Browsen funktioniert rest ist abgeschnitten - Windows 11

hoshi77 · March 18, 2024, 8:28pm

Wie so oft "ohne Änderung" habe ich ein nicht nachvollziehbares Verhalten:

Mein Windows 11 hängt an einem Pi-Hole auf Raspi Basis. Browsen mit Chrome funktioniert, aber weder ein ping, nslookup auf cmd noch ein Windows Update.

Ich habe im Netzwerkadapter (Ethernet) auf IPv4 eingeschränkt um die Fehlerquelle IPv6 auszuschließen.

ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : DESKTOP-2021
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : fritz.box

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Realtek Gaming 2.5GbE Family Controller
   Physische Adresse . . . . . . . . : 18-C0-4D-DA-4B-1A
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.10.61(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 18. März 2024 21:02:04
   Lease läuft ab. . . . . . . . . . : Donnerstag, 28. März 2024 21:02:03
   Standardgateway . . . . . . . . . : 192.168.10.1
   DHCP-Server . . . . . . . . . . . : 192.168.10.1
   DNS-Server  . . . . . . . . . . . : 192.168.10.44
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Der DNS Server passt und ich bekomme auch den Client im pihole.log angezeigt:

Mar 18 21:22:57: query[A] www.heise.de from 192.168.10.61
Mar 18 21:22:57: cached www.heise.de is 193.99.144.85 
Mar 18 21:22:57: query[HTTPS] www.heise.de from 192.168.10.61 
Mar 18 21:22:57: forwarded www.heise.de to 9.9.9.10 
Mar 18 21:22:57: reply www.heise.de is NODATA 
Mar 18 21:22:57: query[A] cmp.heise.de from 192.168.10.61
Mar 18 21:22:57: forwarded cmp.heise.de to 9.9.9.10 
Mar 18 21:22:57: query[HTTPS] cmp.heise.de from 192.168.10.61 
Mar 18 21:22:57: forwarded cmp.heise.de to 9.9.9.10

Führe ich aber ein nslookup oder ping auf der Kommandozeile aus:

C:\Users\hoshi77>ping heise.de
Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.

C:\Users\hoshi77>nslookup heise.de
Server:  pi.hole
Address:  192.168.10.44

Nicht autorisierende Antwort:
Name:    heise.de.fritz.box
Addresses:  2001:19f0:6c00:1b0e:5400:4ff:fecd:7828
          45.76.93.104

MS-Teams funktioniert auch nicht. Außer im Browser(Chrome).

Kennt jemand das Verhalten von Windows 11? Welche Einstellung könnte mir helfen?

Vielen Dank vorab!

Update: Verhalten ist im abgesichtern Modus mit Netzwerktreibern genauso.

Bucking_Horn · March 18, 2024, 9:32pm

Zumindest Dein nslookup oben hat funktioniert:

hoshi77:

C:\Users\hoshi77>nslookup heise.de
Server:  pi.hole
Address:  192.168.10.44

Nicht autorisierende Antwort:
Name:    heise.de.fritz.box
Addresses:  2001:19f0:6c00:1b0e:5400:4ff:fecd:7828
          45.76.93.104

Pi-hole beantwortet die DNS-Anfrage also korrekt - allerdings die nach heise.de.fritz.box!

Die öffentliche Domäne fritz.box ist seit kurzem im Besitz von unbekannten Dritten, nicht mehr AVM (dem Hersteller der FritzBox-Router, siehe auch Pi-Hole server only reachable by IP - #6 by Bucking_Horn).

Du solltest Piholes Conditional Forwarding aktivieren, um die Namensauflösung für *.fritz.box an Deine FritzBox zu delegieren.

ping könnte z.B. bei Dir scheitern, wenn es die zurückgelieferte IPv6-Adresse verwenden würde, aber IPv6 bei Dir deaktiviert ist.
Funktionieren denn ein ping -4 bzw. ping -6?

ping unter Windows ist auch dafür bekannt, mitunter überhaupt keine DNS-Anfragen zu stellen, sondern nur auf andere Methoden zur Namensauflösung zurückzugreifen.
Die DNS-Auflösung lässt sich durch die vollständige Angabe des FQDN erreichen, also indem man einen Punkt anfügt:

ping heise.de.

hoshi77 · March 19, 2024, 5:47am

Vielen Dank für die Antwort!

Ich habe conditional forwarding aktiviert:

ich habe IPv6 deaktiviert

Sieht besser aus:

F:\Programming\Arduino>nslookup heise.de
Server:  pi.hole
Address:  192.168.10.44

Nicht autorisierende Antwort:
Name:    heise.de
Addresses:  2a02:2e0:3fe:1001:302::
          193.99.144.80

und jetzt kommts:

F:\Programming\Arduino>nslookup git.hidrive.strato.com
Server:  pi.hole
Address:  192.168.10.44

Nicht autorisierende Antwort:
Name:    git.hidrive.strato.com
Address:  85.214.3.70


F:\Programming\Arduino>

liefert eine Antwort aber


F:\Programming\Arduino>git push origin
ssh: Could not resolve hostname git.hidrive.strato.com: Name or service not known
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

F:\Programming\Arduino>

schlägt fehlt.

Ich denke das ist ein Kernproblem: nslookup liefert eine IP-Adresse, aber

ssh, Windows Update, etc. funktionieren nicht. Arduino IDE startet auch nicht.

Bucking_Horn · March 19, 2024, 11:29am

Deine Ausgaben zeigen wieder, dass Pi-hole die richtigen Antworten liefert, sofern es gefragt wird.

Tauchen beim Ausführen von ping oder git entsprechende Anfragen in Pi-holes Query Log auf?

Und was erhälst Du von ping bei forcierter Verwendung von IPv4 und IPv6 sowie bei Angabe der vollständigen FQDN ausprobiert?

hoshi77 · March 19, 2024, 12:43pm

Danke Bucking_Horn, dass du da dran bleibst!

Also ich habe mittlerweile den Treiber der Netzwerkkarte aktualisiert und lasse weiterhin IPv6 deaktiviert.

Wenn ich nun nslookup auf den Strato Server mache bekomme ich eine Antwort und es taucht im Query-Log auf

F:\Programming\Arduino>nslookup git.hidrive.strato.com
Server:  pi.hole
Address:  192.168.10.44

Nicht autorisierende Antwort:
Name:    git.hidrive.strato.com
Address:  85.214.3.70

Ein git pull danach schlägt fehl und es taucht keine Meldung im Query Log auf:

F:\Programming\Arduino>git pull
ssh: Could not resolve hostname git.hidrive.strato.com: Name or service not known
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

Auch mal ping -4, das fehlschlägt:

F:\Programming\Arduino>git pull
ssh: Could not resolve hostname git.hidrive.strato.com: Name or service not known
fatal: Could not read from remote repository.

--> Pihole funktioniert, aber es gibt wohl eine Entkopplung von
(a) Browser und nslookup die funktionieren und
(b) ping, ssh, git, Windows-Update, die nicht funktionieren.

Ich weiß, das ist nun nicht mehr Pihole bezogen, aber weiß da jemand Rat?

Bucking_Horn · March 20, 2024, 10:17am

Sieht eher aus wie git pull.

Funktioniert denn z.B. (inklusive Punkt am Ende):

ping -4 heise.de.

nslookup ist insofern besonders, als es die Anfrage direkt an den DNS-Server stellt.
Andere Software nutzt in der Regel den Windows-DNS-Client, der DNS-Antworten auch aus einem Cache ausliefert.

Unter Win11 sollte ein Powershell-Kommando verfügbar sein, das ebenfalls den Windows-DNS-Client verwendet, z.B.

Resolve-DnsName heise.de

Ich würde erwarten, dass dies auf dieselben Probleme stösst wie der Rest Deiner Software. Der Nutzen beschränkt sich also darauf, den Fehler eindeutiger dem Windows-DNS-Client zuzuordnen.

Vielleicht hilft ein Zurücksetzen des DNS-Auflösungscache:

ipconfig /flushdns

Selbst wenn das funktioniert, wäre das aber nur eine temporäre Massnahme, die bei jedem erneuten Auftreten wiederholt werden müsste.

Es gibt Hinweise darauf, dass Windows eine über UDP gestellte DNS-Anfrage, deren Antwort zu groß für UDP ist, unter ungeklärten Umständen nicht ordnungsgemäß über TCP wiederholt (siehe z.B. [Dnsmasq-discuss] dnsmasq 2.90 reply truncated).

Möglicherweise ist das der Grund für Deine Beobachtung.

Ein Heraufsetzen von edns-packet-max für pihole-FTL/dnsmasq könnte hier kurzzeitig positiv wirken, jedoch wird diese Größe in der Regel dynamisch ausgehandelt und in der Folge umgehend korrigiert, sobald ein Upstream eine neue Maximalgröße zurückmeldet.

Es deutet also vieles darauf hin, dass Deine Auflösungsprobleme nur durch Anpassung von Microsofts Windows DNS Client lösbar wären.

hoshi77 · March 20, 2024, 4:01pm

So, es liegt wohl am Windows-DNS-Client (oder auch nicht):

Ich habe als DNS Server im Netzwerkadapter 8.8.8.8 eingestellt

F:\Programming\Arduino>nslookup heise.de
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    heise.de
Addresses:  2a02:2e0:3fe:1001:302::
          193.99.144.80


F:\Programming\Arduino>ping -4 heise.de
Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.

F:\Programming\Arduino>

Und in der Powershell gehts

PS F:\Programming\Arduino> Resolve-DnsName heise.de

Name                                           Type   TTL   Section    IPAddress
----                                           ----   ---   -------    ---------
heise.de                                       AAAA   10540 Answer     2a02:2e0:3fe:1001:302::
heise.de                                       A      1470  Answer     193.99.144.80


PS F:\Programming\Arduino>

Jetzt ist pihole raus. Nur noch eine Frage: weiß jemand, wie ich den Windows-DNS-Client auf Standard zurücksetze?

hoshi77 · March 20, 2024, 6:59pm

Also, ich habe Windows zurückgesetzt und jetzt geht es wieder.

Auch andere Reparaturen haben vorher nichts gebracht.

Vielen Dank trotzdem!

system · April 10, 2024, 6:59pm

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.