Für Umsteiger/Einsteiger: Fragen und Diskussion zu RethinkDNS

RethinkDNS ist ein sehr mächtiges Tool für Android, das nicht nur Werbung auf DNS-Ebene blockieren kann, sondern noch weitere Funktionen mitbringt. Dazu gehört eine Firewall (ähnlich NetGuard/LittleSnitch), mit der für jede App feingranular definiert werden kann, welche Verbindungen die App aufbauen darf.

Ein Umstieg oder Einsteig in RethinkDNS ist für viele nicht einfach. Der vorliegende Thread soll daher zum Austausch dienen. In dem Zusammenhang möchte ich aber auch auf die FAQ verweisen, um doppelte Fragen zu vermeiden.

Aktuell nutze ich folgende Filterlisten:

  • AdGuard SDNS Filter
  • EasyList Germany
  • Light (HaGeZi)
  • StevenBlack
6 „Gefällt mir“

Es fällt mir schwer die funktionsweise zu verstehen. Habe eine App als „Isoliert“ eingestellt und habe Domains die aufgerufen werden (Im Netzwerk Tab) blockiert. Dennoch sehe ich DNS anfragen in DNS Tab.
Ebenso verstehe ich nicht den Unterschied zwischen den Blocklisten bei „Geräteinterne Sperrlisten“ und denen die ich bei den Rethink DNS hinterlegen kann, wenn ich „RDNS Plus“ einsetze um Domainnamen zu blocken anstatt IPs…

Mike, wann wirst Du eine Anleitung in deinem Blog veröffentlichen? Das wäre bestimmt für den einen oder anderen sehr hilfreich

1 „Gefällt mir“

Das kommt genau zum richtigen Zeitpunkt, nach Durchsicht der FAQ werde ich sicherlich auf das Angebot zurück kommen!

1 „Gefällt mir“

Erstes Quartal 2024.

Das ist auch völlig in Ordnung so. Du musst dir das wie folgt vorstellen: Zunächst wird versucht eine Domain aufzulösen. Dies kann durch eine hinterlegte Filterliste (bspw. StevenBlack) verhindert werden. Ist die zu blockierende Domain nicht in einer Filterliste vorhanden, greifen danach die globalen/App-spezifischen Firewallregeln.

Im Tab DNS siehst du alle DNS-Anfragen - also alle erlaubten und blockierten. Im Tab Netzwerk siehst du dann, welche Verbindung tatsächlich zustande kommt.

2 „Gefällt mir“

doch so lange, dachte noch dieses Jahr :slight_smile:

Die Ansichten können schön gefiltert werden (Trichtersymbol). Dann wird die Liste klar.

Eben nicht…
Aktuelles Beispiel:
Ich habe eine App als „Isoliert“ markiert und darin dann lediglich die Domain freigegeben die die App tatsächlich braucht um korrekt zu funktionieren. Diese App ruft nun auch folgende Domain auf: firebaseremoteconfig.googleapis.com.

  1. Im DNS Tab wird diese nicht geblockt → Hat keinen roten Balken davor…
  2. Im Netzwerk Tab hat der Aufruf aber einen roten Balken und es steht dran das die App „Isoliert“ ist und am TCP/443 blockiert wurde.

Ging die Anfrage nun raus oder nicht? Das ist mir nicht logisch. Ich hätte erwartet das entweder im Netzwerk Tab blockiert wird und demnach KEIN Eintrag im DNS Tab zu sehen ist. Oder eben andersrum: Im Netzwektab durchgelassen aber im DNS Tab blockiert…

Hab jetzt einen Knoten im Kopf…

1 „Gefällt mir“

Nach meinem Verständnis ist es im Grundsatz nicht viel anders als bei NG und wurde oben ja auch schon von @kuketzblog beschrieben:

Ist die genannte Domain in einer Blockliste (oder manuell in den DNS-Filtern) enthalten ? Wenn nicht, dann geht die DNS-Abfrage für die genannte Domain raus (an den DNS-Server). Daher dann kein Block im Log.

Beim darauffolgenden Versuch, eine tatsächliche Verbindung herzustellen (dank der nun bekannten IP) wird App-basiert geblockt und es erscheint im Netzwerk-Log.

Was Du da im Log siehst, erscheint mir völlig plausibel. Ob die Anfrage nun tatsächlich nicht raus ging (also, ob die App wirklich funktioniert), läßt sich nur per externem Tool wirklich sicher feststellen.

1 „Gefällt mir“

Isolate hieß früher lockdown. Die App kann nicht ins Netz.

Doch kann sie schon, aber eben nur zu IPs/Domains, die explizit für die App freigegeben wurden. Alles andere wird blockiert.

2 „Gefällt mir“

Stimmt. Danke für die Korrektur! :slightly_smiling_face:

Also dann verstehe ich das jetzt so:
Die DNS Anfrage geht raus um die IP zu erfahren die dann aber nicht zustande kommt. Somit kann die App die Verbindung nicht aufbauen was im Netzwerk tab zu sehen ist.

Der DNS Server bekommt aber die Anfrage. Ist die Domain in der Sperrliste vorhanden oder wurde manuell hinzugefügt, geht noch nicht mal die Anfrage raus oder wird mit 0.0.0.0 beantwortet und somit erscheint kein „geblockt“ in dem Netzwerk Tab da die App keine IP zum verbinden hat.

Richtig soweit?

Dann habe ich eine weitere Frage: Worin besteht der Unterschied zu den Sperrlisten im DNS und den geräteinternen Sperrlisten? Was machen die für einen Sinn wenn ich die App im isolierten Modus habe?

1 „Gefällt mir“

Dieses Thema trifft sich gut, habe die letzten 24h aktiv mit Rethink auf meinem Haupttelefon verbracht und wollte schon selbst ein Thema eröffnen.

Teilweise etwas fummelig und natürlich zeitaufwändig, aber lohnt sich. Ich habe mein Handy zwar schon nahezu entgoogelt, aber es ist schon erschreckend, wieviele tausend Verbindungen da trotzdem noch zustande kommen, auch von anderen Firmen.

Ich habe bei DNS den Rethink Standardserver aktiv und zusätzlich alle lokalen Filterlisten heruntergeladen und mich dann durchgekämpft mit Freigaben, aber es lohnt sich. Fragwürdig ist nur, daß sich teilweise normale und harmlose Internetseiten auf einigen Listen befinden, meist sogar auf Pornolisten.

Grandios ist, daß Rethink einen eingebauten Wireguard Klienten hat, ich bin unterwegs sowieso immer mit meinem Heimnetz verbunden, so macht sich das ganz gut aus einer Hand und ich konnte den normalen Wireguard Klienten deinstallieren. Hier suche ich jedoch noch nach einem Weg, Wireguard per Tasker ausserhalb des Heimnetzes zu aktivieren und eben auch wieder zu deaktivieren, mit dem normalen Klienten ging das einwandfrei.

Mit einem Problem kämpfe ich jedoch, Firebase Cloud Messaging, das würde ich gerne freigeben, weiß nur nicht, welche der tausenden Google URLs dafür verantwortlich ist.
Zudem frage ich mich, ob man auch nur pro App sehen kann, welche Verbindungen aufgebaut werden, in der Generalübersicht kommen da immer schnell etliche Verbindungen anderer Apps dazu.

Suspekt ist auch, daß scheinbar trotzdem noch ein gewisser Teil des Netzwerkverkehrs an Rethink vorbei geht, deaktiviere ich nämlich in den Android Einstellungen „Alle Verbindungen blockieren, die nicht VPN“ verwenden, trudeln plötzlich die ganzen Nachrichten einiger Apps ein, DHL, Tuya, Revolut und Co…

Nachtrag: Ein typisches Problem, nach dem Öffnen eines Listeneintrages und dann zurück springen die Listen wieder auf Anfang, absolut nervig bei ner Liste mit 322 Apps (inkl. Systemapps), die man systematisch durchgeht.

2 „Gefällt mir“

Für Allow (Un)Metered und Bypass Universal stimmt das, für Isolate spielen Filterlisten keine Rolle.

Siehe Reddit r/rethinkdns The 6 Icons in Apps.

Edit: Datenschutzfreundlicher, aber nicht immer verfügbarer Link: Teddit

Aber nur für blockierte Einträge in der universellen Domänenliste.

Ich sehe mich nicht als Anfänger und versuche mich gerade durchzubeißen, habe aber noch keine vernünftige Grundeinstellund finden können, die Datenschutz mit einem gewissen Komfort verbindet. Ich laufe schnell in DNS-Sperrungen. Meine Familie akzeptiert und nutzt inzwischen Netguard, aber bei RethinkDNS sehe ich schwarz: App generell freigegeben, aber DNS sperrt. Ich möchte nicht alle Nase lang die DNS-Protokolle durchkämmen und auf blauen Dunst Freigaben erteilen.
Kann jemand eine gute Anleitung im Netz empfehlen?
Ansonsten sehe ich in iode mit der eingebauten firewall eine Alternative.

Ich habe es jetzt so gehandhabt, nachdem ich alles nochmal zurückgesetzt hatte: Keine lokalen Listen laden, kein DNS-Server einstellen, jede installierte App einmal starten, dann in Rethink die Liste der Apps (inkl. Systemapps) durchgehen, zu jeder App alles erlauben, was augenscheinlich wichtig ist, also bspw. bei DHL Domains mit …dhl… . Domains, bei denen man sich sicher ist blockieren, alles andere auf neutral stehen lassen, da schlagen dann später die lokalen Listen und der DNS-Server zu. Sollte dann hier und da was nicht funktionieren, muß man halt nochmal nachfummeln. Abschließend dann die gewünschten Listen und den DNS-Server aktivieren. In den generellen Firewall Einstellungen habe ich noch „Blockiere neu installierte Apps standardmäßig“ aktiviert, um diese kann man sich dann immer individuell kümmern und denkt auch dran.

Funktioniert eine App wie sie soll, kann man sie auch isolieren, falls beim nächsten Update suspekte Sachen dazukommen.

Ist zum Anfang etwas Arbeit, wird aber später einfacher. Wäre allerdings am besten, mit nem frisch aufgesetzten System zu beginnen, werde ich mir fürs nächste Handy merken.

Erstmal danke für den Tip. Für mein eigenes Telefon sicher ein gangbarer Weg, aber ich bin der Familien-Admin und muss 4-5 Handys am Laufen halten. Nicht machbar mit Rethink, denn die Einstellungen können nicht als backup auf andere Geräte übertragen werden; steht zumindest so unter der Wiederherstellungsoption.
Ich glaube, ich brauche eine komplett andere Lösung.

Ein Anfang wäre erstmal, im Router einen entsprechenden DNS-Server einzutragen, dann ist schonmal das Heimnetz abgesichert, ggf. auch noch heikle Seiten direkt im Router sperren.
Dann noch solch einen DNS-Server auf jedem Gerät eintragen, für die Nutzung unterwegs. Zusätzlich auch noch einen Datenschutzbrowser mit Filterlisten nutzen, bei vielen Browsern kann man inzwischen auch noch einen eigenen DNS-Dienst eintragen.

Das würde ich nur für die Apps durchführen, denen ich tatsächlich Internet-Zugang gewähren will. Einige Apps sollen das bei mir einfach prinzipiell nicht.

Mein Vorgehen:

  • Alle Apps blockieren (Block (Un)Metered)
  • Vertrauenswürdige Apps vollständig (abzüglich Filterlisten) freigeben (Allow (Un)Metered)
  • Restliche Apps auf Isolate und individuell IPs und Domains nach Deinem Verfahren freigeben. Individuell blockieren muss ich nichts, da standardmäßig blockiert.

Danach noch ein paar wenige Filterlisten und einen selbst eingetragenen DoH (verschlüsselt) oder Dns Proxy (unverschlüsselt) unter Other DNS auswählen und fertig.

Das entspricht dann quasi dem NG Vorgehen.

Zusätzliches Goodie über NG hinaus:

  • Einstellungen > Netzwerk & Internet > VPN > RethinkDNS > Verbindungen ohne VPN blockieren: ein :grinning:

Dann sind das aber entweder bestimmte System-Apps (und die hätten auch bei NG dieses Verhalten) oder sie sind als Exclude eingestellt.

1 „Gefällt mir“

Was habt ihr?
DoH oder Dnscrypt. Und warum hat ihr euch für das jeweilige entschieden?
Oder macht es mehr Sinn auf System DNS zu gehen und unter PrivatDNS einen entsprechenden DNS Server zu verwenden.