<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 6, 2015 at 4:10 PM, Paul Niemi <span dir="ltr"><<a href="mailto:paul.niemi@tbaytel.com" target="_blank">paul.niemi@tbaytel.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div>Hello,<br><br></div>We are an ISP, and experiencing an issue looking up "<a href="http://packagist.org" target="_blank">packagist.org</a>", with unbound version 1.4.17 on Debian linux  When we have DNSSEC enabled (our normal configuration), and make a query for "<a href="http://packagist.org" target="_blank">packagist.org</a>", we get a reply that it does not exist (NXDOMAIN).  If we disable the DNSSEC, by commenting the "auto-trust-anchor-file" line in the config, then the query is successful.  We tried turning up the logging verbosity, but we am not sure what all is going on in the log.  Does anyone have any insight into what is going on here, or what I should be looking for in the log?  We have tried against some other open DNS servers (Google, OpenDNS) and the query is successful there, as well.  It just seems to be our unbound DNS server with DNSSEC enabled, that fails.<br></div></div></blockquote><div><br></div><div>Hi Paul,<br><br></div><div>FWIW, I am unable to reproduce the NXDOMAIN on my own instance of unbound of the same version and platform:<br><br>$ dig +dnssec +noall +answer @localhost <a href="http://packagist.org">packagist.org</a><br><a href="http://packagist.org">packagist.org</a>.        42979    IN    A    87.98.253.214<br><a href="http://packagist.org">packagist.org</a>.        42979    IN    RRSIG    A 7 2 43200 20150127124709 20141228124709 36677 <a href="http://packagist.org">packagist.org</a>. DsdSPygfMm2q0m6bq2Sk/atUQ4qhjh0A/HcjRBU1N5c7pMpTGA23cC7m pqZXqnCvaZoklh/sP54ImZHM62S5vLLF4hpceXMxIvPhzNQOqQIbveA6 DiiANUA7vVgpxuliAG95OCwKMxqf5u182R5KV6+Q1Wuufo5JKzKfbgJS 8eI=<br></div><div><br><br>That being said, the domain has (at least) some issues with consistency across anycast instances.  ns200 shows two different serials from two different locations:<br><br>client1$ dig +dnssec +noall +answer @<a href="http://ns200.anycast.me">ns200.anycast.me</a> <a href="http://packagist.org">packagist.org</a> soa | awk '$4 ~ /SOA/ { print $7 }'<br>2014122801<br></div><div>client2$ dig +dnssec +noall +answer @<a href="http://ns200.anycast.me">ns200.anycast.me</a> <a href="http://packagist.org">packagist.org</a> soa | awk '$4 ~ /SOA/ { print $7 }'<br>2014122800<br><br></div><div>Likewise, ns200 returns RRSIGs from one location, and not from the other.<br></div><div><br>client1$ dig +dnssec @<a href="http://ns200.anycast.me">ns200.anycast.me</a> <a href="http://packagist.org">packagist.org</a> mx | grep RRSIG | wc -l<br>1<br>client2$ dig +dnssec @<a href="http://ns200.anycast.me">ns200.anycast.me</a> <a href="http://packagist.org">packagist.org</a> mx | grep RRSIG | wc -l<br>0<br><br>DNSViz sees this too:<br></div><div><a href="http://dnsviz.net/d/packagist.org/VKxTjA/dnssec/">http://dnsviz.net/d/packagist.org/VKxTjA/dnssec/</a><br><br></div><div>Regards,<br>Casey<br></div></div></div></div>