Ich nutze Rethink auf grapheneos und auf einem Huawei Tab welches nur als Bildschirm für openhab dient. Einzig wenn ich die Netzwerkverbindung auf Auto statt IPv4 stelle, habe ich keine Verbindung. Ansonsten funktioniert es ohne Probleme. Ganz blöd einfach mal gefragt: uneingeschränkter Zugriff im Hintergrund, also ohne Beschränkung beim Akku ist aktiv?
Diese Einstellung →
nicht nur diese →
Falls es die bei GrapheneOS auch gibt, ich finde es immer wieder nicht gut, daß Menüpunkte mit Umschalter auch ein Untermenü haben können.
Bin letztens bei Einrichtung dieses Tablets auch drüber gestolpert.
Und dann vllt. noch →
Bei mir mit GrapheneOS, werden die Punkte „Optimiert“ und „Uneingeschränkt“ sofort angezeigt, wobei ich mich meine zu erinnern, dass es nicht immer so war.
Danke für die Tipps. Die uneingeschränkte Akkunutzung war eingeschaltet. Der unbegrenzte Zugriff auf mobile Daten nicht. Wobei ich nach ein paar Stunden sagen kann, dass das Einschalten leider nichts bewirkt.
Das haben sie wieder zurückgeändert, weil gerade GOS-Nutzer oft Apps immer im Hintergrund laufen lassen haben wollen, um z.B. die Play-Dienste nicht zu benötigen. Bestes Beispiel sind Messenger.
Ich glaube das Problem ist in größerem Rahmen bekannt.
Diese beiden Reddit-Themen scheinen zu passen.
Ich hoffe/baue auf v055o, die seit 2 Monaten „anyday“ erscheinen sollte.
Ich habe das Problem, dass beim Durchlaufen von Seedvault RethinkDNS deaktiviert wird: Das Schlüsselsymbol für privates VPN verschwindet. Wie kann man das verhindern? Eventuell RethinkDNS nicht sichern.
Edit: Hab die Funktion zum Ausschließen der App vom Backup gefunden. Ich werde es damit versuchen.
mmh, ganz rund läuft Rethink DNS hier auch nicht, hatte das letztens auch in einem imho anderen Thread geschrieben, daß im Gastnetz einer Fritzbox mit WireGuard-Tunnel (alles soll da drüber) zu eben dieser Ftitzbox, wie sinnvoll das auch sein mag, bei neuer öffentlicher IP der Box Rethink DNS das anhand des DNS-Logs auch richtig auflöste, aber den Tunnel weiterhin zur alten Adresse neu aufbauen wollte.
Jetzt sind die Geräte an einer anderen Box angemeldet, die ihrerseits selbst alles durch die o.g. Box tunneln soll, die Geräte weiterhin zur entfernten Box eigenständig. Bei Proxy steht früh, nach IP-Wechsel der entfernten Box, auch jedesmal eine 0, erst Stop und Start beheben das Problem, Aufruf von Rethink DNS allein nicht, wobei ich dabei nicht feststellen konnte, daß sich DNS-Auflösung und Tunnelwiederherstellungversuche unterschieden, ansonsten sind dieTunnel und Funktion von Rethink DNS hier ziemlich stabil.
folgende Optionen sind hier nicht gesetzt, den Sinn konnte ich nicht erkennen für Apps, die ich nutzen will
Blockiere alle Apps, wenn das Gerät gesperrt ist
Blockiere jede App, die nicht in Benutzung ist
Wann ist eine App nicht in Benutzung?
Solange die entfernte Box ihre öffentliche IP nicht ändert, funktioniert Rethink DNS hier gefühlt immer, habe aber auch nur wechselnden WLAN-Zugriff, egal ob der dann Mobilfunk, DSL oder wiederum WLAN benutzt, im Gegensatz zum offiziellen WireGuard-Client, der desöfteren mal die Verbindung verliert.
Eines der Geräte hat, wie oben ersichtlich drei Profile(privat, work und vertraulich), Apps im vertraulichen Profil laufen jedoch nur entsperrt, mit Bildschirmsperre läuft dort keine App mehr, im Gegensatz zum Arbeitsprofil, welches nur um Aufhebung der Sperre bittet, aber Autostart funktioniert.
Auf den chinesischen Geräten gibt es u.U. auch Apps wie DuraSpeed, welches explizit nochmal die Einstellung von Ausnahmen für Apps einfordert, obiges Tablet hat eine andersnamige App(Background Manage), beide nur über die Einstellungen aufrufbar, letztere bringt aber nach Installation von Apps auch noch manchmal eine Benachrichtigung mit Aufforderung zur Aufhebung von Restriktionen, wenn man das wünscht, die dann auch vorgenommen werden, aber nicht einzeln gelistet werden, erstere meldet sich abundzu, wenn bestimmte Apps eingeschränkt sind.
Vllt. fordert Rethink DNS auch nicht alle nötigen bzw. möglichen Berechtigungen, um ein Beenden durch das App-Speicher-Managment zu verhindern, direkt zu setzen sind ansich nur wenige. WG-Tunnel nutzt mittlerweile wohl auch die Wecker-Berechtigung.
Schau doch auch mal, ob es unter den aktiven Diensten überhaupt gelistet wird, wenn es gefühlt wieder mal hängt, ehe Du es direkt aufrufst. Ist das Benachrichtigungssymbol zu sehen und sind die Benachrichtigungen aktiv?
hier auf dem Pixel, auf dem ich es nur lang, lang her mal nutzte →
oder per shell →
am get-uid-state <UID>
Gets the process state of an app given its <UID>.
$ am get-uid-state 10443 19 (CACHED_EMPTY)
auf dem Tablet hat Rethink DNS die UID 10212, Arbeitsprofil hat User ID 10, vertrauliches Profil die 12, letzteres bei der Ausgabe noch gesperrt →
$ am get-uid-state 10212
4 (FOREGROUND_SERVICE)
$ am get-uid-state 1010212
4 (FOREGROUND_SERVICE)
$ am get-uid-state 1210212
20 (NONEXISTENT)
bei entsperrtem vertraulichen Profil
$ am get-uid-state 1210212
4 (FOREGROUND_SERVICE)
und da es mir gerade noch mit einer anderen App auffiel, die plötzlich nicht mehr aktiv war, der Eintrag aber für User 0 und das vertrauliche Profil gesetzt war, die „Nichtnutzung“ betreffend →
noch die appops-Werte (von vor ein paar Tagen, bin nicht eher dazu gekommen,) hier, wobei SYSTEM_ALERT_WINDOW im vertraulichen Profil nicht zu existieren scheint, allerdings eher unrelevant, weil dort unentsperrt auch nichts läuft
$ appops get --user 0 com.celzero.bravedns
Uid mode: COARSE_LOCATION: ignore
FINE_LOCATION: ignore
READ_CONTACTS: ignore
WRITE_CONTACTS: ignore
READ_CALL_LOG: ignore
WRITE_CALL_LOG: ignore
READ_CALENDAR: ignore
WRITE_CALENDAR: ignore
CALL_PHONE: ignore
READ_SMS: ignore
RECEIVE_SMS: ignore
RECEIVE_MMS: ignore
RECEIVE_WAP_PUSH: ignore
SEND_SMS: ignore
CAMERA: ignore
RECORD_AUDIO: ignore
READ_PHONE_STATE: ignore
ADD_VOICEMAIL: ignore
USE_SIP: ignore
PROCESS_OUTGOING_CALLS: ignore
BODY_SENSORS: ignore
READ_CELL_BROADCASTS: ignore
READ_EXTERNAL_STORAGE: ignore
WRITE_EXTERNAL_STORAGE: ignore
GET_ACCOUNTS: ignore
READ_PHONE_NUMBERS: ignore
ANSWER_PHONE_CALLS: ignore
ACCEPT_HANDOVER: ignore
BLUETOOTH_SCAN: ignore
ACTIVITY_RECOGNITION: ignore
READ_MEDIA_AUDIO: ignore
READ_MEDIA_VIDEO: ignore
READ_MEDIA_IMAGES: ignore
ACCESS_MEDIA_LOCATION: ignore
BLUETOOTH_CONNECT: ignore
UWB_RANGING: ignore
BLUETOOTH_ADVERTISE: ignore
NEARBY_WIFI_DEVICES: ignore
READ_MEDIA_VISUAL_USER_SELECTED: ignore
SYSTEM_ALERT_WINDOW: default; rejectTime=+3d5h11m55s356ms ago
CAMERA: allow; time=+8d15h9m40s125ms ago; duration=+5s44ms
ACTIVATE_VPN: allow; time=+15h36m49s478ms ago; rejectTime=+8d14h49m58s63ms ago
RUN_ANY_IN_BACKGROUND: allow
BIND_ACCESSIBILITY_SERVICE: allow; time=+1d0h11m12s868ms ago
START_FOREGROUND: allow; time=+15h28m4s530ms ago (running)
ESTABLISH_VPN_SERVICE: allow; time=+15h28m4s530ms ago (running)
ACCESS_RESTRICTED_SETTINGS: allow; time=+15h25m57s260ms ago
$ appops get --user 10 com.celzero.bravedns
Uid mode: COARSE_LOCATION: ignore
FINE_LOCATION: ignore
READ_CONTACTS: ignore
WRITE_CONTACTS: ignore
READ_CALL_LOG: ignore
WRITE_CALL_LOG: ignore
READ_CALENDAR: ignore
WRITE_CALENDAR: ignore
CALL_PHONE: ignore
READ_SMS: ignore
RECEIVE_SMS: ignore
RECEIVE_MMS: ignore
RECEIVE_WAP_PUSH: ignore
SEND_SMS: ignore
CAMERA: ignore
RECORD_AUDIO: ignore
READ_PHONE_STATE: ignore
ADD_VOICEMAIL: ignore
USE_SIP: ignore
PROCESS_OUTGOING_CALLS: ignore
BODY_SENSORS: ignore
READ_CELL_BROADCASTS: ignore
READ_EXTERNAL_STORAGE: ignore
WRITE_EXTERNAL_STORAGE: ignore
GET_ACCOUNTS: ignore
READ_PHONE_NUMBERS: ignore
ANSWER_PHONE_CALLS: ignore
ACCEPT_HANDOVER: ignore
BLUETOOTH_SCAN: ignore
ACTIVITY_RECOGNITION: ignore
READ_MEDIA_AUDIO: ignore
READ_MEDIA_VIDEO: ignore
READ_MEDIA_IMAGES: ignore
ACCESS_MEDIA_LOCATION: ignore
BLUETOOTH_CONNECT: ignore
UWB_RANGING: ignore
BLUETOOTH_ADVERTISE: ignore
NEARBY_WIFI_DEVICES: ignore
READ_MEDIA_VISUAL_USER_SELECTED: ignore
VIBRATE: allow; time=+2d13h6m43s957ms ago; duration=+3ms
SYSTEM_ALERT_WINDOW: default; rejectTime=+5d13h35m6s745ms ago
CAMERA: allow; time=+8d15h8m37s698ms ago; duration=+6s327ms
WRITE_CLIPBOARD: allow; time=+2d13h6m42s252ms ago
ACTIVATE_VPN: allow; time=+23h53m2s756ms ago
BIND_ACCESSIBILITY_SERVICE: allow; time=+1d0h56m32s34ms ago
START_FOREGROUND: allow; time=+1d0h31m44s971ms ago (running)
ESTABLISH_VPN_SERVICE: allow; time=+1d0h31m44s971ms ago (running)
ACCESS_RESTRICTED_SETTINGS: allow; time=+8d14h54m21s75ms ago
$ appops get --user 12 com.celzero.bravedns
Uid mode: COARSE_LOCATION: ignore
FINE_LOCATION: ignore
READ_CONTACTS: ignore
WRITE_CONTACTS: ignore
READ_CALL_LOG: ignore
WRITE_CALL_LOG: ignore
READ_CALENDAR: ignore
WRITE_CALENDAR: ignore
CALL_PHONE: ignore
READ_SMS: ignore
RECEIVE_SMS: ignore
RECEIVE_MMS: ignore
RECEIVE_WAP_PUSH: ignore
SEND_SMS: ignore
CAMERA: ignore
RECORD_AUDIO: ignore
READ_PHONE_STATE: ignore
ADD_VOICEMAIL: ignore
USE_SIP: ignore
PROCESS_OUTGOING_CALLS: ignore
BODY_SENSORS: ignore
READ_CELL_BROADCASTS: ignore
READ_EXTERNAL_STORAGE: ignore
WRITE_EXTERNAL_STORAGE: ignore
GET_ACCOUNTS: ignore
READ_PHONE_NUMBERS: ignore
ANSWER_PHONE_CALLS: ignore
ACCEPT_HANDOVER: ignore
BLUETOOTH_SCAN: ignore
ACTIVITY_RECOGNITION: ignore
READ_MEDIA_AUDIO: ignore
READ_MEDIA_VIDEO: ignore
READ_MEDIA_IMAGES: ignore
ACCESS_MEDIA_LOCATION: ignore
BLUETOOTH_CONNECT: ignore
UWB_RANGING: ignore
BLUETOOTH_ADVERTISE: ignore
NEARBY_WIFI_DEVICES: ignore
READ_MEDIA_VISUAL_USER_SELECTED: ignore
VIBRATE: allow; time=+2d13h0m24s657ms ago; duration=+2ms
CAMERA: allow; time=+8d15h7m30s683ms ago; duration=+8s99ms
WRITE_CLIPBOARD: allow; time=+2d13h0m23s241ms ago
ACTIVATE_VPN: allow; time=+15h27m37s240ms ago; rejectTime=+8d14h47m47s683ms ago
BIND_ACCESSIBILITY_SERVICE: allow; time=+15h27m39s855ms ago
START_FOREGROUND: allow; time=+15h27m41s983ms ago; duration=+25m12s428ms
ESTABLISH_VPN_SERVICE: allow; time=+15h27m41s652ms ago; duration=+25m12s174ms
ACCESS_RESTRICTED_SETTINGS: allow; time=+8d14h55m25s825ms ago
$
appops wurde auf dem Tablet aber nicht genutzt, um irgendetwas zu ändern
Wow, danke.
So tief stecke ich nicht in der Materie.
Aber ich werde versuchen an die „aktiven Apps“ zu denken.
Wo finde ich die Einstellung dazu? Ich habe sie auch mit der Suche in den settings leider nicht gefunden.
Für die Anzeige „Aktive Dienste“ benötigt es die Aktivierung der „Entwickleroptionen“.
1 „Gefällt mir“
Unter welcher „App“ werden die GrapheneOS Systemaktualisierungen in RethinkDNS aufgelistet?
Ich habe Rethink DNS wie unter https://www.kuketz-blog.de/rethinkdns-tipps-zur-bedienung-und-konfiguration/ beschrieben konfiguriert.
Derzeit verwende ich folgende Einstellungen (Konfigurieren → Firewall → Universal firewall rules):
- Blockiere alle Apps, wenn das Gerät gesperrt ist
- Blockiere jede App, die nicht in Benutzung ist
- Blockiere, wenn DNS umgangen wird
- Blockiere neu installierte Apps standardmäßig
Dadurch werden momentan die Systemaktualisierungen blockiert.
mir ist diese Tage noch etwas unter gekommen, was ich noch zur Überprüfung empfehlen könnte:
direkte Shellabfrage oder per adb für das Hauptprofil:
`raven:/ $ am get-bg-restriction-level --user 0 com.celzero.bravedns
exempted`
das „exempted“ sollte da eigentlich als Ausgabe unter Android 15(hab vergessen, ab welcher Android-Version) für eine aktive VPN-App kommen, man könnte aber auch mal „unrestricted“ setzen, falls RethinkDNS wirklich beendet wurde, habe das mit ein paar Apps versucht, die auf dem Tablet regelmäßig ungewollt beendet wurden, bis jetzt laufen die
zum Setzen das Schema des Befehls:
am set-bg-restriction-level [--user <USER_ID>] <PACKAGE> unrestricted|exempted|adaptive_bucket|restricted_bucket|background_restricted|hibernation
Ja, die Infos fehlen da leider, ist mir auch aufgefallen.
Das ist an sich die System Updater app.
Ob das alleine reicht, weiß ich nicht. Bei mir habe ich über die Zeit auch folgendes für einige Systemapps erlaubt:
Remoteprovisioning.grapheneos.org
Time.grapheneos.org
Broadcom.psds.grapheneos.org (für GPS)
Github.com
Github.githubassets.com
Private-user-images.githubusercontent.com
Am einfachsten initiierst du mal die Update Suche und schaust, was RDNS blockt. Melde gerne zurück, welche Verbindungen es genau sind - hilft dann auch anderen 
Ja, Danke. Jetzt habe ich sie gefunden: System Updater → releases.grapheneos.org und App Store → apps.grapheneos.org erlauben. Obwohl die Apps selbst schon auf erlaubt standen funktionierte es nicht. Ich musste erst die Domains erlauben.
1 „Gefällt mir“
Wenn ich eine App in Rethink auf „universelle Umgehung“ setze und sie im fortgeschrittenen Modus im VPN-Proxy auswähle, wird sie dann über VPN getunnelt oder nicht?
Schließt „universelle Umgehung“ die App nur von den universellen Firewallregeln aus oder wird der gesamte Datenverkehr an Rethink vorbei geschleust?
„Universelle Umgehung“ macht die App immun gegen alle universellen (globalen) Firewall-Regeln (sie unterliegt aber weiterhin den DNS-Regeln und App-spezifischen Regeln).
[Quelle]
Ich muss ab und zu die Internetverbindung meines Smartphones (iodéOS, kein root) über Hotspot oder Tethering freigeben.
Nun möchte ich aber nicht, dass die Verbindungen des Clients von derselben IP-Adresse kommen, wie die Verbindungen meines Smartphones.
Dafür möchte ich alle Hotspot/Tethering-Verbindungen mit RethinDNS über ein separates VPN (WireGuard-Proxy) tunneln.
In den Systemeinstellungen zu Hotspot und Tethering habe ich die Option „Clients erlauben VPN zu verwenden“ aktiviert.
Ich sehe die Hotspot/Tethering-Verbindungen im Rethink-Log, sie stammen jedoch alle von einer unbekannten App (siehe Screenshot).
Damit kann ich sie nicht durch ein separates WireGuard-VPN routen.
Weiß jemand, wie ich alle Hotspot/Tethering-Verbindungen durch ein separates VPN routen kann?
Hallo,
ich bin auf ein anderes OS (ShiftOS-l (aktuellere Android-Version, geschlossener Bootloader, OEM-Lock)) gewechselt und habe ein paar Fragen in der Nutzung von RethinkDNS (bisher habe ich immer echte Firewall (wie z.B. in iodéGSI integriert) verwendet) und hoffe, dass ihr mir helfen könnt:
- Ich möchte gerne einen sicheren DNS-Provider nutzen. Den habe ich aus den Systemeinstellungen ausgetragen und in RethinkDNS eingetragen. War das soweit richtig? Also wird dieser Provider immer verwendet, es sei denn, ich habe in RethinkDNS ein Ausweich-DNS festgelegt?
- Ich habe in den VPN-Einstellungen RethinkDNS als durchgehend aktives VPN festgelegt und eingestellt, dass Verbindungen ohne VPN blockiert werden. Außerdem habe ich bei den Netzwerk-Killswitches festgelegt, dass nur Verbindungen mit VPN erlaubt sind. Mehr kann ich gegen ein eventuelles Bypassen der Firewall nicht machen, oder?
- Ich möchte manchmal auch VPN-Lösungen wie Cisco AnyConnect und Proton VPN (Free) verwenden. Ich schätze, dafür ist die Proxy-Einstellung da. Vermutlich brauch ich dann WireGuard? Wie stelle ich das dann da ein? Gerade bei ProtonVPN brauche ich noch etwas Fantasie.
- Ich habe zwei Synology-Apps (Synology Drive und DS Audio). Meine Synology ist im lokalen Netz und ich möchte keine Ports nach außen freigeben. Das heißt, ich möchte ausschließlich eine Synchronisation, wenn ich im heimischen WLAN bin. Bisher war die hauseigene Android-Firewall/-Killswitch eine gute Möglichkeit Synology nur Zugriff auf WLAN zu geben. Nun muss ich ihnen ja Zugriff aufs VPN geben. Kann ich in RethinkDNS einstellen, dass die Synology-Apps sich nur mit dem Heim-WLAN verbinden können (also das WLAn weiter spezifizieren?)?
1 „Gefällt mir“
ausprobieren, z.B. mit „DNS leak test“, ist allerdings von den individuellen Einstellungen und der dazu verwendeten Testapp auf dem Gerät abhängig, lt. dem Autor von NetGuard sind die Implementierungen der zugrundeliegenden VPN-Voraussetzungen doch etwas unterschiedlich, was verschiedene Geräte oder Androidversionen betrifft.
Hier habe ich es so eingestellt, da alle Verbindungen per WireGuard-Proxy zu einer erreichbaren Fritzbox gehen sollen und Rethink-DNS deren DNS-Server nutzen soll, dort sind individuelle DNS-Server vorgegeben.
Zum Verbindungsaufbau muß freilich erstmal was anderes benutzt werden.
Beim Online-Wechsel zwischen „Proxy“-Einstellungen „Einfach“/„Fortgeschritten“ gab es hier Leaks.
habe ich ansich auch eingestellt
aber während man Online ist, s.o., sollte man an den grundlegenden Einstellungen wohl eher nichts ändern
Ob Cisco Anyconnect unterstützt wird, entzieht sich meiner Kenntnis, kann man fremde Clients benutzen? Ansonsten nicht parallel zu RethinkDNS im gleichen Profil.
Synology-Apps in den RethinkDNS-Einstellungen isolieren und dort in den Einstellungen jede der Synology-Apps Proxys umgehen lassen.
„Bypass app from all proxies“ im Bild nicht aktiv, was aber erforderlich wäre
unerwünschte Verbindungen in den Einstellungen für die App blocken, die anderen freigeben, jeweils IP- und Domain-Regeln nach Erfordernis bearbeiten oder anlegen.
Blocken kann man DNS-Abfragen zu Domains zusätzlich auch unter Protokolle->DNS zu den Synology- oder anderen Hosts, aber erst nach geschehener Anfrage und nicht App-bezogen.
Mußt Du ausprobieren, mit RethinkDNS und z.B. der Fritz Smarthomeapp habe ich bisher gemischte Erfahrungengemacht, Übersicht und Bedienung funktionierten, Statistik nicht, auch im WLan nicht, wenn RethinkDNS genutzt wird, wohingegen NetGuard es tut, mit Wireguard als eigenständige App auch per VPN, aber mit letzterem kann ich keine ungewünschten Verbindungen blocken.
OT: Ich hoffe auf die nächste Version, kommt in Tagen, Wochen oder Monaten lt. Entwickler auf Github.
- Genau, sofern Rethink läuft (DNS / DNS und Firewall).
Auf der Startseite von RethinkDNS in der DNS-Kachel siehst du welcher DNS aktiv ist. - Im OS hast du alles hierzu eingestellt.
In RethinkDNS kannst du noch die universelle Firewall-Regel „Blockiere wenn DNS umgangen wird“ aktivieren (Firewall > Universelle Firewall-Regeln).
Für VoIP/Signal/Whatsapp/… musst du dann die Universelle Umgehung aktivieren, damit (Video-)Telefonie funktioniert. - Bei ProtonVPN kannst du vermutlich eine WireGuard-Konfiguration exportieren (bei Mullvad geht das). Die importierst du dann in RethinkDNS. Fertig.
- Wenn du im Heimnetz bist, brauchst du die Synchronisation nicht über ein VPN tunneln. Du kannst in RethinkDNS lokale IPs ausschließen (Konfigurieren > Netzwerk > Private IPs nicht umlenken).
Damit das funktioniert, musst du in den VPN-Einstellungen im OS für RethinkDNS „Verbindungen ohne VPN blockieren“ deaktivieren.
Wenn die Sync-Apps (z.B. Syncthing/FolderSync/…) nur ins LAN können sollen, kannst du die Apps in RethinkDNS blockieren (WLAN + mobile Netze deaktivieren).
1 „Gefällt mir“