<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;">Hi,<br>
<br>
<br>
Without DNSSec, forwarding is working fine. With DNSSec enabled (I am
using DLV), forwarding fails when I forward my querries to a server
that isn't dnssec enabled. <br>
 The output from the log looks like this:<br>
<br>
[1246456813] unbound[7919:0] info: validator operate: query <dlv.isc.org. DNSKEY IN><br>
[1246456813] unbound[7919:0] debug: validator: nextmodule returned<br>
[1246456813] unbound[7919:0] debug: not validating response due to CD bit<br>
[1246456813] unbound[7919:0] debug: mesh_run: validator module exit state is module_finished<br>
[1246456813] unbound[7919:0] info: validator: inform_super, sub is <dlv.isc.org. DNSKEY IN><br>
[1246456813] unbound[7919:0] info: super is <mail.google.com.dlv.isc.org. DLV IN><br>
[1246456813] unbound[7919:0] info: verify rrset <dlv.isc.org.. DNSKEY IN><br>
[1246456813] unbound[7919:0] debug: rrset failed to verify due to a lack of signatures<br>
[1246456813] unbound[7919:0] debug: verify result: sec_status_bogus<br>
[1246456813] unbound[7919:0] info: validate keys with anchor(DNSKEY): sec_status_bogus<br>
[1246456813] unbound[7919:0] info: failed to prime trust anchor --
could not fetch secure DNSKEY rrset <dlv.isc.org. DNSKEY IN><br>
[1246456813] unbound[7919:0] debug: validator[module 0] operate: extstate:module_wait_subquery event:module_event_pass<br>
[1246456813] unbound[7919:0] info: validator operate: query <mail.google.com.dlv.isc.org. DLV IN><br>
[1246456813] unbound[7919:0] debug: val handle processing q with state VAL_VALIDATE_STATE<br>
[1246456813] unbound[7919:0] info: processValidate: state has no signer name <mail.google.com.dlv.isc.org. DLV IN><br>
[1246456813] unbound[7919:0] info: Could not establish validation of INSECURE status of unsigned response.<br>
[1246456813] unbound[7919:0] debug: val handle processing q with state VAL_FINISHED_STATE<br>
<br>
The failure appears because of a signature mismatch. But why is
validation taking place when the actual resolver can't talk dnssec? My
config file looks like this:<br>
<br>
server:<br>
        verbosity: 5<br>
        interface: 0.0.0.0<br>
        port: 53<br>
        do-ip4: yes<br>
        do-ip6: yes<br>
        do-udp: yes<br>
        do-tcp: yes<br>
        do-daemonize: yes<br>
        access-control: 0.0.0.0/0 allow<br>
        chroot: /etc/unbound<br>
        username: ""<br>
        directory: /etc/unbound/<br>
        use-syslog: no<br>
        pidfile: /var/run/unbound.pid<br>
        root-hints: /etc/unbound/named.cache<br>
        logfile: /etc/unbound/unbound.log<br>
        dlv-anchor-file: dlv.isc.org.key<br>
        forward-zone: <br>
            name: "."<br>
              forward-addr: 68.87.68.170   <br>
Is this the expected behaviour? or am I missing something here? Why can't the resolution  proceed when the forwarder (unbound) can talk dnssec and the actual resolver can't? <br><br><br>thanks,<br>Harish<br><br>
<br></td></tr></table><br>