[l]b._dns-sd._udp.* werden zahlreich geblockt

Yes, you are right. Makes sense.

So it is not a configuration problem. The Fritz!Box reacts the same way when Pi-Hole is not in between?! The only difference is that I can see it now in the logs. Maybe I ask AVM why it's blocked or do you know the reason?

I wonder if there is a negative side effect or why is there not a side effect. Bonjour seems to work. A discovery tool found 20 Bonjour services. But Apple devices flood the network with these DNS requests. And according to the Apple article you previously posted DNS SD should be known and considered if you setup a DNS server.

Fritz!Box and Apple devices is a common setup, especially in Germany. I would expect much more people wondering what happens here. I'm the only one you needs an explanation or do people not check their logs or do not care?

I added the lb._dns-sd._udp.* in the exclusion list under API settings. Unfortunately wildcards are not possible. So I had to add each of the most common domains. At the moment there are 6 domains in the top list. Under Dashboard > Top Blocked Domains and Tools > Audit log these 6 domains are not visible anymore. But still under Long-term data > Top Lists. Maybe a bug?

Happy new year!

Long term data shows all the data. The filters are for the query log.

AVM has no explanation for the blocked requests until now. I provided several informations. I also told that I have often SERVFAIL. A problem also discussed in a Heise forum (https://www.heise.de/forum/heise-online/Kommentare/Werbeblocker-Pi-hole-Raspi-als-DNS-Server-mit-integriertem-Ad-Blocker-nutzen/Re-PiHole-Fritzbox-7590-massive-Probleme-mit-DNS/posting-37704847/show/). I am curious to see what AVM finds out. I will keep you up to date.

They confirmed problems mit DoT which will be fixed in next version. There is no direct connection to the DNS SD topic. For me it has the side effect that two problems have overlapped and I have had problems analyzing them as a result.

At the moment DoT and Pi-Hole are deactivated and everything works fine. But I have no filter.

BTW. FRITZ!Box has an IP filter. This is more effective because you can not bypass by using IP adresses. Only problem is that FRITZ!Box filter has no features like adding filter lists and no analysis tools.

Meanwhile AVM service person changed and for the third time I had to deliver logs and screenshots ...

While testing I found out that blocked lb._dns* request are the root cause for serval problems with Apple services (iCloud sync, App Store, Safari search, ...). If I change upstream DNS server in pi-hole to Cloudflare, lb._dns* requests are not blocked anymore and Apple services work as aspected. It took a long time, but now I'm able to reproduce it.

In future I want to use DoT. First step is a stable setup without.

Even it is a naming problem I have a problem with Apple service. If routing is PiHole -> FritzBox -> Cloudflare, many services don't work. If routing is PiHole -> Cloudflare, everything is fine. Cloudflare does not block ld._dns* requests. Here a screenshot showing situation switching between routing 1 to 2.

PastedGraphic-11247×1283 180 KB

Die Fritzbox kann neben der BPjM-Filterung auch eine DNS-Filter-Liste verwalten. Allerdings ist diese Fritzbox-Blacklist auf maximal 500 Einträge begrenzt.
Die Verwendung der Filter muss bei Bedarf im jeweiligen Zugangsprofil aktiviert werden.

Zusätzlich lässt sich der DNS-Port sperren (noch besser wäre eine Umleitung des DNS-Ports auf Pi-hole, aber das unterstützt die FB leider nicht). Wie das geht, habe ich vor einiger Zeit in Smarthome Steckdosen im pihole - #8 by Bucking_Horn beschrieben.

Im Ergebnis könnten die Profile dann in der Übersicht so aussehen (klicken für Bildschirmfoto)

fb-zugangsprofile920×520 16.3 KB

Die Konfiguration der Fritzbox als Pi-holes einziger Upstream-Server ist durchaus valide.
Sie ist gegenüber der Konfiguration von Conditional Forwarding sogar im Vorteil, weil IPv6-Rückwärtsauflösungen für lokale Adressen so ebenfalls so weit möglich funktionieren und außerdem alle Eigen-Adressen der FB aufgelöst werden (die FB verwendet auch Namen außerhalb der von ihr definierten fritz.box-Domäne).

In Bezug auf die Wide-Area-DNS-SD-Anfragen würde es dabei ebenfalls nicht zu einer Veränderung kommen:
Die entsprechenden Anfragen für Deinen privaten IP-Adressbereich 192.168.168.0/24 würden nach wie vor an die FB gehen.

Die entsprechende DNS-Anfrage in Deinem Query Log ist PTR lb._dns-sd._udp.fritz.box.

Wird hier NXDOMAIN zurückgeliefert, sollte ein Client wissen, dass Wide-Area-DNS-SD in Deinem Netz nicht konfiguriert ist, und weitere DNS-SD-Anfragen einstellen. Die Servicesuche bleibt dann auf dasselbe Netzwerksegment beschränkt (wo sie ganz ohne DNS über mDNS/.local erfolgt).

Eine manuelle DNS-SD-Anfrage über dig zeigt nun, dass die Fritzbox (zumindest meine) hier offensichtlich eine andere Rückgabe liefert als ein öffentlicher DNS-Server:

~ $ dig ptr lb._dns-sd._udp.fritz.box @fritz.box

; <<>> DiG 9.11.5-P4-5.1+deb10u2-Raspbian <<>> ptr lb._dns-sd._udp.fritz.box @fritz.box
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 8525
;; flags: qr rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; WARNING: Message has 23 extra bytes at end

Öffentliche DNS-Server liefern ebenfalls NXDOMAIN, aber ohne die Warnungen.

In beiden Fällen sieht der Client allerdings status: NXDOMAIN und sollte daher die weitere Suche einstellen.

Es könnte sich bei Deiner Beobachtung also sowohl um einen Fehler in der FB als auch um ein fehlerhaftes Verhalten eines Clients handeln.

Bei den DNS-SD-Anfragen in Deinem Query Log ist außerdem die Verwendung einer IP-Adresse aus einem Bereich außerhalb Deines Subnetzes auffällig, nämlich 10.254.254.254 (aus lb._dns-sd._udp.254.254.254.10.in-addr.arpa).
(Vielleicht handelt es sich dabei aber auch bloss um eine Apple-Spezialität - ich habe keine Apple-Geräte und kann das daher nicht nachvollziehen.)

Lässt sich diese IP-Adresse in Deinem Netzwerk über ping erreichen?
Welches Gerät würde dann dahinter stecken?

Die Blacklist Lösung von der FB ist in der aktuellen Fassung in vielerlei Hinsicht nicht praktikabel und daher keine Lösung für mich. Wenn man ähnliche Features wie bei Pi-Hole einbauen würde (einfache Verwaltung von Listen, Tools zur Fehleranalyse), dann hätte der IP-Filter der den Vorteil, dass er nicht umgangen werden kann.

Den BPjM Filter habe ich momentan auch deaktiviert. Ich vermute, er hat zu Problemen bei der PS4 meines Sohnes geführt. Muss ich aber noch mal explizit testen.

Über die DNS-Port-Sperre habe ich noch garnicht nachgedacht. Muss ich mal ausprobieren.

Mit den Apple Spezialitäten kenne ich mich nicht aus. Mich haben die Adressen wie 10.254.254.254 auch irritiert. Ein Ping dahin funktioniert nicht.

Wenn ich das Log richtig lese, kommen bei den ld._dns* Anfragen auch keine IPs zurück. So hat es msatter auch vermutet.

Irgendwie scheint was im Zusammenspiel FB und Pi-Hole schiefzugehen:

1. FB als DNS Server funktioniert
2. Pi-Hole als DNS Server und externer DNS Server als Upstream funktioniert
3. Pi-Hole als DNS Server und FB als Upstream führt zu diversen Problemen bei Apple Geräten. Mich wundert, warum dann Szenario 1 funktioniert.

Meinst Du mit vierten Szenario Conditional Forwarding? Habe ich gerade mal eingerichtet. Wie Bucking_Horn schon vorhergesagt hat, gehen dann die DNS-SD-Anfragen vom Subnetz an die Fritz!Box:

Bildschirmfoto 2021-01-24 um 17.35.311009×852 119 KB

Um zu schauen, ob die Apple Services noch gehen, muss ich etwas warten. Meistens ist das Problem erst zeitverzögert aufgetreten und auch nicht so einfach zu testen. Ich probiere es einfach mal.

Zuvor hatte ich probiert die Fritz!Box als sekundären Upstream einzurichten. Das hat leider nicht funktioniert. Wahrscheinlich wird der sekundäre DNS-Server nicht dazu genutzt, ein erfolglose Anfrage zu wiederholen. Bin kein DNS Experte.

Screenshot was taken right after switching configuration. If there is something strange it could be the reason.

I deleted short time ago FTL db to have logs and statistics for my actual configuration. In current long-term data there are no noticeable entries and no IPv6 entries. I will check next days again.

Thanks for explanation for secondary DNS.

Diese drei PTR Queries konnte ich erfolgreich auf die Spotify App zurückführen. Abmelden (in der App) und anschließendes löschen der App hat das Verhalten beendet. Auch nach einer Neuinstallation der App trat es nicht mehr auf.
Ggf. hilft das hier jemandem.

So far, I have tried to deploy Pi-Hole with little effort and changes to the overall infrastructure. I already had enough network failures and could at least undo everything with small interventions. That's why I have so far refrained from switching DHCP.

And honestly, I can't imagine that I'm the only Apple user with Fritz!Box and Pi-Hole. I'm surprised no one else is having problems, at least I haven't found anything. I don't think that everyone has switched DHCP.

The solution with the conditional forwarding works moment well. If there is no other solution, I might stick with that. But first I'll test a bit more to see if everything really works.

I've got the same 'issue' as Glen with one apple device. i have got multiple apple devices in the network but only one is behaving like this. i'm using DHCP on my fritzbox 7490, conditional forwarding on the pi-hole and unbound as an upstream DNS server in pi-hole (upstream DNS server in the fritzbox is my pi-hole).

So can you elaborate more on how the issue looks for you? Because @Geln said above that it is working well for them with Conditional forwarding.

Have you installed Spotify on that device? Try uninstalling the app. That caused the behavior on my device. Pihole was not the problem at all.

Sorry, i didn't catch, that conditional forwarding did resolve his issue. Mine is looking like this:

grafik994×843 45.9 KB

The device is working fine as far as i can tell but it would be nice if it does not throw this 'error'. As i said before it's only one device with that issue, all other apple device are fine.

Thanks for that hint but i don't have spotify installed on any device in my home network.

Concerning Pi-hole, everything is fine in this screenshot. You iPhone is making the query to lb_dns-sd._udp.fritz.box. Pi-hole doesn't know the answer and forwards to to the Fritzbox. This replies with NXDOMAIN and requests Pi-hole should not cache this Blocked (extern, NXRA).

Next time the same query is made, the same happens again.

Concerning Pi-hole, everything seems to work as expected. These queries would also be there without the Pi-hole (and also they'd be replied to the same way by the Fritzbox), Pi-hole just unveils this behavior.
You should contact Apple support about this. In the end you payed a premium price for the device. You would hope this means they have an excellent (technical) service as well that can answer what you can do.

Thanks for the clarification / summary of the case. I thought pihole redirects the query kind of wrong.

Who said anything is ignored anywhere?

$ dig PTR lb_dns-sd._udp.fritz.box @192.168.2.2

; <<>> DiG 9.16.1-Ubuntu <<>> PTR lb_dns-sd._udp.fritz.box @192.168.2.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 56980
;; flags: qr rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;lb_dns-sd._udp.fritz.box.	IN	PTR

;; Query time: 7 msec
;; SERVER: 192.168.2.2#53(192.168.2.2)
;; WHEN: Sa Feb 06 22:57:41 CET 2021
;; MSG SIZE  rcvd: 42

(where 192.168.2.2 is a Fritzbox).

I have the same behavior: DNS-SD request for your local network are forwarded to fritz.box because of conditional forwarding and you still get status Blocked. But other DNS-SD requests are forwarded to upstream DNS server. This mixed behavior seems to be OK for my Apple Devices. I do not the problems I had before where Fritz!Box was my upstream DNS.