bis auf wenige kurze Versuche arbeite ich ansich auf privaten Geräten nur noch per „mdm“ gesetztem Lockdown, VPN-Konfiguration für User gesperrt

ich kann momentan nur beobachten, was AFWall+ mir anzeigt, da scheint manchmal eine Lücke zu sein, vllt. zwischen den Starts der beiden Apps, momentan habe ich in den Logs zweier Geräte außer RethingDNS mit dem „auto“-Versuch keine App, die ich installiert habe und die eine Freigabe für VPN in AFWall+ hat, von SystemApps wie „Google Play-Dienste“, „Android-System“, Google-Dienste-Framework" und „Android System WebView“ mal abgesehen.

Nur die ominöse UID -100 bei AFWall+ geht mir etwas auf den Geist.

allerdings habe ich eben eine für mich interessante Entdeckung gemacht, manchen ist doch schon aufgefallen, daß z.B. unter NetGuard ICMP (in der Regel) nicht den normalen Apps zugeordnet wird, man sieht sie im Log, kann aber nichts dagegen tun.

Prinzipiell kann man mit ICMP Daten übertragen!

Hab das eben im Terminal von 3C getestet, 3C darf hier root-Rechte beanspruchen, ist aber nicht in AFWall+ oder NetGuard freigegeben. root-Apps in AFWall+ nur per VPN, wie alle anderen für VPN freigegebenen Apps außer die VPN-Apps selbst derzeit, die dürfen wiederum alles außer VPN benutzen.

Also Ping ohne root-Rechte schlägt am VPN-Netzwerk-Interface fehl, auch wenn NetGuard das registriert als erlaubt(Anmerkung: das ist eine modifizierte NetGuard-Version, welche das Sperren/Freigeben der bei NetGuard intern unter UID -1 laufenden Pakete erlaubt, bzw. die Freigabe erfordert, nicht wirksam auf gelistete „verschollene“(?) TCP/UDP-Pakete, die werden als zugelassen gelistet), vllt. kommt nur die Antwort nicht zurück, auch wenn 3C kpl. in AFWall+ freigegeben, solange „metered data“ per MDM gesperrt, auch wenn ich explizit den Ping über wlan0 versuche.

Mit root-Rechten bekommt 3C eine Antwort auch nur, wenn in NetGuard für die Adresse zugelassen, Freigabe für „metered data“ per mdm ist dann egal.

Wenn kein AFWall+ installiert ist oder dort die Freigabe per anderem Interface erlaubt ist, dann funktioniert das ohne „Lockdown“.

Also mit RethinkDNS habe ich gestern meine Versuche mit der offiziellen Heise-Ping-Adresse gestartet
https://193.99.144.85/

grad eben nochmal unter NetGuard, NetGuard kennt aber wohl die Domain, bzw. löst sie auf, gesperrt funktioniert es nicht.

NetGuard arbeitet auch, wenn es nur die IP vorgelegt bekommt und keine Domain dazu findet, solange der Verbindungsversuch im VPN landet.

Ich nehme hier grad den PrivacyBrowser, der kennt leider auch keinen Desktop-Modus, ist sonst aber schön.
Fürs Forum hier ist alles zugelassen. Auch bei GitHub, aber dort kann ich auch kein Posting editieren.

QUERY_ALL_PACKAGES listet alle Apps, weswegen Google Netguard die Nutzung verbat. Warum Rethink das darf weiss ich nicht.
https://www.kuketz-forum.de/t/netguard-query-all-packages/5248

Ansonsten Danke für die ausführliche Erläuterung! Was mir heute noch auffiel ist daß Rethink auch Apps ohne Internet auflistet, Netguard nur die mit. Also wird Rethink wohl einige mehr nicht erfassen. Das ist nicht gut.

Es gibt auch noch das Webview von LineageOS:
https://www.apkmirror.com/?post_type=app_release&searchtype=apk&s=lineage+webview

Du willst es testen, aber nicht einschalten???
Weitere Diskussion ist wohl zwecklos.

Weil ich es vorher schon getestet hatte und diesmal nur eine läppische Info gesucht hatte, die mir Rethink SOFORT bietet und deshalb nicht wieder alles umstellen wollte. Wer lesen (und verstehen) kann, ist klar im Vorteil!

Ghost Commander zeigt mir 379 installierte Apps an, Total Commander 145 Apps, Cache Cleaner 378 Apps, Rethink 378 Apps, die eine App Unterschied zwischen Ghost Commander und Rethink ist wohl Rethink selbst, wie ich anderswo schonmal schrieb. Warum allerdings beim Cache Cleaner eine fehlt, keine Ahnung.

Bearbeitung: Die 379te App ist natürlich der Ghost Commander, den ich extra zum testen installiert habe, in Rethink muß man die App-Liste erst aktualisieren, aber korrekt blockiert wurde die neu installierte App, also zeigen Ghost Commander und Rethink die gleiche Anzahl an. Geht also nichts an DNS und Firewall vorbei, was nicht vielleicht tief im System vergraben ist.

Aber Hauptsache weiter (bislang unbegründet) auf Rethink rumhacken, wa?

Was mir auf GrapheneOS in Kombination mit RethinkDNS/Signal aufgefallen ist: Die Push-Nachrichten werden nicht zuverlässig zugestellt. Manchmal bekommt man die Nachrichten erst, wenn man Signal öffnet.

Die TriChromeLibrary aber z.b. nicht.

wie schon geschrieben fiel mir heute auf, daß die PlayStore-Version von Anfang Oktober „Android System WebView“ hier nicht mehr listet, obwohl „Android System WebView“ nicht deaktiviert ist.

Nachdem ich weiß, daß die App dort auch ist, hab ich mich mal fürs Betaprogramm eingetragen, mal sehen, ob das auch dieselbe Signatur hat, der PlayStore bietet mir die „Aktualisieren“-Deaktivierungsoption allerdings gerade auch nicht an.
[/quote]

Danke auch.
Ansich hat NetGuard die Option, Apps ohne Internet anzuzeigen. Sind aber imho auch nur die, die es deklarieren. Wie mit der root-Deklaration, manche können es dennoch.

danke, schaue ich mir an

Ob das RethinkDNS/GrapheneOS-spezifisch ist? Wer handelt für Signal die Push-Nachrichten?

OT: hab auf Diensttelefonen das Problem, das Push-Nachrichten von Outlook/Teams/andere Apps irgendwann ankommen, manchmal habe ich sämtliche Nachrichten schon gelesen, gut, Arbeitsprofile, im Hauptprofil läuft NetGuard, gestern erst den Microsoft Authenticator auf einem Gerät installieren müssen, schlug fehl, solle Push aktivieren oder lt. Anleitung andere Netzverbindung versuchen. Alles nichts geholfen, außer daß bei Wechsel auf private Sim, selbes Netz(fraenk statt Telecom) plötzlich alle Pushbenachrichtigungen aufschlugen, Microsoft Authenticator wollte dennoch nicht. Auf dem ausrangierten Diensttelefon liefs auf Anhieb über Wlan, einziger Unterschied dürfte sein, daß es einmal NetGuard von Izzy, das andere aus dem Playstore im Hauptprofil hat. Threema handelt seine Push-Benachrichtigungen selbst, das funktioniert in den Hauptprofilen auch.

Ich habe da absolut keine Probleme unter ColorOS11, ich nutze die FOSS Version von Signal aus F-Droid.

Danke für Deine umfangreiche Antwort @strauch_2 . Ich bin erschlagen … und gebe zu, dass ich die Schlussfolgerungen daraus nicht mehr korrekt ziehen kann.

Ich verstehe es jetzt folgendermaßen, muss aber auch nochmal nachhaken.

Also nein.

Daraus schließe ich, dass App Verkehr am VPN trotz „VPN Lockdown“ vorbeikommt.

Um welche Apps handelt es sich denn bzw. werden von AFWall+ als was identifiziert?

Der root Fall ist für mich aus Benutzerperspektive weniger interessant, da ich das nicht habe. (Aus technischer natürlcih schon ).

Für meinen non-root Fall schließe ich daraus, dass ICMP (z.B. Ping) von Rethink blockiert wird. Korrekt?

Ist mir bislang nur aufgefallen, wenn ich in der Rethink Firewall alle Apps blockiere, wenn das Gerät gesperrt ist. Hatte das aber nicht ausführlicher getestet.

Genau. Eher das. Wenn das Gerät aufwacht.
Unabhängig der firewall.
Aber nicht erst an die App schon offen ist

Damit würde sich Rethink diesem Falle ja auch völlig korrekt verhalten, denke ich. Habe die Option eben aus solchen Gründen nicht gesetzt.

aktuelle hatte ich oben gelistet, Systemapps, was UID -100 beinhaltet weiß ich nicht, werde ich nicht herausfinden, auf den Geräten ohne root und AFWall+ sehe ich logischerweise nichts direkt

Früher wollte auch der PlayStore und Downloads z.T. an NetGuard vorbei, funktionierten dann nur mit Freigabe er AFWall+ für nicht-VPN-Interface.

nunja, eben auf diesem Gerät ohne AFWall+ und ohne root ausprobiert, 3C installiert und die Pings von dessen Terminal gingen sofort durch trotz NetGuard, hats im log auch brav angezeigt, leider sperrt die MDM-App keine neuen Apps, man wird nur benachrichtigt.

k.A. habe ich noch nicht mit RethinkDNS getestet.

nach Sperrung „metered data“ per MDM sahs so aus →

3C All-in-One Toolbox (terminal)
==========3C All-in-One Toolbox (terminal)

=======================
ping heise.de

ping: unknown host heise.de

ping 193.99.144.85

PING 193.99.144.85 (193.99.144.85) 56(84) bytes of data.
From 10.1.10.1: icmp_seq=1 Destination Port Unreachable==============

PS: mal das vorige gekürzt, der Inhalt war z.T. doppelt

habe grad kein Gerät, auf dem ich RethinkDNS ohne AFWall+ testen mag, ja, AFWall+ hält auch nicht alles auf, wie gesehen ICMP nicht, wenn man, wie ich bisher, nicht per Scripten weiter Hand anlegt, aber da fehlt mir die einfache Bedienbarkeit, individuelle Freigabe/Sperrung Adressbezogen

Den dummen Spruch kannst du dir klemmen.

Daten abschalten, Rethink abschalten, Netguard anschalten. Und du bist überfordert. Traurig.

github Trouble with Push Notifications #1115 ?

Ist DNS > Advanced DNS filtering (experimental) eingeschaltet?

Behauptest du und wie ich meine Dinge erledige, überlasse bitte mir! Nochmal ganz langsam für dich: Wegen einer Info, die ich woanders SOFORT finde, stelle ich nicht nochmal das ganze System um!

Ah, danke für die Klarstellung - und auch den Rest.

Dann passt das wieder. Sind keine regulären Apps, zumindest nicht in dem von Dir verwendeten ROM. Insb. wenn ich das lese

Ich nehme meine Schlussfolgerung auch wieder zurück. ICMP sieht mir stark nach work-in-progress aus. Aus den issues kann ich nicht herauslesen, was gerade in welcher Form funktioniert (Unterschied ob Wireguard oder nicht, Unterschied ob ICMP Echo oder sonstiges ICMP, einem älteren Kommentar nach wurde es in früheren Versionen nicht blockiert) und wo die Reise hingeht …

Danke dir. Habe ich nun mal deaktiviert und beobachte es. Mir ist aktuell auch noch nicht ganz klar, was diese Funktion bringt/verursacht.

Edit

Hier habe ich gefunden, was die erweiterte DNS-Filterfunktion kann: https://github.com/celzero/rethink-app/discussions/876

Edit2

Nein, leider keine Verbesserung. Erst wenn ich die App (Signal) öffne, kommen die Nachrichten an.

Also sieht gar nicht so schlecht im Test mit „PingTool Pro“ aus, für AFWall+ bleibt aber immer noch was.

RethinkDNS hat wieder paar Minuten benötigt, ehe es die Installation meldete. AFWall+ hat derweil „alles“(?) in sich reingefressen, ohne Freigabe dort verständlich. Kein Hinweis auf ICMPs im log von AFWall+, leider werden Zeitstempel nicht exportiert. In RethinkDNS erschien solange gar nichts. PingTool Pro meinte aber dennoch, drei weitere Geräte als online zu erkennen, logischerweise eigene IP und die des Hotspots, eine ipv6, und wechselnd weitere als unbekannt (ip v4 Router, DNS service) der wäre unbekannt und zeigt in der Übersicht dessen IP nicht, kein Internet, bleibt auch nach Freigabe in AFWall+ so, AFWall+ zeigt aber weiter Einträge.

uid: 1010343
src:192.168.66.124,dst:224.0.0.251,proto:UDP,sport:47778,dport:5353
src:192.168.66.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.66.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.66.124,dst:224.0.0.251,proto:UDP,sport:59531,dport:5353
src:192.168.66.124,dst:224.0.0.251,proto:UDP,sport:52747,dport:5353
src:192.168.66.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.66.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.66.124,dst:224.0.0.251,proto:UDP,sport:55717,dport:5353
src:192.168.66.124,dst:224.0.0.251,proto:UDP,sport:56094,dport:5353
src:192.168.66.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.66.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.66.124,dst:224.0.0.251,proto:UDP,sport:39093,dport:5353
src:192.168.66.124,dst:224.0.0.251,proto:UDP,sport:36001,dport:5353
src:192.168.66.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.66.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.66.124,dst:224.0.0.251,proto:UDP,sport:59657,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:47625,dport:5353
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:46069,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:46879,dport:5353
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:50355,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:44317,dport:5353
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:38435,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:34096,dport:5353
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:55597,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:33769,dport:5353
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:56549,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:58136,dport:5353
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:40925,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:60366,dport:5353
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:42333,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:35195,dport:5353
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:33753,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:33753,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:33753,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:33753,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:33753,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:33753,dport:10001
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:34291,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:54996,dport:5353
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:45603,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:45603,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:45603,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:45603,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:45603,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:45603,dport:10001
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:53242,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:45726,dport:5353
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:46068,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:46068,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:46068,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:46068,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:46068,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:46068,dport:10001
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:54960,dport:5353
src:192.168.231.124,dst:224.0.0.251,proto:UDP,sport:54975,dport:5353
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:51190,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:51190,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:51190,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:51190,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:51190,dport:10001
src:10.111.222.1,dst:255.255.255.255,proto:UDP,sport:51190,dport:10001
src:192.168.231.124,dst:239.255.255.250,proto:UDP,sport:8008,dport:1900

RethinkDNS zeigt aber sehr, sehr viel im Log als blockiert: das meiste als Quelle unbekannt(nach überfliegen nur ICMP), teilweise zu PingTools Pro(nur UDP an 255.255.255.255) zugehörig, leider keinen pcap-Viewer für das pcap-log von RethinkDNS hier drauf. (gestern/heute 132.8k, überwiegend DNS-Anfragen. Dort ist auch gelistet:

Query Type: Domain Name Pointer Allowed
124.66.168.192.in-addr.arpa
looking for 0ms
resolved Vor 58 Min. by d64.127.0.0.3:53
Block, trust this domain No Rule

sollte die eigene IP sein

Von gestern habe ich aber noch zwei IP-Rules für die PrivacyBrowser-App, die mit :0 enden.

Könnte ansich auch „PCAPdroid“ mal drauf ansetzen, müßte mir das Ergebnis aber dennoch wohl am Rechner anschauen.

PS: … PCAPdroid kann doch pcap öffnen …, anscheinend nicht die, die RethinkDNS schreibt, bringt einen „PCAP read error“, „Live capture“ schreibt nichts und bricht ab. Könnte heulen, heule mich mal in den Schlaf …

Schade. War ein Versuch wert.

Ich kann die DNS-Filterlisten nicht aktivieren, der Download der Listen startet nicht. Hatte das wer von euch und kennt eine Lösung?

Vielleicht ist da was für Dich. Da wird auch empfohlen, den In-App Downloader an- oder abzuschalten. Kann aber auch letztendlich der gefundene Fehler sein.

Blocklists download/update doesn’t work #952