Maximum number of concurrent DNS queries reached

Andi17 · December 27, 2023, 6:17am

Hallo zusammen,

ich beobachte seit einiger Zeit immer den unten beschriebenen Fehler:

Beobachtetes und erwartetes Verhalten

Ich bekomme alle paar Tage in PiHole die Fehlermeldung: Maximum number of concurrent DNS queries reached

Debug Token:

https://tricorder.pi-hole.net/VFYRE7wG/

Vielen Dank im Voraus für euere Hilfe.

VG Andi17

Bucking_Horn · December 27, 2023, 8:35am

Wenn diese Meldung auftritt, wird dies häufig durch eine DNS-Schleifen-Konfiguration ausgelöst.

Gelegentlich kann ein nicht erreichbarer oder nicht antwortender Upstream-DNS-Server dazu führen, dass Pi-Hole die maximale Verbindungsanzahl erreicht. Seltener kann auch ein verhaltensauffälliger Client diese Meldung auslösen, wenn dieser übermäßig viele DNS-Anfragen in schneller Folge stellt.

Gibt es vielleicht eine bestimmte Domäne, die sehr oft angefragt wird?

Ausgeführt auf dem Pi-hole-Rechner, was geben folgende Kommandos zurück:
echo ">top-clients >quit" | nc localhost 4711
echo ">top-domains >quit" | nc localhost 4711
echo ">top-ads >quit" | nc localhost 4711

Andi17 · December 27, 2023, 11:29am

Hi Bucking Horn,

Danke für deine Info.

Das ich einen Loop eingebaut habe, kann ich mir fast nicht vorstellen, da die Meldung nur ca. alle 2 Tage einmal kommt.
Bei den lxc Container habe ich den Pihole als DNS hinterlegt (Also sich selbst) und im Router nur die IP des Piholes verteilt.

Hier die Ausgaben:

echo ">top-clients >quit" | nc localhost 4711

0 11514 Pixel-6a.fritz.box
1 9736 iPhone-von-Andi.fritz.box
2 9268 Android.fritz.box
3 8171 fritz.box
4 5032 Pixel-6a.fritz.box
5 4898 NUEMC866.fritz.box
6 4558 Pixel-6.fritz.box
7 4477 FireTVSasi.fritz.box
8 3915 LGwebOSTV.fritz.box
9 3509 Pixel-6.fritz.box

echo ">top-domains >quit" | nc localhost 4711

0 1887 web.diagnostic.networking.aws.dev
1 1726 acsechocaptiveportal.com
2 875 api.amazonalexa.com
3 637 api.amazon.com
4 627 www.google.com
5 625 d3p8zr0ffa9t17.cloudfront.net
6 583 app.0.178.168.192.in-addr.arpa
7 564 api.eu.amazonalexa.com
8 529 youtubei.googleapis.com
9 481 logs.netflix.com

echo ">top-ads >quit" | nc localhost 4711

0 5782 sdk.iad-03.braze.com
1 1807 beacons.gvt2.com
2 1747 sdk.fra-01.braze.eu
3 1474 device-metrics-us.amazon.com
4 1362 api.segment.io
5 1356 app-measurement.com
6 1197 aax-eu.amazon-adsystem.com
7 764 ms.applvn.com
8 653 mads-eu.amazon.com
9 620 telemetry.sdk.inmobi.com

Bucking_Horn · December 27, 2023, 3:34pm

Das sieht soweit unauffällig aus, bis auf die ungewöhnlich hohe Anzahl von Anfragen, die Dein Router an Pi-hole stellt:

Das ist möglicherweise ein Hinweis auf eine partielle DNS-Schleife:
Dein Debug Log zeigt, dass Du Pi-holes Conditional Forwarding aktiviert hast.

Ist in Deiner FritzBox vielleicht Pi-hole als Upstream-DNS-Server unter Internet | Zugangsdaten | DNS-Server eingetragen?

Andi17 · December 27, 2023, 5:26pm

Ja, ist er. Damit ich PiHole auch für das Gästenetz nutzen kann.

Ich habe PiHole als DNS über DHCP verteilt und auch als Upstream DNS unter Zugangsdaten eingetragen.

Also kann ich die Meldung ignorieren?

Bucking_Horn · December 27, 2023, 5:58pm

Durch diese partielle DNS-Schleife würden die von Pi-hole über CF and die FB gesendeten DNS-Anfragen von der FB an Pi-hole weitergeleitet, sofern die FB die Antwort nicht kennt, und von da geht's dann über CF gleich wieder an die FB usw.usf.

Generell kannst Du das ignorieren, die entsprechenden Anfragen liessen sich aber in Deiner Konstellation ggf. durch Pi-hole unterdrücken.

Dazu könntest Du die client-spezifische Filterung von Pi-hole zu Deinem Vorteil nutzen.

a) Eine Gruppe 'Gastnetz filtern' erstellen und nach Wunsch mit Blocklisten bestücken (oder auch nicht, wenn das Gastnetz nicht gefiltert werden soll)
b) FritzBox in Pi-hole als Client hinzufügen und der Gruppe 'Gastnetz filtern' hinzufügen.
c) Non-Dot-Domains (und die dazugehörigen Reverse-Lookups) für die 'Gastnetz filtern'-Gruppe blockieren, indem Du die folgenden Regex anlegst und sie dabei der 'Gastnetz filtern'-Gruppe zuordnen:

^[^\.]+(\.fritz\.box)?$

0.8.e.f.ip6.arpa;querytype=PTR

x.x.d.f.ip6.arpa;querytype=PTR

In der letzten Regel ist x.x. durch die entsprechenden Ziffern für Dein ULA-Präfix zu ersetzen, also z.B. 8.0.d.f.ip6.arpa, wenn Dein ULA-Präfix mit fd08 beginnt.

Andi17 · December 27, 2023, 6:26pm

Erstmal vielen Dank für deine Hilfe. Warum bekommt mal mit CF einen loop? Ich dachte, die Funktion ist dafür da, dass man die Clientnamen im internen Netzwerk auflösen kann?

Ich habe es jetzt nach deiner Anleitung gemacht. Ich weiß zwar nicht, was ich gemacht habe, aber es ist so eingerichtet. Meine FD-Adresse beginnt mit 00 also habe ich anstatt dem x.x = 0.0 gemacht.

VG Andreas

system · January 17, 2024, 6:26pm

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.