Делаем раз: обычная чистая установка FreeBSD любого релиза раньше 12.0 (которого ещё нет) или установка в виде NanoBSD с каталогом /var, в котором при загрузке нет /var/unbound/root.key - это файл с ключиками, которыми проверяются ответы, имеющие подписи, а нынче все корневые сервера и сервера первого уровня подписывают ответы.
Делаем два: используем штатный local_unbound из базовой системы (1.5.10) в качестве DNS-рекурсора и кеша.
Делаем три: загружаемся в тот момент, когда связи с внешним миром нет - авария у провайдера или там согласование PPPoE затянулось.
Стартовый скрипт local_unbound не находит root.key, пытается его обновить и обламывается из-за отсутствия связи. Hо всё равно запускает демона unbound, который в таком случае использует встроенную копию ключа, которая 11 октября 2018 протухла.
Happy KSK rollover day!
unbound отбрасывает все ответы, хоть работает напрямую, хоть через форвардеров ISC BIND из-за багов в древней версии 1.5.10
И нет, в local_unbound не прописана зависимость от NETWORKING или netwait, поэтому netwait_enable в rc.conf не всегда помогает.
Dag-Erling Smorgrav, маинтейнер local_unbound:
> That's not a supported configuration. > The local_unbound service was never intended to be started without > a network connection. > Please send patches.
В 12.0, к счастью, будет unbound свежее, который вроде бы сам умеет обновлять ключик, без ансамбля.
Eugene -- Господа Действительного Положения Вещей предохраняют себя от голода своим богатством, от общественного мнения - тайной и анонимностью, от частной критики - законами против клеветы и тем, что средства связи находятся в их распоряжении. (Hорберт Винер) --- slrn/1.0.3 (FreeBSD) * Origin: RDTC JSC (2:5006/1@fidonet)
