Pi-hole: Webseiten langsamer als ohne Pi-hole

[Pfandfinder]

hallo,

ich habe mir auf meinem NAS Pi-hole mit Docker eingerichtet und die IP vom NAS auf der Fritzbox als 1. DNS Server eingetragen. Soweit funktioniert das auch, Werbung wird geblockt, etc.

Jedoch ist mir aufgefallen dass Webseiten teils langsamer laden als ohne Pi-hole, was ja auch komplett kontraproduktiv vom Sinn her ist. auch bei Mobile-Games am handy ist es so dass sie viel langsamer starten sobald der Pi-hole aktiv ist, hab so ein Online-Darts-Spiel, das braucht jetzt ca. 20 sekunden bis es offen ist, ohne Pi-hole bzw. mit mobilen Daten nur so 12.

bei swr3.de ist es so, dass der Radioplayer erst nach ca. 20 Sekunden angezeigt wird, nach F5 ist er dann zwar (wegen Cache?) direkt da, aber am nächsten Tag dauerts wieder. welt.de lädt z.B. auch fast 20 Sekunden, ohne Pi-hole sind es 2-3.

Wie kann das sein , was kann ich da tun ? Ich habe einige Listen und insgesamt sind es 4.000.000 Domains die geblockt sind, sind das vielleicht zu viele ??

Sobald ich Bei Groups "Default" deaktiviere bzw. "Disable Blocking" verwende ist es wieder schnell...

 

[redjack1000]

Wie kann das sein , was kann ich da tun ?

Benutze keinen Werbeblocker.

CU
redjack

 

[oicfar]

hallo,

ich habe mir auf meinem NAS Pi-hole mit Docker eingerichtet und die IP vom NAS auf der Fritzbox als 1. DNS Server eingetragen. Soweit funktioniert das auch, Werbung wird geblockt, etc.

Ich habe pi-hole auch im Einsatz. Anfang auf einem Raspi und dann auf ein Intel NUC umgezogen. DNS ist bei mir auch schneller. Aber mit Raspi luden die Seiten nicht langsam.

Wie ist die NAS Auslastung zu dem Zeitpunkt, wenn du im Browser klickst?

Hast du eine Möglichkeit Pi-Hole woanders aufzusetzen um auszuschließen, dass NAS da das Problem ist?

Jedoch ist mir aufgefallen dass Webseiten teils langsamer laden als ohne Pi-hole, was ja auch komplett kontraproduktiv vom Sinn her ist. auch bei Mobile-Games am handy ist es so dass sie viel langsamer starten sobald der Pi-hole aktiv ist, hab so ein Online-Darts-Spiel, das braucht jetzt ca. 20 sekunden bis es offen ist, ohne Pi-hole bzw. mit mobilen Daten nur so 12.

Ich würde mit F12 schauen worauf da gewartet wird.

Wie kann das sein , was kann ich da tun ? Ich habe einige Listen und insgesamt sind es 4.000.000 Domains die geblockt sind, sind das vielleicht zu viele ??

Junge, junge. Wie viele sind da 2-5x drin?

 

[JumpingCat]

NAS Pi-hole mit Docker

Wie ist da die Ausstattung an Hardware und die Auslastung? Läuft alles aus dem RAM, gibt es swapping, etc?

Ich habe einige Listen und insgesamt sind es 4.000.000 Domains die geblockt sind, sind das vielleicht zu viele ??

Welche konkret? Ich komme auf 270.000 und hier läuft alles flott und ich sehe gar keine Werbung mehr.

Wie ist der pihole eingestellt bzgl upstream dns? Sind da schnelle eingetragen oder dein Router? Gibt es vielleicht einen Loop?
Wie groß ist der Cache?

 

[Pfandfinder]

Auslastung ist kaum vorhanden. Habe jetzt mal einige Listen deaktiviert und teste, sind jetzt 900.000.

Als dns server ist Cloudflare und Quad9 angekreuzt.

 

[frost21]

Zu viele Listen können es nicht fast nicht sein.
Mein Pihole läuft in einem TrueNAS N100 Setup. Knapp 25Mio URLs ohne Probleme.

Evtl liegts am Setup oder doch an zu langsamer Hardware. Evtl läuft was im Hintergrund auf dem NAS, andere Dienste z.B. Filmstreaming?
Auf was für einen Haupt-DNS (Upstream DNS Servers) wird den aufgelöst?
Ist dein PI-Hole auch DHCP-Server?
Was steht denn als Alternativer DNS der Fritzbox drin?

 

[das Neutrum]

Mein Setup: Unbound als recursive DNS-Resolver, knapp 800k Domains in den Listen, keinerlei Verzögerung feststellbar. Würde also auch mit dem Umfang der Blocklists und ggf. den Upstream-DNS-Servern experimentieren.

 

[DELIUS]

[…] Ich habe einige Listen und insgesamt sind es 4.000.000 Domains die geblockt sind, sind das vielleicht zu viele ?? […]

Das ist zu viel!

 

[CountSero]

Mein Setup: Unbound als recursive DNS-Resolver, knapp 800k Domains in den Listen, keinerlei Verzögerung feststellbar.

Ich nutze meinen Pi-hole ebenfalls mit Unbound und habe rund 4,5 Millionen Einträge in den Blocklisten – bisher völlig problemlos.

Das Ganze läuft auf einem CM4 mit einem Tofu Carrier Board und PiOS liegt auf einer NVME. ^^

 

[Der Trost]

Nabend

Habe ca 3 Millionen Webseiten in der Sperrliste. Habe noch unbound eingerichtet, als hyperlocalen dns. Sind 2 VMs in proxmox auf einem 5105, ich kann keine Verzögerung feststellen.
Außerdem wird Verkehr auf Port 53 aus allen vlans kommend, in der opnsense in der NAT Schnittstelle in Richtung beider piholes zurück geschickt.

Ist eventuell ein dns Loop programmiert?

 

[DELIUS]

Millionen Webseiten in der Sperrliste?
Was habe ich bisher falsch gemacht?
Ok, wenn es bei euch läuft.

 

[luckysh0t]

Kann mich auch nicht beschweren, läuft allerdings in einem LXC mit acht GB RAM und acht Kernen (inkl. Unbound, gehe direkt auf die Rootserver), da es schon ab und an mal Performance Warnungen im Dashboard gab. Aber da ich die Ressourcen in meinem PVE habe, und sie sonst nur brach liegen würden, soll er sie nutzen, wenn er Bedarf hat.

Das meiste, was bei mir geblockt wird, ist die hue bridge, die ständig auf meethue gehen möchte xD

 

[und tschüss]

@Pfandfinder,

Dein Problem wird eindeutig etwas mit deinem Setup und deinen Einstellungen zu tun haben. Ich halte die Zeiten, die du angibst, nicht für angemessen – auch nicht die ohne Pi-Hole! Unabhängig von der Internetanschlussgeschwindigkeit ist das viel zu langsam. Was für ein Internet- und Netzwerkanschluss soll das sein?

Der Fehler kann schon bei der Installation in Docker passiert sein, z. B. durch eine falsche Anleitung. Diese gibt es ja massig im Netz und nicht immer sind diese auch richtig. Ich verwende seit Jahren AdGuard Home, was für mich das bessere Pi-Hole ist. Zusammen mit Unbound als Upstream-Server/Container frage ich somit gleich die Root-Server direkt ab, ohne noch andere Server zu bedienen.

Auch in deiner Fritz!Box sehe ich Optimierung. So ist es nicht sichergestellt, dass der erste DNS-Eintrag immer greift. Wenn die Fritz!Box jetzt den zweiten Eintrag bevorzugt (erster Eintrag antwortet nicht oder ist nicht schnell genug), geht alles an deinen Pi-Hole vorbei. Ich würde somit auch im 2. DNS-Eintrag den Pi-Hole hinterlegen. Des Weiteren kommt noch dazu, ob du am Internetanschluss IPv6 benutzt. Wenn das im Router aktiviert ist, musst du unbedingt auch die IPv6-Adresse des PI-Hole-DNS hinterlegen. Weil oft IPv6 in den Geräten bzw. Anfragen bevorzugt wird, kann es vorkommen, dass diese falsche Konfiguration eine falsche Anfrage erzeugt, was einem Loop gleichkommen kann. Diese Option lässt sich nicht immer dauerhaft abschalten (z. B. Kabelleihgeräte oder Anschlüsse mit CGNAT oder DSLite). Weiterhin würde ich auch unter Netzwerk den DNS-Server eintragen, damit dieser gleich an die Clients verteilt wird. Der DNS an der WAN-Seite hat nur den Vorteil bei bestimmten VPN, um das Internet weiterzunutzen, oder wenn der DNS nicht umgangen werden soll (Geräte mit manuellen DNS-Einstellungen).

Mit einer richtigen Einstellung im Container und Router sollen deine Anfragen nicht langsamer sein als üblich, im Gegenteil: wegen des Caches sogar schneller. Die restliche Werbung und Einblendung durch Skripte sollte uBlock im Browser wegfiltern. Dass Pi-Hole und Adguard Home sowie Unbound nur Webseiten/URLs blockieren können, aber keine Skripte, sollte bekannt sein! Ohne die weiteren Einzelheiten (wie in deinen anderen Beiträgen) lässt sich das Problem aber schwer zuordnen. Du kannst neben PING auch TRACERT oder NSLOOKUP nutzen, um die Zeit, Hops und Erreichbarkeit der Anfragen aufzeigen zu lassen. Wenn du mehr Hilfe willst, musst du mehr Informationen liefern!

Ich habe gerade 4.709.846 Einträge in 51 Listen in meine AdGuard-Filter und habe keine Probleme mit der Geschwindigkeit:

Auch auf deutlich schwächere Hardware (CPU & RAM) und alten Raspis ist das Ergebnis gleich!
​

Benutze keinen Werbeblocker.

Auf keinen Fall. Das haben sich die Webseitenbetreiber selbst eingebrockt, als sie es mit den Einblendungen, Bannern, Tracking und Co. massiv übertrieben haben. Zusammen mit dem Social-Media-Schrott ist das ein Grund, warum das Internet zum Shit of Things verkommt und sich langsam selbst abschafft bzw. unbrauchbar wird. Wenn man etwas dagegen tun kann, sollte man das auch machen. Leider ist den Massen egal, was aber auch nur ein Spiegel der Gesellschaft ist. Scheinbar ist bei vielen das eigenständige Denken abhandengekommen. Besonders die bedenkenlose Nutzung, ohne mögliche Risiken zu hinterfragen, halte ich für gefährlich. Nachher ist das Jammern groß: „Das habe ich nicht gewusst“ oder „Das haben ja alle gemacht“. Jeder Einzelne trägt die Verantwortung für sich selbst!

Somit hält sich mein Mitleid für die Seitenbetreiber in Grenzen. Bestes Beispiel: Caschys Blog mit 210 möglichen Weiterleitungen in den Cookie-Einstellungen. Auch dort wurde in letzter Zeit ordentlich aufgerüstet. Bei einer Diskussion habe ich einmal diesbezüglich nachgefragt, wurde aber nicht veröffentlicht. Warum wohl? Das Gleiche gilt auch für die ganzen Clickbait-Seiten-Betreiber oder Bezahlschranken. Für viele ist das die letzte Möglichkeit, bevor sie komplett verschwinden. Das trifft meiner Meinung nach aber nicht gerade die Falschen, wenn man sich die Positionierung der letzten 5–6 Jahre ansieht. Denn wer nicht mit der Zeit geht – geht mit der Zeit.​

 

[Pfandfinder]

@Pfandfinder,

Wenn die Fritz!Box jetzt den zweiten Eintrag bevorzugt (erster Eintrag antwortet nicht oder ist nicht schnell genug), geht alles an deinen Pi-Hole vorbei. Ich würde somit auch im 2. DNS-Eintrag den Pi-Hole hinterlegen. Des Weiteren kommt noch dazu, ob du am Internetanschluss IPv6 benutzt. Wenn das im Router aktiviert ist, musst du unbedingt auch die IPv6-Adresse des PI-Hole-DNS hinterlegen​

Aber wenn der pi-hole oder das NAS aus Grund xy mal aus ist geht ja keine Website mehr auf, daher hab ich nur den 1. genommen.

Wie bekomm ich denn die IPv6 vom NAS raus ?

@Pfandfinder,

Weiterhin würde ich auch unter Netzwerk den DNS-Server eintragen, damit dieser gleich an die Clients verteilt wird. Der DNS an der WAN-Seite hat nur den Vorteil bei bestimmten VPN, um das Internet weiterzunutzen, oder wenn der DNS nicht umgangen werden soll (Geräte mit manuellen DNS-Einstellungen).​

Wo genau meinst du das, "unter Netzwerk" ?

 

[und tschüss]

Aber wenn der pi-hole oder das NAS aus Grund xy mal aus ist geht ja keine Website mehr auf

Das ist dann eine schlechte Idee. Wenn du dein NAS nachts ausschalten willst, solltest du von der Verwendung eines DNS Abstand nehmen. Je nach Laune der Fritz!Box wird nicht immer der erste DNS-Server genommen. In Tests waren diese Anfragen 75% zu 25%. Das heißt, ca. 25 % der Anfragen gingen möglicherweise an Pi-Hole vorbei. Das kann aber mehrere Gründe haben, z. B. keine Antwort, Antwort zu langsam oder weil die Fritz!Box danach ist. Natürlich kannst du auch ein anderes Gerät, z. B. Raspi, als Backup für solche Fälle betreiben. Das muss aber jeder User mit sich selbst ausmachen. Davon unabhängig kann in jedem Gerät ein eigener DNS hinterlegt werden, sofern man diesen Bypass nicht in den Filtern ausgeschlossen hat. Damit zwingt man die Clients ausdrücklich, diesen DNS-Server zu nutzen. Für die Kumpel oder Kids, die denken, sie können es besser. 😉

Wie bekomm ich denn die IPv6 vom NAS raus ?

Netzwerkeinstellungen im NAS eventuell?

Wo genau meinst du das, "unter Netzwerk"

Heimnetz > Netzwerk > Netzwerkeinstellungen >erweiterte Netzwerkeinstellungen > IPv4 & IPv6 > DHCP

 

[JumpingCat]

Aber wenn der pi-hole oder das NAS aus Grund xy mal aus ist geht ja keine Website mehr auf, daher hab ich nur den 1. genommen.

Was ist wenn mal die Fritzbox aus ist? 🤔

Aber zurück zum eigentlichen Thema: Weder gibt es Loadbalancing noch Failover bei den DNS Resolver Einträgen. Wenn einer funktioniert, dann wird dieser auch genommen und das OS bleibt bei diesem.

Du kannst für den IPv6 DNS natürlich auch absichtlich einen kaputten/falschen Verteilen und erzwingst damit die Namensauflösung über IPv4 zum PiHole.

 

[und tschüss]

Du kannst für den IPv6 DNS natürlich auch absichtlich einen kaputten/falschen Verteilen und erzwingst damit die Namensauflösung über IPv4 zum PiHole.

Was aber die Wartezeit erhöht, wenn man IPv6 nicht abschaltet oder abschalten kann, sollte man das auch richtig und komplett einrichten. Alles andere macht keinen Sinn.

 

[Pfandfinder]

Was mir auffällt: Wenn ich Pi-hole über eine normale Debian-VM laufen lasse erscheint bei Domains die auf der Blacklist sind direkt die Meldung dass die Adresse nicht gefunden wurde, mit Pi-hole per Docker lädt es einige Sekunden, dann erscheint erst eine SSL-Warnung und beim Fortfahren kommt "Die Antwort hat zu lange gedauert".

• ist das vielleicht das Problem ? Wie stelle ich das um ?
• ist das bei euch auch so (Docker-Nutzer) ?

Außerdem in Pihole diagnostics:

Connection error (1.1.1.1#53): TCP connection failed while receiving payload length from upstream (Resource temporarily unavailable)

Long-term load (15min avg) larger than number of processors: 5.0 > 4
This may slow down DNS resolution and can cause bottlenecks.

No valid NTP replies received, check server and network connectivity

 

[und tschüss]

Was willst du denn jetzt noch mit einer VM? Hast du nicht schon genug Baustellen, wo du nicht weiterkommst? Wie kommt man denn auf solche Gedankensprünge? Dazu kommt die echt schlechte Formulierung, was du genau meinst.

Aber kein Wort, wie du den Container installiert hast oder wie deine Einstellungen genau sind. Wie soll man denn Hilfe geben? Nicht, dass du wie bei der Datenbank eine Abkürzung nehmen willst.

No valid NTP replies received, check server and network connectivity

Gibst du den Container die TZ (Zeitzone bzw. Time Zone) mit? Wenn nicht, dann hole dieses bitte nach!

 

[Pfandfinder]

hier die compose-file. Die Zeitzone gebe ich eigentlich mit. die VM ist zum Testen.

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "8080:80/tcp"
      - "4443:443/tcp"
    environment:
      TZ: 'Europe/Berlin'
      FTLCONF_webserver_api_password: 'yP8!7RQjxQ'
      FTLCONF_dns_listeningMode: 'all'
      PUID: 1026
      PGID: 100
    volumes:
      - '/volume1/docker/pihole/pihole:/etc/pihole'
    cap_add:
      - NET_ADMIN
      - SYS_TIME
      - SYS_NICE
    restart: unless-stopped