Watchtower - Could not do a head request for ...

Huhie

Benutzer
Mitglied seit
29. Nov 2007
Beiträge
450
Punkte für Reaktionen
8
Punkte
18
Moin Zusammen,
ich habe ein ziemlich merkwürdiges Problem mit Watchtower.

Insgesamt die selbe Config auf 3 Syno´s. Auf Zweien funktioniert alles einwandfrei.

Auf der Dritten bekomme ich beim Überprüfungsprozess folgende Fehlermeldung. Wie gesagt
auf zwei anderen läuft das einwandfrei...

Could not do a head request for "ghcr.io/alexjustesen/speedtest-tracker:latest", falling back to regular pull.
Reason: Get "https://ghcr.io/v2/": dial tcp: lookup ghcr.io on 192.168.40.1:53: read udp 192.168.40.10:51325->192.168.40.1:53: i/o timeout

Kann mir jemand sagen, was der Fehler ist?

Danke
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Timeout bei der Namensauflösung von ghcr.io bei deinem DNS-Resolver mit der 192.168.40.1.

Kannst Du den Namen den Grundsätzlich in einem SSH Terminal auf der Kiste auflösen?
Das kannst Du mit dem Befehl nslookup ghcr.io mit dem im System hinterlegten DNS-Resolver (den auch Watchtower verwendet) testen.
Und ggf. auch noch mal mit einem anderen DNS-Resolver: nslookup ghcr.io 1.1.1.1 (statt die 1.1.1.1 von Cloudflare kannst Du natürlich auch 8.8.8.8 von Google oder irgendeinen anderen verwenden).
 

Huhie

Benutzer
Mitglied seit
29. Nov 2007
Beiträge
450
Punkte für Reaktionen
8
Punkte
18
Moin @haydibe

vielen Dank für die schnelle Rückmeldung.

Wenn ich ein SSH aufbaue und den Befehl eingebe bekomme ich folgende Antwort:
nslookup ghcr.io
Server: 192.168.40.1
Address: 192.168.40.1#53

Non-authoritative answer:
Name: ghcr.io
Address: 140.82.121.33

oder
nslookup ghcr.io 1.1.1.1
Server: 1.1.1.1
Address: 1.1.1.1#53

Non-authoritative answer:
Name: ghcr.io
Address: 140.82.121.34

Sieht für mich beides i.O. aus...

Oder übersehe ich was?
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.152
Punkte für Reaktionen
740
Punkte
154

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Beide nslookup Abfragen sehen gut aus Die unterschiedlich aufgelösten IPs kommen vermutlich von dem Loadbalancer der vor dem Service hängt.

Jetzt ist die Frage, warum der DNS-Resolver von Watchtower aus nicht erreichbar war.
Blockiert hier evtl die Firewall, oder verwendet Watchtower ein macvlan Netzwerk und der DNS-Resolver ist zufällige die Syno selbst, oder ein Container der im Bridge-Mode auf der Syno läuft?

Man könnte hier auch mal schauen was nslookup aus Sicht des Watchtower-Containers sagt:
Code:
docker run --rm --net container:watchtower nicolaka/netshoot nslookup ghcr.io
Ich habe mal die Annahme getroffen, dass Dein Watchtower-Container auch "watchtower" heisst, ansonsten musst Du den Containernamen bei --net container: durch den abweichenden Namen ersetzen.
 

Huhie

Benutzer
Mitglied seit
29. Nov 2007
Beiträge
450
Punkte für Reaktionen
8
Punkte
18
Moin Zusammen,
ich werde mich dem Thema morgen früh mal annehmen und dann berichten.

Der Container "Watchtower" welcher den Fehler auswirft, läuft in einer Bridge auf der Syno. Aber ein MacVlan ist auch installiert,
aber da laufen andere Container drüber.

Die Firewall habe ich testweise mal deaktiviert. Die Fehlermeldung kam heute Morgen wieder.

Ich schaue morgen früh nochmal... ein großes Danke schon mal...
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
ber ein MacVlan ist auch installiert,
aber da laufen andere Container drüber.
Aber hier läuft nicht zufällig der DNS-Resolver den Watchtower versucht zu verwenden, oder?
 
  • Like
Reaktionen: plang.pl

Huhie

Benutzer
Mitglied seit
29. Nov 2007
Beiträge
450
Punkte für Reaktionen
8
Punkte
18
Ich habe Unbound und PiHole im MacVlan laufen. Diese werden aber nicht aktiv vorgegeben, sondern nur ein zwei Endgeräte nutzen unbound mit pihole. Die Fritz!Box nimmt die vorgegebenen DNS Server…

Ich hoffe das meinst Du…
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wenn der Watchtower nicht im Macvlan läuft, kann er den unbound und pihole nicht erreichen
 

Huhie

Benutzer
Mitglied seit
29. Nov 2007
Beiträge
450
Punkte für Reaktionen
8
Punkte
18
der geht eigentlich auch direkt raus…
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
192.168.40.1:53: read udp 192.168.40.10:51325
Was ist das? Ersteres ist die Fritte, oder? Und zweiteres?
 
  • Like
Reaktionen: Benares

Huhie

Benutzer
Mitglied seit
29. Nov 2007
Beiträge
450
Punkte für Reaktionen
8
Punkte
18
erstes ist die Fritz!Box 40.1
die syno hat die 40.10
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Und warum Port 51325? Kannst du dir das erklären? Und wieso wird die gefragt, wenn unbound + pihole doch im Macvlan ist?
 

Huhie

Benutzer
Mitglied seit
29. Nov 2007
Beiträge
450
Punkte für Reaktionen
8
Punkte
18
So, moin nochmal...

also folgendes

Fritz!Box 192.168.40.1
Syno 192.168.40.10

Der Port 51325 ist mir unbekannt und habe ich in meiner DockerCompose Datei nicht verwendet. Ich wüsste aktuell auch nicht
welches Programm oder Tool diesen Port auf der Syno nutzt.

Der PiHole und Unbound laufen wie gesagt im MacVlan mit einer anderen IP Adresse.

In der Fritz!Box ist der vom Provider angegebene DNS Server eingetragen. Pi Hole und Unbound wird nur von drei Endgeräten genutzt
in welche ich das manuell in die Netzwerk Konfiguration eingetragen habe.

Die Firewall habe ich zu Testzwecken ausgeschaltet.

Die Syno habe ich schon neu gestartet.

Ich bin mit meinem Latein tatsächlich am Ende...
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat