Ich entschuldige mich schon einmal dafür, dass ich hier etwas weiter ausholen muss.
Sinn des Ganzen ist, dass ich, wenn alle Probleme gelöst sind, ich etwas baue, was jeder ohne großen aufwand nutzen kann!
Das werde ich dann selbsverständlich hier zur Verfügung stellen.
Anlass für diesen Thread ist, dass mir vor ca. drei Monaten mein Windows 8 Laptop abgeraucht ist. Also musste Ersatz her.
Habe dann einen Laptop mit vorinstalliertem Windows 10 gekauft. Bei der Recherche, wie man die Datenschnüffelei von Windows umgehen kann, stellte sich heraus, dass man zwar etwas machen kann, aber es lässt sich nicht ganz verhindern.
Da ich Phython von Berufs wegen Python beherrsche, habe ich mir eine nicht Hersteller-Cloud basierte Home Automation "from the scratch" selbst programmiert. Da das auf mehreren Rasperry Pi läuft, musste ich da auch viel mit Linux, aber nur auf der Konsole arbeiten. Es lag also nahe, Linux mit GUI mal eine Chance zu geben. Es hat zwar 14 Tage gedauert, bis ich alle für produktiv Tätigkeiten notwendig Software installiert und eine sinnvoll nutzbare Oberfläche geschaffen habe. Aber ich bin begeistert, zumindest auf dem Laptop wieder Herr im eigenen Haus zu sein.
Aber ich möchte das Thema jetzt kosequent angehen.
Hier in diesen Thread möchte ich gerne ein paar Ansätze diskutieren.
1.) Die erste Datenkrake, ist der Provider. Immer noch weit verbreitet, drohende Vorratsdatenspeicherung, Verkehrsdatenspeichrung, Zwangsrouter,DNS hijacking DNS redirection.
Ich z.B. habe immer noch einen Zwangsrouter von Vodaphone, und mein Provider tut alles, dass das so bleibt. Zugangsdaten für die
Einrichtung, bekommen nur Neukunden, Was bei mir aber zum Verlust wichtiger Telefonnummern führen würde.
Also kommt hier IPFire in's Spiel. Damit stört zumindest der Zwangrouter dann nicht mehr und durch dnsmasq sollte DNS hijacking und DNS redirection auch kein Thema mehr sein.
Bleibt noch Voratsdatenspeicherung und Verkehsdatenspeicherung. Mein Ansatz hier: VPN
In diesem Thread: PFire als Client für Perfect Privacy.
habe ich mal einen Ansatz entwickelt. Da läuft IPFire als VPN-Client, was ja per se nicht vorgesehen ist.
Funktioniert super, hat aber ein Akzeptanzproblem.
Hier im Homenetz steigt mir z.B. meine Familie auf's Dach, weil netflix keine Zugang über VPN Provider zulässt.
Dazu werde ich versuchen, bestenfallst mit eurer Hilfe, nach Lösungen zu suchen.
2.) Andere Datenkraken, Google, Social Network, Windows usw.
PP bietet ja funktionierende URL-Filter an, wo man sämtliche Google-URL sperren kann. Ich habe des mal ausprobiert - da sieht man mal, wo die überall die Finger drin haben.
Auch hier bin ich gespannt, ob man hier gute Ansätze, z.B. Aufsetzen eine eigene DNS-Server, wo man dann sinnvolle Einstellungen selbst in der Hand hat, und nicht die Holzhammermethode benutzen muss.
Also hoffe ich auf euer Interese, eure Diskussionsfreudigkeit, und eure Mitarbeit .
Meine Fragen in diesem Zusammenhang sind:
Frage 1: Ausnahmen vom VPN-Tunnel
Wie schaffe ich es bei enem laufenden VPN-Client, bei dem der komplette Verkehr über tun0 umgeleitet wird
Ausnahmen hinzubekommen. Insbesondere auch IPV6-Adressen. Ich denke, dass das über iptables und/oder Routing hinzubekommen ist.
Ich nehme hier Bezug auf das Akzeptanz Problem, insbesondere Netflix.
Findet sich ein iptables-Fachmensch, der hier einen Beitrag leisten kann?
Frage 2:
Um auch von Außen auf diese Lösung zuzugreifen, läuft parallel auf der selben Maschine eon OpenVPN Server.
Der Server und der Client laufen alleine Perfekt, kommen sich aber in die Quere, wenn sie parallel laufen.
wenn der Server alleine läuft, sieht das so aus:
netstat -r
wobei der Roadwarrior über die 192.168.33.0 'reinkommt. Der Roadwarrior hat Zugriff auf alle Rechner in Grün und seine externe IP ist die externe IP des IPFire. In diesem Fall die meines ISP. Das ist aber unerwünscht. Ich will ja anonymisieren. Also starte ich eine VPN-Client auf IPFire um mich mit PP zu verbinden. Der läuft auf tun1. Folge: Die Client in Grün haben keine Internetverbindung und die Verbindung des Roadwarriors bricht ab. Also mache ich folgendes:
iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o tun1 -j MASQUERADE
Die Clients in Grün haben nun wieder Internetverbindung, die Externe IP der Clients ist die des VPN Providers, also alle Clients in Grün sind anonym. Soweit, so gut. Problem, der Roadwarrior kann sich nicht verbinden.
netstat -r
Da scheint was zu fehlen.
Die Frage ist: Wie bekomme ich es hin, dass der Roadwarrior wieder Zugriff auf alle Rechner in Grün hat und der Internettraffic des Roadwarriors auch über den VPN Anbieter läuft.
Vlt. erbarmt sich ja ein iptables Spezialist. Ich sag schon mal Danke.
In dem Zusammenhang die Frage: Ist @JackCarver eigentlich noch aktiv hier. Der scheint ja bei iptables sehr kompetent zu sein.
Gruß aus Ostfriesland
Sinn des Ganzen ist, dass ich, wenn alle Probleme gelöst sind, ich etwas baue, was jeder ohne großen aufwand nutzen kann!
Das werde ich dann selbsverständlich hier zur Verfügung stellen.
Anlass für diesen Thread ist, dass mir vor ca. drei Monaten mein Windows 8 Laptop abgeraucht ist. Also musste Ersatz her.
Habe dann einen Laptop mit vorinstalliertem Windows 10 gekauft. Bei der Recherche, wie man die Datenschnüffelei von Windows umgehen kann, stellte sich heraus, dass man zwar etwas machen kann, aber es lässt sich nicht ganz verhindern.
Da ich Phython von Berufs wegen Python beherrsche, habe ich mir eine nicht Hersteller-Cloud basierte Home Automation "from the scratch" selbst programmiert. Da das auf mehreren Rasperry Pi läuft, musste ich da auch viel mit Linux, aber nur auf der Konsole arbeiten. Es lag also nahe, Linux mit GUI mal eine Chance zu geben. Es hat zwar 14 Tage gedauert, bis ich alle für produktiv Tätigkeiten notwendig Software installiert und eine sinnvoll nutzbare Oberfläche geschaffen habe. Aber ich bin begeistert, zumindest auf dem Laptop wieder Herr im eigenen Haus zu sein.
Aber ich möchte das Thema jetzt kosequent angehen.
Hier in diesen Thread möchte ich gerne ein paar Ansätze diskutieren.
1.) Die erste Datenkrake, ist der Provider. Immer noch weit verbreitet, drohende Vorratsdatenspeicherung, Verkehrsdatenspeichrung, Zwangsrouter,DNS hijacking DNS redirection.
Ich z.B. habe immer noch einen Zwangsrouter von Vodaphone, und mein Provider tut alles, dass das so bleibt. Zugangsdaten für die
Einrichtung, bekommen nur Neukunden, Was bei mir aber zum Verlust wichtiger Telefonnummern führen würde.
Also kommt hier IPFire in's Spiel. Damit stört zumindest der Zwangrouter dann nicht mehr und durch dnsmasq sollte DNS hijacking und DNS redirection auch kein Thema mehr sein.
Bleibt noch Voratsdatenspeicherung und Verkehsdatenspeicherung. Mein Ansatz hier: VPN
In diesem Thread: PFire als Client für Perfect Privacy.
habe ich mal einen Ansatz entwickelt. Da läuft IPFire als VPN-Client, was ja per se nicht vorgesehen ist.
Funktioniert super, hat aber ein Akzeptanzproblem.
Hier im Homenetz steigt mir z.B. meine Familie auf's Dach, weil netflix keine Zugang über VPN Provider zulässt.
Dazu werde ich versuchen, bestenfallst mit eurer Hilfe, nach Lösungen zu suchen.
2.) Andere Datenkraken, Google, Social Network, Windows usw.
PP bietet ja funktionierende URL-Filter an, wo man sämtliche Google-URL sperren kann. Ich habe des mal ausprobiert - da sieht man mal, wo die überall die Finger drin haben.
Auch hier bin ich gespannt, ob man hier gute Ansätze, z.B. Aufsetzen eine eigene DNS-Server, wo man dann sinnvolle Einstellungen selbst in der Hand hat, und nicht die Holzhammermethode benutzen muss.
Also hoffe ich auf euer Interese, eure Diskussionsfreudigkeit, und eure Mitarbeit .
Meine Fragen in diesem Zusammenhang sind:
Frage 1: Ausnahmen vom VPN-Tunnel
Wie schaffe ich es bei enem laufenden VPN-Client, bei dem der komplette Verkehr über tun0 umgeleitet wird
Code:
iptables -t nat -A POSTROUTING -s GREEN_NIC -o tun0 -j MASQUERADE
Ausnahmen hinzubekommen. Insbesondere auch IPV6-Adressen. Ich denke, dass das über iptables und/oder Routing hinzubekommen ist.
Ich nehme hier Bezug auf das Akzeptanz Problem, insbesondere Netflix.
Findet sich ein iptables-Fachmensch, der hier einen Beitrag leisten kann?
Frage 2:
Um auch von Außen auf diese Lösung zuzugreifen, läuft parallel auf der selben Maschine eon OpenVPN Server.
Der Server und der Client laufen alleine Perfekt, kommen sich aber in die Quere, wenn sie parallel laufen.
wenn der Server alleine läuft, sieht das so aus:
netstat -r
Code:
Destination Gateway Genmask Flags MSS Window irtt Iface
default gateway 0.0.0.0 UG 0 0 0 red0
10.96.211.0 10.96.211.2 255.255.255.0 UG 0 0 0 tun0
10.96.211.2 * 255.255.255.255 UH 0 0 0 tun0
172.16.0.0 * 255.255.255.0 U 0 0 0 green0
192.168.33.0 10.96.211.2 255.255.255.0 UG 0 0 0 tun0
192.168.178.0 * 255.255.255.0 U 0 0 0 red0
gateway * 255.255.255.255 UH 0 0 0 red0
wobei der Roadwarrior über die 192.168.33.0 'reinkommt. Der Roadwarrior hat Zugriff auf alle Rechner in Grün und seine externe IP ist die externe IP des IPFire. In diesem Fall die meines ISP. Das ist aber unerwünscht. Ich will ja anonymisieren. Also starte ich eine VPN-Client auf IPFire um mich mit PP zu verbinden. Der läuft auf tun1. Folge: Die Client in Grün haben keine Internetverbindung und die Verbindung des Roadwarriors bricht ab. Also mache ich folgendes:
iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o tun1 -j MASQUERADE
Die Clients in Grün haben nun wieder Internetverbindung, die Externe IP der Clients ist die des VPN Providers, also alle Clients in Grün sind anonym. Soweit, so gut. Problem, der Roadwarrior kann sich nicht verbinden.
netstat -r
Code:
Destination Gateway Genmask Flags MSS Window irtt Iface
default 10.0.192.1 128.0.0.0 UG 0 0 0 tun1
default gateway 0.0.0.0 UG 0 0 0 red0
10.0.192.0 * 255.255.255.0 U 0 0 0 tun1
10.96.211.0 10.96.211.2 255.255.255.0 UG 0 0 0 tun0
10.96.211.2 * 255.255.255.255 UH 0 0 0 tun0
128.0.0.0 10.0.192.1 128.0.0.0 UG 0 0 0 tun1
172.16.0.0 * 255.255.255.0 U 0 0 0 green0
178.162.194.30 gateway 255.255.255.255 UGH 0 0 0 red0
192.168.33.0 10.96.211.2 255.255.255.0 UG 0 0 0 tun0
192.168.178.0 * 255.255.255.0 U 0 0 0 red0
gateway * 255.255.255.255 UH 0 0 0 red0
Da scheint was zu fehlen.
Die Frage ist: Wie bekomme ich es hin, dass der Roadwarrior wieder Zugriff auf alle Rechner in Grün hat und der Internettraffic des Roadwarriors auch über den VPN Anbieter läuft.
Vlt. erbarmt sich ja ein iptables Spezialist. Ich sag schon mal Danke.
In dem Zusammenhang die Frage: Ist @JackCarver eigentlich noch aktiv hier. Der scheint ja bei iptables sehr kompetent zu sein.
Gruß aus Ostfriesland