<div dir="ltr">Right, it looks a bit dirty but makes sense. Thanks.</div><div class="gmail_extra"><br><div class="gmail_quote">On 20 November 2017 at 15:13, Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The simplest way is to slave the zone.  Named won’t attempt to validate zone<br>
content it serves.  If you have other applications that validate zone content<br>
sign your own zone and distribute trust anchors for them.<br>
<br>
Mark<br>
<div><div class="h5"><br>
On 20 Nov 2017, at 12:45 pm, Ivan Kurnosov <<a href="mailto:zerkms@zerkms.ru">zerkms@zerkms.ru</a>> wrote:<br>
><br>
><br>
> Found it. It's caused by `dnssec`. If I enable it - the root servers are not being touched.<br>
><br>
> Then the question is - can I still have `dnssec` and somehow internet-availability-tolerant configuration?<br>
><br>
> On 20 November 2017 at 14:36, Ivan Kurnosov <<a href="mailto:zerkms@zerkms.ru">zerkms@zerkms.ru</a>> wrote:<br>
> I'm having a really simple recursive DNS for a small office, that has a forwarded zone (being resolved by another local server).<br>
><br>
> The config looks like<br>
><br>
> options {<br>
>     directory "/var/cache/bind";<br>
><br>
>     dnssec-validation auto;<br>
><br>
>     auth-nxdomain no;<br>
>     listen-on-v6 { none; };<br>
><br>
>     recursion yes;<br>
>     allow-query { any; };<br>
><br>
>     allow-transfer { none; };<br>
> };<br>
><br>
><br>
> zone "<br>
> <a href="http://internal.companyname.co.nz" rel="noreferrer" target="_blank">internal.companyname.co.nz</a><br>
> " {<br>
>     type forward;<br>
>     forward only;<br>
>     forwarders {<br>
>         192.168.1.x;<br>
>         192.168.1.y;<br>
>     };<br>
> };<br>
><br>
><br>
> The problem I am observing is that even if I resolve a name within `<a href="http://internal.companyname.co.nz" rel="noreferrer" target="_blank">internal.companyname.co.nz</a>` the bind still tries to contact the root servers, .nz. and .<a href="http://co.nz" rel="noreferrer" target="_blank">co.nz</a>. servers as well.<br>
><br>
> And if at that point the internet is not available for the machine - the response fails, even though it's the forwarded to another local server zone.<br>
><br>
> On this screenshot there are the packets I captured that are being sent to the internet<br>
><br>
> <a href="https://i.stack.imgur.com/TphcP.png" rel="noreferrer" target="_blank">https://i.stack.imgur.com/<wbr>TphcP.png</a><br>
><br>
> I also asked this question at <a href="https://serverfault.com/q/884196/45086" rel="noreferrer" target="_blank">https://serverfault.com/q/<wbr>884196/45086</a><br>
><br>
> So the question is: what do I else need to do to make this server not recurse for the forwarded-only zone?<br>
><br>
> --<br>
> With best regards, Ivan Kurnosov<br>
><br>
><br>
><br>
> --<br>
> With best regards, Ivan Kurnosov<br>
</div></div>> ______________________________<wbr>_________________<br>
> Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a> to unsubscribe from this list<br>
><br>
> bind-users mailing list<br>
> <a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
> <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a><br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Mark Andrews, ISC<br>
1 Seymour St., Dundas Valley, NSW 2117, Australia<br>
PHONE: <a href="tel:%2B61%202%209871%204742" value="+61298714742">+61 2 9871 4742</a>              INTERNET: <a href="mailto:marka@isc.org">marka@isc.org</a><br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">With best regards, Ivan Kurnosov</div>
</div>