[Berlin-wireless] Alternativport und =?iso-8859-1?Q?Verschl=C3=BCsselung_?=(war: Re: =?iso-8859-1?Q?VPN-Schl=C3=BCssel?=)

Michael Fritscher michael
Mo Okt 5 23:31:48 CEST 2015 

Guten Abend,

einen Vorteil hat eine (selbst einfache) Verschlüsselung des VPN: Der
Provider selbst kann nicht so einfach in die Daten reinschauen und z.B.
bei Erkennung von bestimmten Bytemustern (p2p, URL/ Worterkennung etc.)
reagieren. Damit kann Verschlüsselung dieses Pfades den Anschlussinhaber
schützen. Es sollte klar sein, dass dies weder den Enduser noch den Dienst
schützt, aber es schützt den Anschlussinhaber z.B. vor Ärger, wenn sein
Provider den Datenstrom nach "Kinderporno Download" oder "Wie legt man
eine Bombe" scannt (sehr einfache Beispiele, ich weiß ;) )

Außerdem meinen so manche Provider VPNs gezielt drosseln oder blockieren
zu müssen, um teurere Tarife verkaufen zu können. Wenn der Traffic aber
wie "normales" TLS nebst eine Menge Rauschen (durch die Verschlüsselung)
aussieht wird das ausgehebelt. Wenn Provider versuchen würden Rauschen zu
blocken würde nicht mehr viel funktionieren^^

Viele Grüße,
Michael

> FYI, das VPN hat einen einzigen Zweck, nämlich die 4 Byte der eigenen
> DSL/Kabel IP umzuschreiben. Es ist nur dazu da um die Stoererhaftung zu
> vermeiden.
>
> Das VPN und Freifunk ist kein Anonymisierungs-Dienst. Dafür bitte TOR
> verwenden.
> Das VPN hat nicht den Zweck den Traffic zu schützen. Dazu bitte ein
> eigenes VPN und/oder wo immer möglich SSL/TLS verwenden.
>
> Vor dem VPN (WLAN) und hinter dem VPN (Internet) ist der Traffic
> unverschlüsselt. Nur den Tunnel zu verschlüsseln bringt keinen Gewinn an
> Sicherheit, sondern hat vielmehr nur einen Placebo-Effekt der zu Lasten
> der allgemeinen VPN-Performance (Datendurchsatz) für alle Beteiligten
> führt.
>
> On 10/05/2015 11:05 PM, Andale Leroy wrote:
>> Hallo,
>>
>> vielen Dank für den Schlüssel, Philipp!
>>
>> Ich habs gleich getestet und leider funktioniert der alternative Port 53
>> in der udp config für alle drei vpn server nicht:
>>
>> Mon Oct  5 22:36:02 2015 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL
>> (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec  1
>> 2014
>> Mon Oct  5 22:36:02 2015 ******* WARNING *******: null cipher specified,
>> no encryption will be used
>> Mon Oct  5 22:36:02 2015 UDPv4 link local: [undef]
>> Mon Oct  5 22:36:02 2015 UDPv4 link remote: [AF_INET]77.87.49.68:53
>> Mon Oct  5 22:37:02 2015 TLS Error: TLS key negotiation failed to occur
>> within 60 seconds (check your network connectivity)
>> Mon Oct  5 22:37:02 2015 TLS Error: TLS handshake failed
>> Mon Oct  5 22:37:02 2015 SIGUSR1[soft,tls-error] received, process
>> restarting
>> Mon Oct  5 22:37:04 2015 UDPv4 link local: [undef]
>> Mon Oct  5 22:37:04 2015 UDPv4 link remote: [AF_INET]77.87.48.10:53
>> Mon Oct  5 22:38:04 2015 TLS Error: TLS key negotiation failed to occur
>> within 60 seconds (check your network connectivity)
>> Mon Oct  5 22:38:04 2015 TLS Error: TLS handshake failed
>> Mon Oct  5 22:38:04 2015 SIGUSR1[soft,tls-error] received, process
>> restarting [...]
>> Mon Oct  5 22:39:08 2015 UDPv4 link local: [undef]
>> Mon Oct  5 22:39:08 2015 UDPv4 link remote: [AF_INET]77.87.49.66:53
>> Mon Oct  5 22:40:08 2015 TLS Error: TLS key negotiation failed to occur
>> within 60 seconds (check your network connectivity)
>> Mon Oct  5 22:40:08 2015 TLS Error: TLS handshake failed
>> Mon Oct  5 22:40:08 2015 SIGUSR1[soft,tls-error] received, process
>> restarting
>>
>> Ich würde gerne den Alternativport benutzen, da Kabeldeutschland gerne
>> in den Abendstunden alles was nach p2p udp traffic aussieht drosselt
>> [1].
>>
>> Auch im Hinblick auf die Refugeeversorgung wäre es zudem super wenn auch
>> über udp ein openvpn daemon mit "ciper AES-256-CBC" laufen könnte, denn
>> wenn schon Ex-BND-Chef Hanning sagt: "wer sich überwachen lässt, ist
>> selber schuld" [2] dann würde ich gerne meine Nutzer davor schützen
>> wollen. Warum ich nicht die tcp config verwende: einfach ausgedrückt,
>> weil vpn über tcp langsamer ist (overhead durch Header und ACK Pakete).
>>
>> Gruß, Andale
>>
>> [1] http://www.kdgforum.de/viewtopic.php?t=4785
>> [2]
>> http://www.zeit.de/politik/deutschland/2015-10/bnd-nsa-hanning-untersuchungsausschuss
>>
>> On 05.10.2015 16:24, Philipp Borgers wrote:
>>> Du solltest einen Zugang erhalten haben.
>>>
>>> Gruß Philipp
>>>
>>> On Sun, Oct 04, 2015 at 12:55:55AM +0200, Andale Leroy wrote:
>>>> Hi,
>>>>
>>>> ich möchte mein Internet per Freifunk teilen und brauche dazu noch den
>>>> Schlüssel (bitte PGP verschlüsselt zusenden).
>>>>
>>>> Knotenname: ff-andale
>>>> Kontakt:    andale.leroy at mail.com
>>>>
>>>>
>>>> Gruß,
>>>>
>>>> Andale
>>>
>>>> pub  rsa4096/19CE336D 2015-10-03 [expires: 2025-09-30]
>>>> uid                   Andale Leroy <andale.leroy at mail.com>
>>>> sub  rsa4096/CB6D3D52 2015-10-03 [expires: 2025-09-30]
>>>
>>>
>>>
>>>
>>>> _______________________________________________
>>>> Berlin mailing list
>>>> Berlin at berlin.freifunk.net
>>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>>> Diese Mailingliste besitzt ein öffentlich einsehbares Archiv
>>>
>>>
>>>
>>> _______________________________________________
>>> Berlin mailing list
>>> Berlin at berlin.freifunk.net
>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>> Diese Mailingliste besitzt ein öffentlich einsehbares Archiv
>>>
>>
>>
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein öffentlich einsehbares Archiv
>>
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein öffentlich einsehbares Archiv

Mehr Informationen über die Mailingliste Berlin