Synology DHCP mit Pihole + unbound

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
435
Punkte für Reaktionen
65
Punkte
28
Hallo,

Ich habe die Tage meinen DHCP von einer Fritzbox auf meine Synology umgestellt.

Grund ist das ich immer bei Störung die Orginal Box vom Provider anschließen soll, und die mir meine Netzwerk Konfig durcheinander bringt.

Bis zur Umstellung lief alles einwandfrei.

Nach der Umstellung (und dem Raspberry beibringen auch im neuen Bereich zu funken
:rolleyes:
) bekomme ich allerdings Fehlermeldungen.

Einen Teil konnte ich abstellen indem ich openvpn auf der Synology abgeschaltet habe (nicht schlimm braucht eh eine Neukonfiguration) .

Jetzt bekomme ich diese Fehlermeldung.

Client 192.168.0.5 has been rate-limited (current config allows up to 1000 queries in 60 seconds)

Der Client ist die Synology.

Jetzt hat mir Stundenlangen googeln genau soviel Wissen eingebracht.

Das ist nicht gut

Ich hab irgendwo ein Loop drinne

Aber nirgendwo wie ich das beheben kann, bzw. wo ich Anfange zu suchen.

Hat hier vill jemand so eine Konfiguration am laufen und kann mir helfen?

Die Synology will sich immer wieder zu der Adresse verbinden.
5.0.168.192.in-addr.arpa

gruß

geheim5000
 
Zuletzt bearbeitet:

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
435
Punkte für Reaktionen
65
Punkte
28
Fehler häufen sich, keine wirkliche Lösung.

Jemand sowas in Betrieb? Hab auch kein Problem mit neuaufsetzen.
 

Freaky21

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
41
Punkte für Reaktionen
6
Punkte
8
Irgendwie verstehe ich das ganze nicht wirklich. Im Betreff schreibst Du von Pihole und Unbound im Text wird das aber nirgends erwähnt:unsure:
Jetzt bekomme ich diese Fehlermeldung.

Client 192.168.0.5 has been rate-limited (current config allows up to 1000 queries in 60 seconds)

Der Client ist die Synology.
Wer schickt diese Fehlermeldung?
Die Synology will sich immer wieder zu der Adresse verbinden.
5.0.168.192.in-addr.arpa
Das wäre ja die Synology selber

Könntest Du das ganze mal genauer beschreiben, welche Systeme mit welchen Funktionen wie vernetzt. Wer verschickt welche Fehlermeldungen? Was hat es mit Pihole und Unbound auf sich? u.s.w
Es ist schwierig mit der Beschreibung den ganzen Zusammenhang zu verstehen
 

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
435
Punkte für Reaktionen
65
Punkte
28
Ja kein Problem

Also Alte Konfig: Fritzbox Als Router und DHCP >> Pihole und Unbound als Werbefilter +DNS funktionierte so wie es soll.

Neue Konfig: Fritzbox weiter als Router (oder mal nen anderer, weswegen ich mit dem DHCP umziehen möchte) >> DHCP Die Synology >> weiterhin Pihole + Unbound als DNS.

Laufen tut der Pihole + Unbound auf einem Rapsberry.

Oben genannte Fehlermeldung kommt vom Pihole.

IP ist die Synology richtig, in den paar Tagen über 500k Anfragen.

die Synology sendet auch völlig komische Anfragen raus (domains immer andere)

Inzwischen kann ich die nichtmal mehr abrufen weil Pihole das nicht mehr schafft. (Falls die interessant sind muss ich einmal die Datenbank zurücksetzen)

Bin auch Bereit das ganze Neu aufzusetzen wenn das hilft.

Hier noch die Konfigs in meiner Synology:

ip1.jpg

ip2.jpg

192.168.0.1 ist mein Router
192.168.0.2 ist der Pihole + Unbound
192.168.0.5 ist die Synology
 

Freaky21

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
41
Punkte für Reaktionen
6
Punkte
8
Das sind die Config-Einstellungen von DHCP.
Wie ist denn die Syno netzwerktechnisch eingestellt. (Systemsteuerung -> Netzwerk)
Da ist dann interessant der Reiter "Allgemein", sowie die Einstellungen "Netzwerkschnittstelle" (darin wieder auf "Bearbeiten" (1oder 2 Schnittstellen, weiß jetzt nicht welches Modell du hast)
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.767
Punkte für Reaktionen
3.740
Punkte
468
5.0.168.192.in-addr.arpa ist ein Reverse Lookup der IP der Syno, also die Frage "welchen Namen hat 192.168.0.5?"

Bei jeder DNS-Namensauflösung liefert ein DNS-Server neben der eigentlichen Antwort auch eine TTL (Time-to-live), also die maximale Zeit für den DNS-Cache des Clients. Die Antwort landet dann im DNS-Cache des Clients und selbst wenn der gleiche Name/IP in einer Dauerschleife immer wieder angefragt wird, wird er aus dem lokalen DNS-Cache bedient, bis die TTL abgelaufen ist. Das soll DNS-Server und Netz entlasten. Dieser Mechanismus setzt sich bis zum "zuständigen" DNS-Server (SOA) für die Anfrage fort, da auch jeder DNS-Server ein DNS-Client ist und selbst auch einen DNS-Cache hat. Soweit zum Prinzip.

Ein PiHole als DNS-Server verfälscht aber die TTL der Antwort des übergeordneten DNS-Servers und gibt die Antwort im schlimmsten Fall mit TTL 0 weiter. Das heißt ein Client fragt bei jeder Namensauflösung immer wieder beim PiHole an und nutzt seinen eigenen Cache nicht mehr. Der Grund dafür dürfte eigentlich nur sein, dass PiHole wirklich alle DNS-Auflösungen mitbekommen will. Zu seinem eigenen Schutz hat er aber wieder ein Abfragelimit pro Client drin (1000/s). Dazu gibt es im PiHole aber sicherlich irgendwelche Einstellungen. Schau mal, was du dazu findest. Ich kenne PiHole zu wenig.

Dass ein Prozess ständig DNS-Anfragen feuert, ist normal und auch eigentlich nicht schlimm. Durch den Cache-Mechanismus wird ja niemand groß belastet.
 

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
435
Punkte für Reaktionen
65
Punkte
28
Das sind die Config-Einstellungen von DHCP.
Wie ist denn die Syno netzwerktechnisch eingestellt. (Systemsteuerung -> Netzwerk)
Da ist dann interessant der Reiter "Allgemein", sowie die Einstellungen "Netzwerkschnittstelle" (darin wieder auf "Bearbeiten" (1oder 2 Schnittstellen, weiß jetzt nicht welches Modell du hast)
Benutze einen Bond. Hier die Screenshots von den Einstellungen, Die Synology hat eine feste IP

ip4.pngip3.pngip5.pngip6.png

@Benares
Ähnliches hatte ich im Netz gefunden (Deine Erklärung ist besser, danke). Allerdings wusste da auch keiner wie man das behebt.

Die Schutz kann man wohl hochstellen, also über 1000. Aber bringt mir das im Endeffekt was, wenn die Anfrage nicht beantwortet wird?

Ich habe inzwischen auch probeweise die Fritzbox als DNS gesetzt, und dort denn für Extern den Pihole. Damit die interne Namensauflösung dadrüber läuft. 0 Erfolg.

Wenn ich das richtig verstanden habe, muss ich iwo ne Datei anlegen die bei internen Anfragen die Antworten hat?

Stellt sich nur noch die Frage wo.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
Was ist in Bild 4 mit der Netzmaske, wieso ist nicht 255.255.255.0?
 
  • Like
Reaktionen: Benares

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.767
Punkte für Reaktionen
3.740
Punkte
468
Probier mal die DS selbst auf der DS in die Datei /etc/hosts einzutragen. Damit die sich nicht selbst ständig über DNS auflöst.
 

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
435
Punkte für Reaktionen
65
Punkte
28

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
435
Punkte für Reaktionen
65
Punkte
28
Fehler ist geblieben.

Allerdings fragt er grad immer 192.168.0.1 (Router) an.

Anfrage kommt von der Synology
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.767
Punkte für Reaktionen
3.740
Punkte
468
Vorwärts oder rückwärts? Sich selbst fragt die Syno nicht mehr ab? Trag den Router halt auch noch ein.
Aber denk dran, die /etc/hosts wird evtl. bei jedem Update überschrieben.
 

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
435
Punkte für Reaktionen
65
Punkte
28
Rückwärts, müsste ich sie Rückwärts eintragen?

jetzt habe ich grad 1000 Anfragen in eins an
update.synology.com.nserver

gehabt.

Den scheint er jetzt nach innen Auflösen zu wollen, was ja falsch ist.

Achso ob ich den unbound an oder aus habe spielt auch keine Rolle.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.767
Punkte für Reaktionen
3.740
Punkte
468

Freaky21

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
41
Punkte für Reaktionen
6
Punkte
8
Das einzige was mir noch auffällt ist, dass du bei den DHCP-Einstellungen als Domainname "nserver" eingetragen hast, aber auch bei den Netzwerkeinstellungen als Servername.
Das Feld Domainname beim DHCP ist optional, allerdings weiß ich auch nicht was es bedeutet. Vielleicht kann es ja jemand sagen
 

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
435
Punkte für Reaktionen
65
Punkte
28
in der /etc/resolv.conf steht drin

Code:
nameserver  192.168.0.2
domain  fritz.box

Die IP ist vom Pihole, also passen die beiden Angaben nicht zusammen.

fritz.box funktioniert nicht, was im ersten Schritt nicht tragisch ist.

Das einzige was mir noch auffällt ist, dass du bei den DHCP-Einstellungen als Domainname "nserver" eingetragen hast, aber auch bei den Netzwerkeinstellungen als Servername.
Das Feld Domainname beim DHCP ist optional, allerdings weiß ich auch nicht was es bedeutet. Vielleicht kann es ja jemand sagen
wollte damit die Fehlende Auflösung des Names lösen. Hat nicht funktioniert, kann ich wieder raus nehmen, machte bisher keinen Unterschied
 

Freaky21

Benutzer
Mitglied seit
18. Jan 2018
Beiträge
41
Punkte für Reaktionen
6
Punkte
8
wollte damit die Fehlende Auflösung des Names lösen. Hat nicht funktioniert, kann ich wieder raus nehmen, machte bisher keinen Unterschied
Also wenn ich das Feld richtig verstehe, dann gibst Du ja damit dem Client den Namen Deiner Domain mit, und das wäre ja ganz sicher nicht nserver ;)
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.767
Punkte für Reaktionen
3.740
Punkte
468
Ach da kommt evtl. .nserver her, jetzt seh ich's. Warum hast eigentlich den DHCP-Server der DS aktiv?

Zur Erklärung:
Jeder DNS-Server arbeitet ja für eine "Domain", z.B. "google.de" oder "fritz.box" (bei der Fritzbox).
Will man nun einen Namen auflösen, müsste man jedes mal auch die Domain mit angeben, wie man es z.B. bei www.google.de gewohnt ist. Lokal will man aber nicht immer ds415.fritz.box sagen müssen. Deshalb kann man auch auf einem Client eine (Default-)Domain festlegen (oder per DHCP zuweisen, wie es die Fritzbox macht). Bei Linux landet das dann in der /etc/resolv.conf (wie bei mir, meine DS nutzt DHCP).

Ist da was eingestellt, hängt der Resolver bei jeder Auflösung erstmal den Domainname an und probiert es. Wenn nix kommt, probiert er's beim 2. Mal ohne. Man kann damit also sowohl "www.google.de" auflösen, aber auch "ds415" (ohne fritz.box dahinter). Das bedeutet aber auch, dass bei Frage nach "www.google.de" immer erstmal "www.google.de.fritz.box" angefragt wird, dann erst "www.google.de". Das erklärt auch den Effekt mit "update.synology.com.nserver" oben. Man kann das Verhalten etwas steuern, indem man an Namen einen Punkt anhängt. Damit sagt man dem Resolver, dass der Name schon ein "voller" Name (FQDN) ist. Schaut euch das ruhig mal mit "nslookup" mit "set debug" an. Das sieht man schön, dass es einen Unterschied macht, ob man "update.synology.com" oder "update.synology.com." anfragt.
 

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
435
Punkte für Reaktionen
65
Punkte
28
Ich hab das Problem anscheinend gefunden (seit 2 Tagen ist der Fehler nicht mehr aufgetreten.

Und zwar nach den hinweisen das irgedwo eine Domain eingetragen ist die er anhängt. Hab ich mal gesucht wo der Name überall eingetragen ist.

Hab nur einen weiteren Eintrag gefunden.

IPL.png

Bei Local Domain name. Rausgelöscht und bisher läufts
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat