DNS-Timeouts mit Docker Pi-hole [german]

(Durch Moderator verschoben)

Moin,

ich weiss nicht ob ich mein Fehler in die gleiche Richtung geht wie in Problem mit DNS Auflösung bei FritzBox seit Labor FW 7.19-77060/77061 beschrieben aber:

Bei mir läuft die
07.19-77259 BETA in Kombination mit pihole in Docker.

Leider bin ich recht zeitgleich auf die fb Beta und Docker umgestiegen und seit Tagen suche ich Geister.

Wenn ich dig t.co @$(hostname -I) ausführe bekomme ich ein timeout.

Bei dig t.co @8.8.8.8 erhalte ich ein Ergebnis

; <<>> DiG 9.10.3-P4-Debian <<>> t.co @8.8.8.8

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45599

;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 512

;; QUESTION SECTION:

;t.co. IN A

;; ANSWER SECTION:

t.co. 847 IN A 104.244.42.133

t.co. 847 IN A 104.244.42.69

t.co. 847 IN A 104.244.42.5


t.co. 847 IN A 104.244.42.197

;; Query time: 12 msec

;; SERVER: 8.8.8.8#53(8.8.8.8)

;; WHEN: Sun Apr 19 19:52:17 CEST 2020

;; MSG SIZE rcvd: 97

Wir sollten am Ende eine Zusammenfassung erstellen damit wir einheitlich bei AVM berichten.

Ich ziehe meine Aussage zurück.
Mein Pihole hat weiterhin Probleme mit Weiterleitungen von Twitter / t.co auf andere Seiten.

Mein zweiter pi mit Pihole direkt installiert statt in docker hat diese Probleme nicht.

Sicher das t.co nicht in einer Blocklist enthalten ist?

Ich musste t.co und weitere URL Shortener in die Whitelist hinzufügen.

Nein, leider nicht.
Beide raspi haben die gleiche blocklist und auch das deaktivieren änder nichts dran.
Nach mehrfachem Refresh klappt es plötzlich und für alle t.co links, zumindest temporär.

Hallo,
ich konnte auf den vorherigen Threat nicht mehr antworten (max. 3 replies...). Mich würde eure Meinung interessieren: zurück auf die FW 7.12 ist zwar ein Ausweg, aber keine Lösung, denn AVM wird ja bald die neue FW 7.19 final rausgeben mit einigen neuen guten Features. Von daher muss eine Lösung für Fritzbox in Kombination mit PiHole gefunden werden (oder ein Ersatz für PiHole). Wie kann man sich dem Problem weiter nähern?
Nebenbei: sind wir hier auch auf 3 Antworten beschränkt, dann sollten wir die Diskussion vielleicht woanders weiter führen...

• ich hatte bereits geschrieben, dass ein gemeinsames Statement formuliert werden sollte, dass wir AVM zukommen lassen... Also ein Beta Feedback, mit dem AVM arbeiten kann und wie ich AVM kenne, werden die sich schnell melden und traces einfordern.
  Leider kann dies nun niemand mehr liefern.

• Leider scheint das downgrade doch nicht geholfen zu haben zumindest bei mir

• Auch bare to the metal d.h. direkte installation hat bei mir nicht geholfen

• Ich glaube die Begrenzung auf drei Replies ist auf dich bezogen da du zu neu bist

Auch wenn ich mit mir selbst Rede:

Aktuelle Vermutung: DNSSEC Problem?

Deaktiviere ich DNSSEC zB. bei Cloudflare funktioniert es.
Kontroll-PI bestätigt dies.

Ich würde mal vermuten, dass dein Problem nicht unbedingt mit dem von mir geschilderten Problem zusammenhängt.

Ich kann dir z.B. aus Erfahrung sagen, dass DNSSEC bei cloudflare nicht wirklich gut funktioniert und häufig zu Fehlern führt.

Ich hatte gar kein DNSSEC eingeschaltet und trotzdem die Probleme.
Was ist deine Einschätzung, ist es eher AVM, die ein Problem haben oder reagiert die neue FW richtig auf DNS-requests und das Pi-Hole fragt nicht richtig an. Wenn man nämlich Pi-Hole weglässt, scheinen die dann direkt an die Fritzbox gerichteten Anfragen der clients beantwortet zu werden...
Ach, ich vergaß zu erwähnen, dass ich Pi-Hole nicht als Docker, sondern physikalisch auf dem Raspi betreibe.

Deswegen bist du im falschen Thread

Dein Problem wird von der Labor FW verursacht, daher tritt es ja wie du geschrieben hast mit der offiziellen FW nicht auf.

Und bei mir funktioniert es mit Docker und „gewöhnlich“ installiert sobald ich DNSSEC deaktiviere.

Wie bereits erwähnt, DNSSEC mit cloudflare macht nach meinen Erfahrungen Probleme, daher mal statt mit cloudflare mit Quad9 versuchen. Funktioniert es denn im Docker ohne DNSSEC auch?

Ob es am DNSSEC liegt siehst du übrigends im Query Log, die Zeile ist dann zwar grün (da nicht in einer Blocklist) aber im Reiter "Reply" steht BOGUS

ich habe alle durchprobiert.

Bogus sehe ich keinen aber:

1. DNSSEC ist unknown

2. es poppt folgendes auf:

Das sind aber Reverse Lookup Anfragen.

Wie ist denn dein Aufbau und die DNS Einstellungen deines Pi-hole?

ich weiss und wie gesagt ich fische im trüben... das ist das einzige was mir aufgefallen ist.

Ich habe DNSSEC aktiviert und
"Never forward non-FQDNs // Never forward reverse lookups for private IP ranges" deaktiviert was nichts an dem Problem ändert.

Normalerweise ist beides aktiviert sowie
Use Conditional Forwarding

IP of your router: 192.168.178.1
Local domain name: fritz.box

in der fritzbox habe ich raspi4.fritz.box als Rebind Schutz eingetragen.

Irgendwas in Kombination mit DNSSEC stört... Ist es deaktiviert flutscht es.

DNSSEC wird bei internen Reverse Lookup und DNS Anfragen nie funktionieren.

Dann hast du in der FB den Pi-Hole als Upstream unter Internet -> Zugangsdaten -> DNS Server & unter Heimnetz -> Netzwerkeinstellungen IPv4 & IPv6 wird er als DNS Server im Netz verteil?

Es soll auch nicht intern funktionieren aber ich kann mit DNSSEC nicht auf bestimmte domains zugreifen (siehe oben) und bekomme timeouts.

Internet -> Zugangsdaten -> DNS Server = 1.1.1.1 und 1.0.0.1
Heimnetz -> Netzwerkeinstellungen = IP Raspi4

Ich hatte pihoile auf meinem alten Raspi ca 2 Jahre so am laufen ohne Probleme mit DNSSEC.

EDIT: Ich werde mal versuchen auf meinem Raspi3 das Backup von Stretch wieder aufzuspielen.
Vielleicht ist es Buster, ich weiss es nicht...

Und wie sind die Upstream DNS Einstellungen des Pi-hole?

zweimal Cloudflare