<div>                My understanding is that unbound can not do fully-recursive resolves.<br>It requires a name server that is able to query the root name servers,<br>then the 2nd tire name servers, and so on, to forward queries to.<br>That is, anything that it can not answer out of its cache or local data<br>must be forwarded to another, more capable, name server.            </div>            <div class="yahoo_quoted" style="margin:10px 0px 0px 0.8ex;border-left:1px solid #ccc;padding-left:1ex;">                        <div style="font-family:'Helvetica Neue', Helvetica, Arial, sans-serif;font-size:13px;color:#26282a;">                                <div>                    On Wednesday, November 27, 2019, 10:30:57 PM GMT, Felipe Gasper <felipe@felipegasper.com> wrote:                </div>                <div><br></div>                <div><br></div>                <div><div dir="ltr">The stub zone options won’t work; I still need a fully-recursive query in order to verify that the zone’s DNS is set up correctly. I think the same problem would apply to forward zones.<br clear="none"><br clear="none">-F<br clear="none"><div class="yqt7459375714" id="yqtfd18355"><br clear="none">> Le 27 nov. 2019 à 07:33, Ron Varburg via Unbound-users <<a shape="rect" ymailto="mailto:unbound-users@nlnetlabs.nl" href="mailto:unbound-users@nlnetlabs.nl">unbound-users@nlnetlabs.nl</a>> a écrit :<br clear="none">> <br clear="none">> Do you want unbound to do the following<br clear="none">> <br clear="none">> if (querying for *.example.com)<br clear="none">> then query name server at IP1<br clear="none">> else query name server at IP2<br clear="none">> <br clear="none">> ?<br clear="none">> If so, have you looked at the "Stub Zone Options" and "Forward Zone Options"<br clear="none">> of unbound.conf.5?<br clear="none">> On Wednesday, November 27, 2019, 11:11:56 AM GMT, Felipe Gasper <<a shape="rect" ymailto="mailto:felipe@felipegasper.com" href="mailto:felipe@felipegasper.com">felipe@felipegasper.com</a>> wrote:<br clear="none">> <br clear="none">> <br clear="none">> <br clear="none">> > Le 27 nov. 2019 à 05:58, Ron Varburg via Unbound-users <<a shape="rect" ymailto="mailto:unbound-users@nlnetlabs.nl" href="mailto:unbound-users@nlnetlabs.nl">unbound-users@nlnetlabs.nl</a>> a écrit :<br clear="none">> > <br clear="none">> > Would you like all queries, no matter what, to be forwarded to 10.0.1.20?<br clear="none">> > If not all queries, by which criteria do you decide what should be forwarded to 10.0.1.20 and what not?<br clear="none">> <br clear="none">> No, only those that would otherwise go to the local server’s public IP.<br clear="none">> <br clear="none">> For example, let’s say our server authoritatively hosts DNS for a domain “example.com”. Unbound will query the root servers, which will direct us to “.com”’s TLD servers. Then Unbound will query those TLD servers, which will direct us to 11.22.33.44, the server’s public IP. Unbound will then try to query 11.22.33.44, which fails because this particular server is behind a NAT that forbids access to the public IP.<br clear="none">> <br clear="none">> Previously we used a custom-written resolver to do such queries, so translating from public to private IPs was simple. Now that we’ve switched to Unbound, we either have to enable loopback NAT on all servers--which is problematic because we don’t always control the whole environment--or find some way to implement that public-to-private translation in Unbound.<br clear="none">> <br clear="none">> > Have you currently a working unbound server? If yes, can you post its configuration?<br clear="none">> > Is it running at 10.0.1.20?<br clear="none">> <br clear="none">> We don’t actually run Unbound as a service; we only use the resolver library (in its default configuration).<br clear="none">> <br clear="none">> Thank you!<br clear="none">> <br clear="none">> -FG<br clear="none">> <br clear="none">> <br clear="none">> > On Wednesday, November 27, 2019, 10:35:17 AM GMT, Felipe Gasper <<a shape="rect" ymailto="mailto:felipe@felipegasper.com" href="mailto:felipe@felipegasper.com">felipe@felipegasper.com</a>> wrote:<br clear="none">> > <br clear="none">> > <br clear="none">> > Hello,<br clear="none">> > <br clear="none">> >    What I’d like is for any query that would otherwise go to “11.22.33.44” (i.e., the public IP) to go to “10.0.1.200” (the private IP) instead.<br clear="none">> > <br clear="none">> >    Thank you!<br clear="none">> > <br clear="none">> > -FG<br clear="none">> > <br clear="none">> > > Le 27 nov. 2019 à 03:03, Ron Varburg via Unbound-users <<a shape="rect" ymailto="mailto:unbound-users@nlnetlabs.nl" href="mailto:unbound-users@nlnetlabs.nl">unbound-users@nlnetlabs.nl</a> <mailto:<a shape="rect" ymailto="mailto:unbound-users@nlnetlabs.nl" href="mailto:unbound-users@nlnetlabs.nl">unbound-users@nlnetlabs.nl</a>>> a écrit :<br clear="none">> > > <br clear="none">> > > I couldn't understand what exactly are you asking for. Referring to your example,<br clear="none">> > > when would you like to forward queries to 11.22.33.44, and when to 10.0.1.200?<br clear="none">> > > On Tuesday, November 26, 2019, 5:36:00 PM GMT, Felipe Gasper via Unbound-users <<a shape="rect" ymailto="mailto:unbound-users@nlnetlabs.nl" href="mailto:unbound-users@nlnetlabs.nl">unbound-users@nlnetlabs.nl</a> <mailto:<a shape="rect" ymailto="mailto:unbound-users@nlnetlabs.nl" href="mailto:unbound-users@nlnetlabs.nl">unbound-users@nlnetlabs.nl</a>>> wrote:<br clear="none">> <br clear="none">> > > <br clear="none">> > > <br clear="none">> > > Hello,<br clear="none">> > > <br clear="none">> > >    Is it possible to give unbound a lookup of public-to-local IP addresses so that it can work with non-loopback NAT setups?<br clear="none">> > > <br clear="none">> > >    We have domains whose DNS is hosted from behind the same NAT where unbound runs. Currently we don’t know of a way for unbound to resolve queries to these domains unless the server has loopback NAT set up, which many do not.<br clear="none">> > > <br clear="none">> > >    Ideally, we’d like for there to be a way to tell unbound that instead of resolving against, e.g., 11.22.33.44, to send the same query to a private address like 10.0.1.200 instead.<br clear="none">> > > <br clear="none">> > >    Thank you!<br clear="none">> > > <br clear="none">> > > -FG<br clear="none"></div></div></div>            </div>                </div>