"DNS service is not running" nach Update von FTL v5.7 auf FTL v5.8.1

Hallo Gemeinde.

ich habe Probleme bei dem Update von:

Pi-hole v5.2.4
Web Interface v5.4
FTL v5.7

Auf die aktuellen Versionen.

Unbound ist nach dieser Anleitung aktiv und läuft seit Jahren:
unbound - Pi-hole documentation
https://docs.pi-hole.net/guides/dns/unbound/

pihole -up

[...]
[✓] Enabling pihole-FTL service to start on reboot...
[✓] Restarting pihole-FTL service...
[i] Upgrading gravity database from version 13 to 14
[✓] Deleting existing list cache
[✗] DNS service is not running
[✓] Restarting DNS server
[i] Time until retry: 83

Wer kann helfen?

Bitte lade ein Debug Log hoch und poste hier anschliessend nur das Token.
Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

Da ist nichts geheimes dabei. Was genau du preisgibst, wurde dir ja in der Ausgabe angezeigt, bevor du es hochgeladen hast.
Über den Token können Moderatoren und Entwickler 48h auf diese Infos zugreifen. Dann wird das automatisch gelöscht.
Die Informationen können uns aber helfen, Fehler und Probleme zu lösen.


Das Update hat tatsächlich nicht funktioniert

*** [ DIAGNOSING ]: Core version
[i] Core: v5.2.4 (https://discourse.pi-hole.net/t/how-do-i-update-pi-hole/249)
[i] Remotes: origin	https://github.com/pi-hole/pi-hole.git (fetch)
             origin	https://github.com/pi-hole/pi-hole.git (push)
[i] Branch: master
[i] Commit: v5.2.4-0-gcbfb58f

*** [ DIAGNOSING ]: Web version
[i] Web: v5.4 (https://discourse.pi-hole.net/t/how-do-i-update-pi-hole/249)
[i] Remotes: origin	https://github.com/pi-hole/AdminLTE.git (fetch)
             origin	https://github.com/pi-hole/AdminLTE.git (push)
[i] Branch: master
[i] Commit: v5.4-0-g989e1ba

*** [ DIAGNOSING ]: FTL version
[✓] FTL: v5.7 (https://discourse.pi-hole.net/t/how-do-i-update-pi-hole/249)

Andererseits scheint Pi-hole danach wieder funktioniert zu haben jedenfalls gibt es keinen Hinweis darauf, dass etwas nicht funktionieren würde.

Wie oft hast du denn das Update schon versucht?

Einige male, hat immer nicht geklappt.
Das ist eine VM, die immer wieder per Snapshot zurückgesetzt wird.

Was genau kann ich noch per Logs herausholen?

Der hochgeladene Debug-Log - war der vor oder nachdem du die VM nach einem (gescheiterten) Update zurückgesetzt hast?

Kannst du es bitte nochmal versuchen und den kompletten Log des Updates hier posten?

1 Like

Nun, das geht ja nicht, weil nach einem pihole -up der DNS stehen bleibt und der nichts mehr hochladen kann - weil der Name nicht aufgelöst werden kann :slight_smile:

Ich denke, hier liegt das Problem:

   3     2021-05-08 10:13:35  DNSMASQ_CONFIG        cannot reduce cache size from default when DNSSEC enabled
    
    DNSSEC=true
   CACHE_SIZE=0

Entweder Cache_Size=0 oder DNSSEC....

Verstehe noch nicht ganz.

Was sollte man da setzen wenn auf dem System ein Unbound läuft?

https://forum.kuketz-blog.de/viewtopic.php?t=3067&start=405

Danke vorab.

Hallo,

so ziemlich am Ende von der Seite steht warum bei Cache_Size=0, DNSSEC ausgeschaltet sein sollte.

Important steps:

In order to experience high speed and low latency DNS resolution, you need to make some changes to your Pi-hole. These configurations are crucial because if you skip these steps you may experience very slow response times:

  1. Open the configuration file /etc/dnsmasq.d/01-pihole.conf and make sure that cache size is zero by setting cache-size=0 . This step is important because the caching is already handled by the Unbound Please note that the changes made to this file will be overwritten once you update/modify Pi-hole.
  2. When you're using unbound you're relying on that for DNSSEC validation and caching, and pi-hole doing those same things are just going to waste time validating DNSSEC twice. In order to resolve this issue you need to untick the Use DNSSEC option in Pi-hole web interface by navigating to Settings > DNS > Advanced DNS settings .

No, that is wrong. Do not do that. Note the HUGE WARNING on that file:

dan@raspberrypi:~ $ head -n 200 /etc/dnsmasq.d/01-pihole.conf
# Pi-hole: A black hole for Internet advertisements
# (c) 2017 Pi-hole, LLC (https://pi-hole.net)
# Network-wide ad blocking via your own hardware.
#
# Dnsmasq config for Pi-hole's FTLDNS
#
# This file is copyright under the latest version of the EUPL.
# Please see LICENSE file for your rights under this license.

###############################################################################
#      FILE AUTOMATICALLY POPULATED BY PI-HOLE INSTALL/UPDATE PROCEDURE.      #
# ANY CHANGES MADE TO THIS FILE AFTER INSTALL WILL BE LOST ON THE NEXT UPDATE #
#                                                                             #
#        IF YOU WISH TO CHANGE THE UPSTREAM SERVERS, CHANGE THEM IN:          #
#                      /etc/pihole/setupVars.conf                             #
#                                                                             #
#        ANY OTHER CHANGES SHOULD BE MADE IN A SEPARATE CONFIG FILE           #
#                    WITHIN /etc/dnsmasq.d/yourname.conf                      #
###############################################################################

Any guide that tells you to edit files is wrong and should be disregarded.

There is absolutely no need to disable caching in Pi-hole. Advice telling you the opposite is snake oil.

Zur Reduzierung der cache_size in Verbindung mit Unbound gibt es hier im Forum schon einige längere Beiträge - Fazit: Reduktion (oder Abschalten) bringt keine Geschwindigkeitsvorteile.

Wie MothersCoffee schon schrieb DNSSEC braucht einen minimalen Cache (ich glaube 100...). Wenn du DNSSEC in unbound aktiviert hast, brauchst du es jedoch in Pi-hole nicht mehr.

Ich persönlich würde folgendes machen: nur unbound macht DNSSEC und Pi-holes cache-size bleibt einfach auf dem Standardwert.

Ich bin nach dieser Anleitung vorgegangen:
unbound - Pi-hole documentation https://docs.pi-hole.net/guides/dns/unbound/

Das klappt bei mir:

Test validation

You can test DNSSEC validation using

dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5335
dig sigok.verteiltesysteme.net @127.0.0.1 -p 5335

The first command should give a status report of SERVFAIL and no IP address. The second should give NOERROR plus an IP address.

Ich habe aktuell in der Pi-Hole WegGUI unter Settings / DNS / Use DNSSEC den Schalter AUS.

In der /etc/dnsmasq.d/01-pihole.conf ist

cache-size=0

gesetzt.

Scheint alles in Ordnung zu sein. Das Update hat auch geklappt.

Falls jemand eine FritzBox nutzt, das hier ist bei mir ebenfalls AUS:

DNS over TLS (DoT)
Verschlüsselte Namensauflösung im Internet (DNS over TLS)

Das ist eine gute Idee, denn

Das wird spätestens mit dem nächsten Pi-hole-Update wieder überschrieben.

Was ist denn der Standardwert? Oder soll man den Eintrag einfach entfernen?

10000

Das wäre am Besten.