PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken! - Forum - Page 11

LxDj

2 Frags in 2 Seconds

Registered: Jan 2003
Location: AT
Posts: 829

10.01.2021 - 12:45

Zitat aus einem Post von davebastard
welche server hast du bei Settings -> DNS eingetragen ?

kanns sein dass du als primary einen eingetragen hast der nicht zuverlässig ist und dann fragt er immer erst nach dem fail den secondary ? (cloudflare 1.1.1.1)

Cloudflare einfach aus Geschwindigkeitsgründen, aber ich hab das auch mit Google DNS etc. Alles schon versucht - Keine Veränderung.

Smut ich hab deinen Vorschlag jetzt versucht mit GMX. Da kann ich das Verhalten regelmäßig provozieren.
Beispiel - Aufruf des GMX Posteingangs - Da möchte er die Adresse 3c.gmx.net aufrufen.

Im Browser kommt die Timeout-Meldung
Hinterher gleich ein Lookup von der Pi-Console aus (linke Seite) und von meinen Rechner aus (rechtes Fenster).
Beide bekommen Antwort. Danach einmal das Browserfenster refreshed und tada - Seite ist ganz normal da.

Ich tu mir schwer das wirklich in "Echtzeit" zu prüfen, da es eben in einem Moment nicht geht und 2 Sekunden später funktioniert.
Das ganze ist auch nicht beider jeder Seite - eher bei 5-10% aller Anfragen, aber dennoch unerträglich.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11526

10.01.2021 - 12:51

ist es sicher dass der fehler an pihole liegt ? wenn du lokal 1.1.1.1 verwendest gehts ?

edit: sry nehm an das hast schon probiert aber nur zur sicherheit

edit2: irgendwelche internetsecurity oder ähnliche snakeoil pakete aktiv ? dann mal testweise abschalten...

edit3: was sagt das query log zu dem korrespondierenden query wenns fehlschlägt ?

Bearbeitet von davebastard am 10.01.2021, 13:35

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19591

10.01.2021 - 13:18

Ich würde auf jeden Fall mal UniFi IPS/IDS ausschalten testweise, selbiges für lokale Virenscanner und deren Browser-Plugins um solche Probleme mal auszuschließen.

Auch mal testen im Privacy Mode bzw. mit allen Browser Plugins deaktiviert (insbesondere für sowas wie HTTPS Everywhere, Decentraleyes etc.).

Hat dein Netzwerk die Möglichkeit eine andere Route zu gehen (innerhalb von deinem Netzwerk) als raus gegangen ist?
Manchmal blockieren Firewalls/Router (UniFi?) Pakete die nicht am selben Weg zurückkommen wie dessen Anfrage raus gegangen sind und werden dann eingehend blockiert (resultiert dann eben in Timeout weil nichts ankommt), Assymetric Routing?

Als Browser würde ich auch mal z.B. Firefox verwenden, falls das da oben Chrome ist - Chrome macht da mittlerweile gerne seine eigenen Shenanigans was DNS Anfragen angeht um Blocker zu umgehen ...

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11902

10.01.2021 - 13:31

Zitat aus einem Post von LxDj
Im Browser kommt die Timeout-Meldung

Ich kenne die Chrome-Diagnose- bzw. -Fehlermeldungen nicht gut (https://coloss.us.to/chrome_truth.png), aber das ist imo kein DNS-Problem - da wurde der Name schon aufgeloest, nur der TCP-Handshake oder der initiale Datentransfer mit HTTPS/L7-Payload laeuft in ein Timeout.

Wireshark bzw. die Dev-Tools deines Browsers koennten helfen, das eigentliche Problem zu eruieren.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11526

10.01.2021 - 13:38

Zitat aus einem Post von COLOSSUS
[...]https://coloss.us.to/chrome_truth.png[...]

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19591

10.01.2021 - 14:06

Pf, ja ich hab letztens die Erfahrung mit Chrome machen dürfen weil irgendwie Pi-Hole eigentlich gar keine Werbung mehr geblockt hat auf unseren Smartphones (wo immer noch Chrome installiert ist) wegen Async DNS Resolver (bzw. mittlerweile heißt es anders iirc) :rolleyes:

LxDj

2 Frags in 2 Seconds

Registered: Jan 2003
Location: AT
Posts: 829

10.01.2021 - 17:05

Zuerst mal Danke für die Antworten.

Ich hab am USG sämtliche Sachen bis auf DPI auf OFF, hab testweise DPI auch ausgeschalten - keine Veränderung.

Getestet und aufgetaucht sind die Probleme auf Chrome mit und ohne Extensions, Safari, Handybrowser von Android und Apple, aber auch Geräte wie eine Shield oder Echos bekamen die "retried" Probleme zu spüren.
Also kein Device blieb verschont.

Ich hab jetzt mal folgendes gemacht.
Im USG habe ich den zu kommunizierenden DNS auf Cloudflare geändert und die Änderung ans USG provisioniert = Alle Geräte bekommen den neuen DNS. Ergebnis - alles funktioniert, logischerweise habe ich jetzt die Pi-Hole Funktionalität verloren.

Dann habe ich meinem Rechner manuell Pi-Hole als DNS eingetragen und geschaut was passiert.
Info: Am Pi-Hole ist ebenso Cloudflare als DNS Upstream hinterlegt.

Jetzt habe ich keine Probleme mehr beim Surfen auf diesem Gerät.
Ich habe zwar noch den ein oder anderen "Retried" Status, aber alle Seiten werden zügig so geladen wie es sein soll. Würde ich nicht ins Log schauen, es würde mir nicht auffallen.

Also was bitteschön ist der Unterschied zwischen IP des DNS manuell eintragen und DNS Server über das USG verteilen lassen?

Kann es dann wirklich die Anzahl an Geräten sein? (ca. 30)
Die Hardware schnarcht eigentlich vor sich hin.

Füge noch ein Bild an von den wenigen "Retried" Antworten als Pi-Hole manuell bei mir eingetragen war. Wie gesagt ich sehe es zwar im Log, aber in der Praxis fällt es nicht auf.
Die erste Anfrage war ein Pi-Hole Forumsbeitrag, die zweite vermutlich die Signal Desktop App.

Bearbeitet von LxDj am 10.01.2021, 17:19

HVG

untitled

Registered: Jun 2000
Location: NÖ
Posts: 5952

17.01.2021 - 19:14

zwei punkte als ergänzung die mir bei der einrichtung im detail noch abgangen sind:
1: unbound am besten noch für alle clients direkt über den dhcp zuweisen
im openwrt wär das zb unter "network", "interfaces" und dort unterm lan interface bei "dhcp server" im reiter "advanced settings" den unbound dns unter "dhcp-options" eintragen.

2: im pihole unter "settings", "dns" und dann weiter unten bei "advanced dns settings" das "conditional forwarding" aktivieren damit dann zb im pihole dashboard auch die hostnames anzeigt werden statt den ip adressen.

LxDj

2 Frags in 2 Seconds

Registered: Jan 2003
Location: AT
Posts: 829

18.01.2021 - 07:01

Hab bei mir die Adressen alle in die hosts eingetragen - geht auch.

Nochmal zu meinem Setting - Ich verfüge leider nicht über die Expertise das selbst zu lösen :/

Router (WAN) <--> (LAN) Ubiquiti USG [DHCP] --> Clients

Im USG hab ich den Pi als DNS Server eingetragen und die Clients greifen auch schön brav darauf zu. Alles funktioniert perfekt.
Aber nach ~ 4 Tagen beginnen dann die Probleme und DNS Anfragen (zumindest viele) werden nicht mehr beantwortet und vom Pi mit einem "retried" beantwortet.

Selbst wenn ich dann alles vom Router über USG, bis zum Pi neu starte macht es keinen Unterschied.

Im USG trage ich als Gegenprobe einen anderen DNS Server statt des Pi-Holes ein (zb Cloudflare), warte bis sich die Clients die Settings holen und alles funktioniert.
Cloudflare ist auch im Pi eingetragen, daher denke ich nicht, dasss es am DNS Upstream an sich liegt.

Um dann weiter zu testen habe ich dann nur meinem Desktop die DNS des Pi-Servers eingetragen und kann auch ganz normal surfen.

Also habe ich 2 Vermutungen:

1) Anzahl der Geräte: Obwohl das Pi-Hole kaum ausgelastet ist wäre es denkbar, dass es zu viele Geräte sind!?

2) Es gibt irgendein "Log-File" oder sonst irgendeine "Table" die befüllt wird und nach X - Einträgen voll läuft.
(Das würde auch die 4 Tage perfektes funktionieren zu Beginn erklären)

Bearbeitet von LxDj am 18.01.2021, 07:04

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7250

18.01.2021 - 08:27

Im Netz gibt es ein paar (relativ aktuelle) Fragen zu Pihole 'retired Status'

https://www.reddit.com/r/pihole/com..._from_a_single/

https://discourse.pi-hole.net/t/ios...g-sites/41446/8

...allerdings keine Lösung dabei :/

Zu viele Geräte/Auslastung glaub ich eher nicht.

Ich würd an deiner Stelle im Pihole einen anderen Upstream DNS hinterlegen und testen.

Wenn das nicht erfolgreich ist, würde ich (wie im Tutorial hier beschrieben) Unbound installieren und diesen als rekursiven DNS für's Pihole agieren lassen.

Das geht schnell und läuft alles bis heute stabil und zufriedenstellend.

PS: Danke HVG für die Ergänzung - Ich habe diesen Part damals bewusst weggelassen, da ich nicht den PiHole DHCP verwende, sondern meinem Unifi-Netz dies überlasse. Dies hat den kleinen Nachteil, dass ich IPs statt Namen in den Pihole Logs sehe...allerdings lese ich in den letzten Monaten in den Unifi Changelogs immer wieder Probleme mit Unifi & 'fremden DHCPs', die kleine Downside ist verkraftbar :]

LxDj

2 Frags in 2 Seconds

Registered: Jan 2003
Location: AT
Posts: 829

18.01.2021 - 08:47

Zitat aus einem Post von TOM
Ich würd an deiner Stelle im Pihole einen anderen Upstream DNS hinterlegen und testen.

Alles schon versucht :/

Unbound werd ich mir anschauen.

HVG

untitled

Registered: Jun 2000
Location: NÖ
Posts: 5952

18.01.2021 - 09:39

ich verwend auch nicht pihole als dhcp sondern openwrt

das mit den ips lässt sich imho mit meinem zweiten punkt lösen (wenn du deine clients meinst).

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11526

18.01.2021 - 09:56

ja same here, verwende auch den router (openwrt) als dhcp. für sowas essentielles will ich nicht ein service das in einem docker container rennt...

Luki

bierernst

Registered: Nov 2003
Location: gradec
Posts: 2960

18.01.2021 - 11:42

Ich wuerde empfehlen, statt Cloudflare oder Google direkt mit den DNS Root Servern zu sprechen => sonst schickst du ja deine kompletten DNS Daten wieder zu einem Provider...

LG

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11526

18.01.2021 - 13:28

Zitat aus einem Post von __Luki__
Ich wuerde empfehlen, statt Cloudflare oder Google direkt mit den DNS Root Servern zu sprechen => sonst schickst du ja deine kompletten DNS Daten wieder zu einem Provider...

LG

irgendwelche nachteile hat das aber auch, ich kann mich jetzt nicht mehr erinnern was aber ich hab das damals auch recherchiert....

LxDj 2 Frags in 2 Seconds Registered: Jan 2003 Location: AT Posts: 829	10.01.2021 - 12:45 Zitat aus einem Post von davebastard welche server hast du bei Settings -> DNS eingetragen ? kanns sein dass du als primary einen eingetragen hast der nicht zuverlässig ist und dann fragt er immer erst nach dem fail den secondary ? (cloudflare 1.1.1.1) Cloudflare einfach aus Geschwindigkeitsgründen, aber ich hab das auch mit Google DNS etc. Alles schon versucht - Keine Veränderung. Smut ich hab deinen Vorschlag jetzt versucht mit GMX. Da kann ich das Verhalten regelmäßig provozieren. Beispiel - Aufruf des GMX Posteingangs - Da möchte er die Adresse 3c.gmx.net aufrufen. Im Browser kommt die Timeout-Meldung Hinterher gleich ein Lookup von der Pi-Console aus (linke Seite) und von meinen Rechner aus (rechtes Fenster). Beide bekommen Antwort. Danach einmal das Browserfenster refreshed und tada - Seite ist ganz normal da. Ich tu mir schwer das wirklich in "Echtzeit" zu prüfen, da es eben in einem Moment nicht geht und 2 Sekunden später funktioniert. Das ganze ist auch nicht beider jeder Seite - eher bei 5-10% aller Anfragen, aber dennoch unerträglich.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11526	10.01.2021 - 12:51 ist es sicher dass der fehler an pihole liegt ? wenn du lokal 1.1.1.1 verwendest gehts ? edit: sry nehm an das hast schon probiert aber nur zur sicherheit edit2: irgendwelche internetsecurity oder ähnliche snakeoil pakete aktiv ? dann mal testweise abschalten... edit3: was sagt das query log zu dem korrespondierenden query wenns fehlschlägt ? Bearbeitet von davebastard am 10.01.2021, 13:35
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19591	10.01.2021 - 13:18 Ich würde auf jeden Fall mal UniFi IPS/IDS ausschalten testweise, selbiges für lokale Virenscanner und deren Browser-Plugins um solche Probleme mal auszuschließen. Auch mal testen im Privacy Mode bzw. mit allen Browser Plugins deaktiviert (insbesondere für sowas wie HTTPS Everywhere, Decentraleyes etc.). Hat dein Netzwerk die Möglichkeit eine andere Route zu gehen (innerhalb von deinem Netzwerk) als raus gegangen ist? Manchmal blockieren Firewalls/Router (UniFi?) Pakete die nicht am selben Weg zurückkommen wie dessen Anfrage raus gegangen sind und werden dann eingehend blockiert (resultiert dann eben in Timeout weil nichts ankommt), Assymetric Routing? Als Browser würde ich auch mal z.B. Firefox verwenden, falls das da oben Chrome ist - Chrome macht da mittlerweile gerne seine eigenen Shenanigans was DNS Anfragen angeht um Blocker zu umgehen ...
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11902	10.01.2021 - 13:31 Zitat aus einem Post von LxDj Im Browser kommt die Timeout-Meldung Ich kenne die Chrome-Diagnose- bzw. -Fehlermeldungen nicht gut (https://coloss.us.to/chrome_truth.png), aber das ist imo kein DNS-Problem - da wurde der Name schon aufgeloest, nur der TCP-Handshake oder der initiale Datentransfer mit HTTPS/L7-Payload laeuft in ein Timeout. Wireshark bzw. die Dev-Tools deines Browsers koennten helfen, das eigentliche Problem zu eruieren.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11526	10.01.2021 - 13:38 Zitat aus einem Post von COLOSSUS [...]https://coloss.us.to/chrome_truth.png[...]
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19591	10.01.2021 - 14:06 Pf, ja ich hab letztens die Erfahrung mit Chrome machen dürfen weil irgendwie Pi-Hole eigentlich gar keine Werbung mehr geblockt hat auf unseren Smartphones (wo immer noch Chrome installiert ist) wegen Async DNS Resolver (bzw. mittlerweile heißt es anders iirc)
LxDj 2 Frags in 2 Seconds Registered: Jan 2003 Location: AT Posts: 829	10.01.2021 - 17:05 Zuerst mal Danke für die Antworten. Ich hab am USG sämtliche Sachen bis auf DPI auf OFF, hab testweise DPI auch ausgeschalten - keine Veränderung. Getestet und aufgetaucht sind die Probleme auf Chrome mit und ohne Extensions, Safari, Handybrowser von Android und Apple, aber auch Geräte wie eine Shield oder Echos bekamen die "retried" Probleme zu spüren. Also kein Device blieb verschont. Ich hab jetzt mal folgendes gemacht. Im USG habe ich den zu kommunizierenden DNS auf Cloudflare geändert und die Änderung ans USG provisioniert = Alle Geräte bekommen den neuen DNS. Ergebnis - alles funktioniert, logischerweise habe ich jetzt die Pi-Hole Funktionalität verloren. Dann habe ich meinem Rechner manuell Pi-Hole als DNS eingetragen und geschaut was passiert. Info: Am Pi-Hole ist ebenso Cloudflare als DNS Upstream hinterlegt. Jetzt habe ich keine Probleme mehr beim Surfen auf diesem Gerät. Ich habe zwar noch den ein oder anderen "Retried" Status, aber alle Seiten werden zügig so geladen wie es sein soll. Würde ich nicht ins Log schauen, es würde mir nicht auffallen. Also was bitteschön ist der Unterschied zwischen IP des DNS manuell eintragen und DNS Server über das USG verteilen lassen? Kann es dann wirklich die Anzahl an Geräten sein? (ca. 30) Die Hardware schnarcht eigentlich vor sich hin. Füge noch ein Bild an von den wenigen "Retried" Antworten als Pi-Hole manuell bei mir eingetragen war. Wie gesagt ich sehe es zwar im Log, aber in der Praxis fällt es nicht auf. Die erste Anfrage war ein Pi-Hole Forumsbeitrag, die zweite vermutlich die Signal Desktop App. Bearbeitet von LxDj am 10.01.2021, 17:19
HVG untitled Registered: Jun 2000 Location: NÖ Posts: 5952	17.01.2021 - 19:14 zwei punkte als ergänzung die mir bei der einrichtung im detail noch abgangen sind: 1: unbound am besten noch für alle clients direkt über den dhcp zuweisen im openwrt wär das zb unter "network", "interfaces" und dort unterm lan interface bei "dhcp server" im reiter "advanced settings" den unbound dns unter "dhcp-options" eintragen. 2: im pihole unter "settings", "dns" und dann weiter unten bei "advanced dns settings" das "conditional forwarding" aktivieren damit dann zb im pihole dashboard auch die hostnames anzeigt werden statt den ip adressen.
LxDj 2 Frags in 2 Seconds Registered: Jan 2003 Location: AT Posts: 829	18.01.2021 - 07:01 Hab bei mir die Adressen alle in die hosts eingetragen - geht auch. Nochmal zu meinem Setting - Ich verfüge leider nicht über die Expertise das selbst zu lösen :/ Router (WAN) <--> (LAN) Ubiquiti USG [DHCP] --> Clients Im USG hab ich den Pi als DNS Server eingetragen und die Clients greifen auch schön brav darauf zu. Alles funktioniert perfekt. Aber nach ~ 4 Tagen beginnen dann die Probleme und DNS Anfragen (zumindest viele) werden nicht mehr beantwortet und vom Pi mit einem "retried" beantwortet. Selbst wenn ich dann alles vom Router über USG, bis zum Pi neu starte macht es keinen Unterschied. Im USG trage ich als Gegenprobe einen anderen DNS Server statt des Pi-Holes ein (zb Cloudflare), warte bis sich die Clients die Settings holen und alles funktioniert. Cloudflare ist auch im Pi eingetragen, daher denke ich nicht, dasss es am DNS Upstream an sich liegt. Um dann weiter zu testen habe ich dann nur meinem Desktop die DNS des Pi-Servers eingetragen und kann auch ganz normal surfen. Also habe ich 2 Vermutungen: 1) Anzahl der Geräte: Obwohl das Pi-Hole kaum ausgelastet ist wäre es denkbar, dass es zu viele Geräte sind!? 2) Es gibt irgendein "Log-File" oder sonst irgendeine "Table" die befüllt wird und nach X - Einträgen voll läuft. (Das würde auch die 4 Tage perfektes funktionieren zu Beginn erklären) Bearbeitet von LxDj am 18.01.2021, 07:04
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7250	18.01.2021 - 08:27 Im Netz gibt es ein paar (relativ aktuelle) Fragen zu Pihole 'retired Status' https://www.reddit.com/r/pihole/com..._from_a_single/ https://discourse.pi-hole.net/t/ios...g-sites/41446/8 ...allerdings keine Lösung dabei :/ Zu viele Geräte/Auslastung glaub ich eher nicht. Ich würd an deiner Stelle im Pihole einen anderen Upstream DNS hinterlegen und testen. Wenn das nicht erfolgreich ist, würde ich (wie im Tutorial hier beschrieben) Unbound installieren und diesen als rekursiven DNS für's Pihole agieren lassen. Das geht schnell und läuft alles bis heute stabil und zufriedenstellend. PS: Danke HVG für die Ergänzung - Ich habe diesen Part damals bewusst weggelassen, da ich nicht den PiHole DHCP verwende, sondern meinem Unifi-Netz dies überlasse. Dies hat den kleinen Nachteil, dass ich IPs statt Namen in den Pihole Logs sehe...allerdings lese ich in den letzten Monaten in den Unifi Changelogs immer wieder Probleme mit Unifi & 'fremden DHCPs', die kleine Downside ist verkraftbar :]
LxDj 2 Frags in 2 Seconds Registered: Jan 2003 Location: AT Posts: 829	18.01.2021 - 08:47 Zitat aus einem Post von TOM Ich würd an deiner Stelle im Pihole einen anderen Upstream DNS hinterlegen und testen. Alles schon versucht :/ Unbound werd ich mir anschauen.
HVG untitled Registered: Jun 2000 Location: NÖ Posts: 5952	18.01.2021 - 09:39 ich verwend auch nicht pihole als dhcp sondern openwrt das mit den ips lässt sich imho mit meinem zweiten punkt lösen (wenn du deine clients meinst).
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11526	18.01.2021 - 09:56 ja same here, verwende auch den router (openwrt) als dhcp. für sowas essentielles will ich nicht ein service das in einem docker container rennt...
__Luki__ bierernst Registered: Nov 2003 Location: gradec Posts: 2960	18.01.2021 - 11:42 Ich wuerde empfehlen, statt Cloudflare oder Google direkt mit den DNS Root Servern zu sprechen => sonst schickst du ja deine kompletten DNS Daten wieder zu einem Provider... LG
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11526	18.01.2021 - 13:28 Zitat aus einem Post von __Luki__ Ich wuerde empfehlen, statt Cloudflare oder Google direkt mit den DNS Root Servern zu sprechen => sonst schickst du ja deine kompletten DNS Daten wieder zu einem Provider... LG irgendwelche nachteile hat das aber auch, ich kann mich jetzt nicht mehr erinnern was aber ich hab das damals auch recherchiert....

PiHole with Unbound (recursive DNS) Step-by-Step Tutorial | The internet is broken!

Forum Index > Hardware > Systeme > DIY/SoC

LxDj

davebastard

daisho

COLOSSUS

davebastard

daisho

LxDj

HVG

LxDj

TOM

LxDj

HVG

davebastard

__Luki__

davebastard

Luki