Fritz!Box "versaut" Statistik seit PiHole 5.0

Liebes Pi-Hole Forum,

seit ich den Pi-Hole auf 5.0 geupdatet habe, läuft das Zusammenspiel zwischen Pi-Hole und Fritzbox nicht gut. Genauer gesagt, Fritzbox "versaut" die Statistiken mit massiven Anfragen anstelle von Geräten. Bei knapp über 1 Mio. Seiten habe ich eine Blockrate von nur 3-6%. Vor dem Update lag die Rate konstant zwischen 30 und 40%.

Bisher habe ich viel ausprobiert u.a. die 7490 gegen einen 7590 (wegen kommenden Supervectoring angeschafft) ausgetauscht, Unbound installiert und eingerichtet, Netzwerkkarte eingestellt, DNS-Einstellungen in den Fritzboxen und Pi-Hole gecheckt. Aber es hat mir bisher nichts gebracht. Ich habe zum Verständnis hier ein paar Screenshots angelegt.

Screenshot 1: Nightfall ist mein PC. Unter "Number of Queries" sieht man die krassen Unterschiede zwischen Fritz!Box und meinem PC.

Screenshot 2: Interessantes verhalten, die Anfragen kommen gleichzeitig von meinem PC und von der Fritzbox:

Screenshot 3-5: Auch interessant, teilweise umfasst eine Anfrage zur gleichen Zeit bis zu 300x oder mehr:

Nach fast 2 Wochen Fehlersuche bin ich nun mit meinem Latein am Ende. Ich hoffe, ihr könnt mir helfen? Eventuell habe ich auch nur eine Einstellung übersehen oder ist fehlerhaft. :zipper_mouth_face:

Schöne Grüße,
Dominik

Mein erster Gedanke ist ein DNS-Loop.

Wie hast du denn die FB eingestellt, bzw. wie bekommen deine Geräte ihren DNS-Server (also pihole) zugewiesen?
Pihole als DNS-Server via DHCP von der FB? Pihole selbst als Upstream DNS-Server der FB? Was ist dein upstream DNS-Server im pihole - unbound?

1 Like

Hallo yubiuser,

vielen Dank für deine Antwort. Der Name "DNS-Loop" ist mir nicht eingefallen. Mein Bauchgefühl sagt mir auch, dass irgendwo eine Schleife hängt. Übrigens, es kommt nicht immer vor aber mehrmals am Tag. Um den DHCP kümmert sich die Fritzbox. Im Pi-Hole ist sie deaktiv. DHCP über Pi-Hole habe ich nicht ausprobiert. IPv6 ist aktuell ebenfalls nicht aktiv, dasselbe Spiel gab es auch mit aktivem IPv6.

Hier meine aktuelle DNS-Einstellungen:

Screenshot 1: 20 ist der IP von meinem PC, also "Nightfall". Den Alternativen DNS-Server hatte ich auch testerweise leer gelassen. Ohne Erfolg. Die habe ich drin stehen, für den Fall, wenn der Pi-Hole mal ausfällt.

DNS-1

Screenshot 2: Die DNS-Einstellung bei den Zugangsdaten in der Fritzbox. Den Alternativen habe ich auch testerweise leergelassen, ohne Erfolg.

Screenshot 3: Die DNS-Einstellung vom Netzwerk in der Fritzbox.

Screenshot 4: Im Fritzbox den DNS-Rebind-Schutz den Pi-Hole eingetragen.

DNS-4

Screenshot 5: Aktuelle DNS-Einstellungen mit Unbound im Pi-Hole. Zuvor hatte ich im Custom 1 die IP vom Fritzbox drin und im Custom 2 die IP vom Digitalcourage (46.182.19.48). "Use DNSSEC" und "Use Conditional Forwarding" hatte ich auch testerweise deaktiviert. Auch ohne Erfolg.

Ich gehe davon aus, dass sich die Geräte den Weg über deinen alternativen Anbieter 1.1.1.1 gehen und somit Pi-Hole umgehen und dadurch direkt über die Fritzbox auflösen.

1 Like

Sehe ich auch so, dein Gerät hat so einen Bypass zum Pihole. Außerdem hast du DNSSEC am Pi eingeschaltet. Der hängt aber nach Unbound bei dir und der kann und sollte schon DNSSEC prüfen. Doppelt hält in dem Fall nicht besser.

1 Like

Den alternativen Anbieter habe ich jetzt den vom Pi-Hole genommen. Leer lassen kann ich das Feld anscheinend nicht.

Ok, dann lass dich den DNSSEC raus. Die habe ich aber nach einer Unbound-Installationsanleitung aktiviert. :face_with_monocle:

Jetzt beobachte ich das mal und melde mich wieder. :+1:

Wo soll da das Problem sein?

Nach meinem Verständnis:

# Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
harden-dnssec-stripped: yes

unbound sammelt also die Daten ein und pihole interpretiert sie.

Ich glaube nicht, dass das Probleme macht, aber es ist unnötig.

Das bezweifle ich aber mal entschieden.

https://www.reddit.com/r/pihole/comments/9fihwi/unbound_dnssec_should_dnssec_also_be_turned_on_in/

Die Anfragen tauchen wieder auf:

2020-05-25 19:40:21	A	ims-prod06.adobelogin.com	fritz.box	OK (forwarded)	CNAME (54.7ms)	
2020-05-25 19:40:21	A	ims-prod06.adobelogin.com	nightfall	OK (forwarded)	CNAME (88.3ms)
2020-05-25 19:40:20	A	checkappexec.microsoft.com	fritz.box	OK (forwarded)	CNAME (108.1ms)	
2020-05-25 19:40:20	A	checkappexec.microsoft.com	nightfall	OK (forwarded)	CNAME (143.8ms)

Damit wäre aber vorrausgesetzt dass die Konfiguration bereits dnssec aktiviert in der pi-hole.conf.
Wenn das der Fall ist gebe ich dir Recht.

Was geschieht, wenn du bei deiner fb bei beiden DNS-Servern die IP des pihole einträgst?

Eigentlich brauchst du bei den Clients gar keinen DNS-Server eintragen, da du ja die IP vom PIhole als Lokalen DNS-Server in der Fritzbox eingetragen hast. Falls IPv6 verwendet wird, natürlich auch dort. Dies bewirkt, dass die Pihole-IP per DHCP an die Clients übermittelt wird. Wenns dir lieber ist, kannst du es aber auch per Hand eintragen, dann aber bitte ohne Alternative, die am Pihole vorbei führt.

Sehe gerade du hast von der FB gesprochen. Dachte da stand gerade noch Clients. In der FB kann man durchaus 2x die IP vom Pihole eintragen.

@endurocker: Den alternativen DNS habe ich nun in den Netzwerkeinstellungen vom PC ausgelassen. 2x den gleichen einzugeben funktioniert nicht.

@Marcoblue: Den PC habe ich ja eine feste IP vergeben, da dieser nicht über DHCP laufen soll. Ich dachte eigentlich, einen zweiten DNS für den Fall eines Ausfalls vom Pi-Hole kann ja nicht schaden. Wenn ich mal nicht zuhause bin und Pi-Hole aus irgendeinem Grund mal ausfallen sollte, geht das Internet schließlich gar nichts mehr.

Sry, hab überlesen, dass du eine feste IP am PC haben willst. Dann passt das ja jetzt so.

2x den gleichen macht ja auch irgendwie keinen Sinn. Aber dass das Win10 blockt ist interessant. In der FB geht das.

Ja, der Ausfallschutz ist leider nicht gut. Man kann zwar 2 Piholes benutzen und eintragen, aber mit nur einem ist eine Umschaltung bei Ausfall nicht so einfach zu realisieren.

Ich würde hier mal die FB als alternativen DNS rausnehmen. Ich weiß nicht wie Windows das macht, kann sein dass dein PC einfach ALLE DNS Anfragen an Pihole und die FB gleichzeitig sendet - warum auch immer.

Ansonsten sieht die Konfiguration eigentlich gut aus.

Zum Testen würde ich mal noch folgendes machen. Deinen PC ne IP per DHCP beziehen lassen, du kannst in der FB ja auch "diesem Gerät immer die gleiche IP zuweisen" anklicken. Und mal Conditional Forwarding rausnehmen.

@Marcoblue: Deswegen blockt wahrscheinlich Windows 10, weils keinen Sinn macht. :wink:

@yubiuser: Die alternative DNS ist jetzt leer. Damit beobachte ich im Moment erstmal. Ich ging immer davon aus, dass die alternative erst dann greift, wenn von der 1. DNS keine Antwort kommt. Dein Tipp mit dem Testen über DHCP probiere ich mal aus, falls der Loop wieder kommen sollte.

Das wäre eigentlich auch meine Vorstellung, allerdings halten sich da nicht alle Hersteller dran :wink:

@all: Danke schon mal für eure Hilfe. Ich meld mich hier wieder, ob das Thema hoffentlich erledigt ist. :+1: