Pihole v6 macht noch Probleme

Hallo

Habe da noch ein paar Schwierigkeiten mit dem Pihole v6 auf dem Raspi.
Folgendes ist mir aufgefallen, das es doch schon ein paar male dazu kommt:

1. Rate_Limit wird mir angezeigt (wie kann das sein? Und ist ab der Version 6 so.)

2. NTP - No valid NTP replies received, check server and network connectivity (Internet ist doch da, wieso holt sich denn der Pihole nicht die Zeit aus dem WWW, verstehe ich nicht.)

3. Mir ist aufgefallen das mindestens einmal am Tag einige Geräte die Verbindung zum Netzwerk kurz verlieren, das sehe ich an einigen Geräten an der leuchtenen roten Diode oder andere WLAN Geräte hängen dann beim Laden vom Inhalten, und LAN gebundene Geräte bleiben dann stehen und melden ab und zu sogar das Laden dauert länger und ich solle meine Internetverbindung und oder Kabel prüfen.

4. Einige Geräte zeigen dan teilweise mehrere Minuten garnix mehr an.

Selbst Google.de geht dann nicht mehr.

Was stimmt da nicht, und wie kann ich das beheben.
Ich habe einen Raspi mit einer frischen Installation mit Pihole v6 und der Pihole ist in einem VLAN und versorgt nur die Geräte im diesem VLAN.
VLAN übergreifend habe ich bis dahin noch verzichtet.
Ach und zur Info, nutze ich aber den DNS vom VLAN also nicht den Pihole habe ich diese Probleme nicht.
Kann da jemand helfen?
Danke

Rate limiting will block all DNS requests until Pihole completes its timeout. You should first investigate why you have so many queries within a specific timeframe. The standard setting is usually sufficient, but if you need to increase it, do it on the new advanced settings page for Pihole's DNS settings.

Hello and thank you.
How can I find out what is causing this phenomenon? I have also noticed that there are still a lot of provocative adverts on my PC, despite Pihole, because I have accidentally seen this on other PCs in the network and was able to reproduce it on my PC with a different browser.
I hadn't noticed this before because I need additional adverts in Firefox to keep the websites clean.
I have to say that I used to have the same result with Pihole alone.

Translated with DeepL.com (free version)

Nein, Pi-hole überwacht die Anzahl der DNS-Anfragen pro Zeiteinheit für jeden Client einzeln, und wenn ein Client das Rate Limit überschreitet, wird auch nur dieser Client gesperrt.

Die Meldung zeigt, das Pi-hole genau das getan, aber vom kontaktierten NTP-Server keine gültigen Antworten erhalten hat.

Wenn das ausnahmslos bei jedem stündlichem Sync passiert, wird wahrscheinlich der TimeSync in Deinem Netzwerk geblockt, z.B. von der Firewall Deines Routers.

Wenn das nur sporadisch auftritt, könnte ein Wechsel zu einem landesspezifischen NTP-Server eventuell helfen, z.B. zu de.pool.ntp.org.
ntp.sync.server findet sich unter Settings | All settings » Network Time Sync.
All settings is ausschließlich im Expert-Modus verfügbar.

Das kann passieren, wenn die vom jeweiligen OS zur Überprüfung einer Netzwerkverbindung verwendeten Domänen auf einer der für Pi-hole konfigurierten Blocklisten stehen.
Durch ein Erlauben der entsprechenden Domänen sollte sich dieses Client-Verhalten normalisieren.

Hallo und danke.
Ebend gerade war es wieder soweit das wieder ein Gerät Schwierigkeiten hatte.
Keine Webseite ging auf und das Update für Bitdefender schlug mehrmals fehl.
Wenn das Update nicht geht versucht Bitdefender es 5 Minuten später wieder aber auch das brachte nix.
Zeitgleich tauchen wieder neue Meldungen mit folgenden Inhalt:

Es gibt aber nix auf dem PC was so hohe Anfragen auslösen würde.
Meine Mutter hatt nur ein Microsoft Puzzle gespielt.
Vieren oder Trojaner oder ähnliches ist ausgeschlossen auf dem Gerät, also ein ganz normaler Computer halt.
Deswegen verstehe ich diese hohen DNS Anfragen nicht. Beide Meldungen auf dem Bild sind ein und der selbe PC. Einmal IPv4 und IPv6.

Zum Thema Zeit werde ich mir gleich mal ansehen danke für die Info.

Zum Thema einfrieren der Geräte oder Verbindungvverlust ist meistens mit dem DNS RATE Phänomen zeitgleich verbunden. Wie schon gesagt hatte ich das im Pihole v5 nicht, der ist flüssiger gelaufen.
Du sagtes durch erlauben dieser entsprechenden Domainen die die Clients brauchen, würde sich das normalsieren. Nur welche sind das tatsächlich und wo kann ich die einsehen.
Aber warum sollte denn solche Domänen auf Blickierlisten stehen?
Danke.

Die Meldung auf dem Screenshot belegt, das von den jeweiligen Client-IP-Adressen über 1.000 DNS-Anfragen in einer Minute eingegangen sind.

Das kannst Du über Pi-holes Weboberfläche nachvollziehen.
Ein Blick in Pi-hole's Datenbank könnte zeigen, welche Domänen Dein Client hauptsächlich angefragt hat:

sudo pihole-FTL sqlite3 /etc/pihole/pihole-FTL.db "SELECT domain, count(*) FROM queries \
WHERE timestamp > strftime('%s','2025-03-24 12:04:53', '-120 seconds', 'utc') \
AND timestamp <= strftime('%s','2025-03-24 12:04:53', 'utc') \
AND client = '192.<roter.Balken>' \
GROUP BY domain ORDER BY 2 DESC LIMIT 10;"

Das muss ich unter SSH so eingeben?

Nein, sondern exakt so wie oben angegeben.

Das geht am einfachsten, wenn Du den Text über das Icon oben rechts in der Textbox kopierst und dann auf der Konsole Deines PI-hole-Rechners einfügst und ausführst.

So habe ich getan und es passiert rein garnix dazu.

Oder ist das auch falsch so?

Naja, wenn Du die private IPv4 in Deinem Bildschirmfoto nicht mit roten Balken versehen hättest, hätte ich die korrekte Client-IP einsetzen können.

So musst Du die jetzt einsetzen.

Guten Morgen
Achso alles klar habe ich ebend gemacht und es ist trotzdem das selbe Ergebnis.
Es wird nix angezeigt.
Kann es sein da ich die Pihole Diagnosis gelöscht habe dann auch mit dem Komando nix mehr gefunden wird.
Habe aber trotzdem nochmal ein Log erstellen lassen.
Url: https://tricorder.pi-hole.net/SpF7Lj4f/
Vlt hilft das weiter. Danke.

Pi-hole Diagnosis ist nicht persistent.
Die SQL-Befehle greifen hingegen auf die Langzeitdatenbank zu.

Wie sieht denn der SQL-Befehl aus, inklusive der privaten IPv4?
Private IPv4-Adressen kannst Du teilen: Sie sind nur im jeweiligen privaten Netz existent und erreichbar.

sudo pihole-FTL sqlite3 /etc/pihole/pihole-FTL.db "SELECT domain, count(*) FROM queries \
WHERE timestamp > strftime('%s','2025-03-24 12:04:53', '-120 seconds', 'utc') \
AND timestamp <= strftime('%s','2025-03-24 12:04:53', 'utc') \
AND client = '192.168.12.36' \
GROUP BY domain ORDER BY 2 DESC LIMIT 10;"

So habe ich das dann gemacht.....
Mittlerweile habe ich täglich solche Meldungen drinn.

Habe diesmal nur die IPv6 unkenntlich gemacht.
Die IP 149.112.112.11 gehört laut Google doch zu Quad9.
Danke.

PS: Ach wollte nochmal erwähnen das irgendwie wie es aussieht die Werbung garnicht mehr gefiltert wird.

Dein Debug Log zeigt zwar, dass Dein Router inzwischen eine von Pi-holes GUAs als lokalen DNS-Server anbietet, aber zumindest das Betriebssystem Deines Pi-hole-Rechner verwendet auch immer noch die Adresse Deines Routers:

*** [ DIAGNOSING ]: Discovering active DHCP servers (takes 6 seconds)
   Scanning all your interfaces for DHCP servers and IPv6 routers
   
   * Received 88 bytes from fe80::<redacted>17 @ eth0
     Hop limit: 64
     Stateful address conf.: No
     Stateful other conf.: No
     Router lifetime: 1800 s
     (…)
     Recursive DNS server 1/1: 2a<redacted>86
     DNS server lifetime:68635 sec

*** [ DIAGNOSING ]: contents of /etc

-rw-r--r-- 1 root root 163 Mar 24 09:22 /etc/resolv.conf
   nameserver 192.168.12.90
   nameserver 2a<redacted>86
   nameserver fe80::<redacted>17%eth0

Das könnte daran liegen, dass DNS-Server mit einer langen Gültigkeit ausgeliefert wurden. Die Restlaufzeit aus dem Debug Log deutet auf mindestens einen Tag hin.
Clients könnten Pi-hole also immer noch über IPv6 umgehen.

Wenn Du den nameserver Eintrag manuell aus /etc/resolv.conf löschst, taucht er dann nach einer Weile von selbst wieder auf?

Wenn Zeiten oder IPs nicht stimmen, wird die Abfrage nichts oder nicht das richtige finden.
Im letzten Bildschirmfoto tauchen 2 IPv4-Adressen auf, .30 und .36.
Bist Du sicher, dass Du die richtige IPv4 verwendet hast?

Fürs aktuelle Bildschirmfoto wäre das z.B.:

sudo pihole-FTL sqlite3 /etc/pihole/pihole-FTL.db "SELECT domain, count(*) FROM queries \
WHERE timestamp > strftime('%s','2025-03-25 13:28:54', '-120 seconds', 'utc') \
AND timestamp <= strftime('%s','2025-03-25 13:28:54', 'utc') \
AND client = '192.168.12.36' \
GROUP BY domain ORDER BY 2 DESC LIMIT 10;"

und zum einfachen Zählen der DNS-Anfragen für den Client in dem 2-Minuten-Zeitfenster:

sudo pihole-FTL sqlite3 /etc/pihole/pihole-FTL.db "SELECT count(*) FROM queries \
WHERE timestamp > strftime('%s','2025-03-25 13:28:54', '-120 seconds', 'utc') \
AND timestamp <= strftime('%s','2025-03-25 13:28:54', 'utc') \
AND client = '192.168.12.36';"

Danke
So erstmal zur Aufklkärung. Der Pc mit der 12.30 ist der PC an dem ich immer sitze.
Der mit der 12.36 ist der PC unten von meinen Eltern.
Ja ich hatte es mit beiden IP Adressen mit dem Code den du mir genannt hattest probiert. Bei beiden kahm aber igrndwie rein garnix bei raus.
Jetzt aber mit dem ersten Codefür 192.168.12.36 kam das:

domainreferrer3.microsoftcasualgames.com|1324
ib.adnxs.com|628
api.taboola.com|132
tpat.api.vungle.com|34
events.ads.vungle.com|32
v20.events.data.microsoft.com|22
wpad.heim.netz|20
impression.appsflyer.com|14
edge.microsoft.com|3
xsts.auth.xboxlive.com|2

Der zweite brachte die Zahl 2223 raus.

Dazu eine Frage. Wie ist das zu rechenen. Das Ratelimit mit 1000 ist alles zusammen gemeint was ein Rechner anfragt, oder immer 1000 pro Seite / Domäne?
Wenn das alleine gesehen dder Auslöser sein sollte dann kann ich sagen das es ein Puzzle ist.

Das rechte weisse Fenster pulsiert andauerd aber zeigt nix an. Es wird ja theoretisch geblockt.
Andere Webseiten dafür haben viel Werbung drinn.

Dann zum DNS. Ich habe dem Pihole im VLAN Heimnetz angeschlossen.
Der Pihole bekommt eine IP fest aus diesem Netzwerk.
Da er auch auf dem Raspery installiert ist ist das auch der Pihole Rechner der im Heimnetz als Pihole unterwegs ist.
Der Pihole fragt doch meines Wissens auf die DNS zurück die bei im eingetragen sind oder irre ich mich da?
Er greift nur auf die Hauseigene DNS des Routers zu, wegen der Namensauflösung.
Und klar wegen seiner eigenen IP und das alles.
Im Heimnetzwerk ist unter DNS im IPV4 der DNS vom Pihole eingetragen.
Im IPv6 Adresse ist es genauso. Die IPv6 Adresse ist fest weil ich ein festes IPv6 Präfix habe.
Ich habe im Netzwerk die IPv6 Adresse des Pihole unter DNS eingetragen.
Eigentlich dürfte dan doch der Pihole nicht mehr ignorierd werden oder doch?
Ich kann ja auch die Geräte mit den IPv4 und IPv6 Adressen im Pihole sehen.
Was ist denn da eigentlich richtig:
Muß unter IPv6 im DNS der Eintrag die IPv6 Adresse des Pihole rein die mit 22a und so weiter anfängt, oder kommt dort die Verbindungslokale IPv6 Adresse hin?
Danke

Pi-hole sperrt eine Client-IP, sobald von dieser mehr als 1.000 Anfragen pro Minute eintreffen.

Über diese Domäne (genauer: über deren CNAME-Ziel) werden die Anzeigen im Spiel ausgeliefert.
Pi-hole blockt diese, und das Spiel ruft die Domäne tausendfach auf.
An diesem Verhalten selbst kann Pi-hole nichts ändern.

Pi-hole blockt Domänen standardmässig als 0.0.0.0.

Du könntest versuchen, ob das Spiel auf andere Antworten eventuell ohne ständige Wiederholung reagiert.
Dafür fügst Du im Domain management folgenden Ausdruck als RegEx filter hinzu (also nicht als Domain):

domainreferrer3.microsoftcasualgames.com;reply=NODATA

Pi-hole wird dann DNS-Anfragen für domainreferrer3.microsoftcasualgames.com mit NODATA statt mit 0.0.0.0 beantworten.

Huhu
So habe es heute morgen so eingetragen:

Dann mal laufen lassen, leider lief der Client heute wieder mit Rate Limit auf.
Habe den Code mal mit der neuen Zeit und Datum wieder verwendet und das kam bei raus.

ib.adnxs.com|629
domainreferrer3.microsoftcasualgames.com|515
api.taboola.com|40
us.nimbus.bitdefender.net|4
bat.bing.net|3
settings-win.data.microsoft.com|2
push.bitdefender.net|2
login.live.com|2
elb-ore-gcp.nimbus.bitdefender.net|2
elb-iow-gcp.nimbus.bitdefender.net|2

Und die Zahl 1201 .......
Der andere PC lief heute auch auf und fabrizierte das.

imagesrv.adition.com|76
web.de|63
dl.web.de|55
ads.viralize.tv|46
srtb.msn.com|45
wa.web.de|20
img.ui-portal.de|20
adimg.uimserv.net|20
c.bing.com|19
sb.scorecardresearch.com|16
benelph.de|14
addefend-platform.com|12
secure-assets.rubiconproject.com|10
rtb.gumgum.com|10
csync.smartadserver.com|10
ads.us.e-planning.net|10
ads.pubmatic.com|10
ad.yieldlab.net|10
csync-global.smartadserver.com|9
csync-eu.smartadserver.com|9
ssbsync.smartadserver.com|8
pixel.rubiconproject.com|8
image8.pubmatic.com|8
ib.adnxs.com|8
ads.stickyadstv.com|8
www.bing.com|6
js.ui-portal.de|6
edge.microsoft.com|6
plus.web.de|5
pbs.publishers.tremorhub.com|5
ntp.msn.com|5
i0.web.de|5
rr1.sn-i5heen7s.googlevideo.com|4
r11.o.lencr.org|4
brn3c2af4bb598d.heim.netz|4
ymprove.web.de|3
xpaywalletcdn-prod.azureedge.net|3
united.uimserv.net|3
trace-proxy.mam.dev|3
th.bing.com|3
tgw.web.de|3
t.uimserv.net|3
script.ioam.de|3
safebrowsing.googleapis.com|3
s.uicdn.com|3
rr1---sn-i5heen7s.googlevideo.com|3
r.msftstatic.com|3
r.bing.com|3
permission-proxy.web.de|3
nav-edge.smartscreen.microsoft.com|3
jubbie.de|3
img-s-msn-com.akamaized.net|3
epimetheus.navigator.web.de|3
einwilligungsspeicher.netid.de|3
ecn.dev.virtualearth.net|3
ced-ns.sascdn.com|3
cdnjs.cloudflare.com|3
c.msn.com|3
assets.msn.com|3
arc.msn.com|3

Mit 690....
Aber die Meldung "Client 192.168.12.36 has been rate-limited for at least 44 seconds (current limit: 1000 queries per 60 seconds)"
Und ich hatte heute wieder:

Connection error (9.9.9.11#53): TCP connection failed while receiving payload length from upstream (Connection reset by peer)

und

No valid NTP replies received, check server and network connectivity

Irgendwie vergeht kein Tag ohne auflaufende Meldungen.
Danke

Die beiden Domänen dürften wohl von dem Spielclient angesteuert werden, und anscheinend hat die von 0.0.0.0 auf NODATA veränderte Antwort keinen Einfluss auf das Client-Verhalten.

Weitere Antwort-Möglichkeiten statt NODATA wären:
NXDOMAIN
REFUSED
NONE
IP=10.0.0.1

Es liegt dabei einzig an dem Client, ob er diese Antworten akzeptiert und weitere Anfragen unterlässt.

Falls das nicht funktioniert, könntest Du auch in Pi-hole die Auflösung von domainreferrer3.microsoftcasualgames.com erlauben, allerdings würde dann auch die darüber ausgespielte Werbung auf den Clients auftauchen.

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.