Permitir resolución externa de un dominio local en Bind9 con dnssec validation
Esta mañana al actualizar Zentyal a la versión 8, me he dado cuenta que viene activado por defecto con DNSSEC, cosa más que recomendable. El problema ha venido cuando el sistema tiene que resolver DNS de nombres de dominio «inventados».
En mi caso bind9 está configurado para enviar a un Pi Hole todas las direcciones que no puede resolver y es en PiHole donde creo las resoluciones locales. El problema de DNSSEC actvado como auto es que no permite la resolución de nombres de dominio no legales, dando error en el log:
insecurity proof failed resolving 'tld1.inventado/NS/IN': 192.168.1.13#53
Para permitir este tipo de resoluciones debemos activar la excepción para el dominio insertando en /etc/bind/named.conf.options la siguiente linea debajo de dnsssec-validation auto;
validate-except { "tld1.inventado"; "tld2.inventado";};
De esta manera quedará todo de forma correcta y cuando queramos resolver maquina.tld.inventado nuestro servidor contestará OK.
Espero que os valga este auto recordatorio.