Server-Verbindung wurde geschlossen

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Lösung für 15 Minuten:

    - Benutzerdeffinierte Filterregel Adguard EIntrag: @@||threema.ch^

    - ipconfig /flushdns

    - Neustart Windows

    Danach alles beim ALTEN Problem.

    Ich werde nun den Adguard für eine Zeit ausmachen und erstmal beobachten.

    Einmal editiert, zuletzt von Liftboy (23. Februar 2023 um 11:53)

  • Hallo Liftboy,

    wenn das alles so komplex ist – gibt es nicht die Möglichkeit, eine Whitelist für Threema zu nutzen?

    Oder hast Du bereits eine Whitelist für andere Dienste in Benutzung und die funktionieren?

    Ob eine Filterregel funktioniert, entscheidet oftmals die Reihenfolge.

    Ciao
    Snoopy

    Threema-Nutzer seit 23.12.2020 (immer mit gleicher Threema-ID!) 8)
    Kein Backup? – Kein Mitleid! 8o

  • Filter habe ich probiert und Threema dazu angeschrieben, was alles durch muss.

    Adguard ist abgeschaltet und sollte nur durchleiten. DNS cache in Windows gelöscht und neu gestartet.

    -> geht nicht

    Fritzbox DNS Server nicht mehr auf Rasp mit Adguard geleitet. DNS Cache in Windows gelöscht. Neustart.

    -> läuft

    Also wird das mit den Filtern nix bringen. Wenn der Adguard abgeschaltet ist und es nicht läuft, muss da was anderes passieren.

    Echt lästig das!

    Ich gehe stark davon aus inzwischen, dass eine Einstellung in Adguard zu dieser Situation führt. Putzigerweise kam das AUS für Threema mitten drin ohne erkennbaren Grund oder Veränderung.

    3 Mal editiert, zuletzt von Liftboy (24. Februar 2023 um 07:37)

  • Informationen was bei Threema durch muss:

    Threema IP-Adressenbereiche:

    185.88.236.64/26 (entspricht 185.88.236.64 - 185.88.236.127)

    212.103.68.0/26 (entspricht 212.103.68.0 - 212.103.68.63)

    2a00:c38:1fb::/48

    2a02:41b:300a::/48


    Bitte beachten Sie, dass diese Adressbereiche jederzeit und ohne Vorwarnung ändern können.

    Wir raten davon ab, Einschränkungen aufgrund von IP-Adressen vorzunehmen.


    Die folgenden TCP-Ports müssen für ausgehende Verbindungen aus Ihrem Netzwerk offen sein:


    Android Push: 5228-5230

    Apple Push: 5223

    Textnachrichten: 5222 (Fallback 443)

    Multimedianachrichten: 443

    Threema-Anrufe, Web-Client/Desktop-App: 3478 (STUN/TURN)

    Weiter ist darauf zu achten, dass zwischen den Threema-Apps eine WebRTC-Verbindung aufgebaut werden kann, und dies nicht unterdrückt wird. Viele Werbeblocker und andere Privacy-/ Sicherheitsoptimierer blockieren WebRTC per Default.

  • Darf ich dir einen gut gemeinten Rat geben: Blockiere keine IP-Adressen oder Ports. Du wirst nur Ärger damit haben und der Schutz ist äusserst fragwürdig, da man von innen trotzdem alles mit ein wenig Kenntnis aus dem Netzwerk raustunneln kann.

    Was versprichst du dir durch diese Massnahmen?

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Nein. Ich habe ein gewöhnlich eingerichtete Fritzbox uns dazwischen lediglich einen RaspberryPi4 auf dem HomeAssistant und Adguard laufen. Der Adguard filter via DNS die "bösen" Sachen raus. Auf der Fritzbox habe ich für bestimmte clients einige ports geöffnet. Damit beispielsweise das NAS besser agieren kann, usw..

    Bis dahin lief alles prima. An einem Tag letzter Woche wollte dann Threema Web nicht mehr. Ich habe bewusst nichts verändert oder manuell geupdatet.

    Da die Fritzbox die Anweisung hat den Adguard als DNS Server anzusprechen (IPv6 habe ich nicht), filtert dieser brav vor sich hin.

    Wenn ich nun jenen deaktiviere, besteht weiter das Problem mit Threema. Grundsätzlich muss ich tatsächlich jedesmal den DNS cache von Windows löschen und neu starten (dann geht es beim ersten mal immer). Solange ich jedoch den DNS Server im Adguard habe (auch wenn dieser deaktiviert ist), funktioniert ThreemaWeb nicht. Daher die deutliche Vermutung, dass der Adguard (an dem ich inzwischen auch alles versucht habe) der Böse ist. Dennoch bin ich da nicht 100% sicher mit der "Schuldzuweisung".

    Die Anleitung was Threema alles braucht um sauber zu funktionieren habe ich von Threema. Ich wollte es hier nur einstellen und grundlegend in der Fritzbox frei geben für den client. Blockieren tue ich aktiv nix.

    Ich danke einfach nochmal für Eure Unterstützung. Das ist sehr nett!


    Frank

  • Ich habe so gar keine Idee. Gerade noch den DNS cache Windows gelöscht, selbstst. Portfreigabe für das Pixel Droidengerät (vom dem 0 genutzt werden), Neustart und es hört nicht auf zu funktionieren. Gerne würde ich verstehen warum es nun geht. Aber, erstmal geht es ;)

  • Du könntest mal den Netzwerkverkehr via Wireshark auf dem betroffenen Gerät mitschneiden. Dann würde man ggf. sehen, was passiert (aber nicht unbedingt wer schuld ist).

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Ich habe den Fehler gefunden!

    Es ist ein tool mit dem Namen Download helper pro ... .

    Das Ding erlaubt es Videos zu streamen. Dafür scheint sich die Nazhlsoftware mit einem ZErtifikat dazwischen zu drängen. Threema mag das nicht und verweigert den Dienst. Warum nach Neustart nicht gleich, ..... . Das war viel Zeit.


    Lieben Dank Euch!

  • In eine Richtung kann das "sogar gewünscht" sein. Dann sieht man ja quasi gewollt "spoof". Zum Mithören in the Middle ginge das auch im schlimmen Fall. Wenn aber beide Enden das unveränderte Zertifikat wollen oder der jeweils eigene Schlüssel ja nicht passt, kann es bei E2E nicht funktionieren, dass einer in de Mitte als "Relais" fungiert. Und das ist auch gut so :)

  • Hier in dem Fall handelt es sich ja um Threema Web, was nicht in der Lage ist, Pinning zu betreiben. Daher funktioniert die Interception sogar, aber scheinbar ist die Software so kaputt, dass sie WebSocket nicht versteht/kaputt macht.

    Anyways, ich wäre sehr interessiert daran zu wissen, was das für eine Software ist, denn dann können wir sie für Support-Zwecke intern dokumentieren.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)