Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 3987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPv6 DNS issues

yozh
Hello All,

So I found a very strange one, and its not astaro issue per say, but ......


Name servers that do not respond to IPv6 DNS lookups and astaro has IPv6 turned on and keep try the browsing will time out. This is seen with low TTL domains here is one.

http://www.orbitz.com


When IPv6 on Astaro is turned we are getting a lot of DNS errors, but with IPv6 it works ok. Now this can be seen even with machine that have IPv6 turned on localy with NSlookup you will see an initial time out.


This thread was automatically locked due to age.
  • 0
    Seems this is an issue of the DNS server behind orbitz.com, gslb1.orbitz.com and gslb2.orbitz.com. These DNS servers are not responding to AAAA requests. According to the RFC standards an DNS server should response with en empty answer to AAAA if the DNS name has no IPv6 address.

    The HTTP proxy in version 8.100 will failover to IPv4 if the remote side is not reachable via IPv6. However in this case the HTTP requests will take a long time, because the remote DNS server denies caching of DNS requests. So for every requests there will be an IPv6 DNS timeout before an IPv4 request will be made...


    16:32:00.762022 IP x.114.225.158.49105 > 198.151.60.65.53: 59881 AAAA? www.orbitz.com. (32)
    16:32:00.766472 IP x.114.225.158.62025 > 198.151.60.65.53: 52581 A? www.orbitz.com. (32)
    16:32:00.918311 IP 198.151.60.65.53 > x.114.225.158.62025: 52581*- 1/0/0 A 198.151.61.100 (48)
    16:32:06.365686 IP x.114.225.158.29655 > 198.151.61.65.53: 46846 AAAA? www.orbitz.com. (32)
    16:32:13.562986 IP x.114.225.158.63445 > 198.151.60.65.53: 55662 AAAA? www.orbitz.com. (32)
    16:32:19.570690 IP x.114.225.158.19708 > 198.151.61.65.53: 44492 AAAA? www.orbitz.com. (32)
    16:32:27.169992 IP x.114.225.158.9227 > 198.151.60.65.53: 732 AAAA? www.orbitz.com. (32)


    Cheers 
     Ulrich
  • 0 in reply to da_merlin
    Seems this is an issue of the DNS server behind orbitz.com, gslb1.orbitz.com and gslb2.orbitz.com. These DNS servers are not responding to AAAA requests. According to the RFC standards an DNS server should response with en empty answer to AAAA if the DNS name has no IPv6 address.

    The HTTP proxy in version 8.100 will failover to IPv4 if the remote side is not reachable via IPv6. However in this case the HTTP requests will take a long time, because the remote DNS server denies caching of DNS requests. So for every requests there will be an IPv6 DNS timeout before an IPv4 request will be made...


    16:32:00.762022 IP x.114.225.158.49105 > 198.151.60.65.53: 59881 AAAA? www.orbitz.com. (32)
    16:32:00.766472 IP x.114.225.158.62025 > 198.151.60.65.53: 52581 A? www.orbitz.com. (32)
    16:32:00.918311 IP 198.151.60.65.53 > x.114.225.158.62025: 52581*- 1/0/0 A 198.151.61.100 (48)
    16:32:06.365686 IP x.114.225.158.29655 > 198.151.61.65.53: 46846 AAAA? www.orbitz.com. (32)
    16:32:13.562986 IP x.114.225.158.63445 > 198.151.60.65.53: 55662 AAAA? www.orbitz.com. (32)
    16:32:19.570690 IP x.114.225.158.19708 > 198.151.61.65.53: 44492 AAAA? www.orbitz.com. (32)
    16:32:27.169992 IP x.114.225.158.9227 > 198.151.60.65.53: 732 AAAA? www.orbitz.com. (32)


    Cheers 
     Ulrich



    Yep but there are other websites like this, 
    http://www.lastcall.com
     and 
    www.aal.com
     what is really strange is that lastcall.com and aal.com response is fine... its the www. which is its own subdomain not a A record.
  • 0 in reply to da_merlin
    Seems this is an issue of the DNS server behind orbitz.com, gslb1.orbitz.com and gslb2.orbitz.com. These DNS servers are not responding to AAAA requests. According to the RFC standards an DNS server should response with en empty answer to AAAA if the DNS name has no IPv6 address.

    The HTTP proxy in version 8.100 will failover to IPv4 if the remote side is not reachable via IPv6. However in this case the HTTP requests will take a long time, because the remote DNS server denies caching of DNS requests. So for every requests there will be an IPv6 DNS timeout before an IPv4 request will be made... 


    16:32:00.762022 IP x.114.225.158.49105 > 198.151.60.65.53: 59881 AAAA? www.orbitz.com. (32)

    16:32:00.766472 IP x.114.225.158.62025 > 198.151.60.65.53: 52581 A? www.orbitz.com. (32)

    16:32:00.918311 IP 198.151.60.65.53 > x.114.225.158.62025: 52581*- 1/0/0 A 198.151.61.100 (48)

    16:32:06.365686 IP x.114.225.158.29655 > 198.151.61.65.53: 46846 AAAA? www.orbitz.com. (32)

    16:32:13.562986 IP x.114.225.158.63445 > 198.151.60.65.53: 55662 AAAA? www.orbitz.com. (32)

    16:32:19.570690 IP x.114.225.158.19708 > 198.151.61.65.53: 44492 AAAA? www.orbitz.com. (32)

    16:32:27.169992 IP x.114.225.158.9227 > 198.151.60.65.53: 732 AAAA? www.orbitz.com. (32)


    Cheers 
     Ulrich



    Yep but there are other websites like this, Last Call by Neiman Marcus - The real deal on true fashion and accessories for women and men. and www.aal.com what is really strange is that lastcall.com and aal.com response is fine... its the www. which is its own subdomain not a A record.
  • 0
    From application layer there is not much to do here. This behavior violates the RFC standards. For the nameserver this looks like the remote DNS is unreachable.

    I wrote an Email to them to notify them about the DNS behavior. 
    Lets see if there is anything coming back...

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    From application layer there is not much to do here. This behavior violates the RFC standards. For the nameserver this looks like the remote DNS is unreachable.

    I wrote an Email to them to notify them about the DNS behavior. 
    Lets see if there is anything coming back...

    Cheers
     Ulrich


    Well here is the thing, what worries me is that its not just that site and that turning of IPv6 fixes it, I noticed that BC wrote a KB on this 
    https://kb.bluecoat.com/index?page=content&id=KB3651&cat=SGOS_55&actp=LIST

    Cant there be some kind of a global option for DNS resolution not to query that with IPv6 turn on..... or increase the time out of query or the amount of queries per lookup for AAAA records when IPv6 is turned on. I`m reaching, but I cant turn on IPv6 while this is going on.
  • 0
    Can you force consultation of the IPv4 server with a Request Route?

    Cheers - Bob
  • 0 in reply to BAlfson
    Can you force consultation of the IPv4 server with a Request Route?

    Cheers - Bob


    For that specific domain ? I dont know if its going to just request IPv4 address and not IPv6, what I was saying is a global option or can we specify * for the domain and forward all traffic. Havent really done much with Request routing.
  • 0
    This is the idea I had.  I don't know if it will work.



    Cheers - Bob