PiHole wird nach ~ 24h langsam und benötigt Reperatur

Help Deutschsprachige Hilfe
1

Hallo zusammen,

seit 4 Tage verzweifel ich an meiner Pihole, über ein Jahr lief sie ohne Probleme.
Jetzt muss ich alle 24h pihole -r ausführen weil nach dem benötigten Neustart der DNS Service nicht mehr zu starten ist.

Installiert auf einem Pi3:

  • Raspbian
  • Pihole
  • Unbound
  • PiVPN
  • Hyperlocal

Ich habe mittlerweile die ganzen Installation neu aufgesetzt, geholfen hat es nicht.
Auffällig ist, dass es am Rechner weniger Probleme gibt, als an mobilen Endgeräten.
Probleme beziehen sich auf extrem langsame Auflösungen, teilweise mit timeouts verbunden.

Debugtoken von heute:
https://tricorder.pi-hole.net/5axea47d5x
Hier ist anzumerken, das es sporadfisch aber auch so aussehen kann:
https://tricorder.pi-hole.net/nszjsyim4m

Ip-tables sind angepasst, aber ich glaube, dass dieser Schritt bei Pihole 5 nicht mehr nötig ist?

Ich weiß wirklich nicht weiter und bin leider kurz davor die Pihole aufzugeben :frowning:

2

Deine Debug Logs sehen soweit unauffällig aus, was die Konfiguration von Pi-hole betrifft.

Wie hast Du Pi-hole in Deiner FB konfiguriert?
Die häufigste Ursache für Time-Outs wäre eine DNS-Schleife.
Da Du Conditional Forwarding aktiviert hast, könntest Du diese konfiguriert haben, wenn Du Pi-hole in Deiner (angenommenen) FritzBox als Upstream-DNS unter Internet|Zugangsdaten|DNS-Server eingetragen hast.

Das würde allerdings nicht die beiden fehlgeschlagenen DNS-Auflösungen in einem der beiden Logs erklären, die einmal über gerätelokales IPv6 und einmal über öffentliches IPv4 gescheitert sind.

Eine Ursache, die beide Beobachtungen erklärt, ist nicht einfach zu finden.
Am ehesten kömmt dafür ein zeitlicher Aussetzer in Frage, der eine Übermittllung via DNSSEC temporär verhindert hat. Für DNSSEC müssen DNS-Server und RPi sich im gleichen Zeitrahmen befinden, und da der RPi keine Hardware-Uhr (RTC) hat, kann es hier sporadisch zu Abweichungen kommen, die nach einem erfolgreichen NTP-Sync aber wieder behoben sein sollten.

Du könntest testweise versuchen, DNSSEC zu deaktivieren, um zu beobachten, ob das ggf. einen Einfluss hat.

3

Hey, danke für deine Antwort.

In der Fritzbox ist die Hole unter Internet -> Zugangsdaten als DNS Server eingetragen sowie unter Netzwerk im Bereich ip4 und ipv6.

Ich mach mal über Nacht DNSSEC aus und sehe mir mal an, ob es eine Veränderung bringt.

Ich habe auch vergessen zu erwähnen, dass ich einige Config Anpassungen habe:
In der /etc/pihole/pihole-FTL.conf

PRIVACYLEVEL=0
ANALYZE_ONLY_A_AND_AAAA=true
MAXDBDAYS=90
DBINTERVAL=60

In der /etc/unbound/unbound.conf.d/pi-hole.conf:

cache-min-ttl: 0
#cache-max-ttl: 86400 (ja, auskommentiert)
msg-cache-size: 128m
rrset-cache-size: 256m
serve-expired: yes

und nach jedem Reboot in der /etc/dnsmasq.d/01-pihole.conf

cache-size=0

Alles angeblich sinnvolle Settings wenn man Unbound verwendet.
Lief wie gesagt ewig stabil in der Konstellation.

4

Damit besteht nur die überschaubare Gefahr, das Pi-hole DNS-Anfragen für lokale Namen oder reverse Anfragen für Adressen in den Kreisverkehr schickt, sofern die FB selbst die Namen nicht auflösen kann (und diese dann Pi-hole als Upstream befragt, der wiederum per CF die FB...).

Das könnte unter ungünstigen Umständen auch zu allgemeinen Verzögerungen führen, allerdings müsstest Du dann im Query Log massiv gehäufte Anfragen für denselben lokalen Namen sehen. Da die FB im allgemeinen zumindest einen Namen für einen Client kennt, sind das häufig Service-Discovery-Anfragen, die z.B. mit _sd._tcp oder _ldap beginnen können, mit denen die Geräte die Verfügbarkeit von Services im Netzwerk überprüfen wollen.

Wenn Du nicht explizit auch Dein FB-Gastnetz filtern möchtest, verlierst Du nichts, wenn Du den Eintrag unter Internet|Zugangsdaten|DNS auf die ISP-Vorgaben zurücksetzt (edit: an die Geräte om Heimnetz verteilst Du Pi-hole ja nach wie vor noch per DHCP bzw. RA).

5

Okay, hab den Eintrag rausgenommen, gefühlt ist es wieder flotter, die von dir genannten Anfragen sind nicht im querylog zu finden.

6

So, die Pi.Hole ist aus meinem Netz raus geflogen.
Ich habe leider keinen Nerv mehr dafür, mindestens alle 24h wird ein Reboot benötigt, danach lässt sich der DNS Service nicht starten und es hilft nur noch der -r flag.
Seit heute geht nun gar nichts mehr, anbei noch 2 Debug Ergebnisse.
https://tricorder.pi-hole.net/6o9wwxy7cl
https://tricorder.pi-hole.net/ivenlvqb95

Es lief alles super bis die V.5 kam :frowning:

7

Das ist schade, aber nachvollziehbar, wenn Du seit sechst Tagen einen Geist jagst.

Es gibt leider weiterhin keinen eindeutigen Anhaltspunkt für Deine Probleme: Auch Deine beiden letzten Logs sehen konfigurationsseitig normal aus, und die Zeiten in den Logs scheinen jetzt ebenfalls zu stimmen.

Es sind wiederum zwei der sechs DNS-Auflösungstests, die fehlschlagen, aber diesmal für die netzwerk-lokale Auflösung, also über Pi-holes jeweilige IPv4 und IPv6-Adresse, nachdem ja zuvor die öffentliche IPv4-Auflösung und die gerätelokale IPv6 (über ::1) fehlgeschlagen waren.

Das spricht eventuell für ein Upstream-Problem, aber ohne nähere Informationen z.B. aus Logs (und nicht nur die von Pi-hole) vom Ausfallzeitpunkt ist das schwierig einzugrenzen.

Hilfreich wäre ein Blick in die Logs zum Zeitpunkt des Ausstiegs.
Bislang hast Du beobachtet, dass die Namensauflösung zäh wird und das dann ein pihole restartdns nichts mehr bringt.

Eventuell würde ein Blick auf den Service-Status (unmittelbar nachdem ein Restart gescheitert ist) etwas mehr Aufschluss bringen, warum der Start nicht klappt:

sudo systemctl status --full --no-pager pihole-FTL.servic

Aber wenn Du schon abgeschaltet hast, werden wir das wohl nicht mehr herausfinden.