<div dir="ltr"><div>Hi Dears,<br><br>I'm new to NSD and I'm trying test it<br><br></div>I see others topics about it but I think that's not the same issue<br><div><br>I have two machines:<br><br>- One authoritative server using bind9<br>- One secondary server using NSD<br><br>I'm confused about NSD config, could someone help me about it?<br><br>My authoritative server has the following configuration:<br><br>-----------------------------------------------------------------------------<br>options {<br>  directory        "xxx"<br>  pid-file         "xxx/named.pid";<br>  listen-on        {127.0.0.1; X.X.X.X;};<br>  listen-on-v6     {Y.Y.Y.Y};<br>  recursion        no;<br>  notify           explicit;<br>  notify-source    X.X.X.X;<br>  notify-source-v6 Y.Y.Y.Y;<br>  transfers-out    200;<br>  allow-transfer   {127.0.0.1; Z.Z.Z.Z;};<br>  also-notify      {Z.Z.Z.Z;};<br>  version          "surely you must be joking";<br><br>  // DNSSec<br>  sig-validity-interval 1080 1;<br>  dnssec-dnskey-kskonly yes;<br>  update-check-ksk yes;<br>};<br><br>key "rndc_key" {algorithm hmac-md5;<br>secret "KEY_A_HERE";};<br>controls {inet 127.0.0.1 allow {localhost;} keys {rndc_key;};};<br><br>key "upd_key" {algorithm hmac-md5;<br>secret "KEY_B_HERE";};<br><br>zone "." IN {type hint; file "etc/bind/db.root";};<br><br>// Zones<br>include "xxx/xxx/named.conf.local";<br><br>-----------------------------------------------------------------------------<br><br>The zones here are configured and work's fine.<br><br>My secondary server (with NSD) has the following configuration:<br><br>-----------------------------------------------------------------------------<br>include: "/etc/nsd/nsd.conf.d/*.conf"<br>server:<br>   server-count: ...<br>   ip-address: Z.Z.Z.Z<br>   ip-address: 127.0.0.1<br>   do-ip4: yes<br>   do-ip6: yes<br>   port: 53<br>   username: nsd<br>   zonesdir: "/var/lib/nsd/db/"<br>   database: "/var/lib/nsd/nsd.db"<br>   logfile: "/var/log/nsd/nsd.log"<br>   pidfile: "/var/run/nsd/nsd.pid"<br>   xfrdfile: "/var/lib/nsd/xfrd.state"<br>   xfrdir: "/tmp"<br>   hide-version: no<br>   version: "NSD"<br>   zonefiles-write: 3600<br>   rrl-ratelimit: 200<br>   verbosity: 3<br>   debug-mode: yes<br><br>remote-control:<br>    control-enable: yes<br><br>key:<br>   name: "upd_key"<br>   algorithm: hmac-md5<br>   secret: "KEY_B_HERE"<br>-----------------------------------------------------------------------------<br><br><br>My zones in /etc/nsd/nsd.conf.d/*.conf has the follow content:<br><br>-----------------------------------------------------------------------------<br>zone:<br>    # this server is secondary, X.X.X.X is primary.<br>    name: foo.bar<br>    zonefile: "00/foo.bar/foo.bar"<br>    allow-notify: X.X.X.X upd_key<br>    request-xfr: X.X.X.X  upd_key<br>-----------------------------------------------------------------------------<br><br>Well, I created this fake zone and it work's fine<br><br>If I try running dig command on my secondary I have the follow result (A.A.A.A is a fake address)<br><br>-----------------------------------------------------------------------------<br>dig @localhost www.foo.bar +short<br>A.A.A.A<br>-----------------------------------------------------------------------------<br><br>Now, I have my problem:<br><br>When I try update my zone on master my secondary has an error:<br><br>----------------------------------------------------------------------------<br>nsd[203933]: info: notify for foo.bar. from X.X.X.X refused, no acl matches.<br>----------------------------------------------------------------------------<br><br>And my dig query has no answer<br><br>-----------------------------------------------------------------------------<br>dig @localhost www.foo.bar +short<br><br>-----------------------------------------------------------------------------<br><br>But if I run "nsd-control force_transfer foo.bar" or if I restart NSD my update works<br><br>------------------------------------------------------------------------------<br>nsd[202429]: info: control cmd:  force_transfer foo.bar<br>nsd[202429]: info: xfrd: zone foo.bar written received XFR packet from X.X.X.X with serial [NUMBER HERE] to disk<br>nsd[203931]: info: xfrd: zone foo.bar committed "received update to serial [NUMBER HERE] at [DATE] from X.X.X.X TSIG verified with key upd_key"<br>nsd[202429]: info: zone foo.bar serial [NUMBER HERE] is updated to [NUMBER HERE]<br>------------------------------------------------------------------------------<br><br>And my dig query works ok<br><br>-----------------------------------------------------------------------------<br>dig @localhost www.foo.bar +short<br>A.A.A.A<br>-----------------------------------------------------------------------------<br><br>My question is: Why notify fail and a nsd restart or a "force_transfer" works fine ?<br><br>Could someone help me?<br><br>Regards<br></div></div>