<div dir="ltr"><div class="gmail_default" style="font-size:small">Never mind me; I was misremembering how the R53 stuff works.  The VPC network AWS resolver is in fact not authoritative for zones hosted in Route53 (I just checked).  FORWARD is what you want.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">John</div><input name="virtru-metadata" type="hidden" value="{"email-policy":{"state":"closed","expirationUnit":"days","disableCopyPaste":false,"disablePrint":false,"disableForwarding":false,"enableNoauth":false,"expires":false,"isManaged":false},"attachments":{},"compose-id":"9","compose-window":{"secure":false}}"><div class="gmail_extra"><br><div class="gmail_quote" style="">On Tue, Oct 30, 2018 at 1:35 PM, Andrew Meyer <span dir="ltr"><<a href="mailto:andrewm659@yahoo.com" target="_blank">andrewm659@yahoo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="color:#000;background-color:#fff;font-family:lucida console,sans-serif;font-size:16px"><div id="m_-3785340734888088723yui_3_16_0_ym19_1_1540905454428_33968"><span>John,</span></div><div dir="ltr" id="m_-3785340734888088723yui_3_16_0_ym19_1_1540905454428_34130"><span id="m_-3785340734888088723yui_3_16_0_ym19_1_1540905454428_34129">Thanks for the response.  The article and video helped some.  We are still looking into the issue. </span></div><div dir="ltr" id="m_-3785340734888088723yui_3_16_0_ym19_1_1540905454428_34058"><span><br></span></div><div dir="ltr" id="m_-3785340734888088723yui_3_16_0_ym19_1_1540905454428_34059"><span>Re: stub zones</span></div><div dir="ltr" id="m_-3785340734888088723yui_3_16_0_ym19_1_1540905454428_34061"><span id="m_-3785340734888088723yui_3_16_0_ym19_1_1540905454428_34060">All our zones with exception of one is hosted in Route53.  So would Unbound be hitting the recursory servers then?</span></div> <div class="m_-3785340734888088723qtdSeparateBR"><br><br></div><div class="m_-3785340734888088723yahoo_quoted" style="display:block"> <div style="font-family:lucida console,sans-serif;font-size:16px"> <div style="font-family:HelveticaNeue,Helvetica Neue,Helvetica,Arial,Lucida Grande,sans-serif;font-size:16px"> <div dir="ltr"><font size="2" face="Arial"> On Tuesday, October 30, 2018 9:56 AM, John Peacock <<a href="mailto:jpeacock@messagesystems.com" target="_blank">jpeacock@messagesystems.com</a>> wrote:<br></font></div>  <br><br> <div class="m_-3785340734888088723y_msg_container"><div id="m_-3785340734888088723yiv2093843448"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="m_-3785340734888088723yiv2093843448">We've hit several un[der]documented limits when using AWS, see the first two entries here:</div><div class="m_-3785340734888088723yiv2093843448"><br clear="none">   <a rel="nofollow" shape="rect" href="https://www.sparkpost.com/blog/?s=dns" target="_blank">https://www.sparkpost.com/<wbr>blog/?s=dns</a></div><div class="m_-3785340734888088723yiv2093843448"><br clear="none"></div><div class="m_-3785340734888088723yiv2093843448">Our Principal Operations Engineer did a more technical presentation at several Usenix conferences:</div><div class="m_-3785340734888088723yiv2093843448"><br clear="none"></div><div class="m_-3785340734888088723yiv2093843448">  <a rel="nofollow" shape="rect" href="https://www.usenix.org/conference/srecon18americas/presentation/blosser" target="_blank">https://www.usenix.org/<wbr>conference/srecon18americas/<wbr>presentation/blosser</a></div><div class="m_-3785340734888088723yiv2093843448"><br clear="none"></div><div class="m_-3785340734888088723yiv2093843448">I don't know if any of that will help you; we are fully in the cloud and so our usage pattern is likely very different from yours (since you have an on-prem resolver).</div><div class="m_-3785340734888088723yiv2093843448"><br clear="none"></div><div class="m_-3785340734888088723yiv2093843448">I normally prefer stub zones over forward zones for this kind of configuration, since the AWS zones are authoritative and you don't need to use forward (which is implicitly a recursive query).</div><div class="m_-3785340734888088723yiv2093843448"><br clear="none"></div><div class="m_-3785340734888088723yiv2093843448">HTH</div><div class="m_-3785340734888088723yiv2093843448"><br clear="none"></div><div class="m_-3785340734888088723yiv2093843448">John</div></div></div><div class="m_-3785340734888088723yiv2093843448yqt7090773869" id="m_-3785340734888088723yiv2093843448yqt08997"><div class="m_-3785340734888088723yiv2093843448gmail_extra"><br clear="none"><div class="m_-3785340734888088723yiv2093843448gmail_quote">On Tue, Oct 30, 2018 at 9:52 AM, Andrew Meyer via Unbound-users <span dir="ltr"><<a rel="nofollow" shape="rect" href="mailto:unbound-users@nlnetlabs.nl" target="_blank">unbound-users@nlnetlabs.nl</a>></span> wrote:<br clear="none"><blockquote class="m_-3785340734888088723yiv2093843448gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="color:#000;background-color:#fff;font-family:lucida console,sans-serif;font-size:16px"><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6569">I have recently setup unbound on CentOS 7 (latest) running version 1.6.6.  So far unbound has been chugging away for about a month.  In my configuration I have an on premise server configured with lots of internal forwarded domains going to Amazon Route53.   As of yesterday unbound started to flip/flop resolution from the internal/private zones to the external zones.  I'm not sure why.  I have turned up the logging verbosity to see if there was an apparent issue.  I though at one point we hit a wall with number of packets per request.  My colleague and I thought we hit a resource records maximum limit.   We have opened a ticket with Amazon to get more information on their side.  </div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6569"><br clear="none"></div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6569">In my config file:</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6569">num-threads: 4 </div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6736">so-rcvbuf: 4m</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6737">so-sndbuf: 4m</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6779">cache-max-negative-ttl: 10</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6815">do-ip4: yes</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6819">do-ip6: yes</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6862">do-udp: yes</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6866">do-tcp: yes</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6866"><br clear="none"></div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6866"><br clear="none"></div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6866">Everything in my zones config file is a forward-zone and not a stub-zone, not sure if that matters.</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6866"><br clear="none"></div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6866">Any help is greatly appreciated.</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6866"><br clear="none"></div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6866">Regards,</div><div dir="ltr" id="m_-3785340734888088723yiv2093843448m_4005829941136748415yui_3_16_0_ym19_1_1540905454428_6866">Andrew</div></div></div></blockquote></div><br clear="none"></div></div></div></div></div><br><br></div>  </div> </div>  </div></div></div></blockquote></div><br></div></div>