<div dir="ltr"><div>I've been using dnsmasq as an authoritative server for my lan under a subdomain of my regular domain.  So something like <a href="http://lan.example.com">lan.example.com</a> is the internal only zone, where <a href="http://lan.example.com">lan.example.com</a> is delegated from <a href="http://example.com">example.com</a> which is available to the public internet.  I have dnssec on <a href="http://example.com">example.com</a>, but obviously not on <a href="http://lan.example.com">lan.example.com</a> since dnsmasq doesn't automatically create dnssec records.</div><div><br></div><div>When resolving those with systemd-resolved, It shows servfail.<br><br></div><div>I used <a href="https://dnsviz.net">https://dnsviz.net</a> to check what was up and it said the problem was that the AA bit wasn't getting set in the responses.<br><br></div><div>my relevant config is something like</div><div><br></div><div>domain=<a href="http://lan.example.com">lan.example.com</a></div><div>auth-server=<a href="http://int-ns1.example.com">int-ns1.example.com</a> # this is the dnsmasq server</div><div>auth-zone=<a href="http://lan.example.com">lan.example.com</a></div><div><br></div><div>Am I doing something wrong?  It seems like a bug to not have dnsmasq add the AA bit to responses that are part of an auth-zone.<br></div></div>