Le 15/01/2026 à 08:32, LENOIR Pierre via frnog a écrit :
Merci pour les tests. Effectivement, cela semble donc bien un problème de mon
côté. Je vais creuser la piste du MTU. Merci !
Bonjour Pierre,
Nul problème de ton côté. J'ai rencontré exactement le même soucis avec
notre résolveur Bind local configuré en DNSSEC-nazi.
Je confirme que c'est un soucis de MTU tout pété. Les résolveurs
modernes retentent en abaissant la taille du buffer EDNS mais
manifestement (je n'ai pas creusé) le mécanisme n'existe pas dans Bind
quand il est utilisé en résolveur.
Ma réponse au problème (sans effet de bord constaté depuis 3 jours) a été :
edns-udp-size 1232;
max-udp-size 1232;
Pour être sûr d'avoir des réponses qui tiennent dans un paquet UDP de
MTU standard. Je pars du principe que globalement, tout le monde sait
configurer le firewall/lien d'un DNS autoritaire pour qu'il sache
répondre avec un MTU de 1500 (je suis un optimiste).
J'ai d'ailleurs découvert à l'occasion du debug que DNSSEC baaaah, tout
le monde s'en fout un peu quoi. A peu près au niveau d'IPv6, peut être
même moins.
Si cela peut t'aider ...
Bonne journée,
Julien
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
