Also entweder ich verstehe ich das Konzept nicht oder es gibt einen Fehler…
Ich habe eine App isoliert, in meinem Beispiel Congstar. Wenn ich nun Congstar starte baut er trotz Isolation eine Verbindung zu app.congstar.de auf.
Das Handy hängt im WLAN, die anfrage kann ich über den PiHole sehen. Und ich sehe sie auch in der Appübersicht in RethinkDNS.
Ich dachte, wenn ich eine App isoliere, dann kann sie erstmal keine Verbindung aufbauen? Und es stimmt auch, wenn ich mich anmelden möchte geht das nicht weil Congstar sagt „keine Verbindung“.
Ich habe in Rethink keine Ausnahmen oder Umgehungen definiert. Also: Wo könnte die Verbindung trotz Isolation im PiHole sehe? Sie hätte das Handy doch gar nicht verlassen dürfen.
Mein Eindruck ist gerade, dass manche Verbindungen durchkommen und andere nicht. Das Problem habe ich auch mit einer anderen App, daran liegt es also nicht.
EDIT: Also ich weiß nicht… Sowohl mit Netguard als auch mit Rethink habe ich das Problem, dass Anfragen durchkommen, die App selbst aber nicht funktioniert. Dabei ist es egal ob ich bei Rethink etwas isoliere oder komplett blocke.
Bsp.: DeepL verweigert beim Appstart komplett den Dienst, im PiHole kann ich aber sehen, dass Anfragen z. B. an backend.deepl.com rausgehen.
In den VPN-Einstellungen ist „durchgehend aktiv“ und „Verbindungen ohne VPN blocken“ aktivert… In den beiden Apps sind keine Ausnahmen oder zentrale Regeln definiert. Bin echt ratlos.
Ich habe mir gestern ein vertrauliches Profil angelegt und darin Rethibk DNS installiert. Heute morgen beim Hochfahren des Pixel6 (GrapheneOS) wurden über RethinkDNS mehrere txt, json und andere Dateien runtergeladen. Wieso ist fur mivu nicht ersichtlich… Ist das normal???
Hallo, ich kriege wireguard in Kombi mit rethinkdns nicht zum laufen. Meine fritzbox hat als lokalen DNS Server meinen pi hole eingestellt. Dieser filtert und gibt die DNS anfragen zurück an die Fritz box. Die fragt dann bei adguard nach. In meiner fb ist nun wg aufgesetzt und Setze ich mit der wireguard APP eine Verbindung auf funktioniert alles wunderbar. Aber die WG Verbindung in rethinkdns löst keine einzige domain auf. Muss man hier noch etwas einstellen?
Ich habe ein seltsames Problem. Ich schaffe es einfach nicht, dass Rethink anfragen an 192.168.0.0/24 über das VPN überträgt.
Ich habe 0.0.0.0/0 hinterlegt, weil ich eh alles über meinen Heimrouter und dessen Werbeblocker leiten möchte.
Dabei ist das doch einer der beiden Hauptzwecken mein VPN. Ich möchte, dass ich zukünftig alle Services auf meinem NAS auch über das VPN nutzen kann ohne, dass ich meine Services Zugang zum Internet geben muss.
Kann mir wer sagen wie ich es in Rethink konfigurieren kann? Es muss alles übers VPN. Mit Ausnahme eines zweiten Browsers, den ich für die Anmeldung an Gäste WLANs nutzen möchte.
Ich sehe im übrigen auch ein grosses Sicherheitsproblem, weil ich meine Services bislang nicht mit SSL absichern konnte. (Ich weiss nicht wie, ich habe keine Ausbildung in IT und mir alles selbst beigebracht).
D.H alle Dienste auf meinem Handy die ins VPN sollen Fragen jetzt per http ohne ssl die Router der GästeWLAN.
Ich habe Aurora-Store die Genehmigung zur Umgehung von Firewall+DNS einräumen müssen, um Apps zu updaten, weil ich Google-Domains sonst blockiere (mein Hintergrund: Korrekte Nutzung von Aurora Store für Play-Store-Apps). Solange ich für Aurora diese Umgehung zulasse, landen die ganzen Google-Domains nicht mehr bei 0.0.0.0, sondern die Domains werden bei „DNS“ aufgelöst werden und die Zugriffe nur unter „Netzwerk“ blockiert.
Gibt es einen Weg das zu verbessern? Falls nein, fließen dadurch z.B. an Nameserver Daten ab oder brauche ich mir keine Sorgen zu machen? Anmerkung: Ich habe nur mal von Nameservern gelesen, wer betreibt die eigentlich und wovon finanzieren diese Leute den Betrieb?
Ich versuche mich gerade an der Einrichtung von RDNS im vertraulichen Profil von GrapheneOS, da ich hier nach der Anleitung im Blog die Sandboxed Google Play Services eingeschränkt nutzen möchte. Dazu habe ich direkt ein paar Fragen zu Unklarheiten:
Ich habe mir eine Wireguard config von ProtonVPN erstellt und in RDNS eingefügt. Ich wende den Proxi auf fast alle Apps im Profil an und habe nur F-Droid und meine Banking Apps exkludiert. Das scheint auch zu funktionieren, was mich jedoch verwirrt: der DNS Leak Test zeigt mir im Browser wie erwartet eine IP vom VPN an. Der DNS Test zeigt dann aber einen US DNS an.
Ich nehme an, das ist der DNS Server von Rethink DNS den ich eingestellt habe? Aber hier sollte doch normal der DNS vom VPN verwendet werden, oder? Um in der Masse unterzugehen.
Daher hab ich den Eindruck, ich muss den DNS in der App anders einstellen? Ich habe RDNS Plus aktiv mit den 5 Blocklisten, die auch @kuketzblog hier genannt hat.
Dazu direkt die nächste Frage: was ist der Unterschied dazwischen, ob ich RDNS Plus mit den Filterlisten nutze oder welche auswähle unter Konfiguration? Die ich lokal heruntergeladen habe? Hier sehe ich dieselben Listen zur Auswahl.
Dritte Frage: am Wireguard Proxi steht im Menü „IPv4“ dran. Heißt das, der Proxi verwendet nur IPv4? Was ist mit IPv6 Adressen, sind die nicht abgedeckt?
Einige Fragen:
Was macht den Unterschied ob man RethingDNS oder Adguard unter GrapheneOS einsetzt und muss, wenn ich mehrere Profile verwende oder auch Shelter einsetze, ein DNS-Filter in jedem Profil extra installiert werden?
Ich habe mittlerweile selbst teils Infos gefunden. Da es für andere ggf. auch hilfreich sein könnte, beantworte ich einfach mal selbst:
Dies liegt daran, dass ich den Advanced Proxi Modus verwende. In diesem wird immer der in der RDNS App eingestellte DNS Server verwendet, nicht wie von mir angenommen und gewünscht der vom VPN in allen ausgewählten Apps und im Rest nur der aus der App. DNS Splitting funktioniert (noch?) nicht, war scheinbar für Version 055o angedacht.
Quellen: https://github.com/celzero/rethink-app/issues/1597 https://github.com/celzero/rethink-app/issues/1510
Hier stellt sich mir jetzt die neue Frage, wenn man nur bestimmte IP Adressen wie in diesem Tutorial durch den Tunnel leitet: https://www.kuketz-blog.de/android-tutorial-google-ip-adressen-mit-wireguard-ueber-rethinkdns-tunneln/
Oder eben auch wie ich nur bestimmte Apps statt nach IP, dann hat man also zwangsläufig den DNS welcher in der RDNS App eingestellt hat statt vom VPN. Das sollte doch eigentlich vermieden werden, richtig?
Der Unterschied ist, dass online die Listen nur unter dem RDNS DNS Server aktiv sind. Lokal funktionieren sie mit jedem DNS, auch einem eigens gesetzten in der App.
Quelle: https://github.com/celzero/rethink-app/discussions/1191
Ich verwende MullvadVPN. Bei allen von mir eingestellten Server werden beide Protokolle angezeigt. Allerdings verwende ich mit RethinkDNS nur IPv4 (Standardeinstellung).
Ich hab eine Verständnisfrage.
Installiert ist die App BreezyWeather (Fdroid) - und die habe ich erlaubt (und scheint auch zu funktionieren). In den Protokollen sehe ich aber zu der App Aufrufe von diversen Domain nur 0/0 - also keinen Transfer.
Nachdem ich die App isoliert hab und die Domains freigegen hab, sah ich dann in den Protokollen auch Traffic.
Frage: Woran kann das liegen? Die Domains sind ja nur pro App freigegeben oder, und wenn die App erlaubt ist sollten die per-App-Freigaben doch keine Rolle spielen.
Edit: Ich glaub es liegt an den universellen Regeln. Die blockieren während das Gerät aus ist - und bei Umgehung natürlich nicht.
Da hab ich gleich noch eine Frage, kann man eine App aus den universellen Regeln entlassen, aber gleichzeitig nur bestimmte Domains freigeben? Oder funktioniert dort nur das Sperren?
Manchmal sah ich in der Anzeige bei den Protokollen auch einen kleinen grünen Punkt - glaube da wo sonst die Dauer steht - ist das wenn der Traffic noch andauert?
Und noch eine wichtige Frage: Rethink blockiert ja sozusagen den VPN. Kann ich einen VPN zur Fritzbox daheim „einschleifen“ - so dass alle sonstigen Regeln weiter funktionieren? Nur weil ich daheim bin, will ich den Internet Traffic ja nicht anders filtern. Richtet man den WG als Proxy ein? Ersetzt der etwas oder ist der nur zusätzlich in der Kette?
Ich möchte SmartView laufen lassen (aka Mirror / Miracast). Wie finden ich unter den 300 System apps die, die ich freigeben muß? Die SmartView app selbst hat gar keinen Netzwerkzugriff (sollte ich ja sehen, wenn sie in Isolation ist, oder ?).
Die Wireguard Konfiguration von Proton unterstützt noch kein IPv6, deshalb steht dort nur IPv4. Du hast dann halt nur IPv4 Verbindung, was aber aktuell kein Problem sein sollte.
Du kannst eine App isolieren, da wird dann erstmal alles geblockt und dann gibts du nur die Domains frei, zu denen sich die App verbinden darf.
Du kannst einen Tunnel nach Hause als Proxy angeben und alle anderen Regeln bleiben bestehen. Du baust die Verbindung dann nur über dein VPN auf. Allerdings auch wenn du mit dem Wlan zu Hause verbunden bist, wodurch du dann unter umständen nicht die volle Geschwindigkeit zur Verfügung hast. Wenn du aber mit dem Wlan zu Hause verbunden bist, funktioniert rethink ja genauso wie wenn du mobil unterwegs bist.
Ich gehe immer so vor:
Zuerst wird die App isoliert und beobachtet wohin sie sich verbinden will. Bestimmte Domänen werden freigegeben, andere bleiben untrusted (und damit gesperrt), bis ein gewünschtes Ergebnis erziehlt wird.
Jetzt sind die Regeln die man damit aufbaut ja App-spezifisch, oder? Man sieht sie auch, wenn man die App sagen wir in den blockierten oder „universell umgehen“ Tab verschiebt.
Aber welche Bedeutung haben die Regeln dann? Wenn sie noch gelten, wo ist dann der Unterschied von blockiert und isoliert? Und was macht eigentlich die Kategorie „ausblenden“?
Bin mittlerweile ratlos und versuche es mal hier:
Spotify versucht ständig auf firebaseinstallations.googleapis.com zuzugreifen, obwohl dies in einer DNS-Liste blockiert ist (1 Hosts Pro). Habe alle Apps auf isolieren gesetzt, was aber laut dieser Tabelle von reddit dazu führt, dass die DNS-Liste ignoriert wird. Die Liste sollte nämlich dafür sorgen, dass Spotify schnell aufgibt, aber so versucht es ständig die Verbindung aufzubauen..
Ähnliches Problem habe ich wohl mit ING und count.ing.de, siehe Screenshot.
Wie geht man hier vor..? Hatte das schon mal hier angesprochen, aber kann da nicht mehr antworten oder editieren.
Edit: liegt wohl daran, dass ich „Himmel“ als Resolver hatte (s. hier), „Max“ löst das Problem für Spotify. Aber jetzt kommts, für ING bringt es nichts, obwohl count.ing.de ebenfalls in 1Hosts Pro vorkommt und ING ebenfalls auf isolieren gesetzt ist.. das ist jetzt wirklich verwirrend..
Ich verstehe nur die Hälfte - aber zu dem Anfang:
Wenn es auf der Liste der blockierte Sites steht, heisst das ja nicht, dass die App es nicht dauernd weiter versucht. Das ist eben ein Problem beim Blockieren. Man meint man spart Traffic und Connection, aber die dauernden Versuche gehen auf den Akku.
Also ein unerwünschte Nebenwirkung.
Macht es einen Unterschied ob ich eine Site per DNS Liste blockiere oder durch isolieren (und gezieltes Freigeben)?
Langsam werde ich ein bisschen unruhig - es gab schon lang keine neue Version. Angeblich ist es ein großer Umbau der dauert…
Mein Beitrag liest sich auch maximal verwirrend merke ich. Wohl auch weil ich sehr verwirrt war..
Habe nun aber die Blocklisten zuverlässig zum Laufen bekommen. Die Besserung kam dadurch, dass ich on-device Blocklisten von RDNS nutze mit DNS Service von Mullvad (ohne Adblock, damit ich alles unter Kontrolle und im Blick habe). Das DNS von RDNS war in letzter Zeit bei mir richtig schlecht und mit vielen Aussetzern; Sky und Max.
Zu deinem Punkt: ja, mein Verständnis war, dass blockieren per DNS besser ist, da die Apps dann schneller aufgeben (siehe Rückmeldung hier https://www.kuketz-forum.de/t/rethinkdns-spotify-isolieren-akkuverbrauch/11161/2?u=nocheinneuername ). Für Spotify kann ich das auch bestätigen, die ING App ist bei count.ing.de dagegen sehr hartnäckig. Früher oder später werde ich mir das auch mal anschauen. Aktuell tauchen reihenweise Einträge zu count.ing.de im DNS Reiter des Protokolls auf; aber zumindest ohne Flagge 8)
Und hoffe ebenfalls, dass die die App am Leben halten (es gab beim Developer wohl Nachwuchs in der Familie und dadurch Zeitmangel). Meines Wissens gibt es nämlich kein vergleichbares All in One Tool für Android.
