Pi-hole auf Docker - FritzBox Upstream DNS geht nicht

bst · July 16, 2022, 12:24pm

Hallo zusammen,
ich bin ein ziemlicher Pi-hole Neuling. Denke aber eigentlich nach dem Lesen etlicher Anleitungen, fast alles richtig gemacht zu haben:

Pi-hole läuft bei im Docker (Docker Compose gem. Docker Hub)
Pi-hole IPs werden über die FritzBox (7490) per DHCP auf die Clients verteilt (IPv4 und IPv6)
DNS Einstellungen im Pi-Hole:
Upstream DNS Custom 1: IP der FritzBox
Upstream DNS Custom 3: ULA der FritzBox
Never forward non-FQDN A and AAAA queries: ja
Never forward reverse lookups for private IP ranges: ja
Use DNSSEC: nein
Einstellungen in der FritzBox:
Unique Local Addresses (ULA) immer zuweisen: ja
Es sind keine anderen DHCPv6-Server im Heimnetz vorhanden.: ja

Unter diesen Einstellungen funktioniert der Aufruf keiner Webseite. Stelle ich als Upstream DNS allerdings die Server z.B. von Google ein gibt es keine Probleme. Ich möchte aber gerne die FritzBox DNS Server nutzen damit ich die lokalen Hostnames aufrufen kann.

So sieht etwa der Aufruf von spiegel.de aus, welcher im Browser nicht zum Ziel führt:

Hat jemand eine Idee woran das liegen könnte bzw. wo ich suchen könnte?
Vielen Dank!
Benjamin

Bucking_Horn · July 16, 2022, 5:30pm

Ausgeführt von dem Client, auf dem der Browser läuft, was geben folgende Kommandos zurück:

nslookup pi.hole

nslookup flurry.com

nslookup www.spiegel.de

bst · July 16, 2022, 6:55pm

Hi Bucking_Horn,
vielleicht noch ein Wort dazu: Zum Test läuft der Docker Daemon auf dem selben Rechner der jetzt den nslookup durchgeführt hat.

➜  ~ nslookup pi.hole
Server:		fd00::473:xxxx:xxxx:8b8
Address:	fd00::473:xxxx:xxxx:8b8#53

Name:	pi.hole
Address: 0.0.0.0

➜  ~ nslookup flurry.com
Server:		fd00::473:xxxx:xxxx:8b8
Address:	fd00::473:xxxx:xxxx:8b8#53

Name:	flurry.com
Address: 0.0.0.0

➜  ~ nslookup www.spiegel.de
;; connection timed out; no servers could be reached

Bucking_Horn · July 16, 2022, 8:36pm

Nicht ganz die Ausführung, die ich gewünscht habe, aber mal sehen.

Das deutet darauf hin, dass FTLCONF_REPLY_ADDR4 als Environment Variable für Deinen Pi-hole-Container noch nicht gesetzt ist. Das hat wahrscheinlich nichts mit Deinen Auflösungsschwiergkeiten zu tun, sollte aber trotzdem gesetzt werden.

Für flurry.com gibt es das erwartete Ergebnis - sofern fd00::473:xxxx:xxxx:8b8 zu Deinem Pi-hole-Rechner gehört, wäre das also die korrekte Antwort vom korrekten DNS-Server.

Dass hier nicht einmal der auflösende DNS-Server angezeigt wird, würde darauf hindeuten, dass hier ein anderer DNS-Server als Pi-hole angesprochen wurde, der nicht erreichbar war.

Ausgeführt auf demselben Rechner mit derselben Konfiguration von Pi-hole, wie werden dieselben drei Anfragen über dig aufgelöst, also z.B.

dig www.spiegel.de

Und was steht auf eben dem Rechner in resolv.conf:

cat /etc/resolv.conf

bst · July 17, 2022, 8:39am

Danke für deine Geduld

sofern fd00::473:xxxx:xxxx:8b8 zu Deinem Pi-hole-Rechner gehört

genau das ist so

➜  ~ dig www.spiegel.de

; <<>> DiG 9.10.6 <<>> www.spiegel.de
;; global options: +cmd
;; connection timed out; no servers could be reached

➜  ~ cat /etc/resolv.conf

search fritz.box
nameserver 192.168.1.137
nameserver fd00::473:xxxx:xxxx:8b8

Die Environmentvariable habe ich jetzt gesetzt daher passt jetzt auch der Output:

➜  pi-hole nslookup pi.hole
Server:		192.168.1.137
Address:	192.168.1.137#53

Name:	pi.hole
Address: 192.168.1.137

Aber du hast recht, mit den Ausführungsproblemen hat das nichts zu tun. Mich wundert eben nur, dass die Probleme nur dann auftreten wenn ich den FritzBox DNS als Upstream im Pi verwende.

Bucking_Horn · July 17, 2022, 8:46am

Kannst Du bitte ein Debug Log hochladen und hier anschließend nur die Token-URL posten?
Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

bst · July 17, 2022, 9:09am

Hier ist das Token: https://tricorder.pi-hole.net/j4l6esvT/
Das ist jetzt aber erstellt mit Google Upstream DNS, weil sonst der Upload nicht klappt. Ich habe das Debugfile mit meinen FritzBox DNS Einstellungen aber lokal gesichert, wenn du mir sagst wie ich sie dir zukommen lassen kann mache ich das gerne.

Bucking_Horn · July 17, 2022, 10:19am

Dein Debug Log sieht soweit unauffällig aus, bis auf die folgende Diagnose-Meldung:

*** [ DIAGNOSING ]: Pi-hole diagnosis messages
   count  last timestamp       type  message                    blob1     blob2
   -----  -------------------  ----  -------------------------  --------  ---------------------------------------
   1      2022-07-17 11:06:53  DISK  /etc/pihole/pihole-FTL.db  18531166  /etc/pihole: 18.4EB used, 994.7GB total

Die hat aber auch nichts mit Deiner Beobachtung zu tun (könnte eher ein Hinweis auf einen internen Fehler bei der Größenberechnung sein).

Du kannst beliebige Log-Dateien in unseren Triicorder hochladen, z.B. über folgendes Kommando:
(siehe How do I debug my Pi-hole installation?)

cat /var/log/pihole_debug.log | pihole tricorder

bst · July 17, 2022, 10:33am

Bucking_Horn:

Du kannst beliebige Log-Dateien in unseren Triicorder hochladen, z.B. über folgendes Kommando:
(siehe How do I debug my Pi-hole installation?)
cat /var/log/pihole_debug.log | pihole tricorder

Dann bitte hier mal noch reinschauen, das ist jetzt das mit der problematischen Konfiguration der Fritzbox DNS: https://tricorder.pi-hole.net/Pap8DlXG/

Bucking_Horn · July 17, 2022, 10:40am

Da sehe ich zwar, dass Upstream-DNS von der Pi-hole-Maschine für ns1.pi-hole.net nicht funktioniert, das Log liefert aber keinen erkennenbaren Hinweis, dass das an Pi-holes Konfiguration liegen könnte.

Wo genau hast Du das in der FB eingestellt?

bst · July 17, 2022, 2:32pm

Das sind meine DNS Einstellungen im Pi und in der FritzBox:

Bucking_Horn · July 17, 2022, 2:39pm

Das sieht auf den ersten Blick soweit auch ganz ok aus.

Kannst Du www.spiegel.de bitte mal über beide Pi-hole-Adressen anfragen:

Also für IPv4

nslookup www.spiegel.de 192.168.1.137

Für IPv6 analog mit der oben verfremdet angegebenen IPv6-Adresse.

Zusätzlich wäre interessant, dieselben beiden nslookups auch von einem Client im Netzwerk auszuführen (wie ursprünglich von mir gewünscht) - also nicht von der Maschine aus, auf der Pi-hole läuft. Das sollte möglichst kein Tablet oder Smartphone sein, da deren Terminal-Apps oft hartkodierte DNS-Server nutzen.

bst · July 17, 2022, 3:10pm

Wie gewünscht von einem anderen Rechner:

$ nslookup www.spiegel.de fd00::a96:xxxx:xxxx:9eed
Server:		fd00::a96:xxxx:xxxx:9eed
Address:	fd00::a96:xxxx:xxxx:9eed#53

$ nslookup www.spiegel.de 192.168.1.137
;; connection timed out; no servers could be reached

Bucking_Horn · July 19, 2022, 8:31am

It seems the first lookup via IPv6 is missing some lines.
Is that the full output?

system · August 9, 2022, 8:33am

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.