Pi-Hole funktioniert auf iOS Geräten nicht richtig

Tag zusammen,

ich habe ein merkwürdiges Phänomen mit meinem Pi-Hole.
Ich musste es letztens neu installieren, da der DNS Dienst nicht mehr funktionierte, das Ganze läuft auf Debian, vorher lief es auf Ubuntu.
Ich habe aber auch kein Backup eingespielt, sondern eine komplette Neuinstallation vorgenommen.

Ich habe mal einen Plan wie mein Netzwerk aussieht angehängt:




Zu meinem komischen Phänomen, es gibt ein paar Seiten die sich auf dem iPhone oder iPad (iOS 11.3) einfach nicht öffnen, z.B. Geizhals.
Der Ladebalken im Browser geht bis zur Mitte und bleibt dort stehen, es bleibt alles weiß.
Ich habe das ganze auch mit Chrome, Safari und Edge getestet, es macht keinen Unterschied.
Also habe ich den DNS Server auf dem iOS Endgerät manuell auf 8.8.8.8 konfiguriert.
Dann laden die Seiten ohne Probleme, also dachte ich mir, okay es muss ein Problem mit dem Pi-Hole sein.
Das merkwürdige ist aber, auf Windows Geräten funktioniert alles ohne Probleme, obwohl dort auch das Pi-Hole als DNS eingetragen ist.

Jetzt kann man hingehen und sagen "Okay vielleicht nimmt der Windows Rechner einfach den zweiten eingetragenen DNS Server und deshalb geht es". Dass kann ich aber ausschließen.
Denn das ganze merkwürdige ist, wie auf dem Netzplan zusehen, sind es zwei verschiedene Standorte welche per VPN verbunden sind.
Bin ich an dem Standort wo das Pi-hole im gleichen Netz ist, funktioniert mit iOS Geräten alles ohne Probleme.

Ich verstehe es einfach nicht, hat jemand noch eine Idee, was es sein könnte ?
Die beiden Netze sind permanent miteinander Verbunden und ich kann auch vom iPhone oder iPad das Pi-Hole pingen.
Was mich halt wundert, dass es nur auf manchen Website nicht klappt...
Vor der Neuinstallation des Pi-Holes hat alles ohne Probleme geklappt, kann es daran liegen, dass ich es jetzt auf Debian statt Ubuntu installiert habe und sich das System dort anders verhält ?

Bevor ich meine Fragen zu dem Netzwerkschema ausformuliert habe: Analysiere die Auflösung und das DNS-Verhalten auf den iOS-Geräten mit dem Klassiker dig.

Meine Frage wäre, was sind deine Upstream DNS Server?
Und was steht im PiHole Log?
Kommen die Clients nur über den S2S Tunnel und wie sehen die Routen und DHCP Server Einstellungen für beide Sites aus.

By the way, ich hatte letzten das Problem, dass mein PiHole (lxc container auf Raspi) zeitweise gar keine Namen mehr aufgelöst hat.
Nach einem Neustart ging es wieder. Wohl dem, der die IPs der wichtigen Clients kennt...

Folgendes wird mir mit der App Dig angezeigt:



Versuche ich auf Geizhals zu gehen, sieht es wie folgt aus:



Wie man sieht wird schon oben das grüne Schloss für https angezeigt aber danach wird nichts mehr geladen.

Upstream DNS sind auch die Google DNS und FreeDNS
Hab da aber auch schon alles mögliche ausprobiert einzutragen, selbst nur die 8.8.8.8 bringt keine Besserung.

Neugestartet hab ich das Teil schon etliche Male.

Was Routing angeht ist es etwas kompliziert aufgrund der Sophos Firewalls, das ist aber nur eine Übergangslösungen, ich werde auf Site 1 noch ein Ubiquiti USG anschaffen und die Sophos dann abschalten und alles über das USG laufen lassen.

Aktuell sieht es so aus, in Site 1 wo auch das Pi-Hole steht gibt es folgende Bereiche:

192.168.10.0/24 => Clientnetz für Interne User & Server sowie Router
192.168.11.0/24 => Gastnetz Routing über Sophos Firewall um Traffic auf 10.0er Netz zu unterbinden

Fritzbox hat die 192.168.10.1 und ist das Gateway, sie hat folgende Routen:



Die 192.168.10.253 ist die Sophos, diese routet alle Netze rüber zu der Sophos in Site 2.

Site 2 sieht wie folgt aus:

192.168.21.0/24 => Clientnetz
192.168.23.0/24 => Gastnetz
192.168.20.0/29 => DMZ Netz hinter Fritzbox aber vor USG

Routing sieht wie folgt aus:



Die Clients haben alle das USG als Gateway 192.168.21.1
Die Sophos Firewall hat hier als externes Interface doe 20.3, das USG hat die 20.2

Das ist alles ein bisschen kompliziert und mir gefällt es auch nicht so wie es aktuell ist aber es funktioniert erst mal.
In Zukunft sollen wie gesagt die Sophos Firewalls weg und nur noch USGs laufen, welche auch das VPN machen.
Ebenso sollen die Fritzboxen weg und nur ein Modem vor die USGs, dann habe ich auch kein doppeltes NAT mehr.

Wenn es so weit ist, werde ich das VLAN und Subnetdesign nochmal komplett überarbeiten und gerade ziehen, aktuell funktioniert es aber so ohne Probleme.

Niemand eine Idee ?

Nutzt du IPv6 SLAAC / DHCPv6?

Also auf der Site wo das Problem besteht, ist das USG der DHCP, dort ist IPv6 DHCP deaktiviert, auf dem Windows PC habe ich trotzdem eine IPv6 aber hier tritt das Problem ja nicht auf.
Auf dem iPhone hab ich nur eine IPv4 wenn ich das richtig sehe.

Das ist eh nur die Link Local Adresse, die hast du sowieso immer, außer du deaktivierst IPv6 komplett.

Ich habe zwar derzeit kein PiHole installiert, aber es müsste doch irgendwo die Option geben, einmal die kompletten Filterlisten zu deaktivieren, so dass der PiHole nur als reiner DNS Forwarder arbeitet.

Wenn das geht, würde ich das mal ausprobieren, dann könnte man zumindest mal ein paar Sachen ausschließen.

Ja, das geht und hab ich auch schon gemacht.
Hat leider keinen Erfolg gebracht.

Hab das Pi-Hole jetzt komplett neu installiert, jetzt gehts wieder.
Keine Ahnung was das Problem war...