Im Folgenden sammle ich Fragen, die ich den Entwicklern von RethinkDNS stellen möchte. Ich mache dies öffentlich, um eventuell weitere Fragen/Input zu erhalten:
Wie wirkt sich eine große lokale Filterliste auf die Performance und den Batterieverbrauch aus? Werden Duplikate entfernt, wenn mehrere Listen abonniert/zusammengeführt werden?
Wenn in der aktuellen Version (055a) ein WireGuard-VPN aktiviert ist, laufen DNS-Anfragen weiterhin über den in RethinkDNS eingestellten DNS. Wird es eine Option geben, DNS-Anfragen auch über den WireGuard-Tunnel zu leiten?
Wird es eine automatische Möglichkeit geben, für verschiedene Schnittstellen (WiFi/Mobile) unterschiedliche DNS-Einstellungen zu hinterlegen? So kann z.B. im WiFi der lokale Pi-hole hinterlegt werden, während unterwegs (mobil) ein anderer DNS-Server verwendet wird.
Wird es eine Möglichkeit geben, eine WireGuard-Verbindung bzw. ein WireGuard-Profil nur dann zu aktivieren, wenn das mobile Interface (also getrennt vom WiFi) aktiv ist?
Was ist performanter? DNS-Regeln, universelle Firewall-Regeln oder App-spezfische Regeln?
Wenn RethinkDNS bzw. der Dienst unter System -> Bedienungshilfen abstürzt, wird der Schieberegler unter Firewall -> Universelle Firewall-Regeln -> Blockiere jede App, die nicht in Benutzung ist entfernt. Wird es dafür einen Fix/Workaround geben? Aktuell muss der Schieberegler wieder manuell aktiviert werden.
Wenn eine Anwendung isoliert ist, kann der Benutzer festlegen, zu welchen IP-Adressen/Domänen eine Verbindung erlaubt ist. Dies funktioniert gut, überschneidet sich aber etwas mit den Regeln der universellen Firewall. Dort kann man festlegen, dass Anwendungen blockiert werden, wenn das Gerät gesperrt ist, oder dass Anwendungen blockiert werden, wenn sie nicht verwendet werden/im Vordergrund sind. Dies gilt jedoch nicht, wenn eine App isoliert ist. Isolierte Apps können immer noch auf die vom Benutzer gespeicherten Adressen/Domänen zugreifen. Meine Frage ist nun, ob es eine Möglichkeit gibt, die universellen Firewall-Regeln bzw. die zwei zuvor genannten auch auf isolierte Anwendungen anzuwenden?
Was ich mit wirklich wünschen würde wäre die Möglichkeit App-spezifische Whitelists (wie die Blocklists) als Download zu konsumieren, die nur notwendige Domains (Funktion ja, Tracking & Co nein) enthalten.
Für die Pflege einer Whitelist zur Bahn-App hat @kuketzblog ja schon ein schönes Beispiel.
@kuketzblog
Meine Frage:
Warum listet Rethink in der Firewall weniger Apps als Netguard, obwohl Netguard nur Apps mit Internet listet?
Da müsste Rethink duch deutlich mehr listen.
Was mich interessiert ist, ob und wie weit die Entwickler eine Unterstützung von privaten IPs bzw. „lokalen“ IP Adressräumen (z.B. localhost, link-local, oder Multicast) im Zusammenspiel mit aktiviertem VPN Lockdown planen. Ohne VPN Lockdown ist dies bereits möglich (Do not route Private IPs (experimental)). Ich kann nur für mich sprechen, aber VPN Lockdown hat für mich einen hohen Stellenwert, da er quasi die letzte Barriere gegen Leaks darstellt. Ein solches Feature würde z.B. die dauerhafte Verwendung von Syncthing oder Briar in lokalen Netzen ermöglichen.
Das funktioniert bereits jetzt schon. Deaktiviere VPN-Lockdown. Danach aktivierst du die Option „Private IPs nicht umlenken“ in RethinkDNS, anschließend VPN-Lockdown wieder einschalten.
Seltsam. Bei mir funktioniert das wie beschrieben. DNS-Leaks habe ich ebenfalls keine. Aber warten wir mal ab, diese Woche soll vermutlich eine neue Version erscheinen, die einige Fixes mitbringt.
irgendwie scheint oft was reinzufunken, selbst „Google Play-Systeme Update“ oder das einer System-App oder eine Systemaktualisierung kann was ändern.
(gefühlt hatte ich gestern drei "Google Play-Systeme Update"s mit jeweiligrm Restart, gibt aber weiterhin dafür den Stand 1. Oktober an auf einem Pixrl 6 Pro)
Was mir bei RethinkDNS fehlt ist, die Möglichkeit Log Files zu exportieren und wie bei Netguard die Logs als PCAP zu speichern. Oder weiß jemand, wie man das macht?
Weiß nicht, ob der Einstellungspunkt darunter auch dazu beiträgt, der ist hier eingeschaltet oder ob das Log damit nur den Neustart von RethinkDNS übersteht
PCapDroid konnte das erzeugte …pcap hier aber nicht lesen
The network settings enable network visibility and do not route private IP […] have no effect in lockdown mode.
Es geht nur um IP basierte Verbindungen, DNS ist nicht involviert. Eben selbst noch mal bestätigt (FP2, LOS 18). Syncthing Bypass Universal, Do not route Private IPs ein, Syncthing Gegenstelle im gleichen WLAN ohne Einschränkung, nur lokale Gerätesuche.
→ Syncthing discovery und ausgehende Verbindungen zu privaten IPs funktionieren nicht im VPN Lockdown. Eingehende Verbindungen schon.
Details
Syncthing Adresse (Discovery-algorithmus oder die des Gegenüber) beide dynamic: ohne VPN Lockdown funktioniert es, mit nicht
Syncthing Adresse tcp://private-IP-Gegenstelle und Gegenstelle tcp://nicht-vorhandene-IP: ohne VPN Lockdown funktioniert es, mit nicht
Syncthing Adresse tcp://nicht-vorhandene-IP und Gegenstelle tcp://private-IP: funktioniert unabhängig von VPN Lockdown
Welche Filterlisten Formate werden unterstützt?
Wir haben ja Domain-only, Hosts mit 127.0.0.1, 0.0.0.0, UblockOrigin und AdblockPlus Style so wie im PiHole.
Wird ein CNAME geprüft?
Ich finde die Unterschiedlichen DNS Einstellungen pro Netzwerk durchaus sinnvoll.
In meinem Wifi möchte ich natürlich den lokalen Resolver nutzen, in der Arbeit den dortigen da Split Horizon wichtig ist.
Ansonsten möchte ich natürlich unterwegs nicht den vom Netzwerk vorgegebenen benutzen sondern was verschlüsseltes bzw gleich durch WireGuard zu mir nach Hause umleiten, was ja für DNS Anfragen noch nich eingebaut wurde.
Wenn man eine App Isoliert (Nur bestimmte Domain oder IP erlaubt)
scheint so zu sein, dass Unmetered und Metered aktiviert sind und man
kann keines davon deaktivieren.
Interessant wäre es, eine App zu isolieren und nur mit WLAN (Unmetered) zu erlauben, besonders bei Apps, die einen hohen Datenverbrauch haben.
Uff, folgenden nicht mehr ganz so taufrischen Beitrag hatte ich gar nicht mehr auf dem Schirm. Jetzt wurde er aber referenziert. Sorry, dass ich meinen Anteil zwischenzeitlich nicht aktualisiert habe. Hole ich hiermit nach
Das bezog sich auf eine unterdessen veraltete Version, ist aber mittlerweile mit der aktuellen Version 0.5.5n möglich. Funktioniert bei mir in meinen Setup (FP2, LOS 18).
