<div>I am uncertain as to how to configure unbound to do the following:<br></div><div>    - forward local domains to a local authoritative server and not cache.<br></div><div>    - forward all other non-local requests to a dnssec proxy and cache the results.<br></div><div><br></div><div>I am having difficulty getting this to work the way I understand the configuration options.<br></div><div><br></div><div>Setup:<br></div><div>OpenBSD 6.2<br></div><div>unbound 1.6.6<br></div><div>nsd 4.1.10<br></div><div>dnscrypt-proxy 1.9.5<br></div><div><br></div><div>unbound.conf</div><div># $OpenBSD: unbound.conf,v 1.7 2016/03/30 01:41:25 sthen Exp $<br></div><div><br></div><div>server:<br></div><div>interface: 127.0.0.1<br></div><div>interface: 192.168.5.20<br></div><div>do-ip6: no<br></div><div><br></div><div>access-control: 0.0.0.0/0 refuse<br></div><div>access-control: 127.0.0.0/8 allow<br></div><div>access-control: ::0/0 refuse<br></div><div>access-control: 192.168.5.0/24 allow<br></div><div><br></div><div>hide-identity: yes<br></div><div>hide-version: yes<br></div><div><br></div><div>verbosity: 2<br></div><div>log-queries: yes<br></div><div><br></div><div>auto-trust-anchor-file: "/var/unbound/db/root.key"<br></div><div><br></div><div>do-not-query-localhost: no<br></div><div><br></div><div># private networks:<br></div><div>private-address: 10.0.0.0/8<br></div><div>private-address: 100.64.0.0/10<br></div><div>private-address: 172.16.0.0/12<br></div><div>private-address: 192.0.0.0/29<br></div><div>private-address: 192.168.0.0/16<br></div><div>private-address: 198.18.0.0/15<br></div><div># example source code & documentation:<br></div><div>private-address: 192.0.2.0/24<br></div><div>private-address: 198.51.100.0/24<br></div><div>private-address: 203.0.113.0/24<br></div><div># subnet, autoconfiguration between two hosts on a single link:<br></div><div>private-address: 169.254.0.0/16<br></div><div># reserved for multicast assignments:<br></div><div>private-address: 224.0.0.0/4<br></div><div># reserved for future use:<br></div><div>private-address: 240.0.0.0/4<br></div><div><br></div><div><br></div><div>local-zone: "example.net" transparent<br></div><div>local-zone: "168.192.in-addr.arpa." transparent<br></div><div><br></div><div>local-zone: "localhost." static<br></div><div>local-data: "localhost. 10800 IN NS localhost."<br></div><div>local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"<br></div><div>local-data: "localhost. 10800 IN A 127.0.0.1"<br></div><div>local-zone: "127.in-addr.arpa." static<br></div><div>local-data: "127.in-addr.arpa. 10800 IN NS localhost."<br></div><div>local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 2 3600 1200 604800 10800"<br></div><div>local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."<br></div><div><br></div><div>remote-control:<br></div><div>control-enable: yes<br></div><div>control-use-cert: no<br></div><div>control-interface: /var/run/unbound.sock<br></div><div><br></div><div># Local domains<br></div><div># Forwarded to NSD authoritative server</div><div>forward-zone:<br></div><div>name: "example.net."<br></div><div>forward-addr: 127.0.0.1@8053<br></div><div>forward-zone:<br></div><div>name: "168.192.in-addr.arpa."<br></div><div>forward-addr: 127.0.0.1@8053<br></div><div><br></div><div># dnscrypt proxy</div><div>#forward-zone:<br></div><div>#     name: "."<br></div><div>#   forward-addr: 127.0.0.1@40<br></div><div><br></div><div class="protonmail_signature_block"><div class="protonmail_signature_block-user protonmail_signature_block-empty"><br></div><div class="protonmail_signature_block-proton">Sent with <a href="https://protonmail.com">ProtonMail</a> Secure Email.<br></div></div><div><br></div>