Unendliche Schleife bei .local Domains

Darkvoid · January 25, 2022, 11:23pm

Moin,

ich baue aktuell mein Netzwerk um und komme leider doch schneller an meine Grenzen als gedacht..

Zum Verständis wie mein Netzwerk aufgebaut ist. Es gibt zwei Router mit zwei verschiedenen Netzen.
Kommunikation zwischen den Netzen funktionierte von anfang an ohne Probleme.

Router 1 (FritzBox) baut das äußere Netz auf und indem befinden sich zwei PiHole's mit Unbound.

DNS Konfiguration: Internet - Zugangsdaten - DNS Server :
Dort habe ich die festen IPv4 und IPv6 Adressen der PiHole's eingetragen.
Bei dem lokalen DNS steht die Adresse von Router 1 drinnen (Standard)

Router 2 (QNAP Router) baut das innere Netz auf. In diesem befinden sich Server und andere Geräte

DNS Konfiguration: IPv4 und IPv6 Adresse von Router 1

PiHole Einstellung unter Advanced DNS Settings

Never forward non-FQDN A and AAAA queries Aktiviert
Never forward reverse lookups for private IP ranges Aktiviert
Use DNSSEC Aktiviert
Conditional forwarding Deaktiviert

Ich habe PiHole frisch auf beiden RPi3 installiert und dazu Unbound eingepflegt, bisher funktioniert auch alles ich kann DNSSEC nutzen und Undbound löst auch vernünftig auf solang es externe Domains sind.

(Ich weiß, natürlich bekomme ich mit dieser Einrichtung keine genauen Infos welcher Teilnehmer im Netzwerk was aufgerufen hat. Bin aber zufrieden solang PiHole filtert)

Wenn ich jetzt mit meinem Computer im Inneren Netzwerk einen Server im Inneren Netzwerk mit einer ********.local Domain aufrufe, dann werden die beiden PiHole's wortwörtlich geflutet. Jede Sekunde treffen dort mehrere anfragen für ********.local ein.

Ich habe unter Local DNS einen Eintrag für *********.local gemacht. Leider ändert das nichts an der Situation.

Ich hoffe jemand kann mir bei diesem Loop Problem helfen zumal ich etwas besorgt bin ob auch diese Anfragen an den Upstream also unbound geleitet werden und dieser versucht dann die Anfragen aufzulösen.

Da ich nicht weiß welche Information jetzt wichtig sind und welche benötigt werden, entschuldige ich mich schonmal im vorraus.

Mit freundlichen Grüßen

Bucking_Horn · January 26, 2022, 6:01am

Bitte lade ein Debug Log hoch und poste hier anschliessend nur das Token URL.
Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

Darkvoid · January 26, 2022, 11:11am

Moin,

hier die URL https://tricorder.pi-hole.net/u3cTfOvk/

Ich habe gesehen das bei beiden PiHole's diese Fehler auftauchen
Maximum number of concurrent DNS queries reached (max: 150)

Achso und was ich noch sagen wollte, ich kann die .local auch erreichen bzw auslösen.

Bucking_Horn · January 26, 2022, 12:21pm

Das ist in erster Linie kein DNS-Problem:
Anfragen für .local sollten überhaupt nicht an einen DNS-Server gehen - .local ist die für das mDNS-Protokoll reservierte TLD.
mDNS verwendet Port 5353 und ist ein von DNS unabhängiges Protokoll und ermöglicht die namentliche Ansprache von Clients innerhalb desselben Netzwerksegments, unabhängig von einem zentralen Namensserver wie bei DNS, solange die jeweils beteiligten Geräte ihrerseits mDNS unterstützen.

Du solltest daher zunächst einmal prüfen, welcher Client bzw. welche Software auf einem Client überhaupt diese Anfragen stellt und wenn möglich, das dann ggf. client-seitig abzustellen versuchen.

Darüber hinaus enthält Dein Debug Log keine unmittelbaren Hinweise auf einen DNS-Loop (CF ist nicht aktiviert, Router ist nicht als Upstream für Pi-hole eingestellt), auch der mDNS-Port 5353 (der bisweilen bei der unbound-Konfiguration verwechselt wird) wird nicht verwendet, und außerdem verwendest Du Raspberry Pi OS 10/Buster, so dass auch eine bei Updates von 11/Bullseye i.V.m unbound auftretende lokale Fehlkonfiguration einer Schleife nicht als mögliche Erklärung in Frage kommt.

Du könntest prüfen, ob Dein zweiter Pi-hole vielleicht irgendwelche dieser Merkmale aufweist, oder auch für diesen ein Debug Token bereitstellen.

Darkvoid · January 26, 2022, 12:58pm

Okay, ich hätte das wohl etwas ausführlicher beschreiben sollen. Dann ist das anscheinend kein Loop sondern einen Flut an Anfragen

Die Anfrage stellt ja mein Computer. Ich gebe in meinem Browser die .local Domain ein und komme auch auf den angefragten Dienst. Sobald ich aber über die .local Domain auf den Server/Webinterface zugreife tauchen in beiden PiHole's dauerhaft die anfragen auf die mit IP oder manchmal NXDOMAIN beanwortet werden. Client und .local Dienst sind auch in einem Netz.

Da ich ja die beiden PiHole's bei meiner FritzBox als Upstream DNS Server eingetragen habe, sollte CF doch generell nicht mehr funktionieren. Im PiHole befindet sich dann natürlich der Unbound dienst als DNS Upstream. So stelle ich mir das dann auch logisch vor. Alle Anfragen gehen an die FritzBox dieser schickt die über die DNS Upstream IP's an die beiden PiHole's und diese dann über unbound direkt an die Stamm Server

über dig XXXX.local @127.0.0.1 -p 5335 bekomme ich eine rückmeldung von einem Root Server und

WARNING: .local is reserved for Multicast DNS
You are currently testing what happens when an mDNS query is leaked to DNS

Falls das zur Fehlersuche beiträgt, ich bekomme auch teilweise doppelte Anfragen von der Fritzbox

system · February 16, 2022, 12:59pm

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.