<div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Nov 22, 2020 at 9:35 AM Matus UHLAR - fantomas <<a href="mailto:uhlar@fantomas.sk">uhlar@fantomas.sk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">>On Sun, Nov 22, 2020 at 8:14 AM Ismael Suarez <<a href="mailto:Ismael_Suarez@coqui.com" target="_blank">Ismael_Suarez@coqui.com</a>><br>
>wrote:<br>
<br>
>> Also, just for testing. Similar happened to me. Try with<br>
>> ‘dnssec-validation no;’<br>
<br>
On 22.11.20 09:05, upen wrote:<br>
>Thank you Ismael, you are right .<br>
>The resolution worked after setting ^^^<br>
><br>
>So to answer Julien also I believe +nodnsdec in the dig would have helped<br>
>with resolution.<br>
><br>
>So validation is not working it seems . What could be reason for that? Is<br>
>something wrong on my configuration or network that the dnssec validation<br>
>can not be used in my configuration.<br>
<br>
it's possible that your provider does DNS hijacking.<br>
DNS over TLS or DNS over HTTPS could help verify that.</blockquote><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Thank you Matus. So this is inside a university network and on a server . May be the network people do some dns interceptions . I did upload a link to packet capture which may shed some light on if they do indeed hijack.</div><div dir="auto"><br></div><div dir="auto">But from your reply it sounds like this behavior with auto is not expected and things should work for those domains so definitely something to check in my network , configuration end of things. </div><div dir="auto"><br></div><div dir="auto">Thank you</div><div dir="auto">Upen</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex" dir="auto"><br>
<br>
<br>
>I can set to auto again and run dig +trace if that will help<br>
>troubleshooting further why validation may not be working. I’m unsure if<br>
>this is expected or something could be wrong somewhere on my end /network .<br>
<br>
>> From: bind-users <<a href="mailto:bind-users-bounces@lists.isc.org" target="_blank">bind-users-bounces@lists.isc.org</a>> on behalf of julien<br>
>> soula <<a href="mailto:julien.soula@univ-lille.fr" target="_blank">julien.soula@univ-lille.fr</a>><br>
>> Sent: Sunday, November 22, 2020 9:31:56 AM<br>
>> To: upen <<a href="mailto:upendra.gandhi@gmail.com" target="_blank">upendra.gandhi@gmail.com</a>><br>
>> Cc: <a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a> <<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a>>; BIND Users <<br>
>> <a href="mailto:bind-users@isc.org" target="_blank">bind-users@isc.org</a>><br>
>> Subject: Re: Servfail on Bind -9.16.1<br>
>><br>
>> On Sat, Nov 21, 2020 at 03:20:26PM -0600, upen wrote:<br>
>> > .../...<br>
>> > default.log:21-Nov-2020 15:11:18.008 client @0x7fb6a800c0a0<br>
>> 127.0.0.1#33706<br>
>> > (<a href="http://www.facebook.com" rel="noreferrer" target="_blank">www.facebook.com</a><<a href="http://www.facebook.com" rel="noreferrer" target="_blank">http://www.facebook.com</a>>): query failed (broken trust<br>
>> chain) for<br>
>> > <a href="http://www.facebook.com/IN/A" rel="noreferrer" target="_blank">www.facebook.com/IN/A</a><<a href="http://www.facebook.com/IN/A" rel="noreferrer" target="_blank">http://www.facebook.com/IN/A</a>> at query.c:6883<br>
>> > dnssec.log:21-Nov-2020 15:11:18.008 validating <a href="http://www.facebook.com/CNAME" rel="noreferrer" target="_blank">www.facebook.com/CNAME</a>:<<br>
>> <a href="http://www.facebook.com/CNAME" rel="noreferrer" target="_blank">http://www.facebook.com/CNAME</a>:> bad<br>
>> > cache hit (com/DS)<br>
>> > lame-servers.log:21-Nov-2020 15:11:18.008 broken trust chain resolving '<br>
>> > <a href="http://www.facebook.com/A/IN'" rel="noreferrer" target="_blank">www.facebook.com/A/IN'</a>:<<a href="http://www.facebook.com/A/IN'" rel="noreferrer" target="_blank">http://www.facebook.com/A/IN'</a>:> 129.134.31.12#53<br>
>><br>
>> it seems to be an error in dnssec. So I suppose that "dig +nodnssec<br>
>> ...." works.<br>
>><br>
>> May be "dig +trace <a href="http://facebook.com" rel="noreferrer" target="_blank">facebook.com</a>" will give you more hints.<br>
<br>
-- <br>
Matus UHLAR - fantomas, <a href="mailto:uhlar@fantomas.sk" target="_blank">uhlar@fantomas.sk</a> ; <a href="http://www.fantomas.sk/" rel="noreferrer" target="_blank">http://www.fantomas.sk/</a><br>
Warning: I wish NOT to receive e-mail advertising to this address.<br>
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.<br>
It's now safe to throw off your computer.<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">upen,<br>emerge -uD life (Upgrade Life with dependencies) </div>