Pi-Hole in Kombination mit (Fritzbox 7490) Router-Kaskade

Ich nutze PI-hole in Kombination mit einer Router (Fritzbox 7490) Kaskade und habe
a) öfter allgemeine Verbindungsprobleme (404 Fehler), vermutlich weil die DNS Server Konfiguration falsch / schlecht ist.
Meine jetzige konfiguration ist:
In Pi-hole ist der Upstream DNS Servers = 192.168.178.1 (IP- Fritzbox_1

In der FB-1 :
Zugangsdaten /DNS-Server steht die IP 46.182.19.48 (Digitalcourage)

und als Lokaler DNS-Server = IP von Pi-hole

In der FB-2 :
Zugangsdaten /DNS-Server steht die IP 46.182.19.48 (Digitalcourage)
und als Lokaler DNS-Server = IP von Pi-hole

b) Probleme mit der IP Auflösung in Pi-hole der lokalen Clients. Somit kann ich das group management nicht nutzen und ich erkenne natürlich auch nicht im Query Log welcher Client geblockt wurde.
Priorität hat für mich allerdings Problem a)

Übersicht Netzwerk:

Das hat nichts mit DNS zu tun:
404 ist ein HTTP-Statuscode, der von einem Webserver zurückgegeben wird. Damit dieser überhaupt antworten kann, muss die vorangegangene DNS-Auflösung eindeutig erfolgreich gewesen sein.

Ich nehme an, die Anfragen der über FritzBox 2 verbundenen Clients tauchen in PI-holes Query Log als 196.168.188.1 auf?

Ja genau. Ganz korrekt sogar so: fritzbox2.fritzbox

o.K., vielleicht irre ich mich auch bei 404, richtig ist aber wenn ich die DNS -Konfiguration geändert habe wurde die Seite gefunden.

Ich kann nur mit den Angaben arbeiten, die Du mir vorgibst.
Die sollten also schon richtig sein, sonst ist eine Hilfestellung schlecht möglich.

Zu (b):
Was hast Du in deiner zweiten FB unter Heimnetz | Netzwerk | Netzwerkeinstellungen als Betriebsart eingestellt, Internet-Router oder IP-Client?

Da hast du recht! Leider kann ich den Fehler jetzt gerade nicht reproduzieren.
Und ja, ich habe es auf Internet-Router stehen weil ich zwei verschiedene IP-Adressbereich wollte.

Mit der Einstellung als Internet-Router wird es bei der fehlenden Clientauflösung bleiben.

Alternativ könntest Du auf IP-Client wechseln und den Netzwerkbereich der ersten FB erweitern (z.B. Subnetzmaske 255.255.254.0 für 192.168.178.0 bis 192.168.179.255) und nur für den ersten Bereich IP-Adressen verteilen (also wie gehabt 192.168.178.20 bis 192.168.178.200)
Für jeden über die zweite FB verbundenen Client musst Du dann eine fixe IP-Adresse aus dem gewünschten anderen Bereich 192.168.179.x vergeben.

Ich werde mal über deinen alternativ Vorschlag nachdenken / testen.
Zu meinen Problem a) in der jetzigen Konfiguration ist der Seitenaufbau usw. sehr träge. Ich hatte auch schon mal in der FB unter *Zugangsdaten /DNS-Server * die IP von Pi-hole eingetragen und dann im Pi-hole den Upstream DNS Servers dann 46.182.19.48 (Digitalcourage) eingetragen. Das war gefühlt besser. Ich wollte aber gerne DNS over TLS (DoT) nutzen und habe deshalb die Konfiguration so umgestellt wie oben beschrieben. Nur so läuft das System nicht gut.

Das liest sich so, als ob DNS-over-TLS hier problematisch sein könnte.

Beobachtest Du dieselben Verzögerungen für den Seitenaufbau, wenn Du DoT in der FB nicht konfigurierst?

Da der digitalcourage DNS-Sever nicht der schnellste ist müsste ich das morgen mal genauer untersuchen.
Ich werde morgen mal ein paar Konfigurationstest durchführen und danach mal deine Alternativeinstellung im IP Bereich ausprobieren. Ich hoffe das ich mich nicht ganz abschieße :slight_smile:
Ich werde das Ergebnis dann morgen berichten.
Danke!

Nach stundenlangen experimentieren und diversen versuchen bin ich zu folgenden Ergebnis gekommen.

Variante 1:

Fritzbox_1 IP-Adressbereich erweitern und FB_2 als Client betreiben / alle verbundenen Client mit fester IP.
Ergebnis: Leider habe ich es nicht geschafft das mir die Clients in QueryLog korrekt angezeigt wurden. Ein Performancegewinn konnte ich weder mit noch ohne DNS over TLS feststellen.

Daher nutze ich aktuell meine alte Konfiguration (Skizze) aber mit folgenden änderungen.
FB_1 = DNS-Server (inkl. DNS over TLS )
Lokaler DNS-Server = IP von Pi-Hole

FB_2
DNS-Server = IP von FB_1
Lokaler DNS-Server = FB_2

Pi-hole
Upstream DNS Servers = IP der FB_1

Ergebnis: Der Seitenaufruf ist trotz DNS over TLS gefüllt gut, bzw. besser im Vergleich zu vorher.
Die lokalen Clients werden natürlich nicht in Pi-hole korrekt angezeigt, damit muss ich erst einmal leben.

Leider kann ich nur am Wochenende am System Änderungen testen. Daher werde ich mich am nächsten WE noch einmal auf die Variante 1 stürzen. Eine Anzeige der Client wäre schon schön :slight_smile: