<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Hi Pieter,<div class=""><br class=""></div><div class="">dnssec=off did the trick indeed. Hope you can fix this, because dnssec was the reason I went to 4.x in the first place :)</div><div class=""><br class=""></div><div class="">If I can be of any help here, just let me know.</div><div class=""><br class=""></div><div class="">Best regards.</div><div class=""> <br class=""><blockquote type="cite" class="">Am 09.03.2016 um 10:05 schrieb Pieter Lexis <<a href="mailto:pieter.lexis@powerdns.com" class="">pieter.lexis@powerdns.com</a>>:<br class=""><br class="">Hi Michael,<br class=""><br class="">Please keep replies on the mailinglist (mails reproduced below).<br class=""><br class="">Judging by your log and some of my testing, I think you uncovered a bug in the DNSSEC implementation. Could you try this with `dnssec=off` in the recursor.conf?<br class=""><br class="">Best regards,<br class=""><br class="">Pieter<br class=""><br class="">On Wed, 9 Mar 2016 07:46:49 +0100<br class="">Bit World Computing - Michael Mertel <<a href="mailto:michael.mertel@bwc.de" class="">michael.mertel@bwc.de</a>> wrote:<br class=""><br class=""><blockquote type="cite" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">Hello Pieter,<br class=""><br class="">thanks for helping me out on this.<br class=""><br class=""><blockquote type="cite" class="">Am 08.03.2016 um 18:57 schrieb Pieter Lexis <pieter.lexis@powerdns.com>:<br class=""><br class="">Hello Michael,<br class=""><br class="">On Tue, 8 Mar 2016 16:32:26 +0100<br class="">Bit World Computing - Michael Mertel <michael.mertel@bwc.de> wrote:<br class=""><br class=""><blockquote type="cite" class="">I was wondering why an apt-get update cannot resolve repo.powerdns.com, but a ping is able to do so. This only happens if /etc/resolv.conf points to my recursor. If I use 8.8.8.8 as nameserver everything works as expected.<br class=""><br class="">This is somewhat strange, because 8.8.8.8 is the forwarding dns for my local recursor.<br class=""></blockquote><br class="">Do you use the `forward-zones-recurse`[1] or the `forward-zones`[2] option? When forwarding to google (8.8.8.8), the `forward-zone-recurse` option is needed (i.e. `forward-zones-recurse=.=8.8.8.8` in your recursor.conf). This will set the Recursion Desired-bit on the query sent out. Google sends SERVFAIL to clients without the RD-bit set.<br class=""><br class=""></blockquote>I currently use this forward statements in my recursor.conf:<br class=""><br class="">forward-zones-file=/etc/powerdns/forward-zones<br class="">forward-zones-recurse=.=8.8.8.8<br class=""><br class="">The forward-zones file points to some internal nameservers, all 8.8.8.8 related is done through forward-zones-recurse.<br class=""><br class=""><br class=""><blockquote type="cite" class="">If this is the case and you still have these issues, could you enable the `trace`[3] option and query your local resolver for repo.powerdns.com and email the traces?<br class=""><br class=""></blockquote>I attached the trace log, hope it includes everything you need. I tried to kept the noise as low as possible, but some other systems queried the recursor as well.<br class=""><br class=""><blockquote type="cite" class=""><blockquote type="cite" class="">Maybe it’s how the apt-get tries to resolve the name? The only thing I found was, that getent is not returning the correct results.<br class=""></blockquote><br class="">apt, ping and getent all seem to use the getaddrinfo(3) call.<br class=""><br class=""></blockquote>I was 100% sure that a ping worked, but it do not work now, repo.powerdns.com is not resolving anywhere. repo1.powerdns.com is a different story:<br class=""><br class="">root@dns-1:/var/log# ping repo.powerdns.com<br class="">ping: unknown host repo.powerdns.com<br class="">root@dns-1:/var/log# getent hosts repo1.poerdns.com<br class="">root@dns-1:/var/log# ping repo1.powerdns.com<br class="">PING repo1.powerdns.com (188.166.116.224) 56(84) bytes of data.<br class="">64 bytes from repo1.powerdns.com (188.166.116.224): icmp_seq=1 ttl=58 time=42.9 ms<br class="">64 bytes from repo1.powerdns.com (188.166.116.224): icmp_seq=2 ttl=58 time=42.9 ms<br class=""></blockquote><br class=""><br class="">On Wed, 9 Mar 2016 08:28:05 +0100<br class="">Bit World Computing - Michael Mertel <michael.mertel@bwc.de> wrote:<br class=""><br class=""><blockquote type="cite" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">Hi Pieter,<br class=""><br class="">sorry I overlooked a typo.<br class=""><br class="">root@dns-1:/var/log# getent  hosts repo.powerdns.com<br class="">2a03:b0c0:2:d0::4a4:6001 repo1.powerdns.com repo.powerdns.com<br class="">root@dns-1:/var/log# getent  hosts repo1.powerdns.com<br class="">2a03:b0c0:2:d0::4a4:6001 repo1.powerdns.com<br class=""><br class="">Does this mean my recursor is preferring ipv6 over ipv4. I don’t use ipv6 at all.<br class=""><br class=""><br class=""></blockquote>-- <br class="">Pieter Lexis<br class="">PowerDNS.COM BV -- https://www.powerdns.com<br class=""></blockquote><br class=""><div class=""><br class=""><br class="">--<br class="">IT-Security Lösungen von DELL SonicWALL und Sophos von Ihrem zertifizierten Partner Bit World Computing.<br class=""><br class=""><span style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><span><img height="119" width="662" apple-inline="yes" id="7DE774FE-5A52-4AAC-AD2F-B2560688B4DA" apple-width="yes" apple-height="yes" src="cid:CA52E3EB-B1E8-46EA-945B-07151E684331" class=""></span><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; orphans: 2; widows: 2;" class=""><br class="Apple-interchange-newline"><br class="Apple-interchange-newline"><br class="Apple-interchange-newline">Michael Mertel<br class="">Inhaber / company owner<br class=""><br class=""><br class="">Bit World Computing e.K.<br class="">Wredestraße 18<br class="">97082 Wuerzburg<br class="">Deutschland / Germany<br class=""><br class="">Fon: +49 (0)931 45335-0<br class="">Fax: +49 (0)931 45335-99<br class=""><br class="">E-Mail: <a href="mailto:michael.mertel@bwc.de" class="">michael.mertel@bwc.de</a><br class="">GoogleTalk / Skype: bwc.michael<br class="">Web: <a href="http://www.bwc.de/" class="">http://www.bwc.de</a><br class=""><br class="">Amtsgericht Wuerzburg HRA 4937, Ust-ID DE155288065<br class="">Geschäftsführer / company owner: Michael Mertel<br class=""><br class=""><br class="">BWC ... one bit ahead ... since 1993</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; orphans: 2; widows: 2;" class=""><br class=""></div><br class="Apple-interchange-newline" style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; orphans: 2; widows: 2;"><br class="Apple-interchange-newline" style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; orphans: 2; widows: 2;">
</span></div><br class=""></div></body></html>