seit dem letzte Update auf v5.12 / v5.17 habe ich deutlich Problem mit der Zuverlässigkeit. Es ist jetzt schon mehrfach passiert, dass User keinen Zugriff mehr wegen fehlender DNS Auflösung haben.
Ich sehe SERVFAIL in den Replies und meine mich erinnern zu können das da was mit der AUthentifizierung nicht passt - sorry, bin kein Experte. Ich habe bei mir Probleme mit der Zeitdifferenz gehabt. Nach einem Reboot oder längerer Downtime (Urlaub) hatte der Pi eine stark abweichende Uhrzeit, was dazu geführt hat, dass die Zertifikate von der Gegenseite abgelehnt wurde. Abhilfe schaffte ein RTC Modul. Kann sein, dass bei dir nach dem Neustart es einige Zeit braucht und dann die Zeit synchronisiert wird, welche vielleicht auf eine andere Zeitzone gesetzt ist?!
You see BOGUS in the replies, which means that unbound was not able to authenticate that the domain is valid. There is a certificate for the domain, but it did not authenticate.
For me to learn from this: what is the difference between SERVFAIL reply and BOGUS status?
@THG: laut @jfb ist das ein Zertifikats Problem, unbound konnte die Domain nicht validieren bzw. (meine Interpretation) hat unbound das invalide Zertifikat abgelehnt. Bringt dich das weiter?
Danke für die Antworten aber warum passiert das aus heiterem Himmel und nach einem Neustart ist dann alles wieder ok. Wenn ein Zertifikat ungültig ist, ist es doch nach einem Neustart immer noch ungültig.
Ohne Kenntnis der angefragten Domänen (im Bildschirmfoto geschwärzt) wird sich das nicht klären lassen.
Eine mögliche Erklärung:
DNSSEC-Datensätze müssen regelmässig durch den Betreiber des entsprechenden autoritativen DNS-Servers aktualisiert und neu signiert werden. Sollte hierbei ein Fehler passieren, wird die DNSSEC-Validierung durch Pi-hole fehlschlagen und als BOGUS gemeldet.
In der Regel wird das durch den DNS-Server-Betreiber umgehend korrigiert. Nach erfolgter Korrektur sollte die Auflösung i.d.R wieder funktionieren, spätestens nach Ablauf der TTL.
Eine andere Erklärung wäre, dass die DNS-Antworten manipuliert wurden und daher die DNSSEC-Validierung mit BOGUS fehlschlagen muss.
Vielleicht hilft der Upload eines Debug Token den Entwicklern? pihole -d
Du wirst im Prozess gefragt, ob du die Ergebnisse hochladen möchtest. Wenn du das machst, taucht am Ende dann ein Link auf, den hier posten. Dann können die sich das anschauen und sehen mehr.
Dein Bildschirmfoto zeigt eindeutig, dass das an unbound liegt - als der verwendete Upstream-DNS lehnt localhost#5335 die DNS-Anfragen ab (refused upstream).
Um das Problem weiter einzugrenzen, könntest Du Validierungsfehler in unbound loggen.
Falls Du unbound nach unserem Guide eingerichtet hast, änderst Du dazu den Anfang von /etc/unbound/unbound.conf.d/pi-hole.conf (s.a. Add logging to unbound):
server:
# If no logfile is specified, syslog is used
logfile: "/var/log/unbound/unbound.log"
verbosity: 0
val-log-level: 2
unbound erzeugt dann nach einem Neustart bei fehlgeschlagenen Validierungen Einträge wie diese:
[1662926622] unbound[30530:0] info: validation failure <sigfail.verteiltesysteme.net. A IN>: signature crypto failed from 134.91.78.141
Wenn tatsächlich alle Domänen betroffen sein sollten, könnte das -wie bereits von anderen erwähnt- auf eine falsche Zeiteinstellung auf dem RPi hindeuten. Mit einer inkorrekten Zeitbasis würden alle DNSSEC-Validierungen fehlschlagen, und zwar bereits bei der Validierung in unbound'.
Die von Dir durchgeführte Überprüfung der Zeit auf Deinem Pi-hole-Host scheint in einen Zeitraum zu fallen, in dem auch die testweisen dig-Kommandos wieder sauber durchgelaufen sind.
Kannst Du Dich erinnern, wie es mit der Zeit bei Auftreten der Störung aussah?
Es wäre auf jeden Fall sinnvoll, das dann unmittelbar zu prüfen.
Auf welcher Hardware läuft Pi-hole bei Dir?
Du könntest außerdem prüfen, ob die involvierten autoritativen DNS-Server zum Zeitpunkt des Ausfalls ggf. gestört waren.
Es wäre grundsätzlich schön, wenn man das Datum aber besonders die Uhrzeit im Status des Pihole sehen könnte, denn damit wäre eine sofortige Abweichung sichtbar.
Ich werde beim nächsten Auftreten mehr dokumentieren-