<div dir="ltr">Assume you mean owned by the user 'unbound' ;) <div><br></div><div>Have you checked all the standard things?<br><div>Are you using the latest release (1.22)</div><div>IPv6 interface definition should be; 'interface: ::0@53' (single '0' I believe).</div><div>You have different indentation for the 3rd and 4rd 'interface:' definitions.</div><div>Is IPv6 working correctly on your machine? Have you tried with IPv6 disabled? (get things working properly with IPv4 before enabling v6)<br></div><div>Start unbound using -d</div><div><br></div><div>Once all of the above things are checked, I would then remove all your special config (comment things out), so you are using mostly defaults for everything. If it then starts listening on 53 and 853, you can then start enabling your custom settings one by one until you find the culprit.</div></div><div><br></div><div>Good luck.. </div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Wed, 8 Jan 2025 at 10:36, Daniel Ryšlink via Unbound-users <<a href="mailto:unbound-users@lists.nlnetlabs.nl">unbound-users@lists.nlnetlabs.nl</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello,<br>
<br>
I have run into immense trouble getting DNS-over-TLS working, basically <br>
although I have everything set up, the process never listens on 853/TCP, <br>
never logs any failures or problems, just ignores the whole TLS portion <br>
of the configuration. Below is my unbound.conf file. All the key and <br>
cert files mentioned are directly in /usr/local/etc/unbound folder, <br>
owned and readable by the 'undbound' user the server uses to run.<br>
<br>
Any ideas are welcome, thanks in advance.<br>
<br>
<br>
-- <br>
Daniel Ryšlink<br>
System Administrator<br>
<br>
<br>
-----------------------------------------------<br>
<br>
server:<br>
         tls-port: 853<br>
         tls-cert-bundle: "ca-root-nss.crt"<br>
        tls-service-key: "privkey.pem"<br>
         tls-service-pem: "fullchain.pem"<br>
        verbosity: 3<br>
        statistics-interval: 600<br>
        statistics-cumulative: no<br>
        extended-statistics: yes<br>
        num-threads: 4<br>
        interface: 0.0.0.0@53<br>
        interface: ::00@53<br>
         interface: 0.0.0.0@853<br>
         interface: ::00@853<br>
        interface-automatic: yes<br>
        port: 53<br>
        outgoing-range: 8192<br>
        outgoing-num-tcp: 20<br>
        incoming-num-tcp: 20<br>
        so-reuseport: yes<br>
        edns-buffer-size: 1480<br>
        max-udp-size: 4096<br>
        msg-buffer-size: 65552<br>
        msg-cache-size: 1000m<br>
        msg-cache-slabs: 8<br>
        num-queries-per-thread: 4096<br>
        jostle-timeout: 200<br>
        delay-close: 10<br>
        rrset-cache-size: 16G<br>
        rrset-cache-slabs: 8<br>
        cache-min-ttl: 600<br>
        cache-max-ttl: 86400<br>
        cache-max-negative-ttl: 3600<br>
        infra-host-ttl: 900<br>
        infra-cache-min-rtt: 50<br>
        infra-cache-slabs: 8<br>
        do-ip4: yes<br>
        do-ip6: yes<br>
        do-udp: yes<br>
        do-tcp: yes<br>
        do-daemonize: yes<br>
         include: "/usr/local/etc/unbound/acl_our_networks"<br>
        include: "/usr/local/etc/unbound/acl_exceptions"<br>
        chroot: "/usr/local/etc/unbound"<br>
        username: "unbound"<br>
        directory: "/usr/local/etc/unbound"<br>
        logfile: "/var/log/unbound.log"<br>
        use-syslog: yes<br>
        log-time-ascii: yes<br>
        log-queries: no<br>
        log-replies: no<br>
        log-local-actions: yes<br>
        log-servfail: yes<br>
        pidfile: "/var/run/unbound/unbound.pid"<br>
        root-hints: "root.hints"<br>
        hide-identity: no<br>
        hide-version: no<br>
        identity: ""<br>
        version: "Unbound"<br>
        harden-short-bufsize: yes<br>
        harden-large-queries: yes<br>
        harden-glue: yes<br>
        harden-dnssec-stripped: yes<br>
        harden-below-nxdomain: yes<br>
        harden-referral-path: yes<br>
        harden-algo-downgrade: no<br>
        prefetch: yes<br>
        auto-trust-anchor-file: "/usr/local/etc/unbound/root.key"<br>
        domain-insecure: "cesta."<br>
        key-cache-size: 40m<br>
        key-cache-slabs: 8<br>
        neg-cache-size: 10m<br>
        ratelimit: 4000<br>
        ratelimit-below-domain: <a href="http://ultra.brightmail.com" rel="noreferrer" target="_blank">ultra.brightmail.com</a>. 100<br>
python:<br>
remote-control:<br>
        control-enable: yes<br>
        control-interface: 127.0.0.1<br>
        control-interface: ::1<br>
<br>
</blockquote></div>