<div dir="ltr"><div>I need to provide DNS64 on a caching resolver for a project (MS direct access). It will mostly be resolving internal names, most of which are delegated to an LB. The requests will be arriving over v4 only (nat64 already in place). </div>
<div><br></div><div>Here is the setup:</div><div><br></div><div>for simplicity I will show one authoritative server and one LB. </div><div><br></div><div>NS1  (authoritative for “<a href="http://example.com">example.com</a>”, running bind9.7)</div>
<div>LB    (F5, should be authoritative for  “<a href="http://lbi.example.com">lbi.example.com</a>”, in reality as we discovered recently is authoritative for “<a href="http://example.com">example.com</a>”)</div><div><br>
</div><div>NS1 delegates <a href="http://lbi.example.com">lbi.example.com</a> to LB.</div><div><br></div><div>A typical record on NS1 looks like this:</div><div><br></div><div><a href="http://intranet.example.com">intranet.example.com</a>   CNAME   <a href="http://intranet.lbi.example.com">intranet.lbi.example.com</a>.</div>
<div>(the final answer comes from LB).</div><div><br></div><div>my-dns64-resolver  (bind 9.9.2p1) acts as secondary for <a href="http://example.com">example.com</a> (zone transfer from NS1).</div><div><br></div><div>My resolver is able to resolve A records fine (such as <a href="http://intranet.lbi.example.com">intranet.lbi.example.com</a>). When I ask for the same name as AAAA it returns SERVFAIL and “DNS format error, invalid response” gets logged on the resolver.  The reason for that is the LB returning “<a href="http://example.com">example.com</a>” as SOA in the AUTHORITY SECTION when it should be returning “<a href="http://lbi.example.com">lbi.example.com</a>”.</div>
<div><br></div><div>As a result of this I don’t get my synthesized v6 record even though the A records is there. </div><div><br></div><div><br></div><div>Unfortunately it will take a while before the LB team fixes the authority problem. I am looking for a workaround to get my dns64 resolver to generate those synthetic AAAA responses for the clients even when it gets that invalid AAAA response from the LB. </div>
<div><br></div><div>Any ideas appreciated. </div><div><br></div><div>Slava.<br></div></div>