Re: Darstellung von HTTPS-Sites in Stretch
Christian Knoke - 02.01.18, 01:11:
> > Und jetzt stellt sich die Frage: Was gewinnst Du dadurch?
>
> Eigentlich stellt sich die Frage nicht *g*
>
> bzw ich habe sie nicht gestellt. Ich wollte nur versuchen, mit eurer Hilfe
> die Verbindungsprobleme einzugrenzen.
Fair genug, darauf hat bislang niemand geantwortet.
Jedoch ist genau da mein Problem. Der Traffic geht über irgendwelche anderen
Wege als sonst. Was anderes, als mit den üblichen Werkzeugen zu schauen,
inwiefern Pakete da durch gehen und falls ja, die entfernten Dienste auf den
entsprechenden Ports auch antworten, fällt mir da gerade schlicht nicht zu
ein. Also traceroute, mtr jeweils mit ICMP/UDP, telnet auf Ports 443 oder was
immer Du sonst verwenden möchtest… so Zeug halt.
Falls Google oder andere große Internet-Konzerne da irgendwas blocken, weil du
diesen VPN-Anbieter verwendest, würde ich Dir empfehlen, den VPN-Anbieter
nicht zu verwenden. Natürlich kannst Du auch versuchen, mit dem Internet-
Konzern zu diskutieren. Das würde ich mir aber sparen.
Du schriebst in Deiner originalen Mail davon, dass es nur mit HTTPS nicht
klappt. Ich kenne mich jetzt nicht gut mit IPSec/IKE aus, aber soweit ich mich
grob erinnere, klemmt sich das in das TCP/IP-Schichtenmodell rein und macht da
lustige Dinge mit. Vielleicht hat das Auswirkungen auf die Handhabung von
HTTPS-Verbindungen. Daher könnte es Sinn machen, es mal mit OpenVPN zu
versuchen, das einfach die komplette TCP/IP-Verbindung tunnelt. Oder mit dem
neuen Wireguard-Zeug. Ob es da jedoch schon Anbieter gibt, weiß ich nicht.
Außerdem ist das Kernel-Modul derzeit noch extern (DKMS-Paket).
Welcher andere VPN-Anbieter sich eignet ist IMHO off-topic hier. Da ich selbst
VPN-Anbieter nur in Ausnahme-Fällen verwende, kann ich Dir da auch nicht viel
zu empfehlen. Ich hab bislang nur vpnbook.com via OpenVPN verwendet, um
Einschränkungen im Netzwerk-Zugriff zu umgehen, wenn ich mal in einem Hotel
war, wo der Netzwerk-Zugriff eingeschränkt war. Die kostenlose Variante, die
ich verwendete, war jetzt nicht so die Rakete. Daher würde ich das auch nicht
im Dauerbetrieb verwenden. Das kann aber auch mit an der Internet-Verbindung
des Hotels gelegen haben. Vielleicht würde es von hier aus besser laufen. Ich
kann also zur Zuverlässigkeit nicht wirklich so viel sagen. So oder so: Die
kostenlose Variante kannst einfach ausprobieren. Auch gerade mal in Bezug auf
OpenVPN. Ich kann mich nicht erinnern, dass es da Probleme beim Zugriff via
HTTPS gab. Inwiefern die Bezahl-Variante besser ist, weiß ich nicht. Ich
vermute es. Vielleicht wäre das ja was für Dich.
Alternative könntest Du Dir auch einfach irgendwo einen virtuellen Server
anmieten, und da ein OpenVPN / Wireguard oder was auch immer installieren. Ich
möchte das irgendwann auf meiner Server-VM mal machen, damit ich in Hotels
nicht auf vpnbook.com angewiesen bin, um Einschränkungen des Internet-Zugangs
zu umgehen.
Und damit bin ich wieder schon raus, da ich sonst bislang keinen VPN-Anbieter
verwendet hab, und ich auch nicht sehe, warum mir der mehr Sicherheit bietet
würde, als der M-Net-Festnetz-DSL-Anschluß mit kabelgebundenen lokalen LAN.
Insbesondere, da ich Mail-Zugriff und Ähnliches verschlüssele. Und das mit
etwas stärkerem als AES128 und eben auch mit Perfect Forward Secrecy. Auch
immer mehr HTTPS-Verbindungen arbeiten mit PFS. Das ist meinem Kenntnis-Stand
sicher, solange Quantencomputer nicht leistungsfähig genug sind, nicht genug
Qubits haben.
Solange sich also niemand einen physikalischen Zugriff zu meiner Wohnung oder
zum Provider verschafft, so lange derzeit die Vorratsdatenspeicherung de facto
ausgesetzt ist, so lange M-Net zusichert, keine Vorratsdatenspeicherung zu
betreiben, und so lange ein VPN-Anbeiter in Deutschland eben ebenso wie M-Net
an deutsches Recht gebunden und dem Zugriff von Behörden / Geheimdiensten
ausgesetzt ist… sehe ich da schlicht keinen Vorteil für einen VPN-Anbieter.
Ja, auch LAN-Kabel lassen sich mit hohem Aufwand von einer gewissen Entfernung
abhören, vielleicht sogar beeinflussen… aber das halte ich doch für
unwahrscheinlich, dass das hier jemand macht. Tor würde mitunter was bringen,
wo allem die neue Variante… aber ein VPN-Anbieter?
So oder so würde ich eher Zeit investieren, den Browser zu härten und Hinweise
aus dem Privacy-Handbuch oder von Applied Crypto Hardening umzusetzen. Das hab
ich alles schon teilweise gemacht. Das könnte ich hier und da aber noch
ergänzen oder aktualisieren. Eventuell wäre es auch eine Sache, einen
Privatsphäre-respektierenden DNS-Anbieter zu verwenden. Derzeit vertraue ich
da den DNS-Servern von M-Net.
Ich finde Sicherheit auch wichtig… jedoch differiere ich einfach in meinen
Ansichten, wie ich effektiv Sicherheit schaffen kann. Das darf auch gerne so
sein. Viel Erfolg bei Deiner Suche nach einem alternativen VPN-Anbieter oder
beim Aufsetzen Deines eigenen VPN-Systems. Ich denke, debian-user-german ist
nicht das ergiebigste Forum, um nach VPN-Anbietern zu fragen, aber vielleicht
kommt ja noch jemand mit einer Empfehlung.
So oder so mache ich mir in Bezug auf Sicherheit keine Illusionen. Also ist
für mich Sicherheit auch, mir zu überlegen, wem ich vertraue. Denn auf
irgendjemand Anderen bin ich für die Verbindung ins Internet angewiesen. Und
dann sind ja noch die entfernten Server, die so Web-Seiten inkl. tonnenweise
Javascript und so ein Zeug ausliefern. Ein 100%-iger Schutz besteht IMHO nur,
wenn ich mein lokales Netz vom Internet trenne. Und das 24/7. Also dann mal
tschüss. :)
Ciao,
--
Martin
Reply to: