Für Umsteiger/Einsteiger: Fragen und Diskussion zu RethinkDNS

Ja, kannst du:
Auf der Startseite von Rethink auf „Apps“ klicken, und dort die App auswählen, oder über einen geblockten Eintrag der App - z.B. unter Statistiken, oder im Protokoll, in letzteren Fall dann noch auf den Appnamen klicken.
Dort dann „Firewall-Regeln für diese Anwendung“ mit einen Klick auf eben diesen Text ausklappen, und „Universelle Umgehung“ aktivieren.
Daraufhin sollte oben beim App-Icon und Namen „Diese App umgeht die universellen Firewall-Regeln.“ zu lesen sein.
Das gilt aber für alle „Universellen“ Firewallregeln zugleich, feiner kann man das pro App nicht einstellen.

Blocklisten (und blockierte Domains, ungetestet: sehr wahrscheinlich blockierte IP-Adressen ebenfalls) funktionieren trotzdem.

Kommt darauf an. Manche verwenden das zum Umgehen von DNS Blockern, und lösen z.B. Domains per HTTPS (DoH) zu einer IP auf, unsichtbar für deinen DNS Resolver und/oder Rethink. Vorallem denke Ich Apps mit Werbung.
Andere wiederum (z.B. Tor) verwenden einfach direkte IP Aufrufe, z.B. wenn ein DNS Name nicht aufgelöst werden kann, oder vorhanden ist, oder weil sie IP-Adressen etwaiger Endpunkte auf anderen Wege als per DNS erhalten (rein als Beispiel: Torrents).
Es kommt am Ende also auf die App an, und inwiefern du ihr vertraust, das nicht zum umgehen deines DNS zu nutzen.
Ich persönliche gebe, wenn Ich die Funktion verwende, nur Signal/Molly, und RustDesk frei.
Eben weil z.B. VOIP Telefonie (Signal Anrufe) standardmäßig nicht über Server mit Domains (Relays) läuft, und die direkte Kommunikation mit dem Endpunkt bei RustDesk auch mit IP-Adressen arbeitet, sonst müsste dort alles über einen Relay-Server gehen.

Die einzige weitere App, die Ich persönlich kenne, die wohl teilweise am DNS vorbei arbeitet ist WhatsApp.
Ich denke, für SimpleX Chat & Session wird das auch normal sein, wenn die Server dort nicht alle mit Domain verteilt werden, sondern einfach direkt IP-Adressen an die Clients ausgeliefert werden. Ist häufiger bei solchen Netzwerken so. Oder es inzwischen (auch) P2P gibt.
Keine Ahnung, was Droid-ify ist, dazu kann Ich also nichts schreiben. :slight_smile:

Warte schon … :wink:

Die aktuelle Version (F-Droid) ist irgendwie für den Popo. Blockt plötzlich aus unerfindlichen Gründen Dinge, die vorher gingen. Das lässt sich auch nicht weg konfigurieren. Musste auf die vorherige Version switchen.

Ich bin gestern auf ein Problem in RethinkDNS gestoßen.

Mir war aufgefallen, dass meine Uhr im Smartphone arg daneben ging. Mein üblicher Test hierzu ist, die Uhr manuell kurz zu verstellen und dann die automatische Synchronisation wieder zu aktivieren. Die Uhr blieb auf der falschen Uhrzeit.

Da ich mein GrapheneOS Pixel 6a eh frisch aufsetzen wollte (die Gründe stehen hier nicht zur Diskussion), konnte ich das ein wenig ausprobieren. Ich hatte die universellen Firewallregeln

  • Block when source app is unknown
  • Block UDP except DNS and NTP
  • Block when DNS is bypassed
  • Block newly installed apps by default
  • Block port 80 (insecure HTTP) traffic

aktiviert. Ich vermute, dass es an der Regel mit NTP liegt. Die Uhr wird damit nicht mehr synchronisiert. Auch eine Deaktivierung der Regel(n), ein Neustart der App und ein Neustart des Smartphones bringt die Zeitsynchronisation nicht wieder zurück.

Tritt das Problem bei euch auch auf?
Weiß jemand, wie man das fixen kann, ohne die App komplett neu zu installieren (hatte ich nicht ausprobiert) bzw. das System plattzumachen?

edit: Das muss sehr sicher mit der vorherigen Version 0.5.5.a aus dem F-Droid Laden auch schon so gewesen sein, weil die aktuelle Version noch nicht so alt ist und die Uhr dafür zu viel daneben ging.

Ich kann dein Zeitsynchronisations-Problem bei mir (Pixel 6, aktuelles GrapheneOS, RethinkDNS v0.5.5c aus dem F-Droid Repo, entsprechende Einstellungen) nicht reproduzieren.

Als Versuch habe Ich...

… in RethinkDNS für die universellen Firewallregeln die gleichen Einstellungen gewählt, das Gerät in den Flugmodus versetzt, WLAN abgeschaltet, die automatische Zeitsynchronisation deaktiviert, die Uhrzeit eine Stunde vor gestellt, und das Gerät neugestartet. „Verbindungen ohne VPN blockieren“ ist bei mir immer aktiv, eventuell unterscheidet sich unser Setup darin. Der Energiesparmodus ist nicht eingeschaltet, sollte aber vermutlich keinen Einfluss haben.

Nach dem Neustart wurde Rethink gestartet, das WLAN verbunden, und für die Uhrzeit (weiterhin eine Stunde vor eingestellt) wieder „automatisch einstellen“ angewählt. In den Fall wird die Zeit normalerweise sofort bei antippen des Schalters über das Netzwerk bezogen, und gesetzt. Ohne Neustart nicht unbedingt.

Eben dies ist auch eingetreten: die Uhrzeit wurde sofort synchronisiert - andernfalls hätte Ich schlimmstenfalls ca. einen Tag warten müssen, anhand der Zeitpunkte vorheriger Synchronisationen im Protokoll von Rethink, da diese täglich stattfinden.


Unter GrapheneOS wird die Zeit nicht per UDP und/oder NTP synchronisiert.
Stattdessen wird eine HTTPS Verbindung zu time.grapheneos.org aufgebaut, und dort aus einer Anfrage ein aktueller Zeitstempel abgerufen. Sprich: TCP, über Port 443.
Als Herkunft wird bei mir in RethinkDNS die App-Gruppe mit „Dynamic System Updates“, „GrapheneOS“, etc. angezeigt.
Wenn du eine App davon in der Appübersicht in RethinkDNS anwählst, kannst du dir die Regeln für alle diese Apps anzeigen, und auch dort z.B. die universellen Firewallregeln umgehen lassen.

Lässt sich denn im Protokoll, falls du es aktiviert hast, ein Eintrag für time.grapheneos.org finden, z.B. unter dem Tab „DNS“? Eventuell ist dieser blockiert?
Wenn einer aufzufinden ist, und du ihn anklickst, wird dort angezeigt, dass „Keine Antwort“ erhalten wurde? In den Fall - der auch beim Start von Rethink auftritt, aber hinterher trotzdem korrekt aufgelöst wird sobald Rethink bereit ist - könnte es sein, dass dein eingestellter DNS Server aus irgendeinen Grund die Domain für die Zeitsynchronisation nicht auflöst.

Oder lässt sich eine Synchronisation nach dem Verfahren im Spoiler oben erzwingen? Ohne Neustart des Gerätes wird beim Umschalten der Synchronisation ggf. auf einen zwischengespeicherten Wert zurückgefallen.

1 „Gefällt mir“

Ja geil, du hast tatsächlich Recht!!! Merkwürdig, dass das unter „Stats“ nicht aufgetaucht ist. Deshalb hab ich das übersehen, weil ich davon ausgehe, dass dort alles auftaucht, was eine Verbindung einfordert.

DANKE!!!

Gibt es Infos vom Entwickler wann die Bugs in v055c gefixt werden? Alles sehr undurchsichtig.

Auf Mastodon haben sie doch gesagt dass sie a) nur zu 2t sind und b) halb scherzhaft geschrieben dass nach Mikes Osterurlaub alles behoben sein wird :wink:

Abgesehen davon kann man hier den Fortschritt beobachten:
1301

https://github.com/celzero/rethink-app/releases/tag/v0.5.5d
Habe Wireguard getestet und alles geht so wie es soll

Gibt einige Fehler die mit 55d markiert sind und 55e ist schon in Arbeit.
Kann ich zwar so nich nachvollziehen hier aber vielleicht sollte man einfach noch mal nen paar Versionen abwarten :wink:

Hallo,
kann man das Backup problemlos auf ein anderes Android Gerät übertragen?
Bei der Neuinstallation einer App werden die alte Einträge aus Rethink gelöscht. Daraus ergeben sich für mich zwei Überlegungen:

  1. Bei einer Übertragung werden sämtliche Einstellungen zu den Apps gelöscht, weil sie wie bei einer Neuinstallation auf dem gleichen Gerät behandelt werden.
  2. Wenn sie nicht gelöscht werden und auf dem anderen Gerät sind nicht alle Apps installiert, bleiben dann die Einstellungen zu den alten Apps erhalten und es kann zu einer Überfrachtung mit nicht erforderlichen Einträgen kommen?