<div dir="ltr"><div>Hello, <br><br></div><div>Thanks, I tried:</div><div><br></div><div><span style="font-family:monospace">stub-zone:<br>        name: "<a href="http://office.amnc.nc">office.amnc.nc</a>"<br>        stub-addr: 10.0.8.6<br>        stub-first: yes<br>#       trust-anchor: "<a href="http://office.amnc.nc">office.amnc.nc</a>. IN DNSKEY 50076 10 1 [obfuscated key]"</span></div><div><br></div><div>But I get "fatal error: could not read config file"</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le ven. 25 juin 2021 à 20:05, George Thessalonikefs via Unbound-users <<a href="mailto:unbound-users@lists.nlnetlabs.nl">unbound-users@lists.nlnetlabs.nl</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Laurent,<br>
<br>
If your domain is DNSSEC signed then instead of 'domain-insecure:'<br>
you need to specify the trust anchor for that domain like:<br>
     trust-anchor: "<a href="http://office.domain.com" rel="noreferrer" target="_blank">office.domain.com</a>. IN DNSKEY ..."<br>
<br>
Also if 10.25.65.16 is the authoritative name server for that zone use <br>
'stub-zone:' instead of 'forward-zone:'. The latter is supposed to <br>
forward to another resolver.<br>
<br>
BTW I see in your log a completely different domain (<a href="http://office.domain.nc" rel="noreferrer" target="_blank">office.domain.nc</a>) <br>
which I don't know how it is supposed to be linked to your singed <br>
<a href="http://office.domain.com" rel="noreferrer" target="_blank">office.domain.com</a> domain.<br>
<br>
Hope that helps,<br>
-- George<br>
<br>
On 25/06/2021 01:27, Laurent Dinclaux via Unbound-users wrote:<br>
> Hello,<br>
> <br>
> I use Unbound with OPNsense. I have secured a domain with DNSSec, its <br>
> DNS server being on the WAN. It has an <a href="http://office.domain.com" rel="noreferrer" target="_blank">office.domain.com</a> <br>
> <<a href="http://office.domain.com" rel="noreferrer" target="_blank">http://office.domain.com</a>> subdomain (A record)<br>
> <br>
> I also have a local DNS server where that subdomain is set, so it <br>
> resolves locally to local IPs. So I am adding a domain override in <br>
> Unbound as such, which is as such in the configuration:<br>
> <br>
> private-domain: "<a href="http://office.domain.com" rel="noreferrer" target="_blank">office.domain.com</a> <<a href="http://office.domain.com" rel="noreferrer" target="_blank">http://office.domain.com</a>>"<br>
> domain-insecure: "<a href="http://office.domain.com" rel="noreferrer" target="_blank">office.domain.com</a> <<a href="http://office.domain.com" rel="noreferrer" target="_blank">http://office.domain.com</a>>"<br>
> <br>
> forward-zone:<br>
>     name: "<a href="http://office.domain.com" rel="noreferrer" target="_blank">office.domain.com</a> <<a href="http://office.domain.com" rel="noreferrer" target="_blank">http://office.domain.com</a>>"<br>
>     forward-addr: 10.25.65.16<br>
> <br>
> And I get this error in Unbound:<br>
> <br>
> |2021-06-23T20:57:39unbound[60568][60568:1] info: NSEC3s for the <br>
> referral proved no delegation<br>
> 2021-06-23T20:57:39unbound[60568][60568:1] info: resolving <br>
> <a href="http://office.domain.nc" rel="noreferrer" target="_blank">office.domain.nc</a> <<a href="http://office.domain.nc" rel="noreferrer" target="_blank">http://office.domain.nc</a>>. DS IN<br>
> 2021-06-23T20:57:39unbound[60568][60568:1] info: query response was ANSWER<br>
> 2021-06-23T20:57:39unbound[60568][60568:1] info: reply from <br>
> <<a href="http://office.domain.nc" rel="noreferrer" target="_blank">office.domain.nc</a> <<a href="http://office.domain.nc" rel="noreferrer" target="_blank">http://office.domain.nc</a>>.> 10.25.65.16#53<br>
> 2021-06-23T20:57:39unbound[60568][60568:1] info: response for <br>
> <a href="http://office.domain.nc" rel="noreferrer" target="_blank">office.domain.nc</a> <<a href="http://office.domain.nc" rel="noreferrer" target="_blank">http://office.domain.nc</a>>. A IN<br>
> 2021-06-23T20:57:39unbound[60568][60568:1] info: resolving <br>
> <a href="http://office.domain.nc" rel="noreferrer" target="_blank">office.domain.nc</a> <<a href="http://office.domain.nc" rel="noreferrer" target="_blank">http://office.domain.nc</a>>. A IN|<br>
> <br>
> <br>
> I understand that error. If I disable the DNSSec feature in unbound, it <br>
> works.<br>
> <br>
> But I am wondering if there is anyway to work around that (without <br>
> disabling DNSSec checking), and have unbound give back the ANSWER <br>
> returned by that local DNS server ?<br>
> <br>
> Regards<br>
> -- <br>
> Laurent<br>
> <a href="mailto:laurent@knc.nc" target="_blank">laurent@knc.nc</a> <mailto:<a href="mailto:laurent@knc.nc" target="_blank">laurent@knc.nc</a>><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature">Laurent<br><a href="mailto:laurent@knc.nc" target="_blank">laurent@knc.nc</a></div>