Pihole filter nicht mehr nach Netzwerk-Verlust in Win10

[Vigilant]

Fritzbox 7490, Win10, aktuellster Update-Stand.

Moin zusammen,

ich bin ein wenig ratlos in Bezug auf unser Netzwerk (und dem Pihole.)

Am vergangenen Dienstag wechselte während einer Videokonferenz das Netzwerksymbol in der Taskleiste auf den Globus (keine Internetverbindung). Die VidKo lief aber normal weiter und Webseiten ließen sich auch einwandfrei öffnen.

Nach einem Neustart war dann tatsächlich kein Webzugriff möglich. Lediglich über Gast-WLAN mit anderem IP-Bereich ging es noch. LAN und Standard-WLAN nicht.

Ohne weiteren Eingriff ging dann nach ein paar Minuten wieder alles. Also erstmal nicht weiter verfolgt.

Ein paar Tage später verlor der Fernseher beim Streaming die Verbindung. Und tatsächlich hatten die anderen Geräte wieder die o.g. Probleme. Das wiederholte sich ein paar Mal. Stets hatten alle Geräte aber weiter ihre IP-Adressen, inkl. der Pihole Adresse für die Alternativen DNS. DSL-Verbindung war absolut o.k. und fehlerfrei. Keine Disconnects oder andere Störungen protokolliert.

Also Netzwerkadapter zurückgesetzt, Pihole und Fritzbox neu gestartet. Keine Verbindung, nur Gast-WLAN funktioniert.

Dem Windows-Rechner daraufhin in den Netzwerkeinstellungen eine feste IP verordnet (was im übrigen auch in den Fritzbox-Einstellungen stets aktiviert war) und plötzlich funktioniert der LAN-Zugriff. Gleiches Spiel auf zwei Android-Geräten, bei denen zuvor auch nur noch Gast-WLAN funktionierte.

Nehme ich die feste IP wieder heraus, verbindet sich LAN wieder mit dem Web, nur um sich ca. 10 Sekunden später wieder zu verabschieden, obwohl alle korrekten Adressen in der IPconfig ausgegeben werden.

Gut, also bei der festen IP belassen. Funktioniert soweit auch stabil.

Allerdings filtert der gute Pihole nun nichts mehr, obwohl auch hier alle Einträge korrekt und unverändert sind. Testweise andere DNS ausprobiert. Unverändert. Alle Geräte im Netzwerk bekommen als DNS die Adresse des Pihole über die Fritzbox übermittelt. Soweit o.k.

Ich kratze mir hier gerade beständig am Kopf, weil ich nicht wirklich auf die Ursache komme.

Vielleicht hat jemand eine Idee?

 

[Raijin]

Pihole Adresse für die Alternativen DNS

Der alternative DNS funktioniert nicht unbedingt so wie Otto Normal es denken mag. Das ist kein Fallback im eigentlichen Sinne, da primärer und sekundärer DNS je nach Implementierung parallel abwechselnd oder nacheinander (timeout) genutzt werden. Wenn man also pihole neben einem zweiten DNS einträgt - erstmal egal in welcher Reihenfolge - ist es naheliegend, dass nicht durchgängig gefiltert wird. Deswegen sollte man nur einem DNS verwenden, wenn man nicht 2 identische DNS hat.
Hinzu kommt nämlich noch die Auflösung von lokalen Namen.

Da ich keine Lust habe, das gefühlt zum 100. Mal auszuformulieren (), suche ich gleich einen alten Beitrag von mir raus und verlinke ihn hier. Dauert am Handy einem Moment.

Ergänzung (30. Januar 2022)

Beitrag im Thema "Probleme mit PiHole" https://www.computerbase.de/forum/threads/probleme-mit-pihole.2063380/post-26444971

 

[Engaged]

Ich hatte letzte Woche so ein Problem, als ich hier eine Ersatz Fritzbox hatte weil meine bei AVM war, bei mir war es so dass ich die falsche ULA Adresse hatte, darum gingen manche Sachen manchmal und manchmal nicht, weil es für IPV4 ja noch funktioniert hatte nur halt nicht für IPV6. 😅

Arbeitest du mit ULA Adressen?

Wenn nicht hat sich bestimmt irgendeine dynamische IP geändert.

 

[Vigilant]

Danke erst einmal. Mal schauen, ob ich das richtig verstanden habe:

Die Fritzbox arbeit als DHCP-Server. Neben den Raum für IP-Adressen ist dort auch als Lokaler DNS-Server der Pihole eingetragen (bekommt feste IP zugewiesen).

@Raijin Das wäre das aktuelle Setup:

Router ist DHCP-Server
Router vergibt die pihole-IP als DNS via DHCP
Router selbst hat einen beliebigen DNS (außer pihole), zB 9.9.9.9
pihole hat als Upstream-DNS die Router-IP oder es ist conditional forwarding konfiguriert (zB fritz.box)
DNS-Aufrufkette: Client --> pihole --> Router --> 9.9.9.9

Im Pihole sind bisher als Upstream-DNS 46.182.19.48, 80.241.218.68 eingetragen. Was auch bisher prima funktioniert hat.

Wenn ich Dich richtig verstehe, wäre aber als Upstream-DNS die IP der Fritzbox einzutragen.

Dann stellt sich mir noch immer die Frage, warum es zuvor prima funktionierte und plötzlich nicht mehr, ohne das irgendwo (sichtbare) Updates erfolgten oder Einstellungen verändert wurden.

@Engaged
IPv6 ist deaktiviert. Wenn ich das richtig erinnere ist ULA Bestandteil dessen, oder?

 

[Engaged]

Danke erst einmal. Mal schauen, ob ich das richtig verstanden habe:

Die Fritzbox arbeit als DHCP-Server. Neben den Raum für IP-Adressen ist dort auch als Lokaler DNS-Server der Pihole eingetragen.

Im Pihole sind bisher als Upstream-DNS 46.182.19.48, 80.241.218.68 eingetragen. Was auch bisher prima funktioniert hat.

Wenn ich Dich richtig verstehe, wäre aber als Upstream-DNS die IP der Fritzbox einzutragen.

Dann stellt sich mir noch immer die Frage, warum es zuvor prima funktionierte und plötzlich nicht mehr, ohne das irgendwo (sichtbare) Updates erfolgten.

Also ich habe das hier so, dann funktioniert pi-hole auch im Gast WLAN:

Pihole: DNS Server mit DNSSEC und ECS je alle IPv4 und ipv6 Haken an (Google, openDNS)

In der Fritzbox unter netzwerkeinstellungen (ggf Experten Ansicht aktivieren), ULA Adressen aktivieren, eine erstellen die man sich gut merken kann bzw schnell erkennt.
Für den Raspberry/pihole immer gleiche IPv4 Haken an in der fritzbox.

Dann schauen welche ULA ipv6 Adresse und welche IPv4 der pi hole (Raspberry?) hat.

Dann wieder bei netzwerkeinstellungen, bei IP V4 einstellungen, bei lokalen DNS Server die IPv4 von pi-hole eintragen.

Bei netzwerkeinstellungen bei IPv6 Einstellungen, IPv6 DNS im Netzwerk bekannt geben, Haken anmachen ULA ipv6 vom pi-hole eintragen.

Bei netzwerkeinstellungen, rebind Schutz, die IPv6 und IPv4 vom pi-hole untereinander eintragen.

Dann bei Internet Einstellungen der Fritzbox, bei den Einstellungen für die DNS Server, bei IPv4 DNS zweimal die IPv4 vom pi-hole eintragen, und bei IPv6 DNS zweimal die ULA vom pi-hole eintragen.

Raspberry/pihole in der Fritzbox priorisieren, damit es auch immer schön flutschig läuft.

Das ist bombensicher und funktioniert auf jedem Gerät auch out-of-the-box mit DHCP, da kommen die Geräte dann nicht mehr drumherum, und es wird garantiert gefiltert immer, man müsste schon im Klient manuell einen anderen DNS Server eintragen um das zu umgehen oder es müsste hard-coded sein wie im chromecast um das zu umgehen.
Ich habe einen Dual Stack Anschluss, kann nicht sagen ob man mit ds-lite exakt die gleichen Einstellungen machen muss. 😅

PS: ohne den Raspberry Pi funktioniert das Internet bzw dns nicht mehr, falls man den außer Betrieb nimmt, muss man bei rebind schutz die Adressen löschen, bei IPv6 Einstellungen Haken ausmachen für IPv6 DNS im Netzwerk bekannt geben, bei IP V4 Einstellungen lokaler DNS Server auf die Adresse der Fritzbox umändern, und unter Internet Einstellung die DNS Einstellungen jeweils wieder auf die vom Provider oder was auch immer machen.
Kann ja mal sein dass der pi kaputt geht oder was auch immer, nicht dass man dann dumm da steht. 😅

 

[Raijin]

Wenn ich Dich richtig verstehe, wäre aber als Upstream-DNS die IP der Fritzbox einzutragen.

Die Sache ist die: Wenn der DHCP-Server nicht auf dem bzw. einem "beteiligten" DNS läuft, kann es zu Problemen mit lokalen Namen geben. In deinem Setup sieht die DNS-Aufrufkette so aus : Client -> pihole -> public DNS. Der DHCP-Server läuft aber auf der Fritzbox und die darf da nicht mitspielen. Wenn du nun im Netzwerk nach "meinNAS" suchst, wird das mit DNS nicht klappen, weil erst der pihole gefragt wird und wenn dieser die Antwort nicht kennt, was genau so der Fall ist, fragt er den Upstream-DNS, in deinem Fall einen public DNS.
Bei lokalen Namen muss das Betriebssystem daher auf alternative Namensauflösung ausweichen, zB netbios, o.ä. was funktionieren kann oder auch nicht.

Es gibt Mechanismen, mit denen man DHCP und DNS auf verschiedenen Systemem synchronisieren kann, aber das geht über Consumer-Hardware hinaus. Daher ist es sinnvoll, den DHCP im Router in die DNS-Aufrufkette einzubinden (zB Router als Upstream-DNS in pihole oder andersherum) oder aber den DHCP auf pihole umzuziehen. Ersteres ist für die meisten einfacher zu handhaben.

@Engaged macht es zB so, dass die Clients via DHCP die Fritzbox als DNS bekommen und diese leitet bei nicht-lokalen Namen an den Upstream-DNS = pihole weiter, der wiederum gegebenenfalls an seinen Upstream-DNS (zB 1.1.1.1/8.8.8.8) durchreicht.

Das ist ein konsistentes Setup, das nur einen kleinen Haken hat: Im pihole taucht dann nur die Fritzbox als Client auf und nicht mehr die Endgeräte, weil die Fritzbox sozusagen der Vermittler zwischen Endgerät und pihole ist.
Ich halte das für vernachlässigbar und dafür hat das Setup andere Vorteile (wie zB @Engaged 's Anmerkung zum Gast-Netzwerk!).
Möchte man unbedingt alle Endgeräte in pihole sehen, muss pihole eben vor der Fritzbox kommen, also Client->pihole->Fritzbox->public.

 

[Vigilant]

Vielen Dank euch für den Input. Macht einem schon mal etwas schlauer.

Weil hier aber IPv6 nicht aktiv ist, sind die Einstellungen m.E. obsolet.

Mich wurmt es halt, dass die bisherige, sehr gute Wirkung der Pihole-Filter ohne erkennbaren Grund stoppt. Der einzig zeitlich korrespondiere Zeitpunkt mit Auffälligkeiten war halt der plötzlich fehlende Internetzugriff über den Standard-IP-Raum, während der Gast-IP-Raum einwandfrei funktionierte.

Nichts gegen Rätsel, aber irgendwie hätte ich es dann auch gerne aufgelöst.

 

[Engaged]

Möchte man unbedingt alle Endgeräte in pihole sehen, muss pihole eben vor der Fritzbox kommen, also Client->pihole->Fritzbox->public.

Aha darum steht da in den Statistiken manchmal nur Fritzbox, das erklärt einiges, ist aber in der Tat nicht schlimm, trotzdem danke für die Aufklärung. 😅👍


@Vigilant
Und hier auch noch mal eine kurze Statistik warum ich das auch definitiv mit IP V6 DNS Servern machen würde, ungefähr ein Drittel der Dienste nutzt nämlich heutzutage schon IPv6 ("schon" höhö):

Ob man davon Vorteile hat weiß ich nicht, hier ist eh immer alles schnell, aber so läuft wenigstens alles quasi korrekt. 😁

Edit: lese gerade dass du keinen IP V6 hast dann ist es natürlich wieder was anderes.

 

[Raijin]

Mich wurmt es halt, dass die bisherige, sehr gute Wirkung der Pihole-Filter ohne erkennbaren Grund stoppt. Der einzig zeitlich korrespondiere Zeitpunkt mit Auffälligkeiten war halt der plötzlich fehlende Internetzugriff über den Standard-IP-Raum, während der Gast-IP-Raum einwandfrei funktionierte.

Nichts gegen Rätsel, aber irgendwie hätte ich es dann auch gerne aufgelöst.

Kann ich verstehen, ist im Nachhinein aber schwierig. Es ist ja nicht so, dass ein Setup ohne Beteiligung des DNS in der Fritzbox nicht funktioniert! Es geht dabei einzig und allein um die lokale Namensauflösung, die nicht immer funktionieren wird (Stichwort: netbios), während die öffentlichen Namen wie computerbase.de in jedem Fall korrekt aufgelöst werden, auch ohne die Fritzbox.

Vor einiger Zeit hat ein Mitglied hier im Forum (weiß nicht mehr wer) mal den DNS-Traffic seiner Fritzbox am WAN mitgeschnitten und sein Fazit war, dass die Fritzbox den primären und sekundären DNS abwechselnd als erstes befragt. Mangels Fritzbox kann ich das nicht nachprüfen und im www sind solche Detail-Informationen meistens schwierig bis gar nicht zu finden, habe bei diesem Beitrag aber auch nicht aktiv danach gesucht, damals hingegen schon, da aus dieser Diskussion der Test des besagten Nutzers entstand.

Es besteht durchaus die Möglichkeit, dass der Algorithmus für den primären bzw. sekundären DNS bei einem Firmware-Update verändert wird. Da es für 99,99999% der Fritzboxnutzer aber keine relevante Infomation ist, mit der sie auch nur irgendetwas anfangen könnten, taucht das womöglich nicht mal in den Patchnotes auf.

Ob sich da nu tatsächlich etwas geändert hat oder bei deiner Fritzbox irgendwas "hängenbleibt", müsste man daher mit einer Fritzbox und aktuellem OS erneut am WAN testen.

 

[Vigilant]

Aktuell funktioniert es scheinbar wieder, auch wenn die Blockquote im Vergleich zu vorher relativ niedrig ist. Mal schauen, wie sich das die nächsten Tage entwickelt.

Danke euch zunächst. Habt noch einen schönen Sonntag.

 

[Engaged]

Aktuell funktioniert es scheinbar wieder, auch wenn die Blockquote im Vergleich zu vorher relativ niedrig ist. Mal schauen, wie sich das die nächsten Tage entwickelt.

Danke euch zunächst. Habt noch einen schönen Sonntag.

Hatte ich wie gesagt auch mit der Fritzbox welche ich zur Überbrückung genutzt habe, da war IP V6 mit der ULA nicht richtig eingestellt.

 

[Vigilant]

@Engaged @Raijin
Kurzes Update:

Habe Pihole bei der Gelegenheit neu aufgesetzt. Der 4er Rasp ist zwar überdimensioniert, aber aktuell habe ich kein Projekt für ihn. Funktioniert alles wie es soll, Blocklisten ausgemistet und aktualisiert, individuelle Upstream-DNS-Server werden korrekt angesprochen, Blockrate liegt wieder bei ca. 23%.

🙂☕🍪

 

[Engaged]

Der 4er Rasp ist zwar überdimensioniert, aber aktuell habe ich kein Projekt für ihn.

Joa der dürfte sich langweilen.
Hab bei mir dazu noch Plex Server für Musik, next Cloud, und iobroker, und selbst damit ist der nicht mal ausgelastet. 😁

 

[Vigilant]

Habe Pihole bei der Gelegenheit neu aufgesetzt.

...und sogar daran gedacht, den Entwicklern mal wieder ein paar Dollar über den Zaun zu werfen. Soviel sei noch angemerkt 😉.