<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=koi8-r">

</head>

<body>

Thanks Wouter, I've found issue.<br>

Shame on me, there was rough/lost DNS server in network. <br>

<br>

Thank you once more.

<hr style="display:inline-block;width:98%" tabindex="-1">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>От:</b> Wouter Wijngaards <wouter@nlnetlabs.nl><br>

<b>Отправлено:</b> 17 апреля 2020 г. 16:19:14<br>

<b>Кому:</b> Юрий Иванов <format_hub@outlook.com>; unbound-users@lists.nlnetlabs.nl <unbound-users@lists.nlnetlabs.nl><br>

<b>Тема:</b> Re: Unbound returns incorrect results</font>

<div> </div>

</div>

<div class="BodyFragment"><font size="2"><span style="font-size:11pt;">

<div class="PlainText">Hi,<br>

<br>

So your server has the correct .159 answer for mysite.net.  But unbound<br>

must have had this lookup value from somewhere.  That returned .203 and<br>

is also a name server for mysite.net.<br>

<br>

You can check the other nameservers for mysite.net for their response.<br>

Or have unbound with verbosity 4 (or more) and that prints the<br>

individual answers as unbound receives it.  Start unbound again to make<br>

it perform a new lookup and get the logs, then search for the .203<br>

address and see where unbound got it from.  (which is then one of the<br>

nameservers for mysite.net).<br>

<br>

Best regards, Wouter<br>

<br>

On 17/04/2020 15:13, Юрий Иванов wrote:<br>

> Thanks for reply.<br>

> I see but this how looks query to mysite.net:<br>

> <br>

> :~$ dig @1.204.196.130 mysite.net    <br>

> <br>

> ; <<>> DiG 9.11.5-P4-5.1ubuntu2.1-Ubuntu <<>> @1.204.196.130 mysite.net<br>

> ; (1 server found)<br>

> ;; global options: +cmd<br>

> ;; Got answer:<br>

> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4437<br>

> ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4<br>

> <br>

> ;; OPT PSEUDOSECTION:<br>

> ; EDNS: version: 0, flags:; udp: 4096<br>

> ;; QUESTION SECTION:<br>

> ;mysite.net.                 IN      A<br>

> <br>

> ;; ANSWER SECTION:<br>

> mysite.net.          10800   IN      A       1.2.25.159<br>

> <br>

> ;; AUTHORITY SECTION:<br>

> mysite.net.          10800   IN      NS      ns2.mysite.net.<br>

> mysite.net.          10800   IN      NS      ns4.mysite.net.<br>

> mysite.net.          10800   IN      NS      ns1.mysite.net.<br>

> <br>

> ;; ADDITIONAL SECTION:<br>

> ns1.mysite.net.      10800   IN      A       1.204.196.130<br>

> ns2.mysite.net.      10800   IN      A       1.2.25.199<br>

> ns4.mysite.net.      10800   IN      A       1.204.196.200<br>

> <br>

> ;; Query time: 0 msec<br>

> ;; SERVER: 1.204.196.130#53(1.204.196.130)<br>

> ;; WHEN: Птн апр 17 15:59:26 EEST 2020<br>

> ;; MSG SIZE  rcvd: 160<br>

> <br>

> cache returns<br>

> :~$ dig @1.204.196.202 mysite.net              <br>

> <br>

> ; <<>> DiG 9.11.5-P4-5.1ubuntu2.1-Ubuntu <<>> @1.204.196.202 mysite.net<br>

> ; (1 server found)<br>

> ;; global options: +cmd<br>

> ;; Got answer:<br>

> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2039<br>

> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1<br>

> <br>

> ;; OPT PSEUDOSECTION:<br>

> ; EDNS: version: 0, flags:; udp: 4096<br>

> ;; QUESTION SECTION:<br>

> ;mysite.net.                 IN      A<br>

> <br>

> ;; ANSWER SECTION:<br>

> mysite.net.          2298    IN      A       1.204.196.203<br>

> <br>

> ;; Query time: 0 msec<br>

> ;; SERVER: 1.204.196.202#53(1.204.196.202)<br>

> ;; WHEN: Птн апр 17 16:11:35 EEST 2020<br>

> ;; MSG SIZE  rcvd: 58<br>

> <br>

> My zone doesnt have this IP binded to 203<br>

> <br>

> [root@ns1 named]# grep 203 mysite.net  <br>

> forum                   IN      A      1.204.196.203<br>

> lang                    IN      A      1.204.196.203<br>

> <br>

> Thanks in advance.<br>

> ------------------------------------------------------------------------<br>

> *От:* Unbound-users <unbound-users-bounces@lists.nlnetlabs.nl> от имени<br>

> Wouter Wijngaards via Unbound-users <unbound-users@lists.nlnetlabs.nl><br>

> *Отправлено:* 17 апреля 2020 г. 15:46<br>

> *Кому:* unbound-users@lists.nlnetlabs.nl <unbound-users@lists.nlnetlabs.nl><br>

> *Тема:* Re: Unbound returns incorrect results<br>

>  <br>

> Hi,<br>

> <br>

> On 17/04/2020 14:34, Юрий Иванов via Unbound-users wrote:<br>

>> Hi<br>

>> My unbound returns incorrect results<br>

>> <br>

>> Unboud returns .203 IP<br>

> <br>

> Unbound looks up the target of the CNAME by itself, this is necessary<br>

> for security reasons for caching the correct data for that name.  The<br>

> lookup for that returned the .203 IP.  So that is the correct answer.<br>

> <br>

> The original server was not returning the correct information.  It must<br>

> return the same IP address for 'mysite.net' as when the DNS is queried<br>

> directly for the name.  For security reasons, unbound queries for all<br>

> CNAME answers for the target name, to look it up directly, to make sure<br>

> it gets the correct information in cache.<br>

> <br>

> In the print out you are missing a direct dig query for the 'mysite.net'<br>

> record, that would (apparantly because unbound finds it) return the .203<br>

> IP address.  If I query for the names over here I get different results.<br>

>  Since you say it was half a year ago .203, perhaps the .203 is still<br>

> there and returned for direct lookups for 'mysite.net' and this causes<br>

> it.  If so, fix it so that the authoritative servers for 'mysite.net'<br>

> return the .203 answer for the name mysite.net.<br>

> <br>

> Best regards, Wouter<br>

> <br>

>> suser@gong:~$ dig @1.204.196.202 <a href="http://www.mysite.net">www.mysite.net</a> <<a href="http://www.mysite.net">http://www.mysite.net</a>><br>

>> <br>

>> ; <<>> DiG 9.11.5-P4-5.1ubuntu2.1-Ubuntu <<>> @1.204.196.202 <a href="http://www.mysite.net">

www.mysite.net</a> <<a href="http://www.mysite.net">http://www.mysite.net</a>><br>

>> ; (1 server found)<br>

>> ;; global options: +cmd<br>

>> ;; Got answer:<br>

>> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2722<br>

>> ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1<br>

>> <br>

>> ;; OPT PSEUDOSECTION:<br>

>> ; EDNS: version: 0, flags:; udp: 4096<br>

>> ;; QUESTION SECTION:<br>

>> ;www.mysite.net.             IN      A<br>

>> <br>

>> ;; ANSWER SECTION:<br>

>> <a href="http://www.mysite.net">www.mysite.net</a> <<a href="http://www.mysite.net">http://www.mysite.net</a>>.      4275    IN      CNAME  <br>

> mysite.net.<br>

>> mysite.net.          5048    IN      A       1.204.196.203<br>

>> <br>

>> <br>

>> But my authoritative DNS server returns:<br>

>> <br>

>> suser@gong:~$ dig @1.204.196.130 <a href="http://www.mysite.net">www.mysite.net</a> <<a href="http://www.mysite.net">http://www.mysite.net</a>>      <br>

>> <br>

>> ; <<>> DiG 9.11.5-P4-5.1ubuntu2.1-Ubuntu <<>> @1.204.196.130 <a href="http://www.mysite.net">

www.mysite.net</a> <<a href="http://www.mysite.net">http://www.mysite.net</a>><br>

>> ; (1 server found)<br>

>> ;; global options: +cmd<br>

>> ;; Got answer:<br>

>> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58582<br>

>> ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 4<br>

>> <br>

>> ;; OPT PSEUDOSECTION:<br>

>> ; EDNS: version: 0, flags:; udp: 4096<br>

>> ;; QUESTION SECTION:<br>

>> ;www.mysite.net.             IN      A<br>

>> <br>

>> ;; ANSWER SECTION:<br>

>> <a href="http://www.mysite.net">www.mysite.net</a> <<a href="http://www.mysite.net">http://www.mysite.net</a>>.      10800   IN      CNAME  <br>

> mysite.net.<br>

>> mysite.net.          10800   IN      A       1.2.25.159<br>

>> <br>

>> ;; AUTHORITY SECTION:<br>

>> mysite.net.          10800   IN      NS      ns4.mysite.net.<br>

>> mysite.net.          10800   IN      NS      ns1.mysite.net.<br>

>> mysite.net.          10800   IN      NS      ns2.mysite.net.<br>

>> <br>

>> ;; ADDITIONAL SECTION:<br>

>> ns1.mysite.net.      10800   IN      A       1.204.196.130<br>

>> ns2.mysite.net.      10800   IN      A       1.2.25.199<br>

>> ns4.mysite.net.      10800   IN      A       1.204.196.200<br>

>> <br>

>> ;; Query time: 0 msec<br>

>> ;; SERVER: 1.204.196.130#53(1.204.196.130)<br>

>> ;; WHEN: Птн апр 17 15:30:39 EEST 2020<br>

>> ;; MSG SIZE  rcvd: 178<br>

>> <br>

>> and google returns correct records:<br>

>> <br>

>> suser@gong:~$ dig @8.8.8.8 <a href="http://www.mysite.net">www.mysite.net</a> <<a href="http://www.mysite.net">http://www.mysite.net</a>>      <br>

>> <br>

>> ; <<>> DiG 9.11.5-P4-5.1ubuntu2.1-Ubuntu <<>> @8.8.8.8 <a href="http://www.mysite.net">

www.mysite.net</a> <<a href="http://www.mysite.net">http://www.mysite.net</a>><br>

>> ; (1 server found)<br>

>> ;; global options: +cmd<br>

>> ;; Got answer:<br>

>> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6220<br>

>> ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1<br>

>> <br>

>> ;; OPT PSEUDOSECTION:<br>

>> ; EDNS: version: 0, flags:; udp: 512<br>

>> ;; QUESTION SECTION:<br>

>> ;www.mysite.net.             IN      A<br>

>> <br>

>> ;; ANSWER SECTION:<br>

>> <a href="http://www.mysite.net">www.mysite.net</a> <<a href="http://www.mysite.net">http://www.mysite.net</a>>.      1842    IN      CNAME  <br>

> mysite.net.<br>

>> mysite.net.          1842    IN      A       1.2.25.159<br>

>> <br>

>> ;; Query time: 46 msec<br>

>> ;; SERVER: 8.8.8.8#53(8.8.8.8)<br>

>> ;; WHEN: Птн апр 17 15:30:05 EEST 2020<br>

>> ;; MSG SIZE  rcvd: 76<br>

>> <br>

>> <br>

>> This 1.204.196.203 was valid IP about half a year ago.<br>

>> Can't find where it comes from.<br>

>> This is new clean unbound setup installed two days ago.<br>

</div>

</span></font></div>

</body>

</html>