<div dir="ltr">Hi Tony,<div><br></div><div>Thanks for that.</div><div><br></div><div>But I'm curious, do you know does BIND failover to TCP if UDP timeouts during DNSKEY fetching?</div><div><br></div><div>Thanks</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Feb 25, 2020 at 12:47 AM Tony Finch <<a href="mailto:dot@dotat.at">dot@dotat.at</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Branko Mijuskovic <<a href="mailto:branko.mijuskovic.hiag@gmail.com" target="_blank">branko.mijuskovic.hiag@gmail.com</a>> wrote:<br>
><br>
> We have an authoritative DNS hidden master (bind-9.11.4-9) running behind<br>
> the network where outgoing UDP traffic to unlisted IPs is blocked.<br>
><br>
> We are using DNSSEC and I've noticed that we are getting following errors<br>
> in the bind9 logfile: 'managed-keys-zone/default: Unable to fetch DNSKEY<br>
> set '.': timed out'<br>
<br>
I have configured my hidden primary with a `forwarders` clause pointing at<br>
my recursive servers, which should stop it from trying to talk to the<br>
outside world.<br>
<br>
Tony.<br>
-- <br>
f.anthony.n.finch  <<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>>  <a href="http://dotat.at/" rel="noreferrer" target="_blank">http://dotat.at/</a><br>
Irish Sea: Westerly 5 to 7, occasionally gale 8 later in south. Moderate,<br>
becoming rough or very rough in south. Wintry showers. Good, occasionally<br>
poor.<br>
</blockquote></div>