Probleme mit lokaler Domainauflösung

Hallo ich betreibe ein Pihole als LXC auf einem Proxmox Host.
Seit kurzem habe ich das Problem das ich keine lokalen Adressen mehr auflösen kann.

Alle abfragen auf meinem Pihole.

Normale Abfrage nach pihole:

nslookup pihole
Server:         9.9.9.9
Address:        9.9.9.9#53

** server can't find pi.hole: NXDOMAIN

Abfrage mit angabe des piholes als DNS Server:

nslookup pihole pihole 
Server:         pihole
Address:        192.168.178.23#53

Name:   pihole
Address: 192.168.178.23

Normale Abfrage nach git.lan:

nslookup git.lan       
Server:         149.112.112.112
Address:        149.112.112.112#53

** server can't find git.lan: NXDOMAIN

Abfrage mit angabe des piholes als DNS Server:

nslookup git.lan pihole
Server:         pihole
Address:        192.168.178.23#53

Name:   git.lan
Address: 192.168.178.20

Der git.lan steht in der /etc/pihole/custom.list. Es sieht mir so aus als würde er nicht den Piihole als DNS Server abfragen. Weitere Effekt ist das wenn ich das Pihole neustarte ich für ein paar Sekunden abfragen auflösen kann.

Hat da einer eine Idee?

Beste Grüße

Deine nslookups zeigen, dass der ausführende Client nicht Pi-hole als DNS-Server verwendet, sondern 9.9.9.9 und 149.112.112.112.

Es ist keine schlechte Idee, einen öffentlichen DNS-Server auf Pi-holes Host zu konfigurieren. So ist eine Namensauflösung auf dem Host auch noch möglich, wenn Pi-hole aus irgendeinem Grund nicht verfügbar sein sollte, so dass z.B. Updates für das Betriebssystem oder Pi-hole selbst immer noch funktionieren.

Öffentliche DNS-Server können aber natürlich Deine lokalen Namen nicht auflösen.

Ja genau das ist der "Upstream DNS Servers " von Quad9 (filtered, DNSSEC).

Ich will ja aber natürlich auch lokale Adressen auflösen. Und das geht halt nicht, auch von anderen Rechnern im Netzt. Ich glaub die Zeilen waren in der hinsicht nicht schlüssig genug.

Eigentlich will ich doch das er erst das pihole fragt und wenn der die nicht beantworten kann dann soll er zu Quad9.

Bei Angaben von mehreren DNS-Servern erfolgt die Auswahl eines DNS-Servers durch den Client. Wenn Du mehrere DNS-Server angibst, können und werden Clients Pi-hole übergehen.

Pi-hole muss in Deinem Netzwerk Dein einziger DNS-Server sein, s.a. Post-Install - Pi-hole documentation.

Für Deinen Pi-hole-Hostrechner kannst Du die DNS-Auflösung nach Deinen Präferenzen konfigurieren.
Die Funktion von Pi-hole wird dadurch nicht beeinträchtigt: Pi-hole wird DNS-Anfragen von Clients an die in Pi-hole konfigurierten Upstgream-DNS-Server senden (also gänzlich unabhängig von der DNS-Konfiguration des Hosts).

Die Clients bekommen den DNS Server vom DHCP konfiguriert. (Nutze das DHCP vom Pihole) bzw.
konfiguriere sie von Hand.

Stimmt leider nicht ich kann so viele DNS Server im Netz haben wie ich will. Auf meiner fritz box läuft auch noch einer. Was man nur einen haben darf ist der DHCP Server und der ist auf meiner Fritz Box aus. Ist aber auch nicht so wichtig, da es für meine fragen keine rolle spielt.

Wo? Ohne das es bei einem Update zerstört wird.

klar

Du kannst gerne Dutzende DNS-Server im Netz haben.
Deine Clients müssen aber nur Pi-hole as einzigen DNS-Server verwenden:


Wo immer Du das bislang eingestellt hast.
Pi-hole ändert weder die DNS-Konfiguration des Hostrechners noch die Deines Routers.

Sicher?

Meine /etc/resolv.conf sagt da aber was anderes.

# Generated by dhcpcd from eth0.dhcp, eth0.ra
# /etc/resolv.conf.head can replace this line
nameserver 9.9.9.9
nameserver 149.112.112.112
nameserver fd00::3e37:12ff:fe4a:bd64
# /etc/resolv.conf.tail can replace this line

Sicher seit Pi-hole v5.0 is here! (Mai 2020).

So wie Deine resolv.conf aussieht, bezieht Dein Host die IPv6-ULA-Adresse vermutlich über RAs von Deinem Router.
Die IPv4-Adressen könnten vielleicht via DHCP kommen (bei einer FB als Router unwahrscheinlich), oder sie wurden durch Dich oder ein auf dem Hostrechner installiertes Netzwerkmanagement-Tool vorgegeben.

Was mir die release notes bringen soll versteh ich nicht.

Es steht doch da woher es kommt vom dhcpcd, der Dienst den Pihole verwendet um sein dhcp zu machen. Sobalt ich was in dem File ändere und reboote ist es wie vorher.

Die Release Notes dokumentieren, dass resolv.conf seit Pi-hole v5 nicht mehr von Pi-hole verändert wird.

Aus der Ferne ist es mir nicht möglich, das zu beurteilen.
Es gibt eine ganze Reihe von Netzwerkmanagement-Tools, die resolv.conf beschreiben können. Nicht alle hinterlassen dabei entsprechende Kommentare.
Es wäre nicht ungewöhnlich, wenn diese Tools die DNS-Server aus dem lokalen Netz beziehen, z.B. vom Router oder DHCP-Server.

Es ist ebenfalls normal, dass manuelle Änderungen an resolv.conf nach einem Reboot von diesen Tools wieder überschrieben werden.
Permanent gewollte Änderungen sind entweder über die entsprechenden Tools oder über den Router/DHCP-Server vorzunehmen.

Nein, Pi-holes DHCP-Server wird von dnsmasq realisiert.

dhcpcd ist in einigen Linux-Distributionen der Standard-DHCP-Client, z.B. unter Raspbian. Pi-hole ändert ggf. dhcpcd.conf während der Installation, sofern die entsprechende Nachfrage nach Anlage einer statischen IP-Adresse mit Ja beantwortet wurde. In dhcpcd.conf finden sich auch ggf. statisch eingestellte DNS-Server. Diese könnten dort auch geändert werden.

Wenn die DNS-Server aber tatsächlich sämtlich über das Netzwerk bezogen werden, müsstest Du alle entsprechenden DHCP/DHCPv6/RA-Einstellungen für DNS-Server prüfen. Für den Fall, dass Pi-hole als DHCP-Server aktiv ist, sind dennoch auch die IPv6-Einstellungen des Routers zu prüfen, damit dieser ggf. nicht nach wie vor sich selbst über RAs als DNS-Server bekannt gibt.

Ach da unten, hatte ich nicht gesehen.

Ohh stimmt vertan.

Jo hab mein Pihole mit eigetragen.

Danke für denn Tipp hab in der Fritz Box auch dhcp für IPv6 aus gemacht

Leider hilft das auch nichts, wenn ich mich ins WLAN Anmelde kann ich für 2-3min. meine Dienste erreichen und dann nicht mehr.

Nur DHCPv6 oder auch "DNS-Server via RA"? Wobei sich eine Fritz!Box von RA damit auch nicht abbringen lässt, nur eben keinen DNS-Server vermeldet.
Ein Weg, IPv6 weitgehend vernüftig laufen zu lassen und Adresschaos zu vermeiden (Privacy extensions) ist, die LiLo (fe80::...) des Pihole als IPv6-DNS von der Fritz!Box announcen (und per DHCPv6 verteilen) zu lassen. Das hat einen großen Vorteil, aber leider auch ein paar Einschränkungen, mit denen sich meist leben lässt.

Vorteil:

  1. Wenn die LiLo als DNSv6 bekannt gegeben wird, bevorzugen nach meiner Erfahrung die meisten IPv6-fähigen Endgeräte dann nicht nur diese für ihre Anfragen, sondern sie benutzen auch ihre eigene LiLo dafür. Dadurch tauchen nicht dauernd neue Adressen im Log von Pihole auf. Auch Kommunikation unter Endgeräten findet dann kaum mehr über privatisierte (und folglich regelmäßig obsolete) ULAs oder GAs statt.

Einschränkungen:

  1. LiLos werden niemals geroutet, auch in LANs nicht. IPv6-Kommunikation via LiLo funktioniert also grundsätzlich nur zwischen Endgeräten, die "hart" miteinander verbunden sind. VLANs oder anderweitig gesplittete Netzwerksegmente sind auf diese Art nicht erreichbar.
  2. Für LiLos verteilt die Fritz!Box, obwohl sie ihr bekannt sind, keine Hostnamen. Das hält AVM scheinbar bis heute nicht für nötig. Folglich können Endgeräte, wenn sie brav IPv6 priorisiert abhandeln, auf einen AAAA-Request im LAN nur die Antwort NXDOMAIN erhalten. Aber auch das ist kein Problem, da normalerweise automatisch auf IPv4 zurückgegriffen wird und bei aktiviertem Conditional Forwarding im Pihole dieses die lokalen Hostnamen kennen sollte.
    Notfalls gibt es ja noch die Pihole-interne DNS-Tabelle, die man auch mit LiLos und zugehörigen Hostnamen füttern kann, sofern das überhaupt nötig ist.

Mit der Konfiguration arbeite ich seit ewiger Zeit, ohne IPv6 irgendwo einschränken oder gar deaktivieren zu müssen.

vielen vielen Dank

es war tatsächlich das IPv6 DNS-Server via RA was diese Probleme verursacht hat.
Ich hab das jetzt aus geschalten.

Ist IPv6 so wie du es beschreibst in einem home Netzwerk sinnvoll/notwendig. (Will darauf eigentlich verzichten.)
Mit IPv6 wollte ich mich in 20 Jahren nochmal beschäftigen :smile:

würde ich damit nicht erst anfangen. Tu's heute!
In einem SoHO-Netzwerk mag es es derzeit noch keine ernsthafte Rolle spielen. Für das WWW wurde es jedoch entwickelt, um das Problem mangelnden Adressraums unter IPv4 zu lösen. Und dieser Mangel ist real. Mehr und mehr Internetdienste werden über kurz oder lang nur noch via IPv6 erreichbar sein, eine Erreichbarkeit über klassisches IPv4 steht dann wenn überhaupt nur noch über träge Tunnel zur Verfügung.
Deshalb ist die Idee der Deaktivierung von IPv6, wenn man damit Probleme hat nur weil man es nicht versteht, keine Alternative. Ich kann nur empfehlen sich die Zeit zu nehmen, sich gründlich einzulesen. Wenn man erstmal verinnerlicht hat, wie die Adressierung funktioniert und was ein paar grundlegende Unterschiede zu IPv4 sind, lacht man darueber, sich davor gedrückt zu haben. So schwer ist's gar nicht.

1 Like

Danke, mal gucken wann ich dafür Zeit finde. Bin jetzt erstmal zufrieden das alles funktioniert.

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.