<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">I have been doing that for quite some time without knowing it should be difficult.<div class=""><br class=""></div><div class="">I have a domain (in the mail address) which is properly delegated to servers and signed. Internally in house I have a number of other internal both hosts and one subdomain.</div><div class=""><br class=""></div><div class="">The internal versions have RFC1812 IPs and the outside ones have public IPs.</div><div class=""><br class=""></div><div class="">Both sides are signed by the same key.</div><div class=""><br class=""></div><div class="">The way this is organised is that I use two views, one internal and one external, I set both to be signed using:</div><div class=""><br class=""></div><div class=""><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span style="font-variant-ligatures: no-common-ligatures" class="">options {</span></div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span style="font-variant-ligatures: no-common-ligatures" class=""><span class="Apple-tab-span" style="white-space:pre">  </span>directory "/var/named/data";</span></div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span style="font-variant-ligatures: no-common-ligatures" class=""><span class="Apple-tab-span" style="white-space:pre">      </span>auth-nxdomain no;</span></div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span style="font-variant-ligatures: no-common-ligatures" class=""><span class="Apple-tab-span" style="white-space:pre">   </span>dnssec-enable yes;</span></div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span style="font-variant-ligatures: no-common-ligatures" class=""><span class="Apple-tab-span" style="white-space:pre">  </span>dnssec-validation auto;</span></div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span class="Apple-tab-span" style="white-space: pre;">        </span>allow-query { any; };</div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span style="font-variant-ligatures: no-common-ligatures" class=""><span class="Apple-tab-span" style="white-space:pre">    </span>allow-transfer { any; };</span></div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span class="Apple-tab-span" style="white-space: pre;">       </span>listen-on-v6  { any; };</div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span style="font-variant-ligatures: no-common-ligatures" class=""><span class="Apple-tab-span" style="white-space:pre">     </span>sig-validity-interval 30 20;</span></div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span style="font-variant-ligatures: no-common-ligatures" class=""><span class="Apple-tab-span" style="white-space:pre">        </span>dnssec-loadkeys-interval 60;</span></div><div style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo; background-color: rgba(204, 204, 204, 0.89);" class=""><span style="font-variant-ligatures: no-common-ligatures" class="">};</span></div></div><div class=""><br class=""></div><div class="">Never caused any problems. The downside is that I use views and have to manage both sides.<br class=""><div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">-- <br class="">Best regards <br class="">Sten Carlsen <br class=""><br class=""><br class="">For every problem, there is a solution that<br class="">is simple, elegant, and wrong.</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">HL Mencken<br class=""><br class=""></div></div>
</div>









<div><br class=""><blockquote type="cite" class=""><div class="">On 6 May 2020, at 19.01, Grant Taylor via bind-users <<a href="mailto:bind-users@lists.isc.org" class="">bind-users@lists.isc.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="">Hi,<br class=""><br class="">What is the proper way to delegate to a private / hidden sub-domain?<br class=""><br class="">I have a globally registered domain, call it <a href="http://example.net" class="">example.net</a> for this thread, that has multiple sub-domains that I'd like to be properly delegated to internal labs; lab#.<a href="http://example.net" class="">example.net</a>.<br class=""><br class=""><a href="http://Example.net" class="">Example.net</a> itself is following all the industry standards and best practices that I'm aware of; registered (read: rented), delegated from roots to multiple public DNS servers which respond to the world.<br class=""><br class="">I would like to delegate <a href="http://lab1.example.net" class="">lab1.example.net</a> in such a way that the outside world sees a delegation to what is effectively an empty zone (save for SOA / NS / etc.) on a public server.  However I'd like the internal lab systems see a delegation to a private zone that has all the necessary records in the lab.<br class=""><br class="">One hack that comes to mind is to have the <a href="http://example.net" class="">example.net</a> parent zone delegate to a separate name server with a separate IP and then to anycast that IP & name server inside the lab.  But that would require an additional globally routed IP on the external public Internet.<br class=""><br class="">I'm not currently worried about supporting DNSSEC, but it would be nice if the solution would allow DNSSEC signing both the public and private zones.  With the obvious assumption being the DNS servers would have shared keys to be able to sing their copies of the zone correctly.<br class=""><br class="">Does anybody have any ProTip(s) on how to go about doing this?  What about gotchas to avoid?<br class=""><br class="">Thank you and have a nice day.<br class=""><br class=""><br class=""><br class="">-- <br class="">Grant. . . .<br class="">unix || die<br class=""><br class="">_______________________________________________<br class="">Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" class="">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br class=""><br class="">bind-users mailing list<br class=""><a href="mailto:bind-users@lists.isc.org" class="">bind-users@lists.isc.org</a><br class="">https://lists.isc.org/mailman/listinfo/bind-users<br class=""></div></div></blockquote></div><br class=""></div></body></html>