Ja, man kann es ja nicht lassen 
Also, fangen wir mit dem Wireguard-Server an, der macht mir am wenigsten Kummer, wenn was nicht läuft. Ich hatte also die sources.list angepasst und dann einfach mal drauf los. Danach lief mein unbound nicht mehr. Dazu gleich mehr.
Die sources.list macht schon mal viel Kummer, man liest da vieles im Netz. Auf meinem Zweit-PC heute eine Debian Bullseye Installation drauf gemacht. Die sources.list, sieht so aus
# deb cdrom:[Debian GNU/Linux 11.0.0 _Bullseye_ - Official amd64 NETINST 20210814-10:07]/ bullseye main
#deb cdrom:[Debian GNU/Linux 11.0.0 _Bullseye_ - Official amd64 NETINST 20210814-10:07]/ bullseye main
deb http://deb.debian.org/debian/ bullseye main non-free contrib
deb-src http://deb.debian.org/debian/ bullseye main non-free contrib
deb http://security.debian.org/debian-security bullseye-security main
deb-src http://security.debian.org/debian-security bullseye-security main
# bullseye-updates, to get updates before a point release is made;
# see https://www.debian.org/doc/manuals/debian-reference/ch02.en.html#_updates_and_backports
deb http://deb.debian.org/debian/ bullseye-updates main
deb-src http://deb.debian.org/debian/ bullseye-updates main
# This system was installed using small removable media
# (e.g. netinst, live or single CD). The matching "deb cdrom"
# entries were disabled at the end of the installation process.
# For information about how to configure apt package sources,
# see the sources.list(5) manual.
Und ganz wichtig! Unter /etc/apt/sources.list.d/ mal alles löschen
root@debian-2gb-:/etc/apt/sources.list.d# ls
hetzner-mirror.list hetzner-security-updates.list unstable.list
Der Profi aus Hamburg meint, das wäre normal und immer am Anfang einer Installation zu machen. 
Ok, war bei mir noch drin. Also, vor dem Upgrade unbedingt aufräumen!!
Jo, da war bei mir einiges durcheinander, aber meine Dummheit. Mein Script für die Blockliste hat ein wenig den Ordner unbound.conf.d vollgemüllt. Nachdem ich das mal aufgeräumt hatte, bekam ich von meiner blocklist.conf immer noch einen Fehler, beim Starten von unbound.
Meine blocklist.conf sah so aus
local-zone: "0.0.0.0" refuse
local-zone: "000000027.xyz" refuse
local-zone: "0.0.0.0.beeglivesex.com" refuse
Da muss am Anfang aber ein server: rein
server:
local-zone: "0.0.0.0" refuse
local-zone: "000000027.xyz" refuse
local-zone: "0.0.0.0.bXXXlivesex.com" refuse
Danach startete der unbound Dienst wieder einwandfrei. Da muss ich aber jetzt viel Zeit haben und gute Laune um die anderen Server alle zu upgraden
Habe neulich auch einen meiner rockpro64 neu mit Debian 11 installiert, und dabei auch die festplatte (NVMe eigentlich) verschlüsselt.
War mir erst unsicher das ich dann immer eine serielle Console brauch bei reboot. Man kann aber auch dropbear (SSH server) in die initram integrieren und dann während das booten den Server erreichen und die Passphrase für das Laufwerk eingeben.
Diese 2 links waren hilfreich.
https://salsa.debian.org/debian/dropbear/blob/debian/2018.76-5/debian/README.initramfs
https://unix.stackexchange.com/questions/411945/luks-ssh-unlock-strange-behaviour-invalid-authorized-keys-file
M
