Laut Debug Protokoll was nicht in Ordnung

Hallo

Ich habe auf meinen Raspi5 mit dem Imager das lite Image ohne Desktop installiert, 64Bit.
Darauf läuft der Pihole drauf. Alles geht eigentlich super bis auf zwei kleine Dinge wo ich denke das was falsch sein könnte.
Gefunden im Debug Protokoll.

  1. Das hier:
    *** [ DIAGNOSING ]: contents of /etc/lighttpd/conf.d
    /etc/lighttpd/conf.d does not exist.

Kann mann dieses irgendwie beheben ?
und dann noch,

  1. Das hier:
    *** [ DIAGNOSING ]: Name resolution (IPv6) using a random blocked domain and a known ad-serving domain
    [✗] Failed to resolve static.wlresources.com on eth0 (fe80::xxxx:xxxx:xxxx:xxx)

Bei allen anderen Sachen ist der grüne Haken davor.
Danke.
mfg

This is normal in Debian and derivatives.

You didn't post your debug token, so I will guess here and say your OS is Debian, Raspbian or Ubuntu.

Nothing wrong.

This is also usually normal, depending on your IPv6 configuration.



Are you having issues? or you just noticed these lines in the log and decided to ask?

Hallo

Danke für die rasche Antwort.

Das Betriebssystem ist mit dem Raspberry Pi Imager aufgespielt und ist das aktuelle,
"Debian Bookworm with no Desktop" für den Raspberry Pi 5.
Das ist ja da als Raspberry PI OS Lite (64Bit) als aktuellstes System vorhanden.
Datum vom 04.07.2024.
Hatt denn diese Meldung jetzt was zu sagen oder kann das irgendwann zu Problemen führen?

Meine IPv6 Konfiguration ist soweit ich weiß von Vodafone Kabel Deutschland als Slaac vorhanden.
Im Netzwerk ist dan auch die Verteilung entsprechend IPv6 Slaac.

Da im Debug Log drinn steht:
[✗] Failed to resolve static.wlresources.com on eth0 (fe80::xxxx:xxxx:xxxx:xxx)
gehe ich auch davon aus, das dies die IPV6 Verbindungslokale Adresse ist von meinem Pihole.
Schaue ich im meinem Router nach steht auch diese fe80::xxxx:xxxx:xxxx:xxx Adresse so drinn.
Sind also Identisch.

So sieht das ganze aus als Meldung:
*** [ DIAGNOSING ]: Name resolution (IPv4) using a random blocked domain and a known ad-serving domain
[✓] pcbutts1.ourtoolbar.com is 0.0.0.0 on lo (127.0.0.1)
[✓] pcbutts1.ourtoolbar.com is 0.0.0.0 on eth0 (192.xxx.xxx.xxx)
[✓] No IPv4 address available on wlan0
[✓] doubleclick.com is 172.217.19.78 via a remote, public DNS server (8.8.8.8)

*** [ DIAGNOSING ]: Name resolution (IPv6) using a random blocked domain and a known ad-serving domain
[✓] static.wlresources.com is :: on lo (::1)
[✓] static.wlresources.com is :: on eth0 (2a02:xxxx:xxxx:xxxx:xxxx:xxxx:xxx:xxxx)
[✗] Failed to resolve static.wlresources.com on eth0 (fe80::xxxx:xxxx:xxxx:xxx)
[✓] No IPv6 address available on wlan0
[✓] doubleclick.com is 2a00:1450:4005:802::200e via a remote, public DNS server (2001:4860:4860::8888)

Da ist halt nur der Fehler beim Resolve, alles andere ist halt auf grün.

Zu guter letzt, Probleme scheint es nicht zu geben und ja ich habe es nur im dem Protokoll gesehen und dann gedacht, ich frage mal lieber nach.

Danke.
mfg

No. This is normal, not an error.
As I said before, this is expected in Debian. Debian doesn't have this directory.

These messages are not errors (not every red line in the debug log is an error).

You don't need to worry, since you're not experiencing any problems and there's nothing indicating a real problem.

Ok vielen Dank für die Hilfe.

Wenn das Verzeichnis nicht existiert, kann man das nicht einfach anlegen? Nur der Ordnung halber.

Nein keine Probleme der Pihole rennt.

Soll ich für das was ich jetzt noch frage einen neuen Tread aufmachen oder gehört das hier mit rein.?

Kann ich dem Pihole denn eine feste ipv6 verpassen, auch wenn mann bei Vodafone kabel glaube nur slaac bekommt. Da ich beides habe bei Vodafone bringt der pihole wenig bei ipv6 wegen der Werbung.

Und wegen Blocklisten, welche sind den aktuell und welche braucht mann denn wirklich.?
Habe per google vieles gefunden und festgestellt das vieles schon Jahre alt ist und in vielen Listen einiges schon drinnen ist und dadurch vieles mehrfach vorhanden ist.

Danke.
Mfg

Unterschiedliche Betriebssysteme legen Daten in unterschiedlichen Verzeichnissen ab.
Das Debug Log zeigt die Untersuchungsergebnisse für alle zulässigen Verzeichnisse.
Es ist also normal, dass nur das für das jeweils laufende Betriebssystem existierende Verzeichnis vorhanden ist.

Wie Dein Router seine eigene IPv6-Adresse vom Provider bezieht, und welche IPv6-Adresskonfigurationsoptionen er den Geräten in Deinem Heimnetz anbietet, sind zwei verschiedene Paar Schuhe.

Für den Betrieb von Pi-hole kommt es vor allem darauf an, dass Dein Router nicht seine eigene IPv6-Adresse als lokalen DNS-Server propagiert - sonst würden IPv6-fähige Clients Pi-hole über IPv6 übergehen.

Du müsstest also einen Weg finden, den Router so zu konfigurieren, dass er die IPv6-Adresse Deines Pi-Hole-Host-Rechners als DNS-Server anbietet oder aber seine eigene nicht mehr anbietet, und zwar weder über DHCPv6 noch über SLAAC/NDP/RA.

Sollte das nicht möglich sein, würden Clients Ihre Anfragen an die IPv6-Adresse Deines Routers schicken. Du könntest dann noch versuchen, die seinerseits vom Router als Upstream-DNS-Server verwendete IPv6-Adresse auf Deinen Pi-hole-Rechner zu konfigurieren. Dafür solltest Du eine der stabilen IPv6-Adressen Deines Pi-hole-Rechners verwenden.
Zu beachten ist, dann in einer solchen Konfiguration alle über IPv6 gestellten DNS-Anfragen vom Router kommen. Eine individuelle Zuordnung von DNS-Anfragen zu Clients ist so nicht mehr möglich, und in Folge davon auch keine client-spezifische Filterung.

Für weiterführende Einzelheiten zu den IPv6-Konfigurationsoptionen Deines Routers solltest Du die Dokumentationsquellen für Deinen Router heranziehen.

Und um Dir bei der Auswahl einer IPv6-Adresse zu helfen, wäre ein Debug Token hilfreich.

Dazu solltest Du bitte ein Debug Log hochladen und anschließend nur die Token-URL hier teilen.
Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

Hallo

Ich hoffe das ist jetzt so richtig??
https://tricorder.pi-hole.net/t6in5wdi/
mfg

Dein Debug Log zeigt, dass Dein Pi-hole mit einer massiv geänderten Weboberfläche läuft (klicken für Details):
*** [ DIAGNOSING ]: Web version
[✓] Version: v5.21
[i] Remotes: origin	https://github.com/pi-hole/web.git (fetch)
             origin	https://github.com/pi-hole/web.git (push)
[i] Branch: master
[i] Commit: v5.21-0-gbe05b0f-dirty
[i] Status:  M api_db.php
             M auditlog.php
             M cname_records.php
             M db_graph.php
             M db_lists.php
             M db_queries.php
             M debug.php
             M dns_records.php
             M gravity.php
             M groups-adlists.php
             M groups-clients.php
             M groups-domains.php
             M groups.php
             M index.php
             M login.php
             M messages.php
             M network.php
             M queries.php
             M queryads.php
             M scripts/pi-hole/js/auditlog.js
             M scripts/pi-hole/js/customcname.js
             M scripts/pi-hole/js/customdns.js
             M scripts/pi-hole/js/db_graph.js
             M scripts/pi-hole/js/db_lists.js
             M scripts/pi-hole/js/db_queries.js
             M scripts/pi-hole/js/footer.js
             M scripts/pi-hole/js/groups-adlists.js
             M scripts/pi-hole/js/groups-clients.js
             M scripts/pi-hole/js/groups-domains.js
             M scripts/pi-hole/js/groups.js
             M scripts/pi-hole/js/index.js
             M scripts/pi-hole/js/messages.js
             M scripts/pi-hole/js/network.js
             M scripts/pi-hole/js/queries.js
             M scripts/pi-hole/js/settings.js
             M scripts/pi-hole/js/utils.js
             M scripts/pi-hole/php/api_token.php
             M scripts/pi-hole/php/auth.php
             M scripts/pi-hole/php/customcname.php
             M scripts/pi-hole/php/customdns.php
             M scripts/pi-hole/php/footer.php
             M scripts/pi-hole/php/func.php
             M scripts/pi-hole/php/gravity.php
             M scripts/pi-hole/php/groups.php
             M scripts/pi-hole/php/header_authenticated.php
             M scripts/pi-hole/php/message.php
             M scripts/pi-hole/php/network.php
             M scripts/pi-hole/php/queryads.php
             M scripts/pi-hole/php/savesettings.php
             M scripts/pi-hole/php/sidebar.php
             M scripts/pi-hole/php/tailLog.php
             M scripts/pi-hole/php/teleporter.php
             M scripts/pi-hole/php/theme.php
             M scripts/vendor/datatables.min.js
             M scripts/vendor/daterangepicker.min.js
             M scripts/vendor/moment.min.js
             M scripts/vendor/select2.min.js
             M settings.php
             M taillog-FTL.php
             M taillog.php

Sofern Du diese Änderungen nicht selbst vorgenommen hast, verwendest Du wahrscheinlich Software von Dritten, die diese Abweichungen von Pi-hole verursacht.
Sofern Fehler bei der Nutzung von Pi-holes Weboberfläche auftreten sollten, müsstest Du Dich an diese Drittpartei wenden.

Laut Debug Log hat das Betriebssystem Deines Pi-hole-Rechners Kenntnis von zwei IPv6-DNS-Servern:

*** [ DIAGNOSING ]: contents of /etc

-rw-r--r-- 1 root root 157 Sep 23 13:46 /etc/resolv.conf
   search server.netz
   nameserver 192.168.10.90
   nameserver fe80::d36c:fdd0:2be7:98d%eth0
   nameserver fe80::<redacted>%eth0

Die zweite Adresse gehört dabei zu einem von Ubiquiti hergestellten Gerät?

Über diese Adresse können Geräte Pi-hole also umgehen.
Pi-hole muss der einzige DNS-Server für Dein Netzwerk sein.

Die erste Adresse ist die link-lokale IPv6 Deines Pi-hole-Rechners.
Laut Debug Log ist diese IP6-Adresse vom Pi-hole-Rechner selbst aus nicht erreichbar.

Ausgeführt auf einem Client-Rechner (also nicht auf dem Pi-hole-Rechner), was geben folgende Kommandos zurück:

nslookup pi.hole
nslookup flurry.com fe80::d36c:fdd0:2be7:98d

Hallo
Zu erstens:
Ja ich habe eine deutsche Übersetzung nach dieser Anleitung hier:
pimanDE / translate2german Public

Zu zweitens
Ich habe eine Fritzbox im Bridge Mode aber da sollte der IPv6 DHCP aus sein werde ich gleich nochmal nach schauen.
Aber das zweite ist meine Unifi Dream Maschiene Pro die das ganze Netzwerk inne hatt.

Zu drittens:
beim Befehl
nslookup pi.hole

kommt herraus:
Name: pi.hole
Addresses: 2a02:xxxx:xxxx:xxxx:xxxx:xxxx:xxx:xxxx
192.xxx.xx.xx

beim Befehl
nslookup flurry.com fe80::d3xx:xxxx:xxxx:xxx

kommt herraus:
C:\Users\naich>nslookup flurry.com fe80::d3xx:xxxx:xxxx:xxx
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: fe80::d3xx:xxxx:xxxx:xxx

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

Soweit ich das ganze auch verstehe ist das so bei Vodafone das mann Ipv6 Adressen aus deren Pool bekommt und man mit seinen Endgeräten in deren privaten IPv6 Heimnetz unterwegs ist.
Bei IPv4 aber die Verteilung im eigenen Router stattfindet.
Und das sich die IPv6 auch immer ändern ist mir auch schon aufgefallen, da diese wohl nicht statisch sind.

Eigene IPv6 Adressen sind bei mir in der UDM Pro auf Slaac eingestellt.


Ich denke daher wird es wohl die Schwierigkeiten geben?
Danke

Das ist nicht die vollständige Ausgabe.

Für gewöhnlich teilt Dein ISP Dir ein öffentliches IPv6-Präfix zu, das dann in Deinem Netz zur Konstruktion von IPv6-Adressen verwendet wird.

Solche IPv6-GUA-Adressen (aus dem Bereich 2001::/3) sind öffentlich.
Jedes IPv6-fähige Betriebssystem wird für jede Schnittstelle seines Systems mindestens eine solche GUA-Adresse selbst konstruieren (und/oder evtl. von einem DHCPv6-Server beziehen).

Diese öffentliche GUA-Adresse ist weltweit eindeutig und damit prinzipiell auch über das Internet erreichbar, sofern der Router die Verbindung zulässt.

Dein Debug Log und auch Dein Router-Bildschirmfoto zeigen, dass Dein Router ein solches IPv6-Präfix verteilt. Sobald Dein ISP Dir ein neues IPv6-Präfix zuteilt, ändern sich damit auch alle GUA-Adressen in Deinem Netz.

Zusätzlich erzeugen IPv6-fähige Clients immer und vollständig autonom link-lokale IPv6-Adressen (aus dem Bereich fe80::/10), die ausschließlich die Kommunikation in denselbem Netzwerksegment erlauben (also in der Regel mit allen direkt über LAN oder WLAN mit dem Router verbundenen Geräte).
Die link-lokale Adresse (LLA) Deines Routers findet sich auch auf Deinem Bildschirmfoto (allerdings in einer grottigen Übersetzung).

Manche Router unterstützen außerdem die Konfiguration eines ULA-Präfixes.
Im Gegensatz zu LLAs können ULA-Adressen (aus dem Bereich fd00::/8) auch segmentübergreifend verwendet werden (also auch mit solchen Geräten kommunizieren, die vielleicht über einen zweiten Router, L3-Switch oder AP angeschlossen sind). ULAs sind aber ebenfalls auf das Heimnetz beschränkt, d.h. es sind keine öffentlichen Adressen.

GUAs sind prinzipiell ungeeignet als Adresse für Pi-hole, das sich das GUA-Präfix regelmässig oder nach bestimmten Ereignissen ändern kann (z.B. nach einem Router-Neustart), und zusätzlich oft auch der Interface Identifier regelmäßig ausgetauscht wird, um die IPv6-Adressverfolgung zu erschweren.

LLAs und ULAs sind besser geeignet, da zumindest das Präfix sich hier nicht bzw. nur durch Dich selbst kontrolliert ändert.

Dein Router verteilt aktuell kein ULA-Präfix, so dass aktuell nur eine LLA für Pi-hole in Frage kommt, mit der genannten Einschränkung auf das Netzwerksegment.

Die LLA Deines Pi-hole-Rechners wird laut Debug Log aktuell wohl auch verteilt, allerdings scheint Dein Router daneben auch seine eigene LLA als DNS-Server zu propagieren.
Zusätzlich ist Pi-holes DNS-Server über die LLA anscheinend weder vom Pi-hole selbst noch von einem Client erreichbar.

Du könntest versuchen
a. überhaupt keine IPv6-Adresse als DNS-Server anzubieten
b. alle verfügbaren Slots mit der LLA des Pi-hole-Rechners zu füllen

a. hätte den Vorteil, dass Clients Deinen Pi-hole ausschließlich über ihre IPv4-Adresse befragen, und IPv4-Adressen lassen sich leichter einem Gerät zuordnen als die zahlreichen und ständig wechselnden IPv6-Adressen.
Gleichzeitig würdest Du so außerdem das Problem umgehen, dass aktuell bei Dir über die LLA keine DNS-Anfragen funktionieren.

Für b. müsstest Du herausfinden, was den DNS-Zugriff auf die LLA unterbindet.
Das könnte z.B. eine Firewall auf Deinem Pi-hole-Rechner sein.

In beiden Fällen gilt allerdings:
Sofern Dein Router trotzdem immer noch seine eigene IPv6 verteilt, werden IPv6-fähige Clients Pi-hole darüber umgehen können.

Hallo

So nach weiteren lesen und probieren raucht mir der Kopf.
Bin leider erstmal wieder zurück gerudert und habe Ipv6 wieder deaktiviert.
Bis ich da irgendwie durch blicke dauert es wohl noch.
Was ich aber wissen wollte, welche Ports brauche ich eigentlich genau dafür um IPv4 und IPv6 zu nutzen.
Ich weiss von den Ports: 53,80,443,853 TCP und 53,853,546,547 UDP.
Diese weiss ich das ich diese brauche.
Danke.
Mfg