Für Umsteiger/Einsteiger: Fragen und Diskussion zu RethinkDNS

Welche App hast Du da isoliert und dann diese Domänen freigegeben? Google Play-Dienste?

Deshalb schrieb ich ja „Eine Art“ … Alles in allem besser, als ohne.

Isoliert habe ich noch nichts, das kommt noch, wenn die restlichen Feinarbeiten durch sind. Bisher werden alle nicht explizit freigegebenen Google Domains durch die entsprechende Filterliste (No Google) blockiert, das sieht man schön im Netzwerkprotokoll. Es soll noch eine größere Google Liste geben, die suche ich noch. Isolieren werde ich dann die Play-Dienste, GSF, Wallet und den Playstore. Updates ziehe ich eh über Aurora, also was nicht von F-Droid kommt.

RethinkDNS gefällt mir nach ersten Tests wirklich gut, Probleme hatte ich bislang keine.

Allerdings nutze ich die App erst einmal vorwiegend als Firewall, zum Protkollieren und Blocken unerwünschter Verbindungen, mit Pi-hole als System DNS. Mir fiel direkt eine App auf, welche stündlich nach draußen funkte. Notifications deaktiviert, und gut war - prima!

Ja, die Möglichkeit, den Verkehr entweder zu Orbot oder Wireguard zu forwarden, ist interessant. Dazu mal eine Spezi-Frage:

Unter „Firewall“ settings → „Universal firewall rules“ gibt es die Möglichkeit, unsicheren HTTP traffic (port 80) komplett zu sperren. Hat jemand schon mal ausprobiert, ob das in Kombination mit Orbot/Tor auch klappt? Wär quasi ein HTTPS-only mode für sämtliche Apps.

Als DNS verwende ich Rethink DNS (DoT) und habe in den Firewall-Einstellungen den Punkt „Blockiere wenn DNS umgangen wird“ eingeschaltet. So bekomme ich aber aber keine Verbindung zu z.B. Telegram. Im Telegram-Protokoll dazu steht „DNS umgangen“ und wurde blockiert. Schalte ich den Punkt „Blockiere wenn DNS umgangen wird“ aus, funktioniert Telegram.

Warum ist das so? Eigentlich möchte ich die Option eingeschaltet lassen, da doch sonst DNS-Leaks entstehen können oder nicht?

Mit Orbot habe ich es noch nicht probiert, habe aber festgestellt, daß Keepass2Android mal in der Netzwerkliste für den Zugriff auf MEGA blockiert war, Grund: Unsicherer HTTP Zugriff.

Weil manche Anbieter wohl gern ihr eigenes Süppchen kochen. Ich weiß jetzt nicht, inwiefern die Option „Verhindere DNS Lecks“ in Rethink das vielleicht trotzdem unterbindet.

Weil Telegramm fest verdrahtete IP-Adressen verwendet. Die Option blockiert, wenn zu einer IP-Adresse keine vorherige DNS Abfrage durchgeführt wurde.

Ah, interessant. Wenn ich deine Antwort und https://github.com/celzero/rethink-app/issues/34 richtig deute, kann damit effektiv DNS-over-HTTPS (DoH) ohne statische Listen geblockt werden.

Das Setting „Prevent DNS leaks“ unter DNS scheint hingegen alle Anfragen, welche an externe DNS-Server per Port 53 gerichtet sind, entweder auf System DNS oder den Rethink DNS server umzubiegen (je nachdem was eingestellt ist).

Du kannst versuchen, „always_on_vpn_lockdown“ der „secure table“ manuell zu setzen und zwar auf 1
mittels adb und zwar „settings put secure always_on_vpn_lockdown 1“.

Abfragen mit „settings list secure“ für alle Einträge der Liste oder „settings get secure always_on_vpn_lockdown“ zuvor kann nicht schaden, wenn der Eintrag nicht existiert heißt das noch nicht, daß ein solcher Eintrag nicht wirksam werden kann.

Neustart des Gerätes ist nach Änderung wahrscheinlich erforderlich.

Letztens habe ich das bei einer Android-TV-Box (allerdings mit Android 10, bei 9 sollte es das aber schon gegeben haben) wirksam setzen können, die NetGuard ansonsten nicht beim Start automatisch starten ließ.

OT: letztens sah ich bei einem Gerät den Eintrag
„always_on_vpn_lockdown_whitelist“ „“

(PS: da hab ich grad den Link eines Mitforenten zu den Issues und weiter zu Google hier gesehen mit
„/**
* Comma separated list of packages that are allowed to access the network when VPN is in
* lockdown mode but not running.
* @see #ALWAYS_ON_VPN_LOCKDOWN
*
* @hide
*/
public static final String ALWAYS_ON_VPN_LOCKDOWN_WHITELIST =
„always_on_vpn_lockdown_whitelist“;“
also das probiere ich wohl auch mal aus, das Format hatte ich erwartet, aber nicht, daß die Liste aktiv wird, wenn die VPN-Verbindung nicht aktiv ist.)

aber da muß ich mal noch rumprobieren, ob und wie man das vllt. nutzen kann

manche Apps lassen sich von „always_on_vpn_lockdown“ auch nicht völlig beeindrucken und fallen nur in AFWall+ auf

Danke für den Tipp, da werde ich mich mal demnächst mal ransetzen!

Kannst du deine settings backupen, bei der Arbeit die du dir da machst?

Danke für den Link, jetzt weiß ich wozu die …whitelist gut sein soll, die mir kürzlich erst auffiel

RethinkDNS auf Pixel7a mit GrapheneOS: Akkuverbrauch ca. 30% in 14 Stunden, dabei Handy fast nur im standby.
Finde ich ziemlich hoch. Ist das bei euch auch so? Gibt es stromsparende und stromfressende Einstellungen?

Bei mir sinds über Nacht, also auf etwa 8h, 9%, allerdings kamen in letzter Zeit noch Signal-FOSS und Threema Libre dazu, die etwas mehr ziehen als die Originalvarianten, wegen den alternativen Benachrichtigen via WebSocket, also schätze ich Rethink auf 5%/8h, was ich nicht schlecht finde, in Anbetracht dessen, daß mein Gerät nun schon knapp 4 Jahre alt ist.

Stromsparender geht es wohl nur ohne Wireguard/Orbot Verbindung, steht auch so im Menü des Start-Stop Knopfes in Rethink, DNS (Akkusparer).

Das ist bei dir wesentlich weniger als bei mir. Danke für den Hinweis mit dem Startknopf, hatte ich nicht gesehen. Steht bei mir auf DNS und Firewall.

Finde ich ziemlich hoch. Ist das bei euch auch so? Gibt es stromsparende und stromfressende Einstellungen?

Ich hatte dasselbe Problem (Pixel 7, GrapheneOS) und noch dazu, dass DNS-Lookups teilweise 20s+ gedauert haben und manchmal nicht.

(Alles in Verbindung mit „always on VPN lockdown“, Modus „DNS+Firewall“, Verbindungsart (IPv4/6) auf „Auto“ und lokalen Blocklisten)

Nach meinem aktuellen Testen tritt das Problem auf, wenn man einen anderen DNS-Resolver als „System“ wählt.

Ich will keinen DNS-Resolver mit Blocklisten, da hierdurch erzeugte Fehler schwerer zu diagnostizieren sind, als via lokale Blocklisten, also habe ich Quad9 gewählt.

Sowohl via DoH als auch DNS-Crypt kommt es aber zu oben genannten Problemen, wähle ich „System“ sind diese weg und der Akkuverbrauch sinkt massiv. Er ist nicht 0, logischerweise, aber keine 30% in ~12h.

Hat jemand ähnliche Erfahrungen?

Ich habe Pixel 6a, eigenen DNS, Akkuverbrauch ca. 9%, allerdings auch bei heute zwei Stunden Nutzung der App im Vordergrund. Bei mir ist Firewall, eigener DNS-Server (DoH) und Wireguard in Rethink aktiv. Klar, deutlich mehr Verbrauch im Vergleich zu gewöhnlicher Wireguard-Nutzung (<1%), aber immer noch okay. Hängt ja zudem von der Nutzungsintensität anderer Apps ab.

Konsequenterweise must du dann quad10 nicht quad9 wählen

Bezieht sich auf Ad-/Trackerblocking . Bin noch nie auf eine Seite gestoßen, welche von Quad9 geblockt war. Soll ja auch nur Malware blocken und sich für Produktiveinsatz eignen.

Und: Quad10 macht, im Gegensatz zu Quad9, kein DNSSEC.

Das kann ich nun garnicht bestätigen bzw. ein geringer Mehrverbrauch resultiert bei mir jetzt daraus, das Wireguard jetzt dauerhaft aktiv ist, vorher immer nur ausserhalb meines Heimnetzes, per Tasker gesteuert.
Scheinbar liegt hier das Problem wirklich beim Pixel oder GrapheneOS.

Ggf. lohnt sich DNS & Firewall und einige Domains schon universell (global) zu blocken.

Laut github 992 ist das angeblich „Resourcen schonender“.

Aber vielleicht passt das gar nicht zu Deinem Anwendungsszenario. Auch ist unklar, welche Ressourcen überhaupt gemeint sind, Akku oder doch nur Speicher.