Provider-eigene DNS-Server OHNE DoT bringen auch nichts! Wenn das Pi-Hole wiederholte Anfragen an die Fritzbox stellt, dann geht nach kurzer Zeit nichts mehr. Entweder ist es das Pi-Hole (hatte auch vor einiger Zeit apt-get update/upgrade aktualisiert), oder die FB. Ich melde das auf jeden Fall an AVM, aber merkwürdig ist, dass es bei mir erst seit dem letzten FB-Update (auf die 77204) nicht mehr funktioniert...
Bei der 77061 trat das Problem nur bei DNS Anfragen auf, die mit einem CNAME beantwortet wurden, dass ist ggf, nur bedingt aufgefallen Es ist möglich, dass das Problem mit der 77204 sich ausgeweitet hat und daher nun eher auffällt, da ich die FB nicht mehr als Upstream DNS nutze sondern unbound kann ich das nicht sagen.
Nach meinen Tests liegt es nicht am Pi-hole sondern an der FB
1 Like
Ich habe jetzt aus Verzweiflung den Schritt zurück zur Original-FW der Fritzbox gemacht (7.12). Aus der Weboberfläche scheitert das recovery mit bekanntem Fehler
firmwarecfg: ERROR Error: opening page ../html/tools/downgrade_import_error.html
Dann hilft nur noch ein echtes recovery vom Windows-Rechner:
https://download.avm.de/fritzbox/fritzbox-7590/deutschland/recover
mit anschließendem Wiederherstellen der letzten Sicherung.
Das Ganze war schon spannend und hat ne Weile gedauert, aber nun habe ich auf beiden Fritzboxen wieder die 7.12 und was soll ich sagen: Keine Probleme mehr bislang mit meinem Pi-Hole als DNS-resolver.
Somit hat AVM definitiv was am Protokoll geändert, wie du ja schon vermutet hast.
Melde mich mit Langzeitergebnissen nochmal, bis dahin erstmal schönen Abend und Danke für die nette und fachliche Konversation!
VG pehebo
Ok, ich werde auch zurück gehen.
Der Fehler beim downgrade kommt aber vom fehlenden oder falschen Passwort.
Das kann sein, da ich zugegebenermaßen das Passwort erst wieder erinnern musste und es in der Weboberfläche tatsächlich nicht bzw. falsch eingegeben hatte.... Aber Hauptsache, es hat geklappt. Aber ich war n Stündchen doch ganz schön angespannt... 
Ich schließe mich hier mal an...
Ich bin erst vor kurzem auf die Laborversion gewechselt. Seit Freitag etwa geht bei mir Origin nicht mehr Odd Problem with Origin (Gaming Platform) - #4 by BlackHoleSun
Und auch meine Netatmo Wetterstation will seit kurzem nicht mehr. Bei meinem Rechner habe ich die FB als DNS eingetragen, dann ging Origin wieder.
Habe auch mal ein Bericht bei AVM eingereicht, ich hoffe das wird zügig repariert. Will nicht umständlich zurück flashen.
Wenn ich Quad9 als Upstream im Pi-hole Einträge und conditional forwarding einstelle, geht dann wieder alles? (bis auf Dot natürlich)
Dann sollte erst einmal alles wieder funktionieren.
Du kannst auch wie ich auf dem Pi zusätzlich zum Pi-hole noch unbound installieren und diesen als Upstream DNS verwenden mit DoT
https://docs.pi-hole.net/guides/unbound/
1 Like
Danke, das hatte ich initial mal, wollte aber nach einiger Zeit nicht mehr (unbound)
Dann läuft der Pi erstmal ohne FB.. mal sehen wann die das Fixen !
Edit: Bekommt man eigenltich "Feedback" wenn man das Formular abschickt ? Oder wird das nur "notiert"
Ich wurde jedes Mal als ich bei AVM ein Feedback eingereicht habe zeitnah kontaktiert um weitere special traces zu ziehen aus einem hidden diagnose menu.
AVM hat mir auch mal bei der Entstörung meines DSL Vertrages geholfen.
Kann natürlich sein, dass es wegen Corona ein wenig länger dauert.
PS: Kannst du mir mal einen gefallen tun?
Kannst du mir die Adressen die bei dir geblockt worden sind zur Verfügung stellen und bei dir mal probeweise DNSSEC deaktivieren und nochmal versuchen?
Das trifft i.d.R nur zu, wenn es sich um generelle Support Anfragen handelt, bei einem Feedback zu einer Labor FW, meldet sich avm i.d.R nur, wenn Sie weitere Informationen benötigen.
Das Problem hier, welches von der FW verursacht wird, hat nichts mit DNSSEC zu tun und tritt unabhängig davon auf. Die FritzBox selbst macht auch kein DNSSEC sondern leitet solche Anfragen nur an ihren Upstream DNS weiter und die Antworten zurück zum Client.
Ich habe mittlerweile drei Raspies am laufen und alle haben das gleiche Problem, selbst ein Restore von einem Backup aus 2019 führt zu dem gleichen Problem...
Der gemeinsame Nenner ist die FB (und die FW, Beta und stable)... Wenn du nicht willst dass ich versuche dass ich die gleichen Domains wie der Kollege bei mit abteste, dann kann ich diesen Thread auch meiden... Dann sind wir aber alle am Arsch wenn die 7.19 released wird.
EDIT: Eine vierte pihole Instanz bei Google Cloud Platform funktioniert wunderbar mit DNSSEC... Gleiche Einstellungen, gleiche Blocklists aber keine FB!
Auch wenn ich bei meinem Problem nicht den root cause gefunden habe, ich weiss schon was ich tue.
Mal ganz ruhig bitte...
So wie du deinen Aufbau gestern geschildert hast, nutzt du die FritzBox gar nicht als Upstream DNS sondern deinen Pi-hole, sprich dieser leitet alle DNS Anfragen für nicht private Adressen direkt an cloudflare weiter und deine FritzBox ist somit in das resolving gar nicht involviert und kann auch nicht die Fehlerquelle sein!
Das ist der Aufbau den ich in meinem Thread genannt habe als workaround für mein Problem... Heisst nicht, dass ich das generell so fahre, ich kann es zzt. einfach nicht.
Sobald dein Problem aber auch auftritt, wenn du die FritzBox gar nicht als Upstream DNS nutzt, kann diese auch nicht die Ursache sein.
Gut ich bin raus. Lies dir mal mein "Edit' meines vorherigen Beitrags durch.
Ich werde meine 7490 aus dem Keller holen und Nachtesten.
Das sind recht viel Namen im Falle von Origin.
Hier mal nur ein kurzer Auszug:
api1.origin.com
origin-a.akamaihd.net
stage.secure.download.dm.origin.com
secure.download.dm.origin.com
dirtybits.api.origin.com
www.origin.com
usw...
bei Netatmo scheint es ausschließlich folgende Domain zu sein:
nv2-namain-deco.netatmo.net
Passt, diese Adressen werden alle mit einem CNAME beantwortet
Führen interessanterweise bei meiner 7590 aber nicht zu dem Problem
Da bin ich nicht tief genug drin, aber seit ich Qloud9 als Upstream für den Pi-Hole eingetragen hab kann ich wieder Origin nutzen und Netatmo geht auch... DoT an/aus hat keine Auswirkung gehabt.
Du meinst DNSSEC, denn der Pi-hole kann kein DoT
Bei mir ebenfalls, seit ich unbound als Upstream nehme und die FB außen vor ist, gibt es auch bei mir keine Probleme mehr.