[Gelöst] Netzwerkprobleme nach Wechsel auf die 7590

[Keen]

Wir haben uns eine neue Fritzbox 7590 gegönnt, aber die 1und1 Version. vorher hatten wir die 7580. Seit dem wir die angeschlossen und konfiguriert haben, habe ich kuriose Dinge beobachtet. Ich muss dazu sagen, das wir die Einstellungen von der alten Fritzbox einfach übertragen haben, da diese doch sehr umfangreich sind. Es ist die aktuelle Firmware 7.50 installiert.
Das Wlan ist deaktiviert, das übernimmt bei uns ein unifi Switch inklusive APs. Ein Pi-Hole, inklusive einem Unbound Server, laufen auf einer Synology.

Die erste Merkwürdigkeit war, dass bei dem Smartphone meiner Frau das Internet gesperrt war, die Kindersicherung blockierte diese, obwohl das Standard Profil hinterlegt war.
Ein Löschen des Geräts aus der Netzwerkansicht half das Problem zu lösen.

Was noch werkwürdig ist, ab und zu wird das Internet gesperrt, das dauert dann ein paar Minuten an, dann läuft es wieder. Selbst wenn ich fritz.box in die Adresszeile eingebe, läd nix, gebe ich aber die IP Adresse ein, klappt die Verbindung. Ich tippe auf einen falsche DNS Konfiguration.

In den Logs der Fritzbox unter Ereignisse kann ich nix entdecken, Internet liegt bei den Unterbrechungen trotzdem an.

Habt ihr eine Idee woran das liegen könnte?

 

[frank_m24]

Ich muss dazu sagen, das wir die Einstellungen von der alten Fritzbox einfach übertragen haben, da diese doch sehr umfangreich sind.

Ganz schlechte Idee, vor allem bei einem Modellwechsel.

Ich tippe auf einen falsche DNS Konfiguration.

In den Logs der Fritzbox unter Ereignisse kann ich nix entdecken, Internet liegt bei den Unterbrechungen trotzdem an.

Du betreibst einen Pi-Hole und einen eigenen Resolver. Da hast du wohl das lokale Subnetz nicht ordentlich eingebunden. Das ist aber Sache des Pi-Hole und nicht der Fritzbox.

Deshalb: Reset auf Werkseinstellungen der Box mit frischer Einrichtung von Hand, und dann Überprüfung der Pi-Hole Konfiguration inkl. Conditional Forwarding.

 

[Keen]

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

Ja so ist es. Aber aus Zeitmangel habe ich es so gemacht.
Ich bin grad manuell alle Einstellungen durchgegangen, alles ist identisch, nur eine Sache fällt mir auf, in der 7590 gibt es unter Internet / Zugangsdaten / DNS Server eine neue Einstellungsmöglichkeit, öffentliche DNS- Server.
Bei DNS-Störungen auf öffentliche DNS-Server zurückgreifen
Bei Störungen der DNS-Server zieht die FRITZ!Box öffentlich verfügbare DNS-Server zur Namensauflösung heran.
Sollte ich da den Haken rausnehmen?

 

[frank_m24]

Kannst du machen, wird aber an deinem Problem nichts ändern.

fritz.box wird in der Fritzbox aufgelöst. Wenn fritz.box nicht aufgelöst wird, dann wird die Fritzbox nicht gefragt, das ist das Problem. Wen die Fritzbox später fragt für externe Anfragen ist dabei völlig egal. Und wenn du einen Pi-Hole nutzt, dann ist der dafür verantwortlich, die Fritzbox zu fragen, wenn es wichtig ist. Dafür gibt es Conditional Forwarding.

 

[Keen]

Conditional Forwarding ist bei mir konfiguriert, funktionierte vor dem Fritzbox Wechsel bereits schon.
Ich habe gerade eine andere Idee woran es liegen könnte. Pi-hole hat seit neusten eine Rate-limiting Funktion.
Block clients making more than 1000 queries within 60 seconds, war konfiguriert, es kam auch eine Meldung das die 1000 überschritten wurden, ich habe den Wert auf 2000 erhöht, seit dem gab es keine Aussetzer mehr, war das die Ursache?

 

[frank_m24]

Mag sein, aber dann würde ich mir Gedanken machen. 1000 Anfragen in 60 Sekunden von einem Client? Du lässt die Pi-Hole Anfragen doch hoffentlich nicht über die Fritzbox laufen, oder?

 

[Keen]

Was meinst du damit? Wo kann ich da nachsehen?

 

[Benares]

Mach mal ein nslookup auf eine beliebige externe Adresse mit der Option "set debug". Ich selbst kenne PI-Hole selber wenig aber ich vermute, dass PI-Hole die TTL der Antwort verfälscht und auf 0 setzt, damit er bei jeder Namensauflösung erneut befragt wird und seine Statistiken pflegen kann. Das würde auch die extrem hohe Anfragerate erklären. Das hebelt natürlich die Funktionalität des DNS-Caches auf den Clients aus.

 

[frank_m24]

Was meinst du damit? Wo kann ich da nachsehen?

Wieso nachsehen? Du hast es doch eingerichtet. Du wirst doch wissen, wie du den Pi-Hole in deine DNS Abfragen integriert hast.

Ich selbst kenne PI-Hole selber wenig aber ich vermute, dass PI-Hole die TTL der Antwort verfälscht und auf 0 setzt, damit er bei jeder Namensauflösung erneut befragt wird und seine Statistiken pflegen kann.

Nein, TTL wird durchgereicht.

 

[Keen]

Hier die die Ausgabe vom nslookup

C:\Users\keen>nslookup
Standardserver:  pi.hole
Address:  192.168.178.20

> set debug
> wikipedia.de
Server:  pi.hole
Address:  192.168.178.20

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NXDOMAIN
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        wikipedia.de.fritz.box, type = A, class = IN
    AUTHORITY RECORDS:
    ->  fritz.box
        ttl = 9 (9 secs)
        primary name server = fritz.box
        responsible mail addr = admin.fritz.box
        serial  = 1677322106
        refresh = 21600 (6 hours)
        retry   = 1800 (30 mins)
        expire  = 43200 (12 hours)
        default TTL = 10 (10 secs)

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NXDOMAIN
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 0,  additional = 0

    QUESTIONS:
        wikipedia.de.fritz.box, type = AAAA, class = IN

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 4, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        wikipedia.de, type = A, class = IN
    ANSWERS:
    ->  wikipedia.de
        internet address = 134.119.24.29
        ttl = 944 (15 mins 44 secs)

------------
Nicht autorisierende Antwort:
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 5, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        wikipedia.de, type = AAAA, class = IN
    ANSWERS:
    ->  wikipedia.de
        AAAA IPv6 address = 2a00:1158:3::113
        ttl = 524 (8 mins 44 secs)

------------
Name:    wikipedia.de
Addresses:  2a00:1158:3::113
          134.119.24.29

Wieso nachsehen? Du hast es doch eingerichtet. Du wirst doch wissen, wie du den Pi-Hole in deine DNS Abfragen integriert hast.

Nicht wirklich, ich habe ein Tutorial genutzt.

 

[Benares]

Ok, dann hab ich wohl getäuscht, die TTL wird durchgereicht. Ein Client dürfte dann eigentlich erst dann wieder den DNS-Server nach dem gleichen Namen befragen, wenn die TTL der letzten Antwort abgelaufen ist (DNS-Cache).

Aber vielleicht spuckt dir da dein gesetztes DNS-Suffix etwas in die Suppe, welches dafür sorgt, dass bei jeder Namensauflösung erstmal probiert wird, ein fritz.box anzuhängen, bevor wirklich nach dem übergebenen Namen gesucht wird (s.o.). Gib FQDNs besser immer mit einem Punkt am Ende an ("nslookup wikipedia.de.") um dem Resolver zu sagen, dass es sich bei dem Namen ja schon um einen FQDN handelt. Oder nimm halt das DNS-Suffix raus.

Oder gibt es bei PI-Hole irgendwo eine Stelle, wo man sehen kann, wer wie oft nach welchen Namen fragt? Mehr als 1000 Abfragen/Minute sind schon etwas heftig.

 

[frank_m24]

Nicht wirklich, ich habe ein Tutorial genutzt.

Das sollte aber nicht dazu führen, dass man seinen Verstand abschaltet, während man das Tutorial befolgt. Die Dinger sind dafür, dass man versteht und nachvollzieht, was man da tut. Damit man in Situationen wie dieser weiß, wo man ansetzen kann.

Immerhin wissen wir jetzt, dass die Clients direkt den Pi-Hole fragen und nicht den Umweg über die Fritzbox nehmen. Dann sind die 1000 Anfragen in 60 Sekunden ein Problem. Du solltest unbedingt analysieren, wer da auf deinen Endgeräten so oft ins Internet will.

Oder gibt es bei PI-Hole irgendwo eine Stelle, wo man sehen kann, wer wie oft nach welchen Namen fragt? Mehr als 1000 Abfragen/Minute sind schon etwas heftig.

Ja, die Analyse-Funktionen des Logs sind umfangreich. Man kann nach anfragenden Hosts filtern, nach abgefragten URLs, nach Teilen davon, mit Regular Expressions usw.

 

[Keen]

Mein Virenscanner, Avast, scheint der schuldige zu sein.

v7event.stats.avast.com
analytics.ff.avast.com

Beide über 1000 Anfragen pro Minute.

 

[frank_m24]

Kann das sein, dass die geblockt sind und er es deshalb so oft versucht? "Stats" und "Analytics" hört sich so nach typischen Kandidaten für eine Sperre an.

 

[Keen]

Ja so wird es sein! Ich hatte parallel eine Anfrage an den Pi-hole Support gestellt, wahrscheinlich konnte ich das Problem jetzt lösen, ich werde die Sache beobachten. Ich zitiere mal den Lösungsweg. Der dick formartierte Text half das Problem zu lösen!

Pi-hole setzt standardmässig die TTL für geblockte DNS-Antworten auf 2 Sekunden.
Theroretisch liesse sich diese Zeit über BLOCK_TTL (mit Bedacht!) anpassen, aber das würde in diesem Fall nichts bringen: 1.000 Anfragen pro Minute liegen deutlich höher als 30 (=60/2) und bedeuten, dass die anfragende Software diese TTL ignoriert und einfach nur eine DNS-Anfrage nach der anderen raushaut.

Möglicherweise stört sich die Software also an der Art der geblockten Antwort:
Pi-hole beantwortet geblockte DNS-Anfragen im Standard mit 0.0.0.0 (NULL-Blocking).

Ggf. hilft ein Wechsel auf einen anderen Blocking Mode, z.B-. NXDOMAIN oder NODATA.
Das gilt dann allerfdinsg für alle DNS-Anfragen.

Etwas gezielter auf die problematischen Domänen könntest Du versuchen, die Domänen in Pi-hole zu erlauben (Type auf Whitelist ändern) und dann über benutzerspezifische dnsmasq-Dateien zu blocken.
Dazu legst Du eine Datei /etc/dnsmasq.d/42-block-avast.conf mit folgendem Inhalt an:​

# block AVAST telemetry​

local=/analytics.ff.avast.com/​

local=/v7event.stats.avast.com/​

Das sollte nach einem pihole restartdns dafür sorgen, dass DNS-Anfragen für diese Domänen zukünfig mit NXDOMAIN beantwortet werden.​

Alternativ oder falls das keinen Effekt hat, kannst Du versuchen, auf dem Client, der AVAST verwendet, die Domänen in der hosts-Datei zu blockieren, indem Du dort folgende Zeilen hinzufügst:


# block AVAST telemetry
127.0.0.1 analytics.ff.avast.com
127.0.0.1 v7event.stats.avast.com

Dann stellt AVAST die Anfragen zwar trotzdem, sie werden dann aber bereits lokal auf dem Rechner geblockt und erreichen Pi-hole erst gar nicht.
Nachteil ist, dass dies nur auf genau dem Rechner funktioniert