iCloud Private Relay und Safari

Started by August8828, October 23, 2024, 10:28:10 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 23, 2024, 10:28:10 AM
Hallo,

aktuell habe ich Probleme bei einer Policy, die ich bei Zenarmor erstellt habe. Ich habe für meine Gäste Applications und Webfilter für Proxies gesetzt, sodass diese nicht einfach meine Security bypassen können. Jetzt ist es so, dass das Browsing über den Safari Browser auf dem iPhone total langsam ist. Wenn ich in die Live Sessions auf der Zenarmor nachsehe, sehe ich, dass das "iCloud Private Relay" erkannt wird und geblockt wird. Es wird ständig "mask-h2.icloud.com" aufgerufen.

Kann mir jemand erklären, wieso das der Fall ist? Ich habe Private Relay _nicht_ aktiviert. Wenn ich einen anderen Browser wie Chrome nutze, habe ich das Problem auf dem iPhone nicht und die Website laden schnell und ohne großes Delay.
October 23, 2024, 11:34:27 AM #1
Quote from: August8828 on October 23, 2024, 10:28:10 AM
Kann mir jemand erklären, wieso das der Fall ist? Ich habe Private Relay _nicht_ aktiviert. Wenn ich einen anderen Browser wie Chrome nutze, habe ich das Problem auf dem iPhone nicht und die Website laden schnell und ohne großes Delay.

Wenn du Private Browsing in iOS/iPadOS verwendest, dann wird das iCloud Privat Relay verwendet, auch wenn du nicht iCloud Privat Relay aktiviert hast.

Eine Möglichkeit, iCloud Privat Relay komplett zu deaktivieren, ist deinen DNS-Server so einzurichten, dass für mask.icloud.com und mask-h2.icloud.com NXDOMAIN zurückgegeben werden.
Nur so als Beispiel: in Adguard Home kann man es unter Blocked Services ausschalten.
Vorher hatte ich es mit einer Filter-Regel in Adguard Home deaktiviert. Wie man das mit unbound umsetzen kann, weiß ich leider nicht. Müsste aber auch gehen. Eventuell kann man ja 0.0.0.0 bzw. ::0 als Adresse zurückgeben ...

Die Info gibt es unter anderem auf: https://developer.apple.com/icloud/prepare-your-network-for-icloud-private-relay/

Gruß
KH
October 23, 2024, 01:47:07 PM #2
Sobald Du einen größeren iCloud Speicherplan von 50 GB oder mehr hast, wird am Mac automatisch Private-Relay aktiviert. Das siehst Du auch unter Einstellungen -> Deine iCloud -> iCloud+
Damit Private Cloud noch funktioniert, musst Du genau die beiden URLs freigeben:  mask.icloud.com und mask-h2.icloud.com. Dann gehts wieder.
In meinem Fall habe ich das im AdGuard freigegeben.
October 23, 2024, 03:55:52 PM #3
Private Browsing wurde nicht genutzt. Konnte das Problem beheben, indem ich in den WIFI Einstellungen "Tracking-der-IP-Adresse-beschränken" deaktiviert habe.
October 24, 2024, 08:51:47 AM #4
Quote from: KHE on October 23, 2024, 11:34:27 AM
Quote from: August8828 on October 23, 2024, 10:28:10 AM
Kann mir jemand erklären, wieso das der Fall ist? Ich habe Private Relay _nicht_ aktiviert. Wenn ich einen anderen Browser wie Chrome nutze, habe ich das Problem auf dem iPhone nicht und die Website laden schnell und ohne großes Delay.

Wenn du Private Browsing in iOS/iPadOS verwendest, dann wird das iCloud Privat Relay verwendet, auch wenn du nicht iCloud Privat Relay aktiviert hast.

Eine Möglichkeit, iCloud Privat Relay komplett zu deaktivieren, ist deinen DNS-Server so einzurichten, dass für mask.icloud.com und mask-h2.icloud.com NXDOMAIN zurückgegeben werden.
Nur so als Beispiel: in Adguard Home kann man es unter Blocked Services ausschalten.
Vorher hatte ich es mit einer Filter-Regel in Adguard Home deaktiviert. Wie man das mit unbound umsetzen kann, weiß ich leider nicht. Müsste aber auch gehen. Eventuell kann man ja 0.0.0.0 bzw. ::0 als Adresse zurückgeben ...

Die Info gibt es unter anderem auf: https://developer.apple.com/icloud/prepare-your-network-for-icloud-private-relay/

Gruß
KH

Danke. Ich muss noch einmal nachfragen. Wenn ich Safari auf IOS benutze, triggern manche Filterregeln nicht, weil Safari die anscheinend umgeht. Ob ich das im private Tab mache oder nicht ist egal.

Wie kann ich das ändern? Ich würde gerne, dass alles, auch vom iPhone gefiltert wird. Ich nutze Adguard Home und DNSleaktest erkennt meine DNS Server. Ich habe private Relay in der iCloud nicht aktiviert.
October 24, 2024, 09:18:10 AM #5
mask.icloud.com is the top blocked domain in my setup. I am a bit puzzled because I never noticed any performance issues with that.

It's part of "HaGeZi's Encrypted DNS/VPN/TOR/Proxy Bypass" block list.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 24, 2024, 10:19:36 PM #6
Quote from: Patrick M. Hausen on October 24, 2024, 09:18:10 AM
mask.icloud.com is the top blocked domain in my setup. I am a bit puzzled because I never noticed any performance issues with that.

It's part of "HaGeZi's Encrypted DNS/VPN/TOR/Proxy Bypass" block list.

Ich nehme an, dass ist eine DNS-Blockliste. D.h. mask.icloud.com und mask-h2.icloud.com werden nicht aufgelöst bzw. mit NXDONAIN, 0.0.0.0 oder ::0 beantwortet und dann schalten alle Apple Betriebssysteme diese Funktion aus. Dann gibt es auch keine Verzögerung. Es funktioniert dann so wie von Apple beabsichtigt.
Wenn man jedoch die Namesauflösung erlaubt, aber den Zugriff darauf blockiert, dann gibt es die Verzögerungen.
Das erklärt Apple in https://developer.apple.com/icloud/prepare-your-network-for-icloud-private-relay/

Gruß
KH
October 24, 2024, 10:35:23 PM #7
Quote from: August8828 on October 24, 2024, 08:51:47 AM
Danke. Ich muss noch einmal nachfragen. Wenn ich Safari auf IOS benutze, triggern manche Filterregeln nicht, weil Safari die anscheinend umgeht. Ob ich das im private Tab mache oder nicht ist egal.

Wie kann ich das ändern? Ich würde gerne, dass alles, auch vom iPhone gefiltert wird. Ich nutze Adguard Home und DNSleaktest erkennt meine DNS Server. Ich habe private Relay in der iCloud nicht aktiviert.

In den WLAN-Einstellungen gibt es den Schalter Tracking der IP-Adresse beschränken welcher hierfür auch die DNS Server von iCloud Privat Relay verwendet.
Wenn der in der Einstellung von deinem WLAN ausgeschaltet wird, dann wird dieses iPhone mit Safari und Email nicht mehr deinen DNS umgehen.

Wenn du es für alle Apple-Geräte in deinem Netzwerk ausschalten willst, dann gehe in Adguard Home unter Filters auf Blocked Services und aktiviere dort den Schalter für iCloud Privacy Relay. Dann werden Diese nach einiger Zeit auch nur noch deinen DNS Server verwenden. Es dauert etwas, bis die DNS-Cache-Einträge des Geräts abgelaufen sind.

Gruß
KH
October 24, 2024, 10:38:57 PM #8
@KHE danke und sorry wg. Englisch. Hatte wohl gerade eine längere Sitzung mit ausschließlich englischer Kommunikation  ::)

Dann ist ja bei mir alles genau wie es sein soll. Ja, das ist eine Blockliste die man in AGH einfach "an" knipsen kann aus der Liste der vorgegebenen Optionen.

Würde überhaupt jedem OPNsense-Heimanwender raten, Unbound als Resolver beizubehalten und einfach AGH zu installieren.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions