Mike Kuketz
8. September 2023 | 15:00 Uhr

Pi-hole: Fritz!Box als Upstream DNS-Server erzeugt häufig SERVFAIL-Replys

Aktuell arbeite ich an einer neuen Anleitung, wie man einen Pi-hole im lokalen Netzwerk mit einer Fritz!Box kombiniert. Dazu verwende ich derzeit die Pi-hole Version 5.17.1 in Kombination mit Fritz!OS 7.57. Mein aktuelles Testsetup sieht wie folgt aus:

  • Pi-hole: Der Pi-hole nutzt die Fritz!Box als Upstream DNS-Server
    • Custom 1 (IPv4): 192.168.50.1 (FritzBox IPv4-Adresse)
    • Custom 3 (IPv6): fd00::de12:e8af:ae11:4db3 (FritzBox IPv6-Adresse)
  • Fritz!Box: Heimnetz -> Netzwerk -> Netzwerkeinstellungen
    • Auf der Fritz!Box ist als lokaler DNS-Server unter IPv4-Einstellungen die IPv4-Adresse des Pi-hole (192.168.50.5) konfiguriert
    • Unter den IPv6-Einstellungen der Fritz!Box ist die Option Unique Local Addresses (ULA) immer zuweisen aktiv und ebenfalls das Häkchen bei DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006) gesetzt. Darunter dann die Pi-hole IPv6-Adresse (fd00:0:0:0:b53a:ede3:8ad3:2f8) eingetragen

Die Idee hierbei ist, die Fritz!Box als Upstream DNS-Server zu nutzen. Von der Konfiguration her bin ich mir ziemlich sicher, dass das funktioniert. Dennoch tauchen im Pi-hole-Log häufig bei der Domainauflösung SERVFAIL-Antworten (unter Reply) auf.

Wenn ich auf dem Pi-hole unter Settings -> DNS andere Upstream DNS-Server auswähle (bspw. Quad9) tritt der Fehler nicht auf. Es liegt also vermutlich an der Fritz!Box. Mir ist auch aufgefallen, dass Use DNSSEC in Kombination mit der Fritz!Box nicht aktiviert sein darf. Ansonsten erscheinen unter Reply nur noch BOGUS (NSEC(3) missing) Meldungen. Das deutet für mich darauf hin, dass die Fritz!Box die eigenen SOA-Informationen nicht korrekt in die DNSSEC-Antworten integriert, wodurch die DNSSEC-Validierung fehlschlägt.

Die Frage ist nun. Hat jemand ein ähnliches Setup im Einsatz und kann einen (oder beide) Fehler bestätigen bzw. kennt einen Workaround? Wäre für Hinweise dankbar.

Update 08.09.2023

Nach dem Wechsel der DNS-Server auf der Fritz!Box sind die SERVFAIL-Meldungen nun nicht mehr vorhanden. Es lag also weder an der Konfiguration noch an der Fritz!Box selbst. Die hinterlegten DNS-Server waren offenbar zu langsam beim Antworten, was gelegentlich die SERVFAIL-Meldungen hervorgerufen hat. Das zweite Thema mit DNSSEC in Verbindung mit Fritz!OS 7.57: Ja, AVM hat einen Bock geschossen.
Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
OpenWrt-Flash
7. August 2019

Flash OpenWrt auf FRITZ!Box 4040 – OpenWrt Teil2

Via FTP-Recovery-Modus findet OpenWrt seinen Weg in den Systemspeicher der FRITZ!Box 4040.
OpenWrt
31. Juli 2019

FRITZ!Box 4040 und Netzwerkaufbau – OpenWrt Teil1

Eine modemlose FRITZ!Box 4040 wird mittels OpenWrt zum Kompagnon für ein DSL- oder Kabelmodem bzw. Router umfunktioniert.
Pi-hole
11. Januar 2017

Pi-hole: Schwarzes Loch für Werbung – Raspberry Pi Teil1

Mit einem Pi-hole verschwinden Werbung und Tracker in einem schwarzen Loch.
Pi-hole, Unbound & Hyperlocal
12. März 2019

Pi-hole, Unbound & Hyperlocal: Keine Werbung – Größtmögliche Unabhängigkeit

Mit dem Pi-hole, Unbound & Hyperlocal zur größtmöglichen, werbefreien Unabhängigkeit in der DNS-Welt.
IPFire
21. April 2017

Hardware und Netzwerkaufbau – IPFire Teil1

Eine sachgemäß konfigurierte IPFire kann zur Steigerung der Sicherheit und des Datenschutzes beitragen.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.