<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div><div class=""><br class=""></div></div></div></div></div></div></div></div>
</div>
<div><br class=""><blockquote type="cite" class=""><div class="">On 5 May 2021, at 23:41, Joe Abley <<a href="mailto:jabley@hopcount.ca" class="">jabley@hopcount.ca</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="">On 5 May 2021, at 16:23, Gerben Wierda via Unbound-users <<a href="mailto:unbound-users@lists.nlnetlabs.nl" class="">unbound-users@lists.nlnetlabs.nl</a>> wrote:<br class=""><br class=""><blockquote type="cite" class="">What I see is this (reliably)<br class=""><br class="">When asking 8.8.8.8 or 9.9.9.9 directly, the name is resolved.<br class=""><br class="">But when unbound forwards to 8.8.8.8 or 9.9.9.9, it fails. <br class=""><br class="">In other words: I can realiable ask 9.9.9.9 for <a href="http://www.startpuntgeldzaken.nl" class="">www.startpuntgeldzaken.nl</a> but I cannot get unbound to get that same info via a forward.<br class=""></blockquote><br class="">My instinct is that this has nothing to do with the domain name in question, nothing to do with what is happening at 8.8.8.8 or 9.9.9.9 and nothing to do with where that domain name is hosted.<br class=""><br class="">I think if you look at the packets on the wire you will find either (a) the source address of upstream queries sent from your unbound instance is not reachable across the Internet, e.g. you're missing a NAT or you have multiple interfaces on the host running unbound, and the outbound interface is filtered or otherwise not as functional as you expect, or (b) you have firewall rules or other device permission constraints on the host running unbound that are different from what happens when you run dig.<br class=""></div></div></blockquote><div><br class=""></div><div>Is this a possible scenario when for 99.9% of queries there is no problem at all? Basically, when I query for about everything else it just works.</div><div><br class=""></div><blockquote type="cite" class=""><div class=""><div class="">If I'm wrong I'll buy you a beer the next time we are all allowed to meet in person. :-)<br class=""></div></div></blockquote><div><br class=""></div><div>Hmmmmmm :-)</div><div><br class=""></div><div>I’ll buy you one (or two, three) if I find out what is happening here and we meet. Seriously, I would not even be able to receive your mail when my DNS was so horribly broken.</div><div><br class=""></div><div>I ran this:</div><div><br class=""></div><div><div style="margin: 0px; font-stretch: normal; font-size: 10px; line-height: normal; font-family: Monaco;" class=""><span style="font-variant-ligatures: no-common-ligatures" class="">bash-3.2# unbound-control -c unbound-noforwarders.conf verbosity 4; dig @192.168.2.66 -p 1053 <a href="http://www.startpuntgeldzaken.nl" class="">www.startpuntgeldzaken.nl</a>; unbound-control -c unbound-noforwarders.conf verbosity 2</span></div><div class=""><br class=""></div></div><div>and it gives me a lot of debugging from my unbound instance that is doing no forwarding at all (I have a special nonforwarding instance listening at port 1053 especially for rspamd). I can share that with someone who understands it.</div><div><br class=""></div><div>G</div><br class=""></div><br class=""></body></html>