NetGuard - kein Support (mehr) für GrapheneOS

Zur Info:
Bin eben eher zufällig über ein Update in der Beschreibung von NetGuard gestoßen, wonach GrapheneOS (als auch CopperheadOS) nicht supportet wird. Die Änderung wurde vom Entwickler am 19.10. vorgenommen.

Das bedeutet nach meinem Verständnis, es besteht die Gefahr, dass irgendwann nach einem GOS-Update NG nicht mehr laufen könnte und dies dann auch nicht mehr gefixt wird. Gut, diese Gefahr bestand im Prinzip immer schon und wie konkret diese jetzt ist, lässt sich schwerlich beurteilen. Dass nun hier diese „offzielle Ansage“ gemacht wird, finde ich aber schon irgendwie etwas beunruhigend.

android bringt von zu hause aus (nagelt ich jetzt nicht fest ob ab a12 oder a13) die möglichkeit mit die netzwerkdevices zu blocken oder zu erlauben.
das in verbindung mit einer dns-firewall (personaldns, etc…) oder filterndem private dns macht netguard als solches imho (im grunde) überflüssig.

Naja, da ja auch Android ASOP irgendwie von Google kommt, würde ich dem Braten nicht trauen, es sei denn, der Entwickler einer googlefreien Version hat sauber gearbeitet. Selbst bei LineageOS und CalyxOS ist ja noch genug Googlecode aktiv, wie man hier bei Kuketz lesen kann.

Ansonsten, alternativ zu Netguard kann man sich ja auch mal Rethink: DNS + Firewall aus F-Droid anschauen.

das was ich oben meine ist kein google code als solches…
was ich meine ist, dass in jeder app in den app settings der netzwerkzugriff entzogen werden kann. und zwar per device
die calyxos firewall datura z.b. ist auch nur ein wrapper um dieses feature

War nicht der große Vorteil von Netguard das man nicht nur per App den netzwerkzugriff blockieren konnte sondern pro App die angefragten Domains, sodass man die App ins Internet lassen kann diese aber keine Domains von Google facebook etc erreichen kann, was in meinen Augen viel wichtiger wäre als das ich Apps für das Internet sperren kann.

Ich hoffe mal das das eine Feststellung ist; denn genau davon gehe ich bei Netguard eigentlich auch aus ! Rufe ich z.B. „New Pipe“ in meinem google-freien Benutzeraccount auf und schaue mir irgendein Video an, dann erlaube ich Google DNS-Aufrufe innerhalb von Netguard und das funktioniert auch.
Ruft dann irgendeine andere App eine Google-DNS auf werden diese per Netguard gesperrt und auch das funktioniert.
Gerade diese auf App-Ebene mögliche Sperre macht Netguard also -zumindest für mich- interessant. Das von @anon82578799 angesprochene Rethink würde ich mal als Mini-Pihole einordnen.
Bitte korrigieren wenn ich mit meiner Einschätzung/Einordnung hier falsch liegen sollte.

War eine Vermutung, da ich noch nie mit der Pro Version gearbeitet habe und da ich den VPN Platz immer für was anderes brauche nie wirklich davon gebrauch nahm. Jetzt mit GOS wäre das echt eine Überlegung wert gewesen, was aber wohl anscheinend demnächst hinfällig wäre.
Weiß jenand warum der Entwickler das angekündigt hat? Gab es oder sind in Zukunft Veränderungen in GOS geplant die die Funktion einschränken aufgrund von eigener Ideen einer Firewall bei GOS oder Berechtigungen die sich ändern?

Das wäre z.B. eine Grundsatzfrage meinerseits, ich kam mit Netguard bislang leider nicht so klar und hab es immer wieder deinstalliert, obwohl ich technisch eigentlich nicht unversiert bin. Man könnte also auch alle Verbindungen zu Google Firebase sperren und eine App funktioniert dann trotzdem noch? Oder alle Verbindungen zu merkwürdigen Amazon Geschichten (Webung, Tracking), ich kann Amazon dann aber trotzdem noch aufrufen? Schwer abgesicherte Browser nutze ich eh schon. Kann man Verbindungen zu Dienst XY auch generell sperren oder geht das nur pro App und braucht man dringend Root? Wie verhält es sich mit dem unter Android hinterlegten Adguard DNS-Server, wird der umgangen oder bleibt der aktiv?

Hatte kürzlich mit dem von mir erwähnten Rethink mal etwas rumprobiert und allerhand Filterlisten aktiviert, dann geht aber scheinbar garnichts mehr pro Dienst, also auch kein Amazon Aufruf im Browser usw…

Das sollte unter einem VPN Profil alles ohne root möglich sein…was ich bis jetzt über netguard gelesen habe
Edit: Allerdings nur in der Pro Version

Ist schon alles richtig in Bezug auf NG wie @sambapati es im Beispiel beschrieben hat: gerade die feingranulare kombinierte Einstellbarkeit in Bezug auf Verbindung und App macht die Pro-Version ja so interessant und wertvoll. Und das ganze ohne Root.

Es sieht so aus, als ob die Rethink-App sowas in der Art auch kann - war da aber auch noch am rumexperimentieren und muss das dann jetzt wohl mal wieder vorkramen.

Hatte jetzt eigentlich eine stabile Kombination mit NG + DOT + SOCKS-VPN am Laufen habe - wird aber dann möglicherweise irgendwann vorbei sein.

Bezüglich der Intention des Entwicklers kann man nur mutmaßen. Es ist ja allerdings kein Geheimnis, dass das Projekt schon mehrfach kurz vor der Aufgabe stand. Aus der Begründung „there are too often breaking changes“ schließe ich, dass es wohl schon Mehraufwände gegeben hat, um NG unter GOS lauffähig zu halten. Die möchte er nun vermutlich nicht weiter zusagen (sofern dann technisch überhaupt möglich).

Nein, eine App die „Google Firebase Dienste“ (DNS-Aufrufe) braucht, wird nicht funktionieren wenn Du sie in den Netguard Einstellungen dieser App sperrst.
@Indeedee hat den schönen Begriff der „feingranularen Einstellbarkeit“ benutzt der den Sachverhalt sehr schön beschreibt. Ich beschreibe mal wie man das am besten selbst ausprobieren kann.

• Rufe mal in einem Browser Deiner Wahl ein x-beliebiges Youtube-Video auf.
• Während das Video noch läuft rufe in Netguard die App des Browsers auf.
• Blockiere/Sperre jetzt mal alles weg was dort mit „…googlevideo…“ auftaucht…
• Den Aufruf des Videos jetzt mehrfach wiederholen und immer wieder die neu
  auftauchenden URL´s in Netguard blockieren. Das machst Du jetzt ein paar mal,
  weil immer wieder neue URL´s auftauchen.
• Nach so ca- 10x läuft das Video in Browser dann nicht mehr oder es dauert deutlich
  länger bis es startet.
• Jetzt rufst Du in New Pipe dasselbe Video auf.
• Wenn Du jetzt in Netguard unter „New Pipe“ nachschaust wirst Du sehen, dass die
  vorher in der Browser-App geblockten URL´s unter „New Pipe“ in Netguard nicht
  geblockt sind bzw. werden.

Ich teste das gerade mal mit Rethink durch, eine App aufrufen, in Rethink im Protokoll unter DNS nachschauen welche Verbindungen aufgerufen wurden, dort kann man die dubiosen IPs dann global oder per App blockieren, Log löschen, nächste App… Scheint zu funktionieren. Dauert zwar, bis man alles durch hat, aber lohnt sich. Ich will vorrangig auch erstmal erreichen, daß Verbindungen die LineageOS selbst noch zu Google aufbaut blockiert werden, das sollte erstmal den Betrieb nicht stören. Sollte mit Netguard vielleicht ähnlich funktionieren. Auf jeden Fall qualmt mir jetzt nicht mehr so der Schädel, wenn ich diese ganzen Einstellmöglichkeiten sehe.

Auch mein Hauptgerät, auf welchem ich normal Android mit Google habe, weil ich leider um Google Pay nicht drumrum komme, möchte ich damit noch weiter entgooglen. Vieles habe ich über die Zeit schon per ADB erledigt und Google Wallet ist der einzige Dienst, den ich von diesem Verein noch nutze. Auch hier soll das Betriebssystem (ColorOS) 11 nicht noch lustig irgendwas im Hintergrund funken, auch nicht an Oppo.

NewPipe nutze ich schon lange, hab aber nur selten etwas bei Youtube zu schauen.

Ohne die technischen Details zu kennen, kann man nur vermuten. Im Grunde könnte aber jede App betroffen sein, die die VPN Schnittstelle nutzt. Einen Hinweis findet man im NetGuard Repository:

Some LineageOS versions have a broken Android VPN implementation, causing all traffic to be blocked, please see this FAQ for more information.

Folgt man den Links, findet man einen Fix in LineageOS mit ein paar Änderungen in zwei Samsung Kernel. Möglicherweise sind derartige Änderungen in GrapheneOS und CopperheadOS für die Probleme in NetGuard verantwortlich.

Vielen Dank an @kuketzblog für die Nachfrage beim Entwickler zu den Gründen für den Schritt !

war längere Zeit nicht aktiv im Fotum und aufgrund dieses Threads und der letzten Antwort bin ich dann auch nochmal auf Mikes Blogbeitrag von 2022 zu NetGuard gekommen, dort schrieb er zu Ausetzern von NetGuard z.b. bei heise:

„Die Frage ist nun, von welcher Adresse dieses Banner nachgeladen wird. Es sind die zwei folgenden Adressen:“

Ich arbeite noch auf zwei Android-10-Geräten(gerootet, ansonsten original von Doogee) mit einer älteren Version von NetGuard, da ich mit meinen Apassungen nicht mehr hinterherkam.

Dort habe ich abundzu denselben Effekt, daß plötzlich im Browser die erwähnte Einblendung kommt und alle möglichen Benachrichtigungen anderer Apps aufschlagen. Da läuft dann irgendwas nicht nur bei NetGuard was schief, sondern in Android Amok. Die zwei Geräte legen dann auch gern mal einen Warmstart hin(das eine mit SIM ohne SIM-Pin-Eingabe), manchmal unmittelbar, nachdem ich dann WLAN „ausschalte“(nach Neustart ist es jedoch zumeist weiterhin/wieder aktiv, wird also nicht mehr gespeichert), manchmal dauerts noch eine Weile, dann lassen sich aber weder Apps aufrufen noch reagieren die Geräte auf den Powerknopf. Ein wenig seltsam. Aber es sind keine Custom-Rom. Aufgrund meiner Modifikationen und der alten Grundversion kann ich das auch nur mal erwähnen.
Gerade auf das gezielte Blocken von ICMP lege ich aber Wert, gibt das Original aber nicht her.

Ich teste gerade Calyx und das macht abgesehen von einigen Googleverbindungen eine bessere Figur als GrapheneOS, daher trauere ich Graphene nicht hinterher.

Im Gegensatz zum LineageOS hat Calyx Vorteile. Laut der Beschreibung auf deren Webseite aktualisieren sie auch die Firmware mit, sofern Hersteller die anbieten. Ist Calyx eigentlich ein LOS fork? Da gibt es mehrere Systemapps mit Lineage im Namen.

Bitte selbst übersetzen

custom ROMs

• GrapheneOS is based on AOSP

• DivestOS is based on LineageOS and uses a lot of patches from GrapheneOS

• CalyxOS is based on AOSP with a ton of patches from LineageOS

• iodeOS and /e/OS are based on LineageOS

OK und an was machst du das fest ? Warum genau vertraust du Graphene nicht ??

Hallo,

Neue Info dazu : GraphenOS wird weiter unterstützt.

Zitat vom Entwickler

I had a good conversation about this with the guys of GrapheneOS, and NetGuard is

supported on GrapheneOS again, but please read the compatibility info here:

https://github.com/M66B/NetGuard/#compatibility

Auszug aus dem Text bei github:

On GrapheneOS, the Android Always-On VPN function and the sub option ‚Block connections without VPN‘ are enabled by default. However, this sub option will result in blocking all traffic, please see this FAQ.

NetGuard is not supported for apps installed in a work profile, or in a Secure Folder (Samsung), or as second instance (MIUI), or as Parallel app (OnePlus), or as Xiaomi dual app because the Android VPN service too often does not work correctly in this situation, which can’t be fixed by NetGuard.

NetGuard is not supported for internet connections via a wire, like ethernet or USB, because the Android VPN service often doesn’t work properly in this situation.

Filtering mode cannot be used on CopperheadOS.

NetGuard will not work or crash when the package com.android.vpndialogs has been removed or otherwise is unavailable. Removing this package is possible with root permissions only. If you disable this package, you can enable it with this command again:

adb shell pm enable --user 0 com.android.vpndialogs

NetGuard is supported on phones and tablets with a true-color screen only, so not for other device types like on a television or in a car.

Android does not allow incoming connections (not the same as incoming traffic) and the Android VPN service has no support for this either. Therefore managing incoming connections for servers running on your device is not supported.

Wi-Fi or IP calling will not work if your provider uses IPsec to encrypt your phone calls, SMS messages and/or MMS messages, unless there was made an exception in NetGuard for your provider (currently for T-Mobile and Verizon). I am happy to add exceptions for other providers, but I need the MCC codes, MNC codes and IP address ranges your provider is using. As an alternative you can enable the option ‚Disable on call‘, which is available since version 2.113.

Ich habe GOS mit NetGuard Pro und T-Mobile. Leider funktioniert USB-Tethering, WLAN Call, wie VoLTE immer, unabhängig von Netguard-Einstellungen. Ich sehe keine Verbindungen im NetGuard. In einem anderem Smartphone mit CustomROM sehe ich diese Verbindungen.
Verstehe ich das richtig, dass diese Verbindungen an Netguard vorbei geschleust werden?