---
title: "Unbound, DNSSEC и локальные зоны"
slug: "unbound-dnssec"
date: "2014-10-05T17:15:00+04:00"
author: "at-hacker"
tags:
  - "DNS"
  - "FreeBSD"
  - "Troubleshooting"
  - "Unbound"
canonical_url: "https://at-hacker.in/?go=all/unbound-dnssec/"
---
На домашнем сервере крутится Unbound, на котором я включил DNSSEC для корневых зон. Для смелых и столь же бесчеловечных экспериментов поднял в виртуалках виндовый домен homelab.local. И решил прописать в Unbound локальные зоны. Точнее — stub-зоны, чтобы с домашних компов можно было обращаться к компам из зоны homelab.local по именам.

Прописал всё как положено:

```
stub-zone:
   name: "homelab.local"
   stub-addr: 192.168.2.3
```

Но имена так и не резолвились. Начал копать вокруг файрволов — нет, не файрволы, все запросы проходят, сервера отвечают. То есть, я вижу, как идёт запрос с Unbound на DNS-сервер 192.168.2.3 (это контроллер домена homelab.local), и даже вижу, как на Unbound с контроллера приходит ответ, но фактически же Unbound мне возвращает SERVFAIL.

Что, в общем-то, логично, если подумать. Корневая зона .local не имеет подписи, соответственно, Unbound трактовал её как паленую. Указание в конфиге:

```
domain-insecure: "homelab.local"
```

указанную проблему сняло, и имена зоны homelab.local начали разрешаться.