SSH-Tunnel per Raspberry AP zu Socks5

[McBainHH]

Moin,

besteht die Möglichkeit auf einem Raspberry, der als WLan Accesspoint arbeitet, einen SSH-Tunnel zu starten der in Verbindung zu einem Socks5 Proxy steht?

Ich hatte mir das so vorgestellt:

ssh -N -p SSH 443 USERNAME@THIRD_SERVER_IP -L LOCAL_PORTRIMARY_SERVER_IP:5080 -oUserKnownHostsFile=perfect_privacy_known_hosts

In der Anwendung würde ich den Proxy dann mit localhost und dem vergebenen local_port eintragen.

Würde das so funktionieren?

 

[MixMaster]

Ich verstehe nicht ganz, was du erreichen willst

Wenn du auf dem Pi eine Anwendung per Proxy über PP tunneln willst, kannst du das mit ssh -D <local_port> machen und dann <local_port> als SOCKS-Port verwenden. Dein SSH-Client ist dann der Proxy und leitet die Verbindungen über den Tunnel und den PP-Server ins Internet.

 

[McBainHH]

Ist das wirklich so einfach?

Erreichen möchte ich, das per W-Lan mit dem Pi verbundene Geräte, nur über den SSH Tunnel und SOCKS ins Internet kommen.

 

[MixMaster]

Achso. Warum muss es SSH sein? Mit OpenVPN z.B. liesse sich das einrichten, ohne daß auf den verbundenen Geräten etwas geändert werden muss (der Pi wäre dann ein generischer VPN-Router, wobei er weder ein guter WLAN-AP noch ein schneller VPN-Router ist . Es gibt im Internet dazu ein paar Anleitungen.

Aber theoretisch geht das mit SSH und SOCKS.

Auf dem Pi startest du einen SOCKS-Proxy mit SSH, z.B. so:
ssh -gND 1080 mixmaster@amsterdam.perfect-privacy.com
(die Option -g ist wichtig, damit der Proxy aus dem LAN erreichbar ist)

Auf den Geräten musst du jeweils einen SOCKS-Proxy einrichten.
curl --socks5-hostname 192.168.0.X:1080 https://checkip.perfect-privacy.com/json
{"VPN":true,"TOR":false,"IP":"95.211.95.244","DNS":"amsterdam3.perfect-privacy.com","CITY":"Amsterdam","COUNTRY":"Netherlands"}

Damit die Geräte ohne Proxy nicht mehr ins Internet kommen, musst du dann noch verhindern, daß die Pakete weitergeleitet werden.
Z.B. mit iptables:
iptables -P FORWARD DROP
iptables -F FORWARD
oder durch Abschalten der Forwarding-Funktion:
echo 0 >/proc/sys/net/ipv4/ip_forward
echo 0 >/proc/sys/net/ipv6/conf/all/forwarding

 

[McBainHH]

Momentan ist der Pi ein VPN Router und ist dem nicht gewachsen. Genau aus diesem Grund suche ich nun nach ner Alternative.
Ich werde das mal ausprobieren.

 

[bigplayer]

Warum muss es SSH sein? Mit OpenVPN z.B. liesse sich das einrichten, ohne daß auf den verbundenen Geräten etwas geändert werden muss (der Pi wäre dann ein generischer VPN-Router, wobei er weder ein guter WLAN-AP noch ein schneller VPN-Router ist .

Du hast Deine Frage eigentlich schon selber beantwortet.
Überhaupt schon jemals einen SSH Socks Tunnel probiert?
Der Vorteil liegt darin dass man auch mit einen sehr schwachen Gerät meist die volle ISP Geschwindigkeit erreicht und dies oft auch bei weit entfernten Servern was mit VPN so meist nicht möglich ist.
Der einzige Nachteil ist dies etwas schwächere Verschlüsselung wobei sich hier wiederum die Frage stellt ob man überhaupt eine Verschlüsselung braucht die auch sämtlichen Geheimdiensten standhält. Einfach mitlesen kann hie auch niemand und ich bezweifele mal ganz stark das sich die Behörden überhaupt die Mühe machen würden den SSH Traffic zu entschlüsseln geschweige denn überhaupt in der Lage sind dies zu tun.

Ich denke mal 99% der Leute wollen einfach nur anonym Gegenüber der Dienste sein die sie benutzen. Wenn dann überall marketingmässig von einer Miltär grade Verschlüsselung gesprochen wird glauben die natürlich gleich dass sie gegenüber der besuchten Seite noch sicherer sind, was natürlich vollkommener Blödsinn ist. Selbst ganz ohne Verschlüsselung sieht die besuchte Seite nur die PP IP.
Dafür dass dagegen der Internetanschluss überwacht werden soll muss erst einmal ein Anfangsverdacht bestehen. Dieser kann aber erst garnicht entstehen wenn man vorher beim Ermitteln immer nur auf IP Adressen von PP getroffen ist. Sie wissen ja garnicht wen sie überwachen müssten. Und ohne Grund wird keine Behörde versuchen den SSH Traffic mal einfach so "on the fly" zu entschlüsseln und mitzulesen weil dies selbst wenn es so einfach ginge sehr kostenaufwendig wäre.

Dies bezog sich aber sowiso nur auf schon schwere kriminelle Verstösse. Bei dem 0815 Raubmordkopierer gibt man spätestens schon auf wenn da auch nur ne Cyberghost IP Adresse zu sehen ist