seit ich den Pi-Hole auf 5.0 geupdatet habe, läuft das Zusammenspiel zwischen Pi-Hole und Fritzbox nicht gut. Genauer gesagt, Fritzbox "versaut" die Statistiken mit massiven Anfragen anstelle von Geräten. Bei knapp über 1 Mio. Seiten habe ich eine Blockrate von nur 3-6%. Vor dem Update lag die Rate konstant zwischen 30 und 40%.
Bisher habe ich viel ausprobiert u.a. die 7490 gegen einen 7590 (wegen kommenden Supervectoring angeschafft) ausgetauscht, Unbound installiert und eingerichtet, Netzwerkkarte eingestellt, DNS-Einstellungen in den Fritzboxen und Pi-Hole gecheckt. Aber es hat mir bisher nichts gebracht. Ich habe zum Verständnis hier ein paar Screenshots angelegt.
Screenshot 1: Nightfall ist mein PC. Unter "Number of Queries" sieht man die krassen Unterschiede zwischen Fritz!Box und meinem PC.
Nach fast 2 Wochen Fehlersuche bin ich nun mit meinem Latein am Ende. Ich hoffe, ihr könnt mir helfen? Eventuell habe ich auch nur eine Einstellung übersehen oder ist fehlerhaft.
Wie hast du denn die FB eingestellt, bzw. wie bekommen deine Geräte ihren DNS-Server (also pihole) zugewiesen?
Pihole als DNS-Server via DHCP von der FB? Pihole selbst als Upstream DNS-Server der FB? Was ist dein upstream DNS-Server im pihole - unbound?
vielen Dank für deine Antwort. Der Name "DNS-Loop" ist mir nicht eingefallen. Mein Bauchgefühl sagt mir auch, dass irgendwo eine Schleife hängt. Übrigens, es kommt nicht immer vor aber mehrmals am Tag. Um den DHCP kümmert sich die Fritzbox. Im Pi-Hole ist sie deaktiv. DHCP über Pi-Hole habe ich nicht ausprobiert. IPv6 ist aktuell ebenfalls nicht aktiv, dasselbe Spiel gab es auch mit aktivem IPv6.
Hier meine aktuelle DNS-Einstellungen:
Screenshot 1: 20 ist der IP von meinem PC, also "Nightfall". Den Alternativen DNS-Server hatte ich auch testerweise leer gelassen. Ohne Erfolg. Die habe ich drin stehen, für den Fall, wenn der Pi-Hole mal ausfällt.
Screenshot 2: Die DNS-Einstellung bei den Zugangsdaten in der Fritzbox. Den Alternativen habe ich auch testerweise leergelassen, ohne Erfolg.
Screenshot 4: Im Fritzbox den DNS-Rebind-Schutz den Pi-Hole eingetragen.
Screenshot 5: Aktuelle DNS-Einstellungen mit Unbound im Pi-Hole. Zuvor hatte ich im Custom 1 die IP vom Fritzbox drin und im Custom 2 die IP vom Digitalcourage (46.182.19.48). "Use DNSSEC" und "Use Conditional Forwarding" hatte ich auch testerweise deaktiviert. Auch ohne Erfolg.
Ich gehe davon aus, dass sich die Geräte den Weg über deinen alternativen Anbieter 1.1.1.1 gehen und somit Pi-Hole umgehen und dadurch direkt über die Fritzbox auflösen.
Sehe ich auch so, dein Gerät hat so einen Bypass zum Pihole. Außerdem hast du DNSSEC am Pi eingeschaltet. Der hängt aber nach Unbound bei dir und der kann und sollte schon DNSSEC prüfen. Doppelt hält in dem Fall nicht besser.
2020-05-25 19:40:21 A ims-prod06.adobelogin.com fritz.box OK (forwarded) CNAME (54.7ms)
2020-05-25 19:40:21 A ims-prod06.adobelogin.com nightfall OK (forwarded) CNAME (88.3ms)
2020-05-25 19:40:20 A checkappexec.microsoft.com fritz.box OK (forwarded) CNAME (108.1ms)
2020-05-25 19:40:20 A checkappexec.microsoft.com nightfall OK (forwarded) CNAME (143.8ms)
Eigentlich brauchst du bei den Clients gar keinen DNS-Server eintragen, da du ja die IP vom PIhole als Lokalen DNS-Server in der Fritzbox eingetragen hast. Falls IPv6 verwendet wird, natürlich auch dort. Dies bewirkt, dass die Pihole-IP per DHCP an die Clients übermittelt wird. Wenns dir lieber ist, kannst du es aber auch per Hand eintragen, dann aber bitte ohne Alternative, die am Pihole vorbei führt.
Sehe gerade du hast von der FB gesprochen. Dachte da stand gerade noch Clients. In der FB kann man durchaus 2x die IP vom Pihole eintragen.
@endurocker: Den alternativen DNS habe ich nun in den Netzwerkeinstellungen vom PC ausgelassen. 2x den gleichen einzugeben funktioniert nicht.
@Marcoblue: Den PC habe ich ja eine feste IP vergeben, da dieser nicht über DHCP laufen soll. Ich dachte eigentlich, einen zweiten DNS für den Fall eines Ausfalls vom Pi-Hole kann ja nicht schaden. Wenn ich mal nicht zuhause bin und Pi-Hole aus irgendeinem Grund mal ausfallen sollte, geht das Internet schließlich gar nichts mehr.
Sry, hab überlesen, dass du eine feste IP am PC haben willst. Dann passt das ja jetzt so.
2x den gleichen macht ja auch irgendwie keinen Sinn. Aber dass das Win10 blockt ist interessant. In der FB geht das.
Ja, der Ausfallschutz ist leider nicht gut. Man kann zwar 2 Piholes benutzen und eintragen, aber mit nur einem ist eine Umschaltung bei Ausfall nicht so einfach zu realisieren.
Ich würde hier mal die FB als alternativen DNS rausnehmen. Ich weiß nicht wie Windows das macht, kann sein dass dein PC einfach ALLE DNS Anfragen an Pihole und die FB gleichzeitig sendet - warum auch immer.
Ansonsten sieht die Konfiguration eigentlich gut aus.
Zum Testen würde ich mal noch folgendes machen. Deinen PC ne IP per DHCP beziehen lassen, du kannst in der FB ja auch "diesem Gerät immer die gleiche IP zuweisen" anklicken. Und mal Conditional Forwarding rausnehmen.
@Marcoblue: Deswegen blockt wahrscheinlich Windows 10, weils keinen Sinn macht.
@yubiuser: Die alternative DNS ist jetzt leer. Damit beobachte ich im Moment erstmal. Ich ging immer davon aus, dass die alternative erst dann greift, wenn von der 1. DNS keine Antwort kommt. Dein Tipp mit dem Testen über DHCP probiere ich mal aus, falls der Loop wieder kommen sollte.