Rainbird-Bewässerung - viele DNS anfragen

Don_2020

Lt. Commander
Registriert
Aug. 2019
Beiträge
1.784
Jetzt habe ich AdGuard seit ca. 4 Stunden laufen. Über 700 DNS-Anfragen an

rdz-rbcloud.rainbird.com​

Von Rainbird ist meine Bewässerungsanlage. Warum muss die so oft nach Hause telefonieren?
Die Abfragen erfolgen alle 10 Sekunden!

Wie kann ich der Anlage das abgewöhnen?
 
Don_2020 schrieb:
Wie kann ich der Anlage das abgewöhnen?
Wenn du keine Firewall hast die das kann, gar nicht.

Verwendet das Ding eine App oder sowas? Dann wird einfach die Konnektivität mit der Cloud sein die du da siehst.
 
Die wird prüfen, ob sie was tun soll. Hast ja sicher auch die Möglichkeit aus der Ferne zu steuern.

Wenn es möglich ist, gib ihr nur eine IP und weder DNS noch Gateway. Dann kannst du sie allerdings nur noch im eigenen Netzwerk erreichen.
 
Entweder sind es echt so viele cloud-anfragen, oder ist passiert so oft weil halt keine Verbindung zustande kommt.
Alle 10 Sekunden ist schon heftig aber nicht ungewöhnlich, passende App dazu ist auch nur 2,0 Sterne im PlayStore.
Also eigentlich ganz normaler China Böller, abgewöhnen tust du das in den du es offline nimmst.
 
Die Bewässerung soll per Smartphone über WLAN erreichbar sein. Das Display mit Folientastatur ist nicht so meine Welt. Nur an diese Adresse sollen keine Daten gehen. Dritten geht es nichts an, wie une wann ich meine Bewässerungsanlage betreibe.
Was muss ich wo einstellen damit diese Adresse geblockt wird?
 
Funktioniert die App Steuerung auch, wenn du das Internet abklemmst. Also rein im lokalen Netz? Falls ja, kannst du es entweder wie in Beitrag #3 beschrieben machen oder du blockierst für das Ding den Internetzugang in der Firewall/Kindersicherung deines Routers.
 
Sperr die Adresse doch im Router und schau ob dann noch alles funktioniert, aber es ist ein bisschen widersprüchlich dass dies noch per App funktionieren soll aber der webzugang gesperrt sein soll.

Gerade mal in mein PI hole geguckt, top geblockte anfragen, da wurde anscheinend Amazon abgelöst, jetzt ist Platz eins Microsoft, Platz zwei Google, und Amazon nur noch Platz 3.

Würde ich mir aber nie Gedanken drum machen, vor allem nicht wenn es in der Liste geblockt auftaucht. 🤷🏻
 
Engaged schrieb:
aber es ist ein bisschen widersprüchlich dass dies noch per App funktionieren soll aber der webzugang gesperrt sein soll.
Nö. Klappt sowohl mit meinen Reolink Cams, als auch mit dem Bosch Smart-Home Gateway so.

Ich wähle mich von unterwegs ins VPN und nutze dann die Apps für Einstellungen/Steuerung.
 
  • Gefällt mir
Reaktionen: Engaged
Du hast doch Adguard?
du kannst DNS mindest TTL hoher stellen zb 86400 also ein Tag und smart Cache einschalten...
so sollten die Anfragen lokal beantwortet werden.
 
Was hat man denn davon, die "lokal" zu beantworten, wenn dann doch die China-Cloud kontaktiert wird?
 
Wenn Du ne Fritzbox hast und nur möchstest das es im Netzwerk geht und nicht nach Hause telefoniert einfach Internet-Filter-Kindersicherung das Ding sperren und fertig.
 
Don_2020 schrieb:
. Dritten geht es nichts an, wie une wann ich meine Bewässerungsanlage betreibe.

herzlichen Glückwunsch, genau DAS soll mit dem Großteil der ganzen Smart Home Geräten bezweckt werden.

Jedes Bit an Informationen über dich ist wertwoll und kann versilbert werden. Darum soll auch alles nur über Apps abgewickelt werden, die zu 90 % nur über einen Herstellerserver arbeiten. Und diese das erst an die Anlage senden und dabei alles schön erfassen.

Am besten wäre es wenn möglich. der Anlage eine manuelle IP zu verpassen und dort das Standardgateway wegzulassen oder auf 127.0.0.1 zu setzen. Ebenso für den DNS.
 
  • Gefällt mir
Reaktionen: Engaged
  • Gefällt mir
Reaktionen: redjack1000
Don_2020 schrieb:
Warum muss die so oft nach Hause telefonieren?
Die Abfragen erfolgen alle 10 Sekunden!

Wie kann ich der Anlage das abgewöhnen?
Du musst das etwas differenzierter sehen. Ein DNS-Query ist erstmal noch keine Verbindung. Das ist nix anderes als wenn du alle paar Sekunden zu Hause in die Gelben Seiten guckst - mit dem Anruf hat das noch nichts zu tun.

Die TTL der besagten Domain ist sehr kurz (139 Sekunden). Das heißt, dass der Eintrag sozusagen nach 139 Sekunden als "veraltet" gilt. Sowas deutet darauf hin, dass sich die IP-Adresse hinter der Domain recht schnell ändern kann, zB Load Balancing oder auch sowas die DDNS.

In Telefonbuchsprech bedeutet das: Die Telefonnummer im Telefonbuch kann sich alle 2 Minuten ändern und wenn du da anrufen willst, musst du entweder direkt vor dem Anruf nachschlagen oder du schlägst nach und merkst dir die Telefonnummer bis du sie brauchst - aber eben nur solange sie auch gültig ist, also max 2 Minuten.
 
DNS kann ich nicht im Gerät sperren.
In AdGuard habe ich unter "Benutzerdefinierte Filterregeln" die "rdz-rbcloud.rainbird.com" auf "127.0.0.1" umgebogen. Ich hoffe das Hilft!
 
Don_2020 schrieb:
In AdGuard habe ich unter "Benutzerdefinierte Filterregeln" die "rdz-rbcloud.rainbird.com" auf "127.0.0.1" umgebogen. Ich hoffe das Hilft!
Was heißt helfen? Von deinem "Problem" sehen wir erstmal nur DNS-Queries. Wie ich schon schrieb haben die für sich genommen erstmal noch keine tiefergehende Bedeutung. Es kann sein, dass die Anlage lediglich ihren DNS-Cache aktuell hält und wenn da nun mal eine Domain mit TTL = 2 Minuten drinsteht, will diese Domain eben auch ständig refreshed werden. Ob die Anlage tatsächlich nach Hause telefoniert, ist damit noch gar nicht gesagt. Das siehst du in AdGuard nicht, weil AdGuard nur das Telefonbuch ist, aber nicht das Telefon selbst.

Um tatsächlich eine Kommunikation zu prüfen, müsstest du zB im Router ein Packet Capture machen, wenn er Router das denn bietet (zB Fritzboxxen im Experten-Modus). Alternativ könnte man noch einen Switch mit Mirror-Port und einen PC mit WireShark nehmen, aber das sind dann schon schwerere Geschütze.

Wenn du der Anlage jetzt hart die Domain in AdGuard blockst, funktionieren evtl. bestimmte Smart-Funktionen nicht mehr oder sie kann keine Updates mehr laden, o.ä.
 
  • Gefällt mir
Reaktionen: guzzisti und snaxilian
Raijin schrieb:
Was heißt helfen?

keine Kommunikation mit der Cloud von Rainbird zu ermöglichen. Nichts anderes.
Je nachdem wie aggresiv das Teil programmiert ist, reicht das aus. Wenn aber irgendwo noch eine feste IP in der Programmierung hinterlegt ist als "Failover", dann natürlich nicht mehr.

Besser wäre es allerdings eben dem Gerät die Komplette Internetkommunikation zu untersagen oder eben das wie ich sagte über feste IPs das zu Regeln, das das Teil kein Gateway und keinen DNS server kennt
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin
Sebbi schrieb:
keine Kommunikation mit der Clound von Rainbird zu ermöglichen. Nichts anderes.
Worauf ich hinaus wollte ist, dass wir nichts von einer Kommunikation sehen, sondern maximal Indizien dafür. Wenn definitiv keinerlei Kommunikation erwünscht ist, also auch nicht legitime Verbindungen für Update-Checks oder etwaige Remotesteuerung, dann kann man die Domain natürlich einfach blocken.

Aber das bloße Auftauchen eines DNS-Queries - oder derer sehr viele - heißt eben nicht, dass da auch wirklich eine Verbindung hergestellt wird. Du kannst ja auch Tausend Mal bei der Auskunft anrufen und nach der Telefonnummer von Peter von Frosta fragen, ihn aber nie anrufen. :)
 
Zurück
Oben