<div dir="ltr">Thanks!<br><br>Upgrading to that version got me 
past that problem - and straight into the next one. However, the next problem was to do with the config of one of the other
 DNS servers.<br><br>I appreciate your help,<br>-- <br>Jarrod<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 19 February 2014 11:51, W.C.A. Wijngaards <span dir="ltr"><<a href="mailto:wouter@nlnetlabs.nl" target="_blank">wouter@nlnetlabs.nl</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
Hi J L,<br>
<br>
1.4.21 has a fix for stubs and NS records from the internet (Fix<br>
queries leaking up for stubs and forwards, if the configured<br>
nameservers all fail to answer.)  Can you see if that fixes your<br>
problems, they look sort-of similar.<br>
<br>
Best regards,<br>
   Wouter<br>
<div class=""><br>
On 02/19/2014 11:31 AM, J L wrote:<br>
> Hi,<br>
><br>
> I have an odd problem; that I can't figure out how to get around.<br>
><br>
> Short version: If unbound decides it needs to look up a name that<br>
> it got as an NS record, it ignores stub-zones when figuring out<br>
> where to talk to.<br>
><br>
><br>
> Long version: I have, in my unbound configuration on my core office<br>
> resolver: stub-zone: name: "<a href="http://z1.example.com" target="_blank">z1.example.com</a><br>
</div>> <<a href="http://z1.example.com" target="_blank">http://z1.example.com</a>>" stub-addr: 192.0.2.1 stub-zone: name:<br>
> "<a href="http://z2.example.com" target="_blank">z2.example.com</a> <<a href="http://z2.example.com" target="_blank">http://z2.example.com</a>>" stub-addr: 192.0.2.2<br>
<div class="">><br>
><br>
> If I do a lookup of "<a href="http://foo.z1.example.com" target="_blank">foo.z1.example.com</a><br>
</div>> <<a href="http://foo.z1.example.com" target="_blank">http://foo.z1.example.com</a>>" against 192.0.2.1; I get an NS record<br>
> of "<a href="http://dns.z2.example.com" target="_blank">dns.z2.example.com</a> <<a href="http://dns.z2.example.com" target="_blank">http://dns.z2.example.com</a>>". If I do an NS<br>
<div class="">> lookup against unbound, I get the same thing.<br>
><br>
</div>> If I lookup <a href="http://dns.z2.example.com" target="_blank">dns.z2.example.com</a> <<a href="http://dns.z2.example.com" target="_blank">http://dns.z2.example.com</a>> against<br>
<div class="">> 192.0.2.2, I get an A record of 192.0.2.3. If I do this lookup<br>
> against unbound, I get the same thing.<br>
><br>
</div>> If I lookup <a href="http://host1.z1.example.com" target="_blank">host1.z1.example.com</a> <<a href="http://host1.z1.example.com" target="_blank">http://host1.z1.example.com</a>><br>
<div class="">> against 192.0.2.3; I get the correct A record.<br>
><br>
> However, if I try to do all this in one go - lookup<br>
</div>> <a href="http://host.z1.example.com" target="_blank">host.z1.example.com</a> <<a href="http://host.z1.example.com" target="_blank">http://host.z1.example.com</a>> against unbound -<br>
<div class="">> it doesn't work. What appears to happen is that unbound correctly<br>
> determines that it should use <a href="http://dns.z2.example.com" target="_blank">dns.z2.example.com</a><br>
</div>> <<a href="http://dns.z2.example.com" target="_blank">http://dns.z2.example.com</a>> as the nameserver; but when looking up<br>
<div class="">> that name itself, it ignores the "stub-zone" for <a href="http://z2.example.com" target="_blank">z2.example.com</a><br>
</div>> <<a href="http://z2.example.com" target="_blank">http://z2.example.com</a>>, and follows the normal DNS chain - which<br>
<div class="">> means it goes out to the Internet, finds the nameservers for<br>
</div>> <a href="http://example.com" target="_blank">example.com</a> <<a href="http://example.com" target="_blank">http://example.com</a>>, and asks them. They, however,<br>
<div class="">> are _external_ nameservers, and know nothing about <a href="http://z2.example.com" target="_blank">z2.example.com</a><br>
</div>> <<a href="http://z2.example.com" target="_blank">http://z2.example.com</a>> - so they say "no", and unbound then caches<br>
<div class="">> that no.<br>
><br>
> This doesn't always happen - as best I can figure, if the name<br>
</div>> <a href="http://dns.z2.example.com" target="_blank">dns.z2.example.com</a> <<a href="http://dns.z2.example.com" target="_blank">http://dns.z2.example.com</a>> gets looked up by<br>
<div class="">> something outside the unbound box first (i.e. manually) while there<br>
> is no cached entry, then the stub-zone will be taken into account,<br>
> and the response cached. Then, when unbound wants to look up<br>
</div>> <a href="http://dns.z2.example.com" target="_blank">dns.z2.example.com</a> <<a href="http://dns.z2.example.com" target="_blank">http://dns.z2.example.com</a>> itself (because it<br>
<div class="">> just got that NS record from 192.0.2.1) it uses the cached entry<br>
> and all is fine - until, of course, the record expires.<br>
><br>
><br>
><br>
> Does anyone have an idea of how I can convince unbound to use the<br>
> stub-zone even for its own lookups?<br>
><br>
> Unbound 1.4.19 on CentOS 6.4.<br>
><br>
><br>
> Thanks, -- Jarrod Lowe<br>
><br>
><br>
</div>> _______________________________________________ Unbound-users<br>
> mailing list <a href="mailto:Unbound-users@unbound.net">Unbound-users@unbound.net</a><br>
> <a href="http://unbound.nlnetlabs.nl/mailman/listinfo/unbound-users" target="_blank">http://unbound.nlnetlabs.nl/mailman/listinfo/unbound-users</a><br>
><br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1<br>
Comment: Using GnuPG with Thunderbird - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
<br>
iQIcBAEBAgAGBQJTBJraAAoJEJ9vHC1+BF+NxycP/3LfomX5jxGnS/aQHb3WmAoy<br>
sMXGwUwmacGkwlaPYywnq5T7SVTToD3RFha2pO35ojjjlpvwMyDSKKkf1mecypIX<br>
45Bj0r+LHZykogwiIVs9eTJ+EZiwufF407wJLAWeYwCvNfoEpIls8h3tW2L/4YRC<br>
zxsA8mk6YSg3r0ESntIBkVSYhO2iel9PYDMTdAog7eFMX+oXzUJ0xpCMCv7FSoc/<br>
+oTWP8Hn0JOELSmvplYQtz6h2e0yDV+L3Mp6C+isCR4Ssr+c/RNm9lcNi2EuU03l<br>
bDYo2Unrb8dCd2kTBchmj4qSjbqZWwLkx5IvwGSqdIHeHp1gigUlxlBtcyuJUDoW<br>
tuX/FOEnQEaw2oLmf7M72KVNFcffi2N58Fytit6tfj7lkUZ3UWcAtg2rGGpRBmo4<br>
j8IagpQsWnS9MISuPiawOtQHKMa8IjVMa17I3tBDyR/UclY1LLo2vcCGKIdrJrf+<br>
eUVnD4/9qFMoXFZmERuHxUdq5pBMl9ngUfL/vyc4DDnz7qPFLWYxO5oI/PAg0zW2<br>
KiXqbPCakfzgHqQyJUFaYjbcqLnS3BlJf3ax2ev0krZD0RijFxtu1qE3vTL1OLtD<br>
Bpdk/9m9WaDNpNdNlyRl8qHmFMlfxqdkq4QslzMPCXb+pbnqLvZGIPrWobjqRI01<br>
zRD99NLASNxKhurA4yrg<br>
=RbxU<br>
-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
Unbound-users mailing list<br>
<a href="mailto:Unbound-users@unbound.net">Unbound-users@unbound.net</a><br>
<a href="http://unbound.nlnetlabs.nl/mailman/listinfo/unbound-users" target="_blank">http://unbound.nlnetlabs.nl/mailman/listinfo/unbound-users</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>Jarrod Lowe
</div>