Query Log zeigt nur localhost an, obwohl Pihole als DNS hinterlegt

Ich hab gesehen, dass dies hier schon öfters gestellt wurde, aber irgendwie wurde ich nicht fündig und alles lief bisher ins Leere.

Im Query Log taucht unter Client nur localhost auf. Sieht dann so aus:

Ich hatte am Anfang testweise meinen Fire TV Stick den DNS Server 192.168.178.28 zugewiesen (darauf läuft Pihole). Das ging nicht. Also habe ich nun mal ausprobiert 192.168.178.28 als DNS-Server (genauer gesagt DNS1, DNS2 ist 1.1.1.1) in der Fritzbox zu hinterlegen. Weiterhin das gleiche. Entsprechend wird u.a. auf dem Fire TV Stick auch nichts geblockt.

Gibt es noch Einstellungen die hier zu beachten sind? Ich möchte Pihole nicht als DHCP Client nutzen, das soll weiterhin meine Fritzbox übernehmen.

Hier nochmal die DNS-Einstellungen von Pihole:


Kleiner Hinweis: Pihole läuft in einem Docker Container unter dem Port 8081, falls es interessant sein sollte.

Edit: ich hab mal

 Interface listening behavior
Listen on all interfaces
Allows only queries from devices that are at most one hop away (local devices) 

angehakt. Ganz kurz ist statt localhost die 127.0.0.1 (surprise) aufgetaucht. Bei einigen Einträgen steht nun fritz.box statt nuc.fritz.box. Soweit so gut. Aber ich bräuchte die Angabe genauer als nur "fritz.box". :confused:

Führe mal von einem Client, der Pihole nutzen sollte folgende Befehle aus:

dig pi.hole
dig google.de
dig google.de @192.168.178.28

Wie hast du denn Pihole im Netzwerk als DNS Server bekannt gemacht? Welche DNS Einstellungen hat deine FB?

[root@nuc]# dig pi.hole

; <<>> DiG 9.16.4 <<>> pi.hole
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63690
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;pi.hole.                       IN      A

;; Query time: 0 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: So Jul 26 13:37:45 CEST 2020
;; MSG SIZE  rcvd: 25

[root@nuc]# dig google.de

; <<>> DiG 9.16.4 <<>> google.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31597
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;google.de.                     IN      A

;; ANSWER SECTION:
google.de.              26      IN      A       216.58.211.99

;; Query time: 20 msec
;; SERVER: 192.168.178.1#53(192.168.178.1)
;; WHEN: So Jul 26 13:37:54 CEST 2020
;; MSG SIZE  rcvd: 63

[root@nuc]# dig google.de @192.168.178.28

; <<>> DiG 9.16.4 <<>> google.de @192.168.178.28
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1576
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.de.                     IN      A

;; ANSWER SECTION:
google.de.              20      IN      A       216.58.211.99

;; Query time: 0 msec
;; SERVER: 192.168.178.28#53(192.168.178.28)
;; WHEN: So Jul 26 13:38:00 CEST 2020
;; MSG SIZE  rcvd: 54

DNS Einstellungen der Fritzbox:

Hier mal die dig-commands aus dem Container heraus:

root@nuc:/# dig pi.hole

; <<>> DiG 9.10.3-P4-Debian <<>> pi.hole
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13267
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;pi.hole.                       IN      A

;; ANSWER SECTION:
pi.hole.                2       IN      A       192.168.178.28

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Jul 26 13:42:09 CEST 2020
;; MSG SIZE  rcvd: 52

root@nuc:/# dig google.de

; <<>> DiG 9.10.3-P4-Debian <<>> google.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48819
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;google.de.                     IN      A

;; ANSWER SECTION:
google.de.              83      IN      A       216.58.211.99

;; Query time: 13 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Jul 26 13:42:15 CEST 2020
;; MSG SIZE  rcvd: 63

root@nuc:/# dig google.de @192.168.178.28

; <<>> DiG 9.10.3-P4-Debian <<>> google.de @192.168.178.28
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52252
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.de.                     IN      A

;; ANSWER SECTION:
google.de.              80      IN      A       216.58.211.99

;; Query time: 0 msec
;; SERVER: 192.168.178.28#53(192.168.178.28)
;; WHEN: Sun Jul 26 13:42:18 CEST 2020
;; MSG SIZE  rcvd: 54

Der "client" ist in dem Fall auch der Pihole "Server". Ich hab hier kein anderes Linux-Gerät herumliegen um dig auszuführen.

Dieser Client nutzt aktuell deine FB für die DNS Auflösung. Diese sendet dann die Anfragen an den Pihole (und 1.1.1.1) weiter.

Versuch mal, die FB zu umgehen und die Anfragen der Clients direkt an den Pihole zu senden:

Bei Lokaler DNS-Server dann die Pihole IP angeben.

Clients dann einmalig vom Netzwerk trennen und neu verbinden, damit sie die geänderten Einstellungen aufnehmen.

Ich hab Pihole als lokalen DNS Server hinterlegt. Das bringt mich auf jedenfall deutlich weiter in Richtung Ziel, aber es kommt mir dennoch etwas spanisch vor:


Auf dem Client "nuc" läuft Pihole. Manchmal steht da nuc. manchmal localhost. Wieso? Und warum kommen die ganzen nuc.fritz.box Einträge für den localhost (nuc?)?
Auch: Ich sitze gerade vor einem Windows Rechner und mache von dort die Einstellungen in Pihole und teste ab und an mit diesem PC die queries indem ich Traffic erzeuge. Der PC wird als fritz.box angezeigt, statt seinem aufgelösten Namen / IP.

Spontane Vermutung: du hast den Rechner noch nicht vom Netzwerk getrennt, nachdem du die Einstellungen in der FB geändert hast, sodass der Rechner seine Anfragen immer noch erstmal zur FB sendet und die die dann an Pihole weiterleitet.

Bin ich nicht ganz 100% sicher, aber ich denke, das hängt davon ab, wohin Software auf dem Nuc die DNS Anfragen sendet. Entweder an Localhost (127.0.0.1.), für den Pihole dann die Anfragen auch beantwortet, oder halt an die im System eingestellten DNS Server (was ja auch Pihole ist). Daher interpretiert Pihole das dann jeweils unterschiedlich: entweder die Anfragen kamen von 127.0.0.1. rein oder eben über die IP des Nuc selbst.

Anscheinend hast du eine Software auf dem Nuc laufen, die versucht herauszufinden, welche IP mit den Hostnamen nuc verknüpft ist. Da deine Domän frit.box ist, wird das eben an die Anfrage angehangen. Es kann durchaus sein, dass es Pihole selbst ist, der versucht herrauszufinden, welche IP hinter nuc(.firtz.box) steckt.

fritz.box ist einer der vielen Namen, die die FB sich selbst verpasst, und damit ein valider und vollständiger Eintrag sowohl unter Client als auch unter Domain.

Auf Systemen, auf denen dig nicht verfügbar ist (z.B. Win), kann nslookup verwendet werden.

Was geben folgende Kommandos zurück:

nslookup fritz.box 192.168.178.1
nslookup fritz.box 192.168.178.28

Dein Pi-hole-nuc stellt Anfragen an www.archlinux.org - läuft Dein Pi-hole unter ArchLinux?

Ich würde auch empfehlen den alternativen DNS Server (1.1.1.1) in der FB zu entfernen. Dann kommen garantiert auch alle Anfragen an den Pi-hole