Domain sowohl in allowed als auch blocked queries Liste. Schräg. Wie kommt ich dahinter?

Hallo.
Es scheint im Screenshot aus dem Audit.log so, als wäre die eine Domain geblocked und gleichzeitig nicht geblocked. Das verwirrt mich, bzw. ich kann mir keinen Reim drauf machen.

Eine Prüfung über Tools > Query Adlists zeigt, dass "v10.events.data.microsoft.com" in einer Blocklist enthalten ist. Diese Blocklist ist im Rahmen der Installation von Pi-hole aufgenommen worden, nicht erst später. Schon "damals" war der Eintrag "v10.events.data.microsoft.com" in der Blocklist vorhanden (kam also nicht erst mit einem Update später). Ich hätte erwartet, dass alle Verbindungsversuche geblocked wurden/worden wären/gewesen sein hätten sollten/wasweissich. Unter anderem auch deshalb, weil Windows Server erst nach der Installation von Pi-hole ins Testnetz aufgenommen wurden. Trotzdem sind fast die Hälfte aller Anfragen aufgelöst worden.

Im Log gibt es diese Einträge (das Testnetz ist 192.168.254/8; Pi-hole hat die .6; der Router die .254):

00:04:53 dnsmasq: 192.168.254.63  query[A] v10.events.data.microsoft.com from 192.168.254.63
00:04:53 dnsmasq: 192.168.254.63  /etc/pihole/gravity.list v10.events.data.microsoft.com is 192.168.254.6

00:06:49 dnsmasq: 192.168.254.21  query[A] v10.events.data.microsoft.com from 192.168.254.21
00:06:49 dnsmasq: 192.168.254.21  /etc/pihole/gravity.list v10.events.data.microsoft.com is 192.168.254.6

00:06:49 dnsmasq: 192.168.254.121 query[A] v10.events.data.microsoft.com from 192.168.254.121
00:06:49 dnsmasq: 192.168.254.121 /etc/pihole/gravity.list v10.events.data.microsoft.com is 192.168.254.6

00:21:50 dnsmasq: 192.168.254.21  query[A] v10.events.data.microsoft.com from 192.168.254.21
00:21:50 dnsmasq: 192.168.254.21  forwarded v10.events.data.microsoft.com to 192.168.254.254

00:21:50 dnsmasq: 192.168.254.121 query[A] v10.events.data.microsoft.com from 192.168.254.121
00:21:50 dnsmasq: 192.168.254.121 forwarded v10.events.data.microsoft.com to 192.168.254.254
00:21:50 dnsmasq: 192.168.254.121 query[A] v10.events.data.microsoft.com from 192.168.254.121
00:21:50 dnsmasq: 192.168.254.121 forwarded v10.events.data.microsoft.com to 192.168.254.254

00:21:50 dnsmasq: 192.168.254.21  query[A] v10.events.data.microsoft.com from 192.168.254.21
00:21:50 dnsmasq: 192.168.254.21  forwarded v10.events.data.microsoft.com to 192.168.254.254
00:21:50 dnsmasq: 192.168.254.21  reply v10.events.data.microsoft.com is <CNAME>
00:21:50 dnsmasq: 192.168.254.21  reply v10.events.data.microsoft.com.aria.akadns.net is <CNAME>

00:21:50 dnsmasq: 192.168.254.121 reply v10.events.data.microsoft.com is <CNAME>
00:21:50 dnsmasq: 192.168.254.121 reply v10.events.data.microsoft.com.aria.akadns.net is <CNAME>

Ist alles vom gleichen Tag (gestern); ich habe nur die Spalten wie Prozessnr etc. gelöscht um es übersichtlicher zu machen.

Man sieht hier sehr schön dass die Server/IPs 63, 21 und 121 kurz nach Mitternacht versuchen die IP von "v10.events.data.microsoft.com" zu ermitteln und Pi-hole sich selbst (.6) als Ziel angibt. Prima. Blocklist hat funktioniert. So soll es sein.

Am gleichen Tag eine Viertelstunde später probieren sie es nochmals und ... Pi-hole routet die Anfrage jetzt an den Router weiter, der sie auch kurz später auflöst.
Dieses mal-nicht, mal-schon geht den ganzen Tag so weiter (Windows versucht verzweifelt im 15 min Rhythmus seine Telemetrie-Daten loszuwerden).

Bloss... wieso??
Hat jemand eine Idee was ich jetzt noch prüfen könnte?

Das habe ich so noch nie gesehen. Mein erster Gedanke wie das überhaupt möglich sein könnte wäre, wenn jemand Pi-hole deaktiviert hat. Schau mal bitte ob sich zwischen 00:06:49 und 00:21:50 irgendwelche Meldungen befinden, die hierauf hinweisen würden (dnsmasq Neustart oder Empfang von SIGHUP).

Such vielleicht einmal nach dem String "read" (oder "gelesen" falls Dein dnsmasq auf Deutsch loggt).

Hi,

DE71364-SV-U6:~ $ sed '/read/!d' /var/log/pihole.log
00:07:31 dnsmasq: read /etc/hosts - 4 addresses                                                                                                                                                          
00:07:31 dnsmasq: read /etc/pihole/local.list - 4 addresses
00:07:31 dnsmasq: read /etc/pihole/black.list - 14 addresses
00:07:47 dnsmasq: read /etc/pihole/gravity.list - 266872 addresses
00:14:17 dnsmasq: read /etc/hosts - 4 addresses
00:14:17 dnsmasq: read /etc/pihole/local.list - 4 addresses
00:14:17 dnsmasq: read /etc/pihole/black.list - 14 addresses
00:14:28 dnsmasq: read /etc/pihole/gravity.list - 183098 addresses
00:34:12 dnsmasq: read /etc/hosts - 4 addresses
00:34:12 dnsmasq: read /etc/pihole/local.list - 4 addresses
00:34:12 dnsmasq: read /etc/pihole/black.list - 14 addresses
00:34:23 dnsmasq: read /etc/pihole/gravity.list - 183098 addresses

Ja. Jede Menge "reads".
Was bedeutet das denn?
Die "gravity.list" (was das einzige zu sein scheint, was sich verändert) ist doch die "Sammelliste aller Blocklisten bereinigt um Doubletten", oder?

Ha. Der Hinweis war exzellent!
Ich hab doch erzählt dass es den ganzen Tag so hin und her ging.
Und immer bei einem Wechsel war dazwischen ein "read" bei dem die "gravity.list" sich verändert hat.
Klingt als gäbs beim Zugriff darauf mal Aussetzer, so dass die Version X der gravity.list weniger Einträge hat, unter anderem den "v10.events.data.microsoft.com". Beim nächsten Update ist in Version Y der Eintrag wieder drin und wird prompt geblocked.

Also ein Zugriffsproblem auf die Blocklisten? Könnte es das sein?

Das heißt jemand hat dnsmasq neugestartet. Also entweder sudo service dnsmasq restart oder pihole restartdns oder irgendjemand hat SIGHUP an dnsmasq gesendet...

Wie sehen die Zeilen direkt vor und nach solchen Zeilen aus (z.B. um +/- 00:14:17)?

Ja

Noch interessant: Wie seht das gleiche sed '/read/!d' in der pihole.log.1 Datei aus?

Noch interessant: Wie seht das gleiche sed '/read/!d' in der pihole.log.1 Datei aus?

Nicht ein Eintrag. Totenstille.

Aber wie oben schon geschrieben (als Du gerade geantwortet hast): Im aktuellen Log wechseln sich die Anzahl Einträge in der gravity.list zwischen 266872 und 183098 ab. Und immer dann, wenn es weniger Einträge sind, wird "v10blabla" aufgelöst. Also ganz offensichtlich fehlen die Einträge der Blocklist, in der "v10blabla" enthalten ist.
Das ist eine der Listen von Steve Black, also nichts, was ich beeinflussen kann. Außer, sie in mein Repo clonen und Pi-hole darauf verweisen.

Super!
Danke für die FTL-Unterstützung! TOP

Eine Frage vielleicht doch noch: Kann ich die Frequenz in der das passiert irgendwie definieren?
Mir wäre es lieb wenn die Blocklisten nur alle paar Tage aktualisiert werden würden. Eine hohe Frequenz ist nicht wirklich notwendig.

Ja, definitiv! Normalerweise werden die Listen einmal die Woche (Sonntag morgens zu einer während der Installation zufällig festgelegten Zeit) aktualisiert.
Siehe /etc/cron.d/pihole, bei mir:

# Pi-hole: Update the ad sources once a week on Sunday at a random time in the
#          early morning. Download any updates from the adlists
7 3   * * 7   root    PATH="$PATH:/usr/local/bin/" pihole updateGravity

Was dort bei Dir geschieht ist nicht normal.

Dies mag vielleicht Aukunft über den Grund des Neueinlesens der Listen geben.

Eigentlich nicht viel.

Ich hab mal alles von 00:13:59 bis 00:15:00 reinkopiert.
Sieht viel aus (und persönlich hasse ich solche Posts, weil es vom Anderen erwartet dass er sich das antut) aber es ist recht übersichtlich.

Vielleicht lösche ich einfach mal die Pi-hole configs - ist ja eine Testmaschine. Im "Produktivnetz" (eh alles daheim) ist alles in Ordnung.

Das steht da ja gar nicht dabei?...

Die Zeilen sehen ja eigentlich so aus:

Jun 17 00:14:05 dnsmasq[11340]: 358500 127.0.0.1/54814 cached raw.githubusercontent.com is <CNAME>
Jun 17 00:14:05 dnsmasq[11340]: 358500 127.0.0.1/54814 cached github.map.fastly.net is NODATA-IPv6
Jun 17 00:14:17 dnsmasq[11340]: read /etc/hosts - 4 addresses
Jun 17 00:14:17 dnsmasq[11340]: read /etc/pihole/local.list - 4 addresses
Jun 17 00:14:17 dnsmasq[11340]: read /etc/pihole/black.list - 14 addresses
Jun 17 00:14:28 dnsmasq[11340]: read /etc/pihole/gravity.list - 183098 addresses

Ich habe (am Beispiel der ersten Zeile)

• das Datum "Jun 17 "
• die Jobnr von dnsmasq "[11340]"
• die Zahl direkt dahinter "358500" (hab vergessen was es ist)
• und den IP-Port "/54814"
  per cut gelöscht und einen tab eingefügt um es übersichtlicher zu machen. Dabei ist auch das "read" rausgefallen, weil es in der gleichen Spalte wie das "358500" steht.

Ebenfalls habe ich den Traffic des Smartphones und des Sonos Lautsprechers gelöscht, weil über keinen Pi-hole verwaltet wird (das sind wirklich nur Clients) und ebenso die alle paar Sekunden auftretenden Prüfungen der Windows-Kisten ob es einen Proxy gibt (wpad.fritz.box). Das war zumindest der Plan.

IPv6 ist im Netz komplett für alle Server und Clients deaktiviert, mit Ausnahme vom Router (einer 6490 Cable FRITZ!Box) und Pi-hole selbst (das eine fest IPv6 aus dem fd00-Netz der FB hat).

Ich habe hier mal die erste Stunde hochgeladen: PasteBin

Danke nochmals für Deine super-Unterstützung!

Hmm, mysteriös ist das aber schon wieso das Pi-hole so oft neu geladen wird und dass sich die Anzahl der Zeilen in der gravity.list ändert. Mal schauen ob Du es mit einem Neuaufsetzen der Konfiguration in den Griff bekommen kannst. Ich bin in jedem Fall am Ergebnis interessiert.

Ich hab das jetzt länger beobachtet und die Ursache gefunden... Mein Mitbewohner fummelt dann und wann mal an der Pi-hole config herum wenn etwas auf seiner Windows-Kiste nicht auf Anhieb klappt. Und wenn man ihn drauf anspricht, schämt er sich und weiss von nichts...
rolleyes nerv