<div>Hi Mark,</div><div><br></div><div>Thanks for the pointers , your are spot on!</div><div><br></div><div>Doing dig +trace +dnssec <a href="http://www.paypal.com">www.paypal.com</a> always fail.</div><div>After some investigation with the network guys, it appear that our upstream firewall are dropping DNS UDP packet larger than 512. </div>
<div>Cisco FWSM have this configuration enabled by default : </div><div><br></div><div><a href="http://www.cisco.com/en/US/docs/security/fwsm/fwsm31/command/reference/i2.html#wp1565355">http://www.cisco.com/en/US/docs/security/fwsm/fwsm31/command/reference/i2.html#wp1565355</a></div>
<div><br></div><div>Once again thanks for the help!</div><div><br></div><div>Regards,</div><div>Rianto Wahyudi </div><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div><div class="h5">
<br>
</div></div>You need to mimic the nameserver more closely and turn on +dnssec.<br>
<br>
        dig +trace +dnssec <a href="http://www.paypal.com" target="_blank">www.paypal.com</a><br>
<br>
I suspect you have a firewall that is blocking the larger replies +dnssec<br>
produces.  Named will work around this by adjustting the queries it makes<br>
but that requires timouts and hence the longer resolution time.<br>
<br>
Mark<br>
<div><div></div><div class="h5"><br></div></div>
> --===============2929699010037471745==--<br>
<font color="#888888">--<br>
Mark Andrews, ISC<br>
1 Seymour St., Dundas Valley, NSW 2117, Australia<br>
PHONE: +61 2 9871 4742                 INTERNET: <a href="mailto:marka@isc.org">marka@isc.org</a><br>
</font></blockquote></div><br>