<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 27 January 2018 at 19:11, Matthew Pounsett <span dir="ltr"><<a href="mailto:matt@conundrum.com" target="_blank">matt@conundrum.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>The only thing I can think of that has changed in that time, which has ever caused me query issues, is the addition of DNS cookies in the default query.  Some broken authoritative servers will incorrectly respond with things like FORMERR when they see an EDNS option they don't recognize.  I doubt DNS-OARC is running such a name server, but I haven't looked to see.</div><div><br></div></div></div></div></blockquote><div>Serves me right for not actually going any looking at this sooner.. and for some reason I failed to recognize the name when I saw it.   <a href="http://rs.dns-oarc.net">rs.dns-oarc.net</a> is the DNS-OARC response size tester.  The server synthesizes a series of large responses via a CNAME chain when you look up that TXT record, designed to test your recursive server's ability to handle large responses.  I'm getting similar failure behaviour from Google Public DNS that you're seeing in 9.12, but I'm not seeing it from my 9.11 recursive server (it works on the first try).</div><div><br></div><div><div><br></div><div><font face="monospace, monospace" size="1">; <<>> DiG 9.11.2 <<>> IN TXT <a href="http://rs.dns-oarc.net">rs.dns-oarc.net</a> @<a href="http://8.8.8.8">8.8.8.8</a></font></div><div><font face="monospace, monospace" size="1">;; global options: +cmd</font></div><div><font face="monospace, monospace" size="1">;; Got answer:</font></div><div><font face="monospace, monospace" size="1">;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63546</font></div><div><font face="monospace, monospace" size="1">;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1</font></div><div><font face="monospace, monospace" size="1"><br></font></div><div><font face="monospace, monospace" size="1">;; OPT PSEUDOSECTION:</font></div><div><font face="monospace, monospace" size="1">; EDNS: version: 0, flags:; udp: 512</font></div><div><font face="monospace, monospace" size="1">;; QUESTION SECTION:</font></div><div><font face="monospace, monospace" size="1">;<a href="http://rs.dns-oarc.net">rs.dns-oarc.net</a>.<span style="white-space:pre">              </span>IN<span style="white-space:pre">   </span>TXT</font></div><div><font face="monospace, monospace" size="1"><br></font></div><div><font face="monospace, monospace" size="1">;; Query time: 4373 msec</font></div><div><font face="monospace, monospace" size="1">;; SERVER: 8.8.8.8#53(8.8.8.8)</font></div><div><font face="monospace, monospace" size="1">;; WHEN: Sat Jan 27 19:20:21 EST 2018</font></div><div><font face="monospace, monospace" size="1">;; MSG SIZE  rcvd: 44</font></div><div><font face="monospace, monospace" size="1"><br></font></div><div><font face="monospace, monospace" size="1"><br></font></div><div><font face="monospace, monospace" size="1">; <<>> DiG 9.11.2 <<>> IN TXT <a href="http://rs.dns-oarc.net">rs.dns-oarc.net</a> @<a href="http://8.8.8.8">8.8.8.8</a></font></div><div><font face="monospace, monospace" size="1">;; global options: +cmd</font></div><div><font face="monospace, monospace" size="1">;; Got answer:</font></div><div><font face="monospace, monospace" size="1">;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29585</font></div><div><font face="monospace, monospace" size="1">;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1</font></div><div><font face="monospace, monospace" size="1"><br></font></div><div><font face="monospace, monospace" size="1">;; OPT PSEUDOSECTION:</font></div><div><font face="monospace, monospace" size="1">; EDNS: version: 0, flags:; udp: 512</font></div><div><font face="monospace, monospace" size="1">;; QUESTION SECTION:</font></div><div><font face="monospace, monospace" size="1">;<a href="http://rs.dns-oarc.net">rs.dns-oarc.net</a>.<span style="white-space:pre">             </span>IN<span style="white-space:pre">   </span>TXT</font></div><div><font face="monospace, monospace" size="1"><br></font></div><div><font face="monospace, monospace" size="1">;; ANSWER SECTION:</font></div><div><font face="monospace, monospace" size="1"><a href="http://rs.dns-oarc.net">rs.dns-oarc.net</a>.<span style="white-space:pre">        </span>1<span style="white-space:pre">    </span>IN<span style="white-space:pre">   </span>CNAME<span style="white-space:pre">        </span><a href="http://rst.x4090.rs.dns-oarc.net">rst.x4090.rs.dns-oarc.net</a>.</font></div><div><font face="monospace, monospace" size="1"><a href="http://rst.x4090.rs.dns-oarc.net">rst.x4090.rs.dns-oarc.net</a>. 58<span style="white-space:pre">   </span>IN<span style="white-space:pre">   </span>CNAME<span style="white-space:pre">        </span><a href="http://rst.x4058.x4090.rs.dns-oarc.net">rst.x4058.x4090.rs.dns-oarc.net</a>.</font></div><div><font face="monospace, monospace" size="1"><a href="http://rst.x4058.x4090.rs.dns-oarc.net">rst.x4058.x4090.rs.dns-oarc.net</a>. 57 IN<span style="white-space:pre">        </span>CNAME<span style="white-space:pre">        </span><a href="http://rst.x4064.x4058.x4090.rs.dns-oarc.net">rst.x4064.x4058.x4090.rs.dns-oarc.net</a>.</font></div><div><font face="monospace, monospace" size="1"><a href="http://rst.x4064.x4058.x4090.rs.dns-oarc.net">rst.x4064.x4058.x4090.rs.dns-oarc.net</a>. 56 IN TXT "74.125.179.74 DNS reply size limit is at least 4090"</font></div><div><font face="monospace, monospace" size="1"><a href="http://rst.x4064.x4058.x4090.rs.dns-oarc.net">rst.x4064.x4058.x4090.rs.dns-oarc.net</a>. 56 IN TXT "74.125.179.74 sent EDNS buffer size 4096"</font></div><div><font face="monospace, monospace" size="1"><a href="http://rst.x4064.x4058.x4090.rs.dns-oarc.net">rst.x4064.x4058.x4090.rs.dns-oarc.net</a>. 56 IN TXT "Tested at 2018-01-28 00:21:16 UTC"</font></div><div><font face="monospace, monospace" size="1"><br></font></div><div><font face="monospace, monospace" size="1">;; Query time: 857 msec</font></div><div><font face="monospace, monospace" size="1">;; SERVER: 8.8.8.8#53(8.8.8.8)</font></div><div><font face="monospace, monospace" size="1">;; WHEN: Sat Jan 27 19:21:16 EST 2018</font></div><div><font face="monospace, monospace" size="1">;; MSG SIZE  rcvd: 279</font></div></div><div><font face="monospace, monospace"><br></font></div><div><font face="arial, helvetica, sans-serif">If you want to understand why your resolver is failing, again I'd have a look at the 'resolver' log channel.  It should have some detail about what's resulting in the SERVFAIL message. </font></div><div><font face="arial, helvetica, sans-serif"><br></font></div></div></div></div>