Lösung für 15 Minuten:
- Benutzerdeffinierte Filterregel Adguard EIntrag: @@||threema.ch^
- ipconfig /flushdns
- Neustart Windows
Danach alles beim ALTEN Problem.
Ich werde nun den Adguard für eine Zeit ausmachen und erstmal beobachten.
Lösung für 15 Minuten:
- Benutzerdeffinierte Filterregel Adguard EIntrag: @@||threema.ch^
- ipconfig /flushdns
- Neustart Windows
Danach alles beim ALTEN Problem.
Ich werde nun den Adguard für eine Zeit ausmachen und erstmal beobachten.
Alles anzeigenLösung für 15 Minuten:
- Benutzerdeffinierte Filterregel Adguard EIntrag: @@||threema.ch^
- ipconfig /flushdns
- Neustart Windows
Danach alles beim ALTEN Problem.
Ich werde nun den Adguard für eine Zeit ausmachen und erstmal beobachten.
Hallo Liftboy,
wenn das alles so komplex ist – gibt es nicht die Möglichkeit, eine Whitelist für Threema zu nutzen?
Oder hast Du bereits eine Whitelist für andere Dienste in Benutzung und die funktionieren?
Ob eine Filterregel funktioniert, entscheidet oftmals die Reihenfolge.
Filter habe ich probiert und Threema dazu angeschrieben, was alles durch muss.
Adguard ist abgeschaltet und sollte nur durchleiten. DNS cache in Windows gelöscht und neu gestartet.
-> geht nicht
Fritzbox DNS Server nicht mehr auf Rasp mit Adguard geleitet. DNS Cache in Windows gelöscht. Neustart.
-> läuft
Also wird das mit den Filtern nix bringen. Wenn der Adguard abgeschaltet ist und es nicht läuft, muss da was anderes passieren.
Echt lästig das!
Ich gehe stark davon aus inzwischen, dass eine Einstellung in Adguard zu dieser Situation führt. Putzigerweise kam das AUS für Threema mitten drin ohne erkennbaren Grund oder Veränderung.
Bei Adguard habe ich via Github schon gefragt welche Problemstellung es in dem Kontext geben könnte.
Die EInstellungen DNS wären der einzige Ansatz in meinen Augen für das Problem. Es funktionierte ja und erkennen kann ich da nix.
Brrrrr
Informationen was bei Threema durch muss:
Threema IP-Adressenbereiche:
185.88.236.64/26 (entspricht 185.88.236.64 - 185.88.236.127)
212.103.68.0/26 (entspricht 212.103.68.0 - 212.103.68.63)
2a00:c38:1fb::/48
2a02:41b:300a::/48
Bitte beachten Sie, dass diese Adressbereiche jederzeit und ohne Vorwarnung ändern können.
Wir raten davon ab, Einschränkungen aufgrund von IP-Adressen vorzunehmen.
Die folgenden TCP-Ports müssen für ausgehende Verbindungen aus Ihrem Netzwerk offen sein:
Android Push: 5228-5230
Apple Push: 5223
Textnachrichten: 5222 (Fallback 443)
Multimedianachrichten: 443
Threema-Anrufe, Web-Client/Desktop-App: 3478 (STUN/TURN)
Weiter ist darauf zu achten, dass zwischen den Threema-Apps eine WebRTC-Verbindung aufgebaut werden kann, und dies nicht unterdrückt wird. Viele Werbeblocker und andere Privacy-/ Sicherheitsoptimierer blockieren WebRTC per Default.
Darf ich dir einen gut gemeinten Rat geben: Blockiere keine IP-Adressen oder Ports. Du wirst nur Ärger damit haben und der Schutz ist äusserst fragwürdig, da man von innen trotzdem alles mit ein wenig Kenntnis aus dem Netzwerk raustunneln kann.
Was versprichst du dir durch diese Massnahmen?
Danke, das nehme ich gerne an.
Ich blockiere nix. Ich gebe höchsten nur frei. Ohne jenes zutun hat es ja die ganzen Jahre funktioniert
Ich blockiere nix. Ich gebe höchsten nur frei.
Hallo
dann blockierst Du initial alles.
Gruß Ingo
Nein. Ich habe ein gewöhnlich eingerichtete Fritzbox uns dazwischen lediglich einen RaspberryPi4 auf dem HomeAssistant und Adguard laufen. Der Adguard filter via DNS die "bösen" Sachen raus. Auf der Fritzbox habe ich für bestimmte clients einige ports geöffnet. Damit beispielsweise das NAS besser agieren kann, usw..
Bis dahin lief alles prima. An einem Tag letzter Woche wollte dann Threema Web nicht mehr. Ich habe bewusst nichts verändert oder manuell geupdatet.
Da die Fritzbox die Anweisung hat den Adguard als DNS Server anzusprechen (IPv6 habe ich nicht), filtert dieser brav vor sich hin.
Wenn ich nun jenen deaktiviere, besteht weiter das Problem mit Threema. Grundsätzlich muss ich tatsächlich jedesmal den DNS cache von Windows löschen und neu starten (dann geht es beim ersten mal immer). Solange ich jedoch den DNS Server im Adguard habe (auch wenn dieser deaktiviert ist), funktioniert ThreemaWeb nicht. Daher die deutliche Vermutung, dass der Adguard (an dem ich inzwischen auch alles versucht habe) der Böse ist. Dennoch bin ich da nicht 100% sicher mit der "Schuldzuweisung".
Die Anleitung was Threema alles braucht um sauber zu funktionieren habe ich von Threema. Ich wollte es hier nur einstellen und grundlegend in der Fritzbox frei geben für den client. Blockieren tue ich aktiv nix.
Ich danke einfach nochmal für Eure Unterstützung. Das ist sehr nett!
Frank
Ich habe so gar keine Idee. Gerade noch den DNS cache Windows gelöscht, selbstst. Portfreigabe für das Pixel Droidengerät (vom dem 0 genutzt werden), Neustart und es hört nicht auf zu funktionieren. Gerne würde ich verstehen warum es nun geht. Aber, erstmal geht es
Du könntest mal den Netzwerkverkehr via Wireshark auf dem betroffenen Gerät mitschneiden. Dann würde man ggf. sehen, was passiert (aber nicht unbedingt wer schuld ist).
Ich werde das mal angehen. Jetzt klemmt die Kiste wieder. Ich mag nicht mehr wirklich. Entweder kommt da etwas bei raus, oder ich lasse es einfach. Dann schreibe ich vom PC halt über .... .
Ganz großen Dank!
Ich habe den Fehler gefunden!
Es ist ein tool mit dem Namen Download helper pro ... .
Das Ding erlaubt es Videos zu streamen. Dafür scheint sich die Nazhlsoftware mit einem ZErtifikat dazwischen zu drängen. Threema mag das nicht und verweigert den Dienst. Warum nach Neustart nicht gleich, ..... . Das war viel Zeit.
Lieben Dank Euch!
Threema mag das nicht
Und das ist auch gut so. Ist dir bewusst das diese Software (zumindest wie es sich für mich gerade darstellt) deine SSL Verschlüsselung aufbricht und alles was du im Internet so tust und eingibst, mitlesen kann?
Ja, die TEchnik war mir nicht klar die dahinter steckt - ist es jetzt aber!
Hast du einen Link zu der Software?
Ist dir bewusst das diese Software [...] deine SSL Verschlüsselung aufbricht und alles was du im Internet so tust und eingibst, mitlesen kann?
Hallo
genau, sowas nennt sich dann Man-in-the-Middle. Nutzen auch kommerzielle Virenscanner. Sehr bedenklich das.
Gruß Ingo
In eine Richtung kann das "sogar gewünscht" sein. Dann sieht man ja quasi gewollt "spoof". Zum Mithören in the Middle ginge das auch im schlimmen Fall. Wenn aber beide Enden das unveränderte Zertifikat wollen oder der jeweils eigene Schlüssel ja nicht passt, kann es bei E2E nicht funktionieren, dass einer in de Mitte als "Relais" fungiert. Und das ist auch gut so
Hier in dem Fall handelt es sich ja um Threema Web, was nicht in der Lage ist, Pinning zu betreiben. Daher funktioniert die Interception sogar, aber scheinbar ist die Software so kaputt, dass sie WebSocket nicht versteht/kaputt macht.
Anyways, ich wäre sehr interessiert daran zu wissen, was das für eine Software ist, denn dann können wir sie für Support-Zwecke intern dokumentieren.