Server des
>> Providers weiter, wirft die EDNS-Antworten aber kommentarlos weg.
>> Im Log der FW sieht man es aber.
> Also doch nicht Kommentarlos. Palo Alto ist eine Firewall.
macht (also wenn sie schon stateful inspection fuer DNS macht, entweder
bei EDNS0-Anfragen auch EDNS0-Antworten zurueckliefert oder die Anfragen
als Standard-DNS Anfragen rausschickte statt als EDNS0, aber nicht einfach
EDNS0 Antworten unterdrueckt. Das was das Ding macht, ist IMHO einfach
kaputt (EDNS0 Anfragen als solche unveraendert rauslassen, aber EDNS0
Antworten unterdruecken).
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
0 new messages