VPN Lösung für gesamtes Netzwerk (Hotspot) gesucht

[kexbox]

ANZEIGE

Hallo,

ein Bekannter von mir betreibt für seine Gäste ein Netz auf mehreren Accesspoints, die diese kostenfrei nutzen dürfen. Da er aber keine Lust hat, sich für diese kostenlose Leistung Ärger an den Hals zu holen (P2P, Schmuddelkram, Terroristen), würde er gerne den GESAMTEN Traffic über einen VPN Dienst tunneln.

Gibt es eine Lösung z.B. mit einem WRT54GL den gesamten Traffic so durch einen VPN-Zugang zu jagen? VPN Server gibt es wie Sand am Meer, aber eine Client-Lösung auch?

Grüße

 

[ANK660]

Natürlich gibt es auch Lösungen auf dem Client (Router), nur was nutzt es? Aus dem rechtlichen Schneider ist Dein Bekannter da noch lange nicht.
Durch die komischen deutschen Gesetze ist er eigentlich verpflichtet von jedem Nutzer die Personalien festzustellen bevor er ihn ins Internet lässt. Ohne der Aufnahme der Personalien absichern könnte er sich nur durch den Einsatz einer Firewall die Ports sperrt und eines filternden Proxys für http/https. Mehr könnte er dann halt nicht anbieten... für diese Lösung gibt es auch OOB-Geräte nur die kosten halt Geld.

 

[ANK660]

Gibt es eine Lösung z.B. mit einem WRT54GL den gesamten Traffic so durch einen VPN-Zugang zu jagen?

Achso wegen des Traffic, im DHCP den Router als Gateway eintragen, auf dem Router DD-WRT mit Openvpn installieren, Zugangsdaten eintragen und fertig.
Aber es ist so naja, siehe oben.

 

[peter42]

Transparenten Zwangsproxy (z.B. Squid) einschleifenund da filtern.

 

[Stanley]

Hier mal ein Infoblatt der IHA bzw. der DEHOGA: http://dehogahessen.de/mitglieder/files/merkblatt_internetzugang_fuer_gaeste_stand_januar_2009.pdf

 

[ANK660]

Transparenten Zwangsproxy (z.B. Squid) einschleifenund da filtern.

Squid kann man zu leicht austricksen.... Tunnel über 443 bauen und schon wars das.

 

[ANK660]

Hier mal ein Infoblatt der IHA bzw. der DEHOGA: http://dehogahessen.de/mitglieder/files/merkblatt_internetzugang_fuer_gaeste_stand_januar_2009.pdf

Wobei es ja bei Hotels recht einfach ist den Gast zu identifizieren, in Gaststätten dürfte es schwieriger sein.

 

[kexbox]

All' diese Probleme, die sich dem anschließen (DARF man solche Daten erheben, wie lange / Speicherung/Auskunft) umgeht man, indem man einfach im Falle eines Rechtsverstoßes NICHT zu greifen ist (VPN-Service im weit entfernten Ausland ohne Logfile). Denn selbst wenn ich Daten erfasse: WELCHER Nutzer, den ich vorher geloggt habe, hat die rechtswidrige Handlung veranlasst? Nenenene, das ist momentan einfach zu heiß.

Die Squid-Lösung klingt gut, installiere ich Squid auf einem WRT54G? Sorry für die doofe Nachfrage.

Grüße

 

[peter42]

Squid kann man zu leicht austricksen.... Tunnel über 443 bauen und schon wars das.

Squid mit SSL-Proxy, dachte das wäre klar!

 

[peter42]

All' diese Probleme, die sich dem anschließen (DARF man solche Daten erheben, wie lange / Speicherung/Auskunft) umgeht man, indem man einfach im Falle eines Rechtsverstoßes NICHT zu greifen ist (VPN-Service im weit entfernten Ausland ohne Logfile). Denn selbst wenn ich Daten erfasse: WELCHER Nutzer, den ich vorher geloggt habe, hat die rechtswidrige Handlung veranlasst? Nenenene, das ist momentan einfach zu heiß.

Die Squid-Lösung klingt gut, installiere ich Squid auf einem WRT54G? Sorry für die doofe Nachfrage.

Grüße

Transparent web proxy - DD-WRT Wiki

 

[ANK660]

Das ist die Krux, bilde Dir nicht ein ein VPN sei nicht zu verfolgen. Vielleicht nicht die Daten inenrhalb des VPN aber immer am Beginn/Endpunkt. Und wo ein VPN endet steht in jedem IP-Paket. In Europa gibt es übrigens keine "sicheren" VPN Betreiber, alle sind ihren nationalen Gesetzen unterworfen und momentan ist es, so komisch es klingen mag, in Deutschland am sichersten weil Deutschland das einzige Land in der EU plus Liechtenstein,Schweiz, Norwegen u.a. ist das _keine_ Vorratsdatenspeicherung hat.
Den Squid bekommst Du nicht auf den Router sondern auf einen extra Rechner, idealerweise unter Linux/BSD. Damit ist es aber bei weitem nicht getan, der squid ist schnell installiert nur dann ist er noch lange nicht konfiguriert. Um diesem filtern und Beschränkungen beizubringen darfst Du entweder ein Buch kaufen und unzählige Dokus lesen, im Endeffekt dann ein Abo bei einem Webfilteranbieter abschliessen oder Du zahlst einen Spezialisten ohne Garantie das Du einen wirklichen findest, es gibt viel Halbwissen in diesem Bereich..... z.B. bei einem Automobilhersteller wurde weltweit squid eingesetzt, als ich dort hinkam hatte ich 4 Monate zu tun erstmal die Filter auf die Anforderungen der Länder anzupassen aber vor mir war ein "grosser" Spezialist....
Genau wegen dieser Problematik mein Verweis auf die OOB-Geräte, z.B. von Bluecoat und die können dann auch https-Verkehr filtern.

 

[ANK660]

Transparent web proxy - DD-WRT Wiki

alles zurück...

 

[kexbox]

Hallo,

mir schwebt ein russischer, kanadischer oder Südafrikanischer Anbieter vor, der keine Logs anfertigt. Ich möchte die Rechtsverfolgung nicht unmöglich machen, "Parasitäre" RAe sollen sich nicht zu schnell auf den Anschlussinhaber stürzen können, der derzeit ja doch etwas blöd dasteht.

Grüße

 

[ANK660]

Squid mit SSL-Proxy, dachte das wäre klar!

Ein einfacher SSL-Proxy beim Squid lässt sich genauso austricksen, es muss dann schon einer sein der die SSL-Verbindung öffnet, das Paket analysiert und dann ein eigenes Zertifikat verwendet um die Kommunikation fort zusetzen. Also in der Art Man in the middle. Das kann Squid von Haus aus nicht.... von den Kosten für die nötigen Zertifikate ganz zu schweigen.

 

[ANK660]

Hallo,

mir schwebt ein russischer, kanadischer oder Südafrikanischer Anbieter vor, der keine Logs anfertigt. Ich möchte die Rechtsverfolgung nicht unmöglich machen, "Parasitäre" RAe sollen sich nicht zu schnell auf den Anschlussinhaber stürzen können, der derzeit ja doch etwas blöd dasteht.

Das ist mit Verlaub gesagt alles eine blöde Idee, lies Dir das hier ein paar Beiträge weiter oben verlinkte pdf durch und nimm eine der dort angebotenen Möglichkeiten.

 

[kexbox]

Die o.g. PDF-Datei ist nach einem ersten Durchblick leider nicht mehr aktuell, berücksichtigt sie doch nicht die weitgehende störerhaftungsbejahende Entscheidung des BGH aus diesem Jahr und den zwischenzeitlichen zivilrechtlichen Auskunftsanspruch der Rechteinhaber gegen den Internetprovider. Der frühere Weg: Strafantrag - Ermittlung durch Behörden - Akteneinsicht ist nicht mehr erforderlich.

 

[ANK660]

Mir geht es nicht um die rechtlichen Aussagen dieser Datei, die technischen Wege sind da aber ordentlich aufgezeigt.....

 

[kexbox]

Mir geht es nicht um die rechtlichen Aussagen dieser Datei, die technischen Wege sind da aber ordentlich aufgezeigt.....

Stimmt, das trifft zu. Aber ich glaube, trotz Aufzeichnung der "Nutzungsdaten" (untechnisch), ist man eben nicht raus aus der Anschlussinhaber-Störerhaftung, zumindest hat man zunächst den Ärger.

 

[peter42]

Ein einfacher SSL-Proxy beim Squid lässt sich genauso austricksen, es muss dann schon einer sein der die SSL-Verbindung öffnet, das Paket analysiert und dann ein eigenes Zertifikat verwendet um die Kommunikation fort zusetzen. Also in der Art Man in the middle. Das kann Squid von Haus aus nicht.... von den Kosten für die nötigen Zertifikate ganz zu schweigen.

Habe ich mit squid schon aufgesetzt, nennt sich ssl-bump ist AFAIR noch experimental aber im nächsten Release drin - und geht natürlich auch mit selfsigned Certs. Gibt recht brauchbare kostenlose Listen für Squidguard bzw. Dansguardian. Wenn man squid kennt ist das recht easy.

Bluecoat/webwasher spielen in einer Preisklasse, die hier wahrscheinlich nicht relevant ist.

 

[tosc]

Habe ich mit squid schon aufgesetzt, nennt sich ssl-bump ist AFAIR noch experimental aber im nächsten Release drin - und geht natürlich auch mit selfsigned Certs. Gibt recht brauchbare kostenlose Listen für Squidguard bzw. Dansguardian. Wenn man squid kennt ist das recht easy.

Nett, das ssl-bump ist bisher an mir vorbei gegangen

Bluecoat/webwasher spielen in einer Preisklasse, die hier wahrscheinlich nicht relevant ist.

Da ist von auszugehen ...

 

[peter42]

Nett, das ssl-bump ist bisher an mir vorbei gegangen

Ist in der 3.3 drin:"- SslBump: Squid-in-the-middle decryption and encryption of straight
CONNECT and transparently redirected SSL traffic, using configurable
client- and server-side certificates. While decrypted, the traffic
can be inspected using ICAP.
"