https://at-hacker.in/enContents © 2026 <a href="mailto:">at-hacker</a> Sat, 16 May 2026 20:41:19 GMTNikola (getnikola.com)http://blogs.law.harvard.edu/tech/rsshttps://at-hacker.in/posts/unbound-dnssec/at-hacker<p>На домашнем сервере крутится Unbound, на котором я включил DNSSEC для корневых зон. Для смелых и столь же бесчеловечных экспериментов поднял в виртуалках виндовый домен homelab.local. И решил прописать в Unbound локальные зоны. Точнее — stub-зоны, чтобы с домашних компов можно было обращаться к компам из зоны homelab.local по именам.</p> <p>Прописал всё как положено:</p> <div class="code"><pre class="code literal-block"><span class="nx">stub</span><span class="o">-</span><span class="nx">zone</span><span class="p">:</span> <span class="w">   </span><span class="nx">name</span><span class="p">:</span><span class="w"> </span><span class="s">"homelab.local"</span> <span class="w">   </span><span class="nx">stub</span><span class="o">-</span><span class="kd">addr</span><span class="p">:</span><span class="w"> </span><span class="m m-Double">192.168.2.3</span> </pre></div> <p>Но имена так и не резолвились. Начал копать вокруг файрволов — нет, не файрволы, все запросы проходят, сервера отвечают. То есть, я вижу, как идёт запрос с Unbound на DNS-сервер 192.168.2.3 (это контроллер домена homelab.local), и даже вижу, как на Unbound с контроллера приходит ответ, но фактически же Unbound мне возвращает SERVFAIL.</p> <p>Что, в общем-то, логично, если подумать. Корневая зона .local не имеет подписи, соответственно, Unbound трактовал её как паленую. Указание в конфиге:</p> <div class="code"><pre class="code literal-block">domain-insecure: "homelab.local" </pre></div> <p>указанную проблему сняло, и имена зоны homelab.local начали разрешаться.</p>DNSFreeBSDTroubleshootingUnboundhttps://at-hacker.in/posts/unbound-dnssec/Sun, 05 Oct 2014 13:15:00 GMT