
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;


        mso-fareast-language:EN-US;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:70.85pt 70.85pt 70.85pt 70.85pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="FR" link="blue" vlink="purple" style="word-wrap:break-word">


<div class="WordSection1">


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Hi Greg, Thank you </span>


for your answer<o:p></o:p></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">I use RPZ as follows :<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">response-policy { zone "rpz"; }<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">                               break-dnssec yes<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">                               recursive-only no<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">                               qname-wait-recurse no;<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">}; <o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Regards Sami <o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b>De :</b> Greg Choules <gregchoules+bindusers@googlemail.com>


<br>


<b>Envoyé :</b> mercredi 12 juillet 2023 10:07<br>


<b>À :</b> RAHAL Sami SOFRECOM <sami.rahal@sofrecom.com><br>


<b>Cc :</b> bind-users@lists.isc.org<br>


<b>Objet :</b> Re: extended dns error<o:p></o:p></p>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">Hi Sami.<o:p></o:p></p>


<div>


<p class="MsoNormal">In the "response-policy" block in your config, what (if anything) is the value of the statement "qname-wait-recurse"?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">If you do not have that set explicitly, please do "named -C" to list the defaults and see what it is; probably "yes".<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">This parameter controls whether RPZ waits until successful recursion has finished before it rewrites the response, according to the matching rule in the RPZ zone.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">If there is no successful response from recursion then RPZ has nothing to rewrite, so your server's response to its client will be SERVFAIL.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">It looks like your server cannot resolve cadyst.com/A for some reason, which would explain what gets sent back to the client.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">However, it resolves fine for me:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">cadyst.com. 908 IN A 146.59.209.152<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Maybe you have some other issue with your resolver?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Cheers, Greg<o:p></o:p></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal">On Wed, 12 Jul 2023 at 09:26, <<a href="mailto:sami.rahal@sofrecom.com">sami.rahal@sofrecom.com</a>> wrote:<o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">


<p class="MsoNormal">Hello<br>


 Thank you for your answer yes we will plan a migration to version 9.18. <br>


now I have activated "error log" to have the cause of an error servfail is here is the result.<br>


<br>


11-Jul-2023 10:36:21.146 query-errors: debug 3: client @0x7f217a2bd250 127.0.0.1#39627 (cadyst.com): view default: rpz QNAME rewrite cadyst.com stop on qresult in rpz_rewrite(): timed out<br>


11-Jul-2023 10:36:21.146 query-errors: debug 1: client @0x7f217a2bd250 127.0.0.1#39627 (cadyst.com): view default: query failed (timed out) for cadyst.com/IN/A at query.c:8042<br>


11-Jul-2023 10:36:21.146 query-errors: debug 4: fetch completed at resolver.c:4983 for cadyst.com/A in 10.000118: timed out/success [domain:cadyst.com,referral:0,restart:3,qrysent:6,timeout:5,lame:0,quota:0,neterr:0,badresp:0,adberr:0,findfail:0,valfail:0]<br>


<br>


Regards Sami<br>


<br>


<br>


Message: 2<br>


Date: Tue, 11 Jul 2023 12:04:15 +0200<br>


From: Matthijs Mekking <<a href="mailto:matthijs@isc.org" target="_blank">matthijs@isc.org</a>><br>


To: <a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>


Subject: Re: extended dns error<br>


Message-ID: <<a href="mailto:6f5bb3dc-ddf0-873c-c630-fa89fe260c96@isc.org" target="_blank">6f5bb3dc-ddf0-873c-c630-fa89fe260c96@isc.org</a>><br>


Content-Type: text/plain; charset=UTF-8; format=flowed<br>


<br>


Upgrade to 9.18, because 9.16 does not support extended DNS errors.<br>


<br>


See<br>


<br>


<a href="https://gitlab.isc.org/isc-projects/bind9/-/issues/?sort=created_date&state=all&label_name%5B%5D=Extended%20DNS%20Errors&first_page_size=20" target="_blank">https://gitlab.isc.org/isc-projects/bind9/-/issues/?sort=created_date&state=all&label_name%5B%5D=Extended%20DNS%20Errors&first_page_size=20</a><br>


<br>


For which errors are supported.<br>


<br>


Best regards, Matthijs<br>


<br>


On 7/11/23 11:10, <a href="mailto:sami.rahal@sofrecom.com" target="_blank">sami.rahal@sofrecom.com</a> wrote:<br>


> Hello ?community<br>


> <br>


> I want to use "extended dns error" option on my recursive dns server. <br>


> What config changes are required to enable EDE?<br>


> <br>


> I am using BIND 9.16.42 as recursive server.<br>


> <br>


> Regards Sami<br>


> <br>


> <br>


<br>


<br>


------------------------------<br>


<br>


Subject: Digest Footer<br>


<br>


_______________________________________________<br>


ISC funds the development of this software with paid support subscriptions. Contact us at


<a href="https://www.isc.org/contact/" target="_blank">https://www.isc.org/contact/</a> for more information.<br>


<br>


bind-users mailing list<br>


<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>


<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>


<br>


<br>


------------------------------<br>


<br>


End of bind-users Digest, Vol 4279, Issue 3<br>


*******************************************<br>


-- <br>


Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">


https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>


<br>


ISC funds the development of this software with paid support subscriptions. Contact us at


<a href="https://www.isc.org/contact/" target="_blank">https://www.isc.org/contact/</a> for more information.<br>


<br>


<br>


bind-users mailing list<br>


<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>


<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><o:p></o:p></p>


</blockquote>


</div>


</div>


</body>


</html>