pihole - Maximum number of concurrent DNS queries reached

[Ghost108]

Moin zusammen,

ich bekomme seit dem aufsetzen von pihole als Docker Instanz, folgende Warnung angezeigt:

Warning in dnsmasq core:Maximum number of concurrent DNS queries reached (max: 150)

Wie kann ich das Maximum erhöhen?

Habe hier folgendes gelesen:
https://github.com/pi-hole/docker-pi-hole#advanced-variables

Wenn ich das richtig verstehe, müsste ich nur eine ENV setzen mit dem Wert:

FTL_CMD

no-daemon -- --dns-forward-max 1024

Wäre das richtig?

 

[EDvonSchleck]

Hattest du nicht Adguard?

 

[Ghost108]

ja hatte ich. aber war nicht zufrieden damit. bin wieder auf pihole umgestiegen, was in meiner Situation viel besser läuft

 

[EDvonSchleck]

Das kann ich nicht sagen... schenbar aber läuft Pi-hole auch nicht siehe #1

 

[Ghost108]

der läuft schon. allerdings mit einer Warnung, die besagt, das ein Gerät bei mir im Netzwerk viele DNS Querys startet, welches auf 150 begrenzt ist. Eine gewollte Einschänkung, die ich aber erhöhen muss.

 

[EDvonSchleck]

Ich weis ja nicht genau wie das bei Pi-Hole ist aber bei Adguard kann man das direkt in den DNS-Einstellungen ändern. Diese Zahl bezieht sich auf Anfragen pro Sekunde. Wenn du also einen Client hast, welcher eine so hohe Anfragelast tätigt finde ich es nicht normal.

Das einzige was ich mir vorstelle kann ist: DNS beim Router auf der Internetseite eingeben. Dann solltest du aber auch nicht die Client (Geräte) sehen sondern nur den Router als einzigen Client.

 

[DKeppi]

Ist das nicht das hier unter Settings - DNS?
Auch erreichbar über den URL Zusatz /admin/settings.php?tab=dns

 

[EDvonSchleck]

https://discourse.pi-hole.net/t/maximum-number-of-concurrent-dns-queries-reached-max-150/26775/8

Du solltest einmal schreiben um was für ein Client/Software es sich handelt. Normal ist das nicht.

 

[peterhoffmann]

folgende Warnung angezeigt

Die Eingabe der Fehlermeldung in den Suchschlitz einer Suchmaschine d(m)einer Wahl
ergab u.a. folgenden Link: https://discourse.pi-hole.net/t/maximum-number-of-concurrent-dns-queries-reached/51804/8

Wie kann ich das Maximum erhöhen?

Eine Grenze, hier 150, hat grundsätzlich einen Sinn. Bevor man das erhöht, sollte man klären, warum die Grenze überhaupt überschritten wird.

 

[Ulfhednir]

Mit der Meldung bist du nicht alleine. Ploppt bei mir auch häufiger auf. Ich hatte noch keine Zeit, um mich der Sache anzunehmen bzw. um erstmal herauszukristallisieren, welcher Client mit welcher Domain die Probleme macht.

Der Artikel hier scheint aber ganz spannend zu sein:
https://discourse.pi-hole.net/t/maximum-number-of-concurrent-dns-queries-reached/51804/19

@Nachtrag: peterhoffmann war schneller

 

[Ghost108]

Wie komme ich denn an die Info, welches Gerät diese Überschreitung vollzieht?

 

[Ulfhednir]

Indem du im Zweifelsfall den DNS auf dem jeweiligen Client direkt hinterlegst, anstelle den DNS auf dem Router einzutragen.
Damit solltest du im Query dann die entsprechende IP sehen können.

 

[EDvonSchleck]

@Ulfhednir

das kommt wohl eher darauf an wo man den DNS-Servern eingetragen hat. Bei der Fritzbox z.B unter Internet (nur die FB wird als Client angezeigt) oder unter Netzwerk (alle Clients werden einzeln angezeigt)

 

[Benares]

Ich glaube das Thema hatten wir auch schonmal.

Das Problem dürfte sein, PI-Hole bei jeder Namensauflösung die Antwort mit einer TTL von 0 an den anfragenden Client weitergibt. Damit wird erzwungen, dass jede weitere Namensauflösung für diese Anfrage wieder über den PI-Hole läuft und nicht im DNS-Cache des Clients landet. Ansonsten würde ein einmal aufgelöster Name evtl. stunden- oder tagelang (je nach TTL der Ursprungsantwort) weiterfunktionieren.

Wenn also eine Anwendung, z.B. in einer Schleife, ständig mit einem DNS-Namen arbeitet, wäre das im Normalfall nicht weiter schlimm. Die 1. Auflösung würde per DNS angefragt, jede weitere bis zum Ablauf der TTL aus dem lokalen DNS-Cache des Clients bedient. Bei einem PI-Hole als DNS kann sowas aber recht schnell zu dem beschriebenen Effekt führen.

Testen kann man das recht gut mit "nslookup" und "set debug". Da sieht man recht schnell, welche TTL ein "normaler" DNS und welche der PI-Hole für eine bestimmte Anfrage liefert.

 

[Ghost108]

bei mir sieht die Konfig wie folgt aus:

Fritzbox hat als DNS Server den pihole eingetragen.
über DHCP (der Fritzbox) wird ebenfalls die ip des piholes als DNS an die Clients verteilt.

pihole wiederrum hat als Upstream Server unbound hinterlegt.
Weiterhin habe ich noch folgende Konfig:

 

[Benares]

Ich kenne IP-Hole zu wenig. Aber vergleiche mal die Ausgaben von

nslookup -d -q=a www.heise.de 8.8.8.8

und

nslookup -d -q=a www.heise.de <IPdesPI-Hole>

auf irgendeinem deiner PCs. Welche TTL liefert PI-Hole?

 

[Ghost108]

Hier beide Ergebnisse:

nslookup -d -q=a www.heise.de 8.8.8.8
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 1, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        8.8.8.8.in-addr.arpa, type = PTR, class = IN
    ANSWERS:
    ->  8.8.8.8.in-addr.arpa
        name = dns.google
        ttl = 20932 (5 hours 48 mins 52 secs)

------------
Server:  dns.google
Address:  8.8.8.8

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NXDOMAIN
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        www.heise.de, type = A, class = IN
    AUTHORITY RECORDS:
    ->  (root)
        ttl = 86397 (23 hours 59 mins 57 secs)
        primary name server = a.root-servers.net
        responsible mail addr = nstld.verisign-grs.com
        serial  = 2022062100
        refresh = 1800 (30 mins)
        retry   = 900 (15 mins)
        expire  = 604800 (7 days)
        default TTL = 86400 (1 day)

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        www.heise.de, type = A, class = IN
    ANSWERS:
    ->  www.heise.de
        internet address = 193.99.144.85
        ttl = 10170 (2 hours 49 mins 30 secs)

------------
Nicht autorisierende Antwort:
Name:    www.heise.de
Address:  193.99.144.85








nslookup -d -q=a www.heise.de 192.168.178.250
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 1, rcode = NOERROR
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        250.108.168.192.in-addr.arpa, type = PTR, class = IN
    ANSWERS:
    ->  250.108.168.192.in-addr.arpa
        name = pi.hole
        ttl = 0 (0 secs)

------------
Server:  pi.hole
Address:  192.168.178.250

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NXDOMAIN
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        www.heise.de, type = A, class = IN
    AUTHORITY RECORDS:
    ->  (root)
        ttl = 3499 (58 mins 19 secs)
        primary name server = a.root-servers.net
        responsible mail addr = nstld.verisign-grs.com
        serial  = 2022062100
        refresh = 1800 (30 mins)
        retry   = 900 (15 mins)
        expire  = 604800 (7 days)
        default TTL = 86400 (1 day)

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        www.heise.de, type = A, class = IN
    ANSWERS:
    ->  www.heise.de
        internet address = 193.99.144.85
        ttl = 76927 (21 hours 22 mins 7 secs)

------------
Nicht autorisierende Antwort:
Name:    www.heise.de
Address:  193.99.144.85

 

[Benares]

Mmh, kann man wohl so doch nicht so einfach testen. Mich stört der Verweis auf die root-Server anstatt das selbst aufzulösen.
Probierst du es bitte beides nochmal mit mit einem Punkt hinter heise.de, also z.B.

nslookup -d -q=a www.heise.de. 8.8.8.8

 

[Ghost108]

Natürlich

nslookup -d -q=a www.heise.de. 8.8.8.8
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 1, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        8.8.8.8.in-addr.arpa, type = PTR, class = IN
    ANSWERS:
    ->  8.8.8.8.in-addr.arpa
        name = dns.google
        ttl = 19898 (5 hours 31 mins 38 secs)

------------
Server:  dns.google
Address:  8.8.8.8

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        www.heise.de, type = A, class = IN
    ANSWERS:
    ->  www.heise.de
        internet address = 193.99.144.85
        ttl = 19879 (5 hours 31 mins 19 secs)

------------
Nicht autorisierende Antwort:
Name:    www.heise.de
Address:  193.99.144.85








nslookup -d -q=a www.heise.de. 192.168.178.250
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 1, rcode = NOERROR
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        250.178.168.192.in-addr.arpa, type = PTR, class = IN
    ANSWERS:
    ->  250.178.168.192.in-addr.arpa
        name = pi.hole
        ttl = 0 (0 secs)

------------
Server:  pi.hole
Address:  192.168.178.250

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        www.heise.de, type = A, class = IN
    ANSWERS:
    ->  www.heise.de
        internet address = 193.99.144.85
        ttl = 75351 (20 hours 55 mins 51 secs)

------------
Nicht autorisierende Antwort:
Name:    www.heise.de
Address:  193.99.144.85

 

[Benares]

Mmh, Mist - hätte ich anders erwartet. Ich hätte erwartet, dass die 2. Antwort mit TTL 0 geliefert wird, wie der PI-Hole es ja bei sich selbst ja auch tut.

Trotzdem wäre es interessant, ob sich im lokalen DSN-Cache etwas ansammelt beim Einsatz eines IP-Hole als DNS-Server. Also z.B. erstmal mal ein "ipconfig /flushdns" (sicherheitshalber), dann etwas browsen (z.B. Refresh), gefolgt von einem "ipconfig /displaydns" (listet den Cache-Inhalt)