根据你描述的现象和已完成的排查动作，我整理了几个更深入的排查方向和实操建议，帮你定位问题根源：

1. 追踪Google DNS的查询链路与负缓存情况 #

Google返回的NXDOMAIN大概率来自负缓存，你可以用以下命令完整跟踪它的查询路径，确认问题出在链路的哪个环节：

dig +trace vpn.example.com @8.8.8.8

这个命令会展示Google DNS从根域名服务器开始，一步步迭代查询到你的权威DNS的全过程，你能清楚看到是上游节点返回了NXDOMAIN，还是它根本没请求到你的权威DNS。另外你提供的SOA记录里，最小TTL是86400（1天），如果之前你的权威DNS曾返回过NXDOMAIN，Google会缓存这个结果整整一天。

2. 验证权威DNS对Google IP段的可达性 #

你提到在权威DNS上抓包没看到Google的查询IP，这很可能是权威DNS的防火墙/安全组拦截了Google的DNS查询IP段。可以这么做：

• 检查权威DNS的防火墙规则，确保允许Google公开的DNS查询IP段访问53端口（UDP和TCP都要覆盖）
• 用第三方在线诊断工具模拟Google DNS节点的IP去查询你的权威DNS，验证是否能拿到正确响应

3. 排查域名配置的潜在漏洞 #

• 确认vpn.example.com的A记录在所有权威NS节点（比如ns2/ns3/ns4.example.com）上都一致配置，虽然你做了30次单节点查询，但多节点一致性验证很有必要
• 如果你的域名启用了DNSSEC，检查签名是否有效、配置是否正确——Google DNS对DNSSEC验证失败的域名会直接返回NXDOMAIN
• 核对SOA记录的参数，比如刷新时间、重试时间是否合理，避免上游服务器误判你的权威DNS不可用

4. 补充验证与官方反馈 #

• 切换到Google另一台公共DNS8.8.4.4测试，排除单个节点故障的可能
• 执行dig +norecurse vpn.example.com @8.8.8.8，如果返回NXDOMAIN说明是缓存结果；如果返回空或提示需要递归，说明它无法正常访问你的权威DNS
• 若以上步骤都无法定位问题，收集域名、查询时间、完整dig输出等信息，联系Google Public DNS官方支持反馈问题

备注：内容来源于stack exchange，提问作者Rogue Pogue