
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Aptos;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:11.0pt;

        font-family:"Aptos",sans-serif;

        mso-ligatures:standardcontextual;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#467886;

        text-decoration:underline;}

span.EmailStyle18

        {mso-style-type:personal-compose;

        font-family:"Aptos",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:11.0pt;

        mso-ligatures:none;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#467886" vlink="#96607D" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal">I recently implemented a forward only BIND server for home. I was forwarding to OpenDNS FamilyShield using TLS and DNSSEC at first, but I was getting a noticeable amount of SERVFAIL responses. I believe it is related to DNSSEC (see delv

 tests below), but I don’t believe it is my configuration because when I forward to Cloudflare’s Family service, or to Google DNS, I don’t have any problems with the same domains (e.g. www.cdc.gov).<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I contacted Cisco Umbrella support because I was thinking it’s an issue with their servers, but they didn’t really help, so I thought I would try this list for advice.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Would appreciate it if someone could review my configuration and/or reproduce my results to see if I’m doing something wrong.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Bob<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Here are some tests I ran:<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">admin@router1:~$ apt-cache policy bind9<o:p></o:p></p>

<p class="MsoNormal">bind9:<o:p></o:p></p>

<p class="MsoNormal">  Installed: 1:9.21.1-1+0~20240920.124+debian12~1.gbp62e0e7<o:p></o:p></p>

<p class="MsoNormal">  Candidate: 1:9.21.1-1+0~20240920.124+debian12~1.gbp62e0e7<o:p></o:p></p>

<p class="MsoNormal">  Version table:<o:p></o:p></p>

<p class="MsoNormal">*** 1:9.21.1-1+0~20240920.124+debian12~1.gbp62e0e7 500<o:p></o:p></p>

<p class="MsoNormal">        500 <a href="https://packages.sury.org/bind-dev">https://packages.sury.org/bind-dev</a> bookworm/main amd64 Packages<o:p></o:p></p>

<p class="MsoNormal">        100 /var/lib/dpkg/status<o:p></o:p></p>

<p class="MsoNormal">     1:9.18.28-1~deb12u2 500<o:p></o:p></p>

<p class="MsoNormal">        500 <a href="http://deb.debian.org/debian">http://deb.debian.org/debian</a> bookworm/main amd64 Packages<o:p></o:p></p>

<p class="MsoNormal">        500 <a href="http://security.debian.org/debian-security">

http://security.debian.org/debian-security</a> bookworm-security/main amd64 Packages<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">admin@router1:~$ delv -v<o:p></o:p></p>

<p class="MsoNormal">delv 9.21.1-1+0~20240920.124+debian12~1.gbp62e0e7-Debian<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">admin@router1:~$ delv -4 @208.67.220.123 <a href="http://www.cdc.gov">

www.cdc.gov</a>. A<o:p></o:p></p>

<p class="MsoNormal">;; insecurity proof failed resolving 'cdc.gov/DNSKEY/IN': 208.67.220.123#53<o:p></o:p></p>

<p class="MsoNormal">;; broken trust chain resolving 'www.cdc.gov/A/IN': 208.67.220.123#53<o:p></o:p></p>

<p class="MsoNormal">;; resolution failed: broken trust chain<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">admin@router1:~$ delv -4 @208.67.222.123 <a href="http://www.cdc.gov">

www.cdc.gov</a>. A<o:p></o:p></p>

<p class="MsoNormal">;; insecurity proof failed resolving 'cdc.gov/DNSKEY/IN': 208.67.222.123#53<o:p></o:p></p>

<p class="MsoNormal">;; broken trust chain resolving 'www.cdc.gov/A/IN': 208.67.222.123#53<o:p></o:p></p>

<p class="MsoNormal">;; resolution failed: broken trust chain<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">admin@router1:~$ delv -4 @1.1.1.3 <a href="http://www.cdc.gov">

www.cdc.gov</a>. A<o:p></o:p></p>

<p class="MsoNormal">; fully validated<o:p></o:p></p>

<p class="MsoNormal"><a href="http://www.cdc.gov">www.cdc.gov</a>.            248     IN      CNAME  

<a href="http://www.akam.cdc.gov">www.akam.cdc.gov</a>.<o:p></o:p></p>

<p class="MsoNormal"><a href="http://www.cdc.gov">www.cdc.gov</a>.            248     IN      RRSIG   CNAME 8 3 300 20241019153420 20241009150230 1503 cdc.gov. b99UIGmCOTJj+C7JFXORmtUXQEIIGdF0q3Z5u6HfAbKcJhjfFjJrkRE6 yntzr0pSksCp1Uwi146xvKz7ImCqkYK67/WlOujyquOGSfgOwO1DvUyj

 TfvXJWvjSRLTx30lwU6RV80RrC596A16anTpLc7Zi4VEAVncRHeUl1y1 /MG/CSCtE/Ef6tPD1FtGZjhXszVAgrk3fhISCsImRHuGAoIBnIKCKx2M YMhxirfV0z9Qq46PnW9zTzh+EbVKZkN0C+Xl3j2+4sqyHlubhrtgklG/ g0u+99/g/jdfex+Vh7dtcAXFcTZ1XGuPQXgsn6GrznecB8PaXmCxXfft GaDOdQ==<o:p></o:p></p>

<p class="MsoNormal"><a href="http://www.akam.cdc.gov">www.akam.cdc.gov</a>.       20      IN      A       23.51.224.222<o:p></o:p></p>

<p class="MsoNormal"><a href="http://www.akam.cdc.gov">www.akam.cdc.gov</a>.       20      IN      RRSIG   A 10 4 20 20241018102927 20241015092927 16701 akam.cdc.gov. Lcd7WthqqU+A7UwQkBHZsT0nqxztJkn9cx57wXr4eHHCvJR0cCxZFkwl eIbSffPIu364terXJlcEvuWbWTLrCX7bo0c6B9bA5EPi2DsbegTfkG5u

 cqrZP9RTzXbfbs5l5w6CQ9DfSPcYx9BIYkusErQu5qQnGhoQ5bXI1VxT Otc=<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The relevant portion of my named configuration is:<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">tls opendns-tls {<o:p></o:p></p>

<p class="MsoNormal">    remote-hostname "dns.opendns.com";<o:p></o:p></p>

<p class="MsoNormal">};<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">tls cloudflare_family-tls {<o:p></o:p></p>

<p class="MsoNormal">    remote-hostname "one.one.one.one";<o:p></o:p></p>

<p class="MsoNormal">};<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">tls google-tls {<o:p></o:p></p>

<p class="MsoNormal">};<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">tls router1-tls {<o:p></o:p></p>

<p class="MsoNormal">    key-file "/var/cache/bind/privkey.pem";<o:p></o:p></p>

<p class="MsoNormal">    cert-file "/var/cache/bind/fullchain.pem";<o:p></o:p></p>

<p class="MsoNormal">    dhparam-file "/var/cache/bind/dhparam.pem";<o:p></o:p></p>

<p class="MsoNormal">    ciphers "HIGH:!kRSA:!aNULL:!eNULL:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!SHA1:!SHA256:!SHA384";<o:p></o:p></p>

<p class="MsoNormal">    prefer-server-ciphers yes;<o:p></o:p></p>

<p class="MsoNormal">    session-tickets no;<o:p></o:p></p>

<p class="MsoNormal">};<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">options {<o:p></o:p></p>

<p class="MsoNormal">    directory "/var/cache/bind";<o:p></o:p></p>

<p class="MsoNormal">    recursion yes;<o:p></o:p></p>

<p class="MsoNormal">    allow-query { trusted_nets; };<o:p></o:p></p>

<p class="MsoNormal">    version "none";<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">    forwarders {<o:p></o:p></p>

<p class="MsoNormal">#        1.1.1.3 port 853 tls cloudflare_family-tls;<o:p></o:p></p>

<p class="MsoNormal">#        1.0.0.3 port 853 tls cloudflare_family-tls;<o:p></o:p></p>

<p class="MsoNormal">        208.67.222.123 port 853 tls opendns-tls;<o:p></o:p></p>

<p class="MsoNormal">        208.67.220.123 port 853 tls opendns-tls;<o:p></o:p></p>

<p class="MsoNormal">#       8.8.8.8 port 853 tls google-tls;<o:p></o:p></p>

<p class="MsoNormal">#       8.8.4.4 port 853 tls google-tls;<o:p></o:p></p>

<p class="MsoNormal">    };<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">    forward only;<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">    allow-transfer { none; };<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">    dnssec-validation auto;<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">    listen-on port 443 tls router1-tls http default { trusted_interfaces; };<o:p></o:p></p>

<p class="MsoNormal">    listen-on port 853 tls router1-tls { trusted_interfaces; };<o:p></o:p></p>

<p class="MsoNormal">    listen-on { trusted_interfaces; };<o:p></o:p></p>

<p class="MsoNormal">    listen-on-v6 { none; };<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">    zone-statistics yes ;<o:p></o:p></p>

<p class="MsoNormal">};<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</body>

</html>