<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    Hi,<br>
    <br>
    Thank you for your hints with DNSSEC. Truly it was caused by dnssec
    validation. If I tried to turn off dnssec validation dns0 servers
    would not respond to any of my requests. But I found that with
    option "process-no-validate" and recurse true for zone '.' I finally
    setup and tested exactly what I wanted to do. Created small allow
    list for domains that are blocked by dns0 and rest of request are
    filtered by dns0.<br>
    <br>
    Thank you very much for help.<br>
    <br>
    With kind regards<br>
    <div class="moz-signature">
      <p style="margin-bottom: 17px; font-family: helvetica;"><strong>Jan
          Gardian</strong></p>
      <p style="font-size: 5px;"> </p>
    </div>
    <div class="moz-cite-prefix">On 4/30/24 10:19, Frank Louwers wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:6213BDC9-B25B-40DB-A0C1-39C3A7065A19@tembo.be">
      <pre class="moz-quote-pre" wrap="">Hi,
</pre>
      <blockquote type="cite">
        <pre class="moz-quote-pre" wrap="">
Or turn off DNSSEC processing completely. Or crank up logging to see if/why DNSSEC validation is failing.
</pre>
      </blockquote>
      <pre class="moz-quote-pre" wrap="">

To add on what Brian said: if you're going to be use filtering capabilities, it's best to turn DNSSEC validation completely off: a filtered domain might have a valid DS. You're breaking the chain by returning a non-signed and forged reply to your users, so validation has little use.

Frank</pre>
    </blockquote>
    <br>
  </body>
</html>