Auch Rethink erwähnt Wireguard über Wireguard. Da gab es mit der Testversion MTU Probleme am Anfang.
Schöner wird es wenn es mehr Richtung Quic weiterentwickelt wird.
Ich frag mich gerade ob meine Probleme mit der wiredguard Verbindung doch eher am VPN Anbieter als an rethink lagen. Jetzt läuft es alles so durch, letzte Woche hatte ich ständig Abbrüche …. Habe deutsche Server via Mullvad zum wiredguard hinzugefügt. Läuft zumindest heute sauber durch
Ich arbeite mit Rethink. Um in meinem lokalen Netzwerk auf die Fritzbox bzw die FritzPhone-App aufs Telefonbuch zugreifen kann muss ich in den Einstellungen/Netzwerk private IPs nicht umlenken aktivieren.
Soweit so gut. Wenn ich aber unterwegs bin und mit WG (als Proxy) so tun will als wäre ich daheim (Fritzbox, Fritzphone-App) dann brauche ich ganze 3 Schritte:
Proxy: WG Verbindung als Experte
Proxy: WG alway on
Und im Netzwerk-Setting muss ich die sonst notwendige private IPs nicht umlenken deaktivieren.
Also jedesmal 3 Schritte beim Hin-Und-Herschalten.
Ist das wirklich so gedacht oder mach ich was falsch? Kann man das irgendwie automatisieren?
Eigentlich doch der Standard-Use-Case, oder (dachte ich jedenfalls)?
Ich bleibe generell beim aktiven WireGuard-Proxy zu meiner Fritz-Box, funktioniert auch aus dem Heimnetz.
Daher ist “Do not route Private IPs (experimental) hier nicht eingeschaltet. (hat allerdings den Nachteil, daß das neue Terminal von Android mit erforderlicher rein lokalen Verbindung auf dem Gerät damit nicht funktioniert)
Ansich gibt es inzwischen(v0.5.5t funktioniert bis auf mehr oder weniger häufig nötige Stop/Start in der App, insbesondere bei wechselnder Internetanbindung, recht gut) auch die Option “Mobile only (experimental)”, würde aber wohl erfordern, alle nicht-Heim-WLan-Verbindungen in deren Einstellungen auf “kostenpflichtig” zu setzen.
(Für mich keine Option, da ich alles auf “metered” stehen habe, um Apps, auch System-Apps, direkt die Internetverbindung zu sperren, ohne daß die in den Logs auftauchen)
Im Heimnetz sollte es auch genügen, die Option “Bypass app from all proxies” für die Apps, die im Heimnetz agieren, zu setzen, jede einzelne immer umzustellen wird aber wohl auch eher lästig sein.
Gefühlt ist die RethinkDNS mittlerweile Optionen-überladen und es ist nachteilig, daß viele Optionen generell wirken, die man vielleicht lieber für einzelne Apps hätte.
Abgesehen von vermehrtem Datenaufkommen würde aber vielleicht auch nichts dagegen sprechen, nicht nur eine WireGuard-Verbindung in der Box und vom Gerät zur Box einzurichten, um Apps je nach WLan zumindest was metered/unmetered(kostenpflichtig/kostenlos) betrifft, getrennt zu behandeln.
Wenn man es abhängig vom verwendeten WLan haben will, dann sollte “Meter mobile networks” aber auch nicht gesetzt sein.
Es gibt halt einiges was praktisch ist und Leute haben möchten.
Der entscheidende Punkt ist hier eher Dokumentation: welche Optionen arbeiten wie miteinander/gegeneinander und was passiert wenn ich sie setze?
Da tu ich mich manchmal etwas schwer.
DAS geht mir auch so… aber im Großen und ganzen funktioniert das
Ich schaffe es ums Verrecken nicht, per Wireguard Proxy meine FritzBox zu erreichen. Ich habe die Konfig importiert und sehe in meiner FritzBox auch einen Handshake und in RethinkDNS den Proxy als “Verbunden”. Aber ich kann über Termux meine FritzBox z.B. nicht pingen, was im WLAN kein Problem ist. Was mache ich falsch? Habe viele Funktionen durchprobiert (totale Sperrung, Always on, Private IPs umlenken an/aus etc.
Weiß da jemand weiter vielleicht?
Mit der normalen WireGuard Android App komme ich mit derselben Config Datei problemlos in mein Heimnetzwerk, aber die kann ich ja nicht parallel zu RDNS betreiben.
Ping funktioniert aktuell nicht mit RethinkDNS, leider.
Zumindest der typische(?) “Linux”(?)-Ping, ob von Termux oder shell(UID 2000), liegt nicht an Termux.
Warum auch immer die Pings hart UID 1000 zugeordnet werden, da gibts offene Issues dazu, das kann keine dauerhafte Lösung sein, weil es eben nicht funktioniert.
Ich hätte es bei “unbekannt” belassen und “unbekannt”(UID -1) kennt RethinkDNS ansich, wie auch NetGuard, welches aber im Original alle Pings mit UID -1 zuläßt, was ich hier mit Änderung der Sourcen von NetGuard aber wie eine App behandle und Pings auch sperre oder zulasse, eben aber nicht wirklich App-bezogen möglich.
das war Stand der v0.5.5o –>
Laut https://github.com/celzero/rethink-app/issues/1725 scheint es mit der T-Vorabversion besser zu laufen interne Geräte zu erreichen.
die Fritzbox ansich ist besser zu erreichen, interne Geräte erreiche ich (weiterhin) nicht
Steuern der Homeautomation von AVM funktionierte in Vergangenheit, aber die Graphen wurden nicht angezeigt, letztere werden jetzt auch in der App von Fritz!/AVM angezeigt, wobei ein Teil der Fehler bestimmt an den Apps liegt, “fritz.box” kann nur wie erwartet funktionieren, wenn man tatsächlich den DNS der Box verwendet, wobei die ausschließliche Verwendung von IPs für den Fall wohl sowieso besser wäre.
SIP-Telefonie mit der Box über WireGuard-Proxy tuts hier weiterhin nicht richtig, Verbindung steht ansich, telefonieren aber nicht möglich. Per originalem WireGuard-Client tut es das aber.
Exakt dieses Verhalten habe ich bei mir auch.
Die Konstellation ist folgende: Ich habe einen dauerhaften WireGuard Proxy (Mullvad) laufen, um sämtlichen “Internet-Traffic” darüber zu schicken. Wenn ich im WLAN bin, muss ich “Private IPs nicht umlenken (experimentell)” aktivieren, damit ich z.B. auf mein NAS zugreifen kann. Sobald ich mobile Daten aktiviere und einen zweiten WireGuard Proxy dazuschalte, der sich in mein Heimnetzwerk verbindet, muss ich den Haken wieder rausnehmen, da jetzt ja private IPs durch diesen zweiten Proxy “umgelenkt” werden sollen.
Was ich eigentlich gerne haben möchte (vielleicht kann hier jemand helfen): Sämtlicher Traffic, der öffentliche IP-Adressen (also das “Internet”) betrifft, soll jederzeit über WG-Proxy #1 (Mullvad) geleitet werden (egal ob WLAN oder mobile Daten). Sämtlicher Traffic, der private IP-Adressen (Heimnetz) betrifft, soll im WLAN am WG-Proxy #1 vorbeigeleitet werden (also ohne Umwege ins Heimnetz) und bei mobilen Daten über WG-Proxy #2 ins Heimnetz geleitet werden.
Hat da jemand eine gangbare Lösung/Konfiguration gefunden?
Ich habe nicht alles verfolgen können… sollte ich von der n Version inzwischen auf die t Version upgraden?
Nutzung ist:
System-DNS mit lokalen Filterlisten
App-Firewall (die meisten isoliert)
Proxy (wireguard zur heimischen FritzBox)
Mit n muss ich etwa einmal am Tag Stop/Start drücken, sehr selten häufiger am Tag. Kann t das besser?
Das ist schwer zu beantworten und hängt von deinem konkreten Setup/Einstellungen ab. Ich nutze derzeit die t-Version und habe damit wenig Probleme, insbesonders das Stop/Start-Problem habe ich nicht.
Wenn mal etwas hakt (also App oder Webseite laden etwas dauert) reicht es bei mir, kurz den Sperrbildschirm zu aktivieren (also Druck auf den An/Aus-Button des Telefons) und wieder zu deaktivieren (via PIN/Fingerabdruck), dann flutscht es in der Regel wieder. So wird nicht das komplette Filtern abgeschaltet.
1 „Gefällt mir“
Moin, falls es jemanden Interessiert, wenn ich bei den universellen Firewallsregeln den Schalter bei “blockiere jede App die nicht in Benutzung ist” aktiviere, wird alles blockiert. Kein Internet möglich, da auch der Browser, der ja im Vordergrund ist, ebenfalls blockiert wird. Bei beiden meiner Smartphones, 1x Nokia G50 und 1x Redmi 11 - beide mit StockRom.
Grüße
(TH)omas
1 „Gefällt mir“
Wie kann man einzelne Anwendungen wie Signal und Whatsapp von der globalen Regel “UDP blockieren” ausnehmen damit Anrufe möglich werden?
Probier mal das:
Entsprechende App in RethinkDNS aufrufen und dann “Umgangen” wählen.
damit würde dann aber auch das DNS basierte Blocken wieder wegfallen , sagen wir mal für “dit.whatsapp.net” , richtig?
Ich denke schon. Wird ja alles umgangen, wenn ich das richtig verstehe.
Du kannst es ja mal ausprobieren und berichten …
Bei Signal halte ich das für unproblematisch.
Ich habe RethinkDNS jetzt auch im vertaulichen Profil installiert. Wenn ich das Profil aber sperre, geht Rethink in Stopp. Entsperre ich das vertauliche Profil wieder, muss ich Rethink zuerst wieder manuell starten. Gibt es eine Einstellung, die das automatisiert?
Das ist leider bei mir auch der Fall. Ich bin eigentlich sicher das das mit der stabilen Version von Rethink nicht so war? Da gab es eine Einstellung das rethink beim hochfahren aktiviert wird? Oder täusche ich mich da?