Uwe Koloska ml@koloro.de (Mi 15 Jun 2016 18:29:48 CEST):
Ich bin mir aber ziemlich sichere, dass es in diesem Fall nicht die Fritzbox ist, denn der Fehler tritt auch auf, wenn ich den von der Fritzbox benutzten Nameserver direkt frage und da es mit dem Google Nameserver auch klappt, sollte es eigentlich nichts in meinem Netzwerk sein.
Ok, da ist was dran.
Provider ist Kabeldeutschland/Vodafone und der (einer der) Nameserver ist: 83-169-185-161-isp.superkabel.de: 83.169.185.161
Hm, die kann man leider von außerhalb KD nicht befragen. Da müsste also mal jemand, der auch an KD hängt, das Experiment wiederholen.
Heute wird Dein Client (dig) dem Server mitteilen, wie groß die UDP Pakete sein dürfen.
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION:Und was bedeutet es, wenn dieser Abschnitt in der Ausgabe von dig nicht vorhanden ist? Beim Google Nameserver und bei der Fritzbox ist dieser Abschnitt vorhanden, beim superkabel-ns nicht.
Dann wird EDNS vom angefragten Server nicht unterstützt. Meine Deutung. Im Übrigen passiert genau das hier bei mir zu Hause (T-Online, Speedport W 724V).
Wenn ich den DNS-Proxy auf dem Speedport frage, gibt es eine „truncated“ UDP-Antwort und anschließend eine richtige Antwort über TCP. Wenn ich den DNS-Server frage, den der Speedport auch nutzt, dann das selbe Symptom, also truncated und dann TCP.
Aber es funktionert dann erwartungsgemäß, halt ohne EDNS. (Also in der Query ist das EDNS noch drin, in der Response vom Server nicht mehr.)
;luna2._domainkey.archlinux.org. IN TXT
Ich würde nun mal mutmaßen, dass der Server, den Dein Router verwendet, entweder am EDNS scheitert (was ich aber für unwahrscheinlich halte, denn dann würde er es bei anderen Anfragen vermutlich auch tun), oder aber, dass der am Problem der großen Antwort scheitert.
Wenn ich einen DNS-Forwarder verwende, dessen TCP-Verbindungen nach außen ich blocke (hier: @localhost), dann bekomme ich SERVFAIL, wenn ich gleichzeitig noch max-udp-size und edns-udp-size auf 512 setze.
http://web.mit.edu/ops/services/hesiod/src/bind-9.5.0-P1/doc/arm/Bv9ARM.ch06...
Es wäre jetzt weiter zu erforschen, welcher Parameter hier der entscheidende ist.
Meine Vermutung ist immer noch eine broken Firewall, vielleicht bei KD. Tritt dieser Effekt bei allen Antworten auf, die >512 sind?