Kann mich mit Fairphone 3 nicht in Wifi der Deutschen Bahn einloggen

Hallo,
ich habe dazu zwar schon einen Bug-Report geschrieben, aber eine Reaktion darauf dauert erfahrungsgemäß länger als bis zu meiner nächsten Reise.

Ich kann mich mit dem Fairphone 3, /e/OS 0.17-q nicht ins Wifi der Deutschen Bahn (Wifi@DB und WIFIonICE) einloggen, wohl aber in andere freie Wifis. Mit dem Samsung Galaxy S5 Plus (SM-G901F), /e/OS 0.17-p funktioniert es.

Hat jemand eine Idee, woran das liegen kann, und wie es sich beheben lässt?

Das Problem ist, dass die Benachrichtigung nicht erscheint, auf die man klicken muss, damit sich der Login-Bildschirm öffnet.

Ich konnte das problemlos, etliche Male in verschiedenen Zügen.

FP3 0.17-p funktioniert bei mir.

evtl. hilft es, die Loginseite manuell aufzurufen (wifionice.de glaub ich)…

Danke für die Antworten. Das habe ich auch probiert, aber ich bekomme gar keinen Internetzugang, den ich für die Loginseite bräuchte.

Das deutet darauf hin, dass es vielleicht nicht an der fehlenden Login-Benachrichtigung durch das Systemprogramm CaptionPortalLogin liegt, sondern schon vorher an einer fehlenden Internetverbindung. Aber warum das nur in der Bahn so ist, verstehe ich nicht.

Benutzt du und auch @irrlicht den DB Navigator? Da bekomme ich, wenn ich die Angebotsauswahl in einer Verbindung anzeigen will, eine Fehlermeldung (Zertifikat fehlt). Funktioniert das bei euch auch problemlos? Dann würde das vielleicht zusammenhängen, ich verstehe es aber immer noch nicht.

Ich hab keinen DB Navigator, der hat nicht weniger als sieben bekannte Tracker.

Du kannst natürlich mal probieren, in Deinem Browser Website-Daten zu löschen. Möglicherweise hast Du dort auch eine Einstellung gemacht, die die DB nicht will.

Du kannst auch in den Systemeinstellungen die dortigen Speicher- und Cache-Daten des Browsers löschen, danach ist der Browser dann quasi jungfräulich.

Du kannst auch generell mal einen anderen Browser verwenden, nur aus Spaß, um eine Spur aufzunehmen. (Ich hab den Stock Browser, also Bromite, verwendet.)

ich nutze den Navigator und der funktioniert bei mir problemlos.

ich gehe davon aus, dass Du mit mit FP3 und Samsung gleichzeitig getestet hast und nicht an unterschiedl. Tagen? gab schon Zugfahren mit kaputtem Zug-dhcpd.

1. beim FP3 ein statischen DNS gesetzt? (Einstellungen > Netzwerk & Internet > DNS) kann ggf stören
2. ggf konkurriert ein interface mit dem 172.18.0.0/16 (dig -t a login.wifionice.de) in dem das Bahnwifi aufgebaut wird (docker User hallo). Hast Du VPN Produkte oder Apps mit Ad-/Tracker-block / Netzwerkkontrolle installiert? die können Ihre Funktionalität über eigene interfaces umsetzen… ob da was stört zeigen

adb shell ip addr show up
adb shell ip route

Danke für die Antwort.
Ja, ich hatte das S5 zum Glück mit dabei und hatte mit Wifi und Navigator keine Probleme, mit dem FP3 die beschriebenen.
Beide Geräte sind gerootet und beide haben AdAway. Zum Test habe ich auf dem FP3 AdAway deaktiviert und das Gerät neu gestartet - keine Änderung.
Auf dem FP3 ist Android 10, auf dem S5 Android 9 - wie auf dem FP3 von @chogo . Vielleicht liegt es auch daran.

1. Das habe ich nicht geändert, steht (werksseitig) auf “Automatisch”, ein Private-DNS-Server ist nicht eingetragen.
2. Kann ich alle genannten Befehle (ohne “adb shell”) in einem Terminal mit Root-Rechten ausführen?
   Ich müsste das vor der nächste Reise mal am Bahnhof ausprobieren, dort gibt’s auch den Zugang WIFI@DB wie im Zug.

Edit: Beim Testen der Befehle in meinem Wifi zuhause habe ich festgestellt, dass ich Router und Repeater zwar über die IP, aber nicht über den Namen erreichen kann, mit dem S5 geht’s. Die Namensauflösung lokaler Adressen geht nicht? Womit kann das zusammenhängen?

zu 2. - ja, adb shell nicht notwendig und auf dem Gerät ausführbar, die lesenden ip Befehle kann man als User ausführen. Erst wenn etwas geändert wird benötigt man mehr.
Namensauflösung lokaler Adressen: ggf antwortet doch nicht der Router DNS für das FP3? wenn sowieso gerootet mit tcpdump auf dem Gerät schauen wohin die Queries gehen (und wenn sie nicht entstehen schluckt sie adaway). Einzelne Browser könnten auch DNS-over-Http/TLS verwenden, dann 443 / 853 ports. login.wifionice.de würde auch mit dem falschen DNS funktionieren weil public, dann muss nur noch dhcp fertig sein und die Route stimmen und man kann den captive portal Dialog bestätigen. Adaway ganz entfernen, nicht nur deaktivieren?

Vielen Dank für deine Tipps.
Schon dein letzter Beitrag hat mich auf die Spur zur Lösung des “Nebenproblems” in diesem Thema geführt: Zertifikatfehlermeldung im DB Navigator. (Wie so oft eine irreführende Fehlermeldung einer App. Es hat nichts mit Zertifikaten, sondern mit nicht erreichbaren URLs zu tun.

Dass es mit dem S5 diese Fehler nicht gab, hat mich auf eine falsche Spur gebracht. Das S5 ist nur mein Ersatzhandy und ich habe nicht gemerkt, dass mit der Installation von AdAway etwas nicht stimmte. Nachdem ich AdAway neu installiert hatte, hatte ich die Fehler auch auf dem S5. Damit war also AdAway der “Übeltäter”, na ja, eigentlich der DB Navigator, der ohne einige Track-Adressen nicht mehr funktioniert. (Passt zur Haltung der DB: Kein Stock-ROM? selber Schuld, wir helfen nicht.)

Auf dem S5 sind es diese Adressen, die erlaubt werden müssen

• a791773171.cdn.optimizely.com
• cdn.optimizely.com
• logx.optimizely.com
• siteintercept.qualtrics.com
• st.bahn.de

Auf dem FP3 sind es nur die ersten 3, die anderen werden nicht angesprochen.

Jetzt hoffe ich, dass das Einloggen ins Wifi der Bahn auch mit Freigaben in AdAway zu lösen ist, wie du schon angedeutet hast.

(Deine Tipps zum Testen der Verbindung werde ich mir leicht zugänglich abspeichern.)

Edit: Es hat doch mit Zertifikaten zu tun. Lösung aus dem Bahn-Forum: Den lokalen Webserver in den AdAway-Einstellungen während der Nutzung des DB Navigator deaktivieren. Dieses Zertifikat scheint die Fehlermeldung auszulösen.

DB Navigator: Adaways interner Webserver zieht Requests für Domains auf sich (via hostsfile) die DB Navigator ggf. nur via https aufrufen will ohne downgrade auf http. Das kann nur klappen wenn Adaway als Zertifikatsautorität in deinem Android Truststore steckt und damit gültige SSL Zertifikate für willkürliche Domains ausstellt (wildcard). Fehlt das ggf, oder kanns Adaway nicht? Der DB Nav kann Zertifikate auch pinnen, dann nimmt er keine Untergeschobene. Den Webserver gibts vermute ich um timeouts schneller zu erzwingen, dass Apps nicht lange versuchen eine Ressource zu laden wo sie nicht bereitgestellt wird. Ggf die Domains rausnehmen? Ich seh Du hast das schon zu Adaways Github issues getragen (#2873), da gibts noch ein anderen Issue (#2427) für den DB Navi. Ach lass die Bahn doch tracken

Soweit ich das verstanden habe, kann AdAway das nicht.
Eigentlich ist der Webserver auch dazu da, dass Apps keinen Fehler produzieren, wenn sie eine URL nicht erreichen. AdAway lenkt die geblockten Adressen ja über die hosts-Datei auf 127.0.0.1 um. Damit die Apps und Webseiten nicht keine Verbindung bekommen, sondern eine leere, läuft auf der Adresse ein lokaler Webserver. Für SSL-Verbindungen erstellt AdAway ein Zertifikat für den Webserver. Aber das scheinen einige Apps und auch Browser inzwischen nicht zu akzeptieren. Ich schalte den Webserver mal ganz aus und schaue, ob der nicht inzwischen mehr Fehler produziert als er vermeiden soll.

So, nach wochenlanger Kommunikation mit dem Helpdesk endlich die Ursache gefunden:
Ich hatte auf dem FP3 die DNS-Einstellungen geändert von der Standardeinstellung (DNS des Netzwerkbetreibers) auf eine datenschutzfreundliche DNS-IP. Das macht es unmöglich, die Login-/Zustimmungs-Seite eines Wifi-Zugangs wie bei der Deutschen Bahn aber auch vielen anderen anzuzeigen. Wer also auch diese DNS-Einstellung in den Netzwerk-Einstellungen nutzt, muss sie in diesem Fall wieder auf den Standard setzten.

Deshalb mein Vorschlag, einen entsprechenden Hinweis zu den DNS-Einstellungen hinzuzufügen.
Add a notice to DNS settings to warn about failing access to open Wifi hotspots (#5556) · Issues · e / Backlog · GitLab

Super, dass du dir die Mühe für ein Gitlab Ticket gemacht hast. Solche nutzerfreundlichen Hilfestellungen, wie von dir vorgeschlagen, machen in der Summe ein Produkt liebenswert.

1. beim FP3 ein statischen DNS gesetzt? (Einstellungen > Netzwerk & Internet > DNS) kann ggf stören

damit gewinnst Du 1x das Lied vom DNS

Gäbe es nicht zwei DNS-Einstellungen (DNS/DNS-Einstellungen und Privates DNS), wäre ich früher drauf gekommen. Der Ausdruck “statischen DNS” und die Tatsache, dass ich vorher eine verschlüsselte DNS-Verbindung ausprobiert habe, haben mich auf die falsche Spur gesetzt, wie in meiner Antwort auf deinen Hinweis zu sehen ist. Jetzt weiß ich’s und vielleicht hilft’s auch anderen.