<div dir="ltr"><div dir="ltr"><div class="gmail_default"><div class="gmail_default"><span style="color:rgb(0,0,0);font-family:verdana,sans-serif">I've got pi-hole installed locally on my LAN and it forwards it's uncached requests to a local unbound instance, listening on <a href="http://127.0.0.1:5353">127.0.0.1:5353</a>.  I recently discovered that the FQDN <a href="http://www.heroesonline.com">www.heroesonline.com</a> was unresolvable.  After hitting my unbound instance directly, I found it to be the culprit.  As near as I can tell, the hosts listed in it's NS records, simply answer with an empty reply.  I don't know how better to describe it than "empty" but I'm hoping the attached debugging I have sheds some light on it.</span><br></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">If I hit the nameservers for the domain directly, I get what appears to be an empty reply.</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">If I hit up google dns at 8.8.8.8, I get a valid reply.</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">If I hit up localhost at <a href="http://127.0.0.1:5353">127.0.0.1:5353</a> I get a timeout, and the unbound logs appear to show unbound retrying after numerous empty replys from the NS servers for that domain.</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">I've:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre">    </span>1) turned up the verbosity on unbound</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre"> </span>2) requested a valid domain that works (<a href="http://cnn.com">cnn.com</a>), and copied out the log</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre">   </span>3) requested the failing domain, and copied out the log</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre">       </span>4) Ran some host and dig commands to emulate to the best of my ability how this would function.  i.e. hit a root server, hit a .com server, hit the servers for <a href="http://heroesonline.com">heroesonline.com</a>.</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">My best guess is that the DNS servers for the domain, (ns*.<a href="http://kpmedia.org">kpmedia.org</a>) are configured to only respond to major ISP DNS servers?  Is that a thing these days?  I can't imagine what else a complete lack of an answer would dictate.</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">Thankfully I just hopped on LTE to get to the website to do what I needed too, I need my local mini-con tickets ;-).  But I'm curious why this would be this way.  I'm wondering if maybe they're blocking requests from un-authoritative nameservers or something?</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">Below you'll see my dig attempts.  I uploaded the listed files to pastebin:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">unbound config files:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre"> </span><a href="https://pastebin.com/fRYKKrQB">https://pastebin.com/fRYKKrQB</a><span style="white-space:pre">      </span>/etc/unbound/unbound.conf</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre">     </span><a href="https://pastebin.com/0JMCXeAW">https://pastebin.com/0JMCXeAW</a><span style="white-space:pre">      </span>/etc/unbound/unbound.conf.d/pi-hole.conf</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre">      </span><a href="https://pastebin.com/08gQF4mj">https://pastebin.com/08gQF4mj</a><span style="white-space:pre">      </span>/etc/unbound/unbound.conf.d/qname-minimisation.conf</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre">   </span><a href="https://pastebin.com/6eNNhcT8">https://pastebin.com/6eNNhcT8</a><span style="white-space:pre">      </span>/etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"># logfile for a working domain (<a href="http://www.cnn.com">www.cnn.com</a>)</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre">       </span><a href="https://pastebin.com/c5auFtfM">https://pastebin.com/c5auFtfM</a><span style="white-space:pre">      </span>unbound.log.cnn.com.txt</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"># logfile for the failing domain (<a href="http://www.heroesonline.com">www.heroesonline.com</a>)</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><span style="white-space:pre"> </span><a href="https://pastebin.com/FGrDXwEk">https://pastebin.com/FGrDXwEk</a><span style="white-space:pre">      </span>unbound.log.heroesonline.com.txt</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"># dig directly against google all looks good</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    root@stretch:~# dig <a href="http://www.heroesonline.com">www.heroesonline.com</a> @<a href="http://8.8.8.8">8.8.8.8</a></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ; <<>> DiG 9.10.3-P4-Debian <<>> <a href="http://www.heroesonline.com">www.heroesonline.com</a> @<a href="http://8.8.8.8">8.8.8.8</a></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; global options: +cmd</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; Got answer:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49963</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; OPT PSEUDOSECTION:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ; EDNS: version: 0, flags:; udp: 512</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; QUESTION SECTION:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;<a href="http://www.heroesonline.com">www.heroesonline.com</a>.          IN      A</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; ANSWER SECTION:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    <a href="http://www.heroesonline.com">www.heroesonline.com</a>.   7       IN      A       162.213.254.70</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; Query time: 19 msec</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; SERVER: 8.8.8.8#53(8.8.8.8)</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; WHEN: Tue Apr 30 16:57:12 EDT 2019</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; MSG SIZE  rcvd: 65</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"># dig directly against my local unbound instance, times out.  I'm assuming that unbound does the same as what my next step does ultimately, hits up nameservers for <a href="http://heroesonline.com">heroesonline.com</a> to find out the A record for <a href="http://www.heroesonline.com">www.heroesonline.com</a>.  I'd also assumed that since unbound timed out back to me, that it retries (from what I'm reading in the logs) and eventually just returns me nothing since it gets empty answers from ns*.<a href="http://kpmedia.org">kpmedia.org</a></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    root@stretch:~# dig <a href="http://www.heroesonline.com">www.heroesonline.com</a> @<a href="http://127.0.0.1">127.0.0.1</a> -p 5353</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ; <<>> DiG 9.10.3-P4-Debian <<>> <a href="http://www.heroesonline.com">www.heroesonline.com</a> @<a href="http://127.0.0.1">127.0.0.1</a> -p 5353</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; global options: +cmd</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; connection timed out; no servers could be reached</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"># dig directly against the nameservers for <a href="http://heroesonline.com">heroesonline.com</a>, gets me an empty answer if I'm reading it right</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    root@stretch:~# host -t NS <a href="http://heroesonline.com">heroesonline.com</a> 8.8.8.8</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    Using domain server:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    Name: 8.8.8.8</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    Address: 8.8.8.8#53</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    Aliases:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    <a href="http://heroesonline.com">heroesonline.com</a> name server <a href="http://ns21.kpmedia.org">ns21.kpmedia.org</a>.</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    <a href="http://heroesonline.com">heroesonline.com</a> name server <a href="http://ns19.kpmedia.org">ns19.kpmedia.org</a>.</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    <a href="http://heroesonline.com">heroesonline.com</a> name server <a href="http://ns20.kpmedia.org">ns20.kpmedia.org</a>.</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    root@stretch:~# host <a href="http://ns21.kpmedia.org">ns21.kpmedia.org</a>. 8.8.8.8</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    Using domain server:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    Name: 8.8.8.8</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    Address: 8.8.8.8#53</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    Aliases:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    <a href="http://ns21.kpmedia.org">ns21.kpmedia.org</a> has address 37.61.235.107</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    root@stretch:~# dig <a href="http://www.heroesonline.com">www.heroesonline.com</a> @<a href="http://37.61.235.107">37.61.235.107</a></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ; <<>> DiG 9.10.3-P4-Debian <<>> <a href="http://www.heroesonline.com">www.heroesonline.com</a> @<a href="http://37.61.235.107">37.61.235.107</a></font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; global options: +cmd</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; Got answer:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 8231</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; WARNING: recursion requested but not available</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; OPT PSEUDOSECTION:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ; EDNS: version: 0, flags:; udp: 4096</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; QUESTION SECTION:</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;<a href="http://www.heroesonline.com">www.heroesonline.com</a>.          IN      A</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    </font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; Query time: 104 msec</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; SERVER: 37.61.235.107#53(37.61.235.107)</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; WHEN: Tue Apr 30 16:58:40 EDT 2019</font></div><div class="gmail_default"><font color="#000000" face="verdana, sans-serif">    ;; MSG SIZE  rcvd: 49</font></div><div style="color:rgb(0,0,0);font-family:verdana,sans-serif;font-size:small"><br></div></div></div></div>