Unbound配置DoT转发时首次访问失败的解决方案分析

在使用Unbound作为DNS解析器时，配置DoT(基于TLS的DNS)转发可能会遇到一个特殊现象：首次访问新域名时出现"页面未找到"错误，而刷新后却能正常加载。这种现象通常与缓存机制和TLS配置相关，需要从技术层面深入理解其成因和解决方案。

问题现象与初步分析

当Unbound配置为使用DoT转发(如1.1.1.1@853)并启用缓存(forward-no-cache: no)时，用户首次访问从未查询过的域名会失败。第二次请求同一域名时却能成功解析，此后该域名的解析都会正常。临时解决方案是将forward-no-cache设为yes禁用缓存，但这会牺牲性能优势。

这种现象表明Unbound在首次查询时未能正确建立与上游DoT服务器的安全连接，但连接状态在后续请求中被保持。这提示我们需要检查TLS连接的初始化过程。

根本原因解析

经过技术验证，发现该问题涉及两个关键配置缺失：

1. TLS证书验证：未指定tls-cert-bundle选项，导致Unbound无法验证上游DoT服务器的证书
2. 服务器身份标识：forward-addr中缺少服务器域名标识(如#example-dns.com)，使TLS握手无法完成SNI验证

当首次查询时，Unbound尝试建立TLS连接但由于上述配置缺失而失败。由于forward-no-cache: no的设置，这个失败结果被缓存，导致后续查询直接返回失败。手动刷新时，可能因为TCP连接保持或TLS会话恢复而成功，但这种行为不可靠。

完整解决方案

要确保DoT转发正常工作，必须同时配置以下两项：

tls-cert-bundle: /etc/ssl/certs/ca-bundle.crt  # 系统CA证书路径
forward-addr: 1.1.1.1@853#example-dns.com   # 包含服务器域名的完整地址

配置详解

1. tls-cert-bundle：指定系统CA证书路径，使Unbound能验证上游服务器的TLS证书。在Linux系统上通常是/etc/ssl/certs/ca-bundle.crt或类似路径

2. forward-addr格式：完整的DoT转发地址应包含：

   • IP地址(1.1.1.1)
   • 端口号(@853)
   • 服务器域名(#example-dns.com)，用于TLS握手时的SNI扩展

技术原理深入

DoT协议在TCP/853端口上运行，使用TLS加密。完整的TLS握手需要：

1. 客户端(Unbound)发送ClientHello，包含SNI(服务器名称指示)
2. 服务器返回证书，客户端需要验证该证书
3. 双方协商加密参数

当缺少服务器域名标识时，SNI扩展无法正确设置；缺少CA证书会导致证书验证失败。这两种情况都会使TLS握手失败，但在某些情况下连接可能被静默保持，造成首次失败后续成功的现象。

最佳实践建议

1. 始终为DoT转发配置完整的forward-addr格式
2. 确保tls-cert-bundle指向有效的CA证书存储
3. 测试配置时使用unbound-checkconf验证语法
4. 通过dig +trace或unbound-control dump_cache检查缓存状态
5. 考虑启用prefetch功能提升性能：prefetch: yes

正确配置后，Unbound将能可靠地使用DoT转发并利用缓存加速查询，同时保证通信的安全性。这种配置特别适合注重隐私保护又需要高性能DNS解析的场景。