Caso sua rede esteja deliberadamente fazendo coisas ruins com o DNS, você pode tentar usar o suporte ao túnel de fallback em dnssec-trigger
. Isso inclui um túnel criptografado pela porta TCP 443. O projeto upstream fornece pontos de extremidade de túnel padrão com base no melhor esforço. Por exemplo. no projeto upstream, veja ssl443
in example.conf.in
.
Eu só vi isso documentado; Eu nunca tentei usar o tunelamento de fallback. O dnssec-trigger deve registrar o método que está usando, ou seja, se o fallback está ativo. O dnssec-trigger não parece documentar o que exatamente irá acionar o fallback, nem uma maneira de forçar seu uso.
Isso também fará com que você use um resolvedor DNSSEC de validação. Domínios que configuraram o DNSSEC, mas erraram ou algo irá falhar. Isso deve ser significativamente menos comum que o problema que você descreve.