Pihole/Unbound/Unifi-USG-->Loop?

Hapethe1 · August 8, 2023, 7:04pm

Bitte beachte diese Vorlage, damit wir dir bestmöglich helfen können!

Beobachtetes und erwartetes Verhalten

[Bitte beschreibe, welches Verhalten du beobachtet hast und was du eigentlich erwarten würdest. Bitte sei so präzise wie möglich. Nenne wichtige Details, z.B. verwendete Hardware und Betriebssystem]

Debug Token:

[Bitte lade ein Debug Log hoch und poste hier anschließend nur die Token-URL.
Das Token generierst Du über pihole -d oder die Weboberfläche via Tools > Generate Debug Log]

Debug Log Token URL: https://tricorder.pi-hole.net/lUUoziWu/

Hallo,

ich betreibe seit ein paar Tagen in meinem Heimnetzwerk eine ProxMox Instance mit einem lxc Container, in dem ein Pihole mit Unbound läuft. Der Container hat eine feste IP.

Die grunsätzliche Funktion von Pihole im lokalen Netzwerk ist gegeben.

Nun zu meiner Frage hinsichtlich den Settings bzw. konnte ich nachfolgenden Effekt beobachten:

In meinem Unifi-Gateway habe ich unter DHCP die IP-Adresse des lxc-Containers auf dem Pihole läuft eingetragen.

Dann habe ich zusätzlich im WAN-Bereich des USG die IP des Pihole hinterlegt.

Genau das führt aber dazu, das das USG mit Anfragen geflutet wird und die Warnung innerhalb von Pihole, in Tools, diagnosis, (zuviele Anfragen) für das USG aufpoppt.

Das läßt sich „nur“ umgehen, wenn man im WAN-Bereich zusätzlich einen „offiziellen“ Nameserver (z.B. 1.1.1.1) einträgt.

Ist das ein „normales“ Verhalten oder liegt eine Fehlkonfiguration vor?

Ps. Ach ja, dann gibt es natürlich vor dem USG auch noch ein Modem. Muss in diesem auch noch etwas hinsichtlich Nameserver eingestellt werden?

Über Hilfestellung würde ich mich freuen.

VG
Hape

Bucking_Horn · August 8, 2023, 10:17pm

Da außerdem Pi-holes Conditional Forwarding aktiviert ist, hast Du Dir eine partielle DNS-Endlosschleife konfiguriert: Bestimmte DNS-Anfragen leitet Pi-hole an Deine USG weiter, und wenn diese die Anfragen nicht unmittelbar beantworten kann, schickt sie diese upstream weiter, also an Pi-hole, von wo aus sie direkt weiter an Deine USG weitergeleitet werden usw.usf.

Wenn Du nicht anderweitig auf die Upstream-Filterung Deiner USG angewiesen bist, wäre es am einfachsten, Pi-hole dort aus den Upstream-DNS-Servern zu entfernen.

Hapethe1 · August 9, 2023, 6:36am

Vielen Dank für die schnelle Rückmeldung!

Verstehe ich Deine Antwort richtig, das ich das Pihole aus den Einstellung im WAN-Bereich des USG entfernen soll? Aber nicht in den Einstellungen beim USG im DHCP-Bereich, dort ist die IP des Pihole-Containers ja ebenfalls hinterlegt.

D.h. im WAN-Bereich des USGs dann nur "Standards" wie z.B. 1.1.1.1 eintragen?

Bucking_Horn · August 9, 2023, 6:57am

Ja, es sei denn, du bist...

Hapethe1 · August 9, 2023, 7:02am

... ok, sorry für meine Nachbohrerei, aber was wäre denn ein "anderweitiger" Fall?

Bucking_Horn · August 9, 2023, 7:06am

Jeder Grund, warum Du den Upstream-DNS-Verkehr Deiner USG auch durch Pi-hole filtern möchtest.

Deine USG wird so z.B. Ihre eigenen DNS-Anfragen ungefiltert an 1.1.1.1 stellen können. In der Regel ist das ok, um z.B. Firmware-Updates zu beziehen. Anders könntest Du das z.B. beurteilen, wenn Dein Router viele eigene Telemetrie-Daten an den Hersteller oder ISP sendet.
Zusätzlich würde das ähnlich auch für Clients zutreffen, die aus irgendeinem Grund die USG als DNS-Server verwenden statt Pi-hole.

Ob irgendetwas davon in Deinem Fall zutrifft, kannst nur Du beurteilen.

Hapethe1 · August 9, 2023, 7:24am

Danke für Deine umfassende Information!

Wie man an meinen Fragen sicherlich erkennt, lerne ich noch

Da ich auf das "conditional forwarding" nicht verzichten möchte, mache ich es so, wie Du vorgeschlagen hast --> im WAN-Bereich trage ich nur die Standard-Server ein und fertig.

Nochmals Danke für die schnelle Beantwortung meiner Fragen.

VG
Hape

system · August 30, 2023, 7:25am

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.