Verständnisfrage zu "Use DNSSEC" Option in den Web-GUI Settings des Pi-holes

eyespeak · January 7, 2024, 11:50am

Hallo,

ich betreibe seit ziemlich langer Zeit einen Pi-hole inklusive Unbound auf einem Ubuntu. Die IPs (IPv4 / v6) ist in der FRITZ!Box hinterlegt

Regelmäßig läuft ein pihole -up und pihole -g per Cronjob. Heute morgen hat dann der Pi-hole den Dienst verweigert. Anscheinend gab es wohl eine Änderung per Update?

Jedenfalls musste ich den Schalter "Use DNSSEC" in der Web-GUI unter Settings aus machen, damit er wieder lief.

Daher meine Frage. Ist das überhaupt relevant wenn auf dem Pi-hole selbst nochmals ein Unbound läuft? Bei mir schaut das so aus:

Das hier funktioniert bei mir. Es wird das "ad" flag ausgegeben:
DNSSEC: Prüfen ob DNS-Server Anfragen validiert ⋆ Kuketz IT-Security Blog (kuketz-blog.de)

Ich frage mich nur warum es über Monate oder gar Jahre lief, jetzt aber nicht mehr? Sobald ich die Option "Use DNSSEC" wieder rein mache sehe ich unter Pi-hole diagnosis ein:

DNSMASQ_CONFIG
FTL failed to start due to cannot reduce cache size from default when DNSSEC enabled

Wer kann helfen?

Bucking_Horn · January 7, 2024, 6:33pm

Da unbound in der von Pi-holes Doku empfohlenen Konfiguration bereits DNSSEC-Validierung aktiviert hat, bringt in dieser Konstellation die Aktivierung von DNSSEC in Pi-hole technisch keinen zusätzlichen Nutzen, bis auf die explizite Darstellung der DNSSEC-Validierung in Pi-holes Query Log.

Wir raten generell von unbeaufsichtigten Release-Updates ab.
DNS ist von zentraler Bedeutung für Dein gesamtes Netzwerk - wenn DNS nicht mehr funktioniert, geht vermutlich nichts mehr.

Vor einem solchen Update sollten daher die Release Notes gelesen werden - mitunter kommt es zu (nicht zurücknehmbaren) Änderungen, die nicht zu Deiner spezifischen Konfiguration passen und Anpassungen erforderlich machen, damit Dein Pi-hole einwandfrei läuft. Und natürlich sind auch die Pi-hole-Entwickler nur Menschen, die trotz aller Sorgfalt auch mal einen Fehler übersehen können, der aber ausgerechnet in Deiner Konfiguration zum tragen kommt.

Wir empfehlen daher, Updates nach dem Lesen der Release Notes beaufsichtigt durchzuführen, damit man bei Bedarf im Fehlerfall sofort eingreifen kann.

Zu Deiner konkreten Fehlermeldung:

Diese Fehlermeldung wird durch eine manuelle Anpassung von Pi-holes Cache-Größe provoziert.

Was zeigt http://pi.hole/admin/api.php?getCacheInfo bzw.

echo ">cacheinfo >quit" | nc localhost 4711

eyespeak · January 8, 2024, 7:55am

Die Frage ist nur, warum es vorher ging.

Nun, ja. Ich betreibe das Teil für private Zwecke und habe 90 Tage Backups davon. Ich mache es eben genau so, weil ich eben nicht die Release-Notes durchlese und dann eine Entscheidung treffe. Das jetzt irgendwas nicht ging, war die absolute Ausnhame.

{
"cacheinfo": {
"cache-size": 0,
"cache-live-freed": 0,
"cache-inserted": 0,
"ipv4": 2,
"ipv6": 6,
"srv": 0,
"cname": 0,
"ds": 0,
"dnskey": 0,
"other": 35,
"expired": 0,
"immortal": 43
}
}

Bucking_Horn · January 8, 2024, 10:50am

Das ist die Ursache für die Meldung:
Sofern DNSSEC in Pi-hole aktiviert ist, darf der Cache nicht auf 0 gesetzt werden.

Wann hast Du die Cache-Größe angepasst und/oder DNSSEC in Pi-hole aktiviert?

eyespeak · January 8, 2024, 11:29am

Mich wundert das. Das stand eigentlich immer auf 10000. Ich habe das nicht verändert.
DNS cache - Pi-hole documentation

Hab jetzt wieder 10000 rein, und die Option "Use DNSSEC" wieder angemacht. Klappt wieder alles.

eyespeak · January 8, 2024, 3:12pm

Eine Frage noch dazu:

Was tun wenn der cache insertions Wert größer ist, als cache size Wert? Den cache size Wert vergrößern?

DNS cache size:	10000
DNS cache insertions:	12122
DNS cache evictions:	0

Bucking_Horn · January 8, 2024, 4:35pm

Nein:

There is no benefit in increasing this number unless the number of DNS cache evictions is greater than zero.

(Zitiert aus der von Dir verlinkten Dokumentation)

eyespeak · January 9, 2024, 8:46am

Das habe ich schon gelesen

Mich wundert nur das der Wert bei DNS cache insertions höher ist als 10000.

wd9895 · January 9, 2024, 9:23am

Scheint normal zu sein
|DNS cache size:|10000|
|DNS cache insertions:|74625|
|DNS cache evictions:|0|

Bucking_Horn · January 9, 2024, 9:36am

DNS-Antworten werden bis zum Ablauf ihrer TTL zwischengespeichert.
Nur wenn der Zwischenspeicher z.B. komplett mit DNS-Antworten für 10.000 Domänen (deren TTL noch nicht abgelaufen ist!) gefüllt ist, müsste Pi-hole für die 10.001e Domäne einen vorhandenen Eintrag bereits vor Ablauf seiner TTL rauswerfen.
Solange neu hinzugekommene Antworten also keine Antworten verdrängen, ist der Cache auch nie voll gewesen (und mithin groß genug).

eyespeak · January 9, 2024, 10:42am

Leicht unverständlich. 10.001 ist mehr als 10.000. Es wird doch alles was über 10.000 ist automatisch verdrängt, oder?

Bucking_Horn · January 9, 2024, 11:19am

Nein, denn:

eyespeak · January 9, 2024, 12:49pm

Auf ewig, oder wie? Wo ist da denn die Grenze?

Bucking_Horn · January 9, 2024, 1:03pm

Eben nicht ewig, sondern:

Bei einer TTL von z.B. 300 Sekunden verbliebe ein Eintrag also 5 Minuten im Cache.

eyespeak · January 9, 2024, 1:33pm

Ach so ist das gemeint. Jetzt habe ich es kapiert

system · January 30, 2024, 1:34pm

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.