Seiten trennen

[ServiceLinuxStart]

Hallo Community,

brauche Lösungsansatz für folgende Konstellation.

Wir haben:
Eine Liste mit Internetseiten G1: z.B private.seiten.org
Eine Liste mit Internetseiten G2: z.B geschäftliche.seiten.org
KEINE Liste für Internetseiten G3: z.B rest.org (alles was nicht in G1 oder G2 gelistet ist)

Liste G1 soll normal raus
Liste G2 soll durch VPN
G3 soll durch TOR

Dies soll für alle Geräte im Netzwerk gelten.
Was tun? Wie realisiere ich das am Besten?
Workstation (24/7) hat reichlich Kerne.

(und bitte bitte fragt nicht nach dem „Warum?“)

Kleiner Nachtrag: Ich nutze seit Monaten Pi-Hole als erste DNS Anlaufstelle.

[bluestar]

Guten Morgen,
magst du uns vielleicht noch mal ein wenig mehr über dein Netzwerk erzählen? Hast du bereits einen dedizierten Debian-basierten Router in deinen Netz oder gehst du aktuell direkt über FritzBox (od. ähnliches) ?

Soll das was du beschrieben hast nur für's Surfen oder für jeglichen Traffic gelten?

[ServiceLinuxStart]

Guten Tag bluestar,

Aktuell: Internet – ISP Fritzbox – LANe DebianVM LANi – Switchs/WLAN Router/Pi-Hole/ProxyWIN

DebianVM ist das Gateway/FW/Zeitserver

ProxyWIN zb ist nur für Windows, wo nur die Whitelist durch geht, Rest wird geblockt. (war nur zum Testen und bin somit auf die Idee gekommen)

Jetzt hätte ich gerne eine Art globalen ProxyX für alle Geräte im Netzwerk, DER ABER das oben beschriebene macht. Ich könnte auch 3 Gateways einrichten; das Eine bleibt unverändert, das Zweite leitet alles über VPN und das Dritte über TOR. Aber wie bringe ich den ProxyX davor G1-G3 zu unterscheiden und dementsprechend weiter an die Gateways zu leiten. Ich bezweifle, dass ich mit Squid da weiterkomme…
Und bin absolut planlos…

[bluestar]

Und bin absolut planlos…

Mal so ganz unrein/grob gedacht, wie ich das basteln würde:
1) Du brauchst 3 Instanzen einer Proxy-Server-Software, die auf unterschiedlichen Ports (und auf IP 192.168.123.1) lauscht und die jeweils über eine eigene IP (kann eine interne private sein) sich zum Zielnetz (Direkt, VPN, TOR) verbindet.
2) Dann brauchst du source based routing
2.1) Proxy-1 (Port 3128)=> Interne IP 1, Traffic via default gateway routen mit NAT
2.2) Proxy-2 (Port 3129)=> interne IP 2, Traffic wird auf den Gateway im VPN gesetzt mit NAT
2.3) Proxy-3 (Port 3130)=> interne IP 2, Traffic wird ins TOR Netz geroutet
3) Du brauchst eine proxy.pac mit etwa folgendem Inhalt:

Code: Alles auswählen

function FindProxyForURL (url, host) {
	if (dnsDomainIs(host, '.private.seiten.org')) {
		return 'PROXY 192.168.123.1:3128';
	}
	else if (dnsDomainIs(host, '. geschäftliche.seiten.org')) {
		return 'PROXY 192.168.123.1:3129';
	}
	return 'PROXY 192.168.123.1:3130';
}

4) Du deaktivierst für dein LAN -> Internet/VPN/TOR komplett
5) Du stellst über einen HTTP Server auf deiner Debian VM die proxy.pac bereit und gibst sie via DHCP bekannt (siehe: https://wiki.gentoo.org/wiki/ProxyAutoC ... figuration)
6) Letztlich pflegst du dann die Liste, welche URL über welchen Proxy geht in der proxy.pac.

Alternativ könntest du das auch alles im Squid mit ACLS und mehreren Outgoing IPs machen, dann bleiben nur noch das source based routing einrichten, und den squid über eine einfach proxy.pac bekanntgeben.

Den Aufwand ein solches Setup "long term"-mäßig zu betreuen halte ich für Overkill..

Ich freu mich zu lesen, wie du es letztlich umgesetzt hast und wenn du es am Laufen hast, wie es sich so im Alltag bewehrt.

[ServiceLinuxStart]

Genial, herzlichen Dank!
Werde mich heute Nacht dransetzen. Bin gespannt

Nachtrag: Mit overkill weiß ich was Du meinst. Zumindest habe ich durch Pi-Hole eine gute Übersicht der letzten Monate.

[ServiceLinuxStart]

Ich freu mich zu lesen, wie du es letztlich umgesetzt hast und wenn du es am Laufen hast

Soweit alles erledigt: mit pactester -p proxy.pac klappt alles

Allerdings bekomme ich ne Kleinigkeit nicht hin:
statt if (dnsDomainIs(host, '.private.seiten.de'))
wollte ich if (dnsDomainIs(host, 'path/to/G1.lst')) , klappt aber leider nicht.
Syntax falsch? Oder falscher Weg?

[bluestar]

Allerdings bekomme ich ne Kleinigkeit nicht hin:
statt if (dnsDomainIs(host, '.private.seiten.de'))
wollte ich if (dnsDomainIs(host, 'path/to/G1.lst')) , klappt aber leider nicht.
Syntax falsch? Oder falscher Weg?

Das ist falsche Weg, du kannst keine Datei mit Domainlisten zum Vergleichen nutzen.

[bluestar]

Code: Alles auswählen

function FindProxyForURL (url, host) {
	if (dnsDomainIs(host, '.private.seiten.org')) {
		return 'PROXY 192.168.123.1:3128';
	}
	else if (dnsDomainIs(host, '. geschäftliche.seiten.org')) {
		return 'PROXY 192.168.123.1:3129';
	}
	else if (dnsDomainIs(host, 'zweite.private.seiten.org')) {
		return 'PROXY 192.168.123.1:3128';
	}
	return 'PROXY 192.168.123.1:3130';
}

[eggy]

@bluestar: das ist nen Leerzeichen, das da vermutlich nicht reingehört?

Ich hätte eher versucht, das über die Routingtabelle zu lösen.
Script schreiben, was die Namensauflösung macht, dann entsprechende Einträge für die jeweiligen Netze erstellen.
Ob das praktikabel ist, hängt sehr davon ab, welche Seiten sich in den jeweiligen Listen befinden, und was die jeweils querverweisen. Wie reagierst Du auf "wir binden $externeResource ein", ist das geschäftlich? ist das privat? ist das tor? Was, wenn das in allen drei Bereichen nötig ist?
Schwachstelle beim Torkonzept ist, dass User sich demaskieren können, in dem sie parallel weitere Verbindungen laufen haben.

[bluestar]

@bluestar: das ist nen Leerzeichen, das da vermutlich nicht reingehört?

Vollkommen richtig, ich würde sagen ich bin heute gut drauf und schenke dir das Leerzeichen

Ich hätte eher versucht, das über die Routingtabelle zu lösen.

Daran hatte ich auch gedacht, dann stellt sich aber das Problem mit der DNS-Auflösung zu IP-Adresse, weil du in der Routing-Tabelle ja nur IP-Adressen eintragen kannst.

Script schreiben, was die Namensauflösung macht, dann entsprechende Einträge für die jeweiligen Netze erstellen.

Ich halte es für schwierig, wenn eine Seite beispielsweise DNS-Load-Balancing macht, dann ist die Chance das du alle IP-Adressen zu der Seite mit dem Script erwischst nicht wirklich gegeben.

Wie reagierst Du auf "wir binden $externeResource ein", ist das geschäftlich? ist das privat? ist das tor? Was, wenn das in allen drei Bereichen nötig ist?

Ich hab so ein Setup nicht im Einsatz und ja gerade im Bereich von der ganzen CDNs sehe ich hier die Problematik, diese laufen im Zweifel alle über Tor oder liefern die angeforderte Ressource auf Grund von Sicherheitsmaßnahmen (Cookie + IP) gar nicht aus.

Schwachstelle beim Torkonzept ist, dass User sich demaskieren können, in dem sie parallel weitere Verbindungen laufen haben.

Die Schwachstelle liegt für mich bereits bei der Anforderung des TE, also weit vor Tor... Aufwand, Nutzen, sowie die alltägliche Pflege der Listen stehen vom Aufwand her für mich in keinerlei Verhältnis. Dennoch möchte ich dem TE nicht vorgreifen und das Setup verteufeln, er möchte sich hier Wissen aneignen, also unterstütze ich ihn beim Lernen.
@ServiceLinuxStart: Lass dich nicht entmutigen und bleib dran, ich bin wirklich interessiert daran zu erfahren, wie du es am Ende letztlich gelöst hast.

[eggy]

Vollkommen richtig, ich würde sagen ich bin heute gut drauf und schenke dir das Leerzeichen

Die Schwachstelle liegt für mich bereits bei der Anforderung des TE, also weit vor Tor... Aufwand, Nutzen, sowie die alltägliche Pflege der Listen stehen vom Aufwand her für mich in keinerlei Verhältnis. Dennoch möchte ich dem TE nicht vorgreifen und das Setup verteufeln, er möchte sich hier Wissen aneignen, also unterstütze ich ihn beim Lernen.
@ServiceLinuxStart: Lass dich nicht entmutigen und bleib dran, ich bin wirklich interessiert daran zu erfahren, wie du es am Ende letztlich gelöst hast.

Ich wollte auch niemanden abhalten, nur ne weitere (für mich intuitivere) Lösung vorstellen. Gibt sicher noch weitere Wege. Bin auch auf die Lösung gespannt.
Inwieweit das mit Routen zu lösen ist, hängt davon ab, was in den Listen drinsteht. Ich würd in sonem Fall eh nen eigenen DNS betreiben, der dafür sorgt, dass kein komisches Roundrobin mir das Setup zerhaut. Und im Zweifelsfall gehts halt über Tor raus, solange alles verschlüsselt ist, egal.

[ServiceLinuxStart]

Die Schwachstelle liegt für mich bereits bei der Anforderung des TE, also weit vor Tor... Aufwand, Nutzen, sowie die alltägliche Pflege der Listen stehen vom Aufwand her für mich in keinerlei Verhältnis. Dennoch möchte ich dem TE nicht vorgreifen und das Setup verteufeln, er möchte sich hier Wissen aneignen, also unterstütze ich ihn beim Lernen.
@ServiceLinuxStart: Lass dich nicht entmutigen und bleib dran, ich bin wirklich interessiert daran zu erfahren, wie du es am Ende letztlich gelöst hast.

Ich wollte auch niemanden abhalten, nur ne weitere (für mich intuitivere) Lösung vorstellen. Gibt sicher noch weitere Wege. Bin auch auf die Lösung gespannt.
Inwieweit das mit Routen zu lösen ist, hängt davon ab, was in den Listen drinsteht. Ich würd in sonem Fall eh nen eigenen DNS betreiben, der dafür sorgt, dass kein komisches Roundrobin mir das Setup zerhaut. Und im Zweifelsfall gehts halt über Tor raus, solange alles verschlüsselt ist, egal.

Danke euch Beiden sehr!

Doch lieber mit Vorwort:
Hab Daheim einen Webserver und feste IP und mit vollständigen Impressum (Name, Adresse, Tel, UST-ID, IBAN). Weiß nicht, ob es normal ist, dass ich Bauchschmerzen beim surfen habe…

Ein Gateway habe ich auch, dass alles über VPN weiterleitet (genau wie ein TOR GW), aber jedes mal das GW am Device zu ändern, wäre nicht nur nervig, sondern dumm (PUSH/E-Mail/Bank/und dergleichen über VPN/TOR => Bauchschmerzen)

„Rest durch TOR“ ist technisch sinnfrei, das weiß ich. Mir ging darum, Listen durch verschieden Wege zu lotsen.
Gelingt es mir, die Seiten zu trennen, dann habe ich z.B auch eine G5-Liste mit dem Inhalt:
notwendig.für.updates.apfel.com
notwendig.für.updates.microsoft.com
und wenn das G5-„GW/Proxy“ hochgefahren ist, dann sind updates möglich.

Bisher zum updaten muss ich entweder Pi-Hole deaktivieren, oder den DNS am jeweiligen Device auf unsichere 1.1.1.1:53 stellen, dann jagt das System sämtliche Telemetry/analyse zum Anbieter.

Gehöre zu der sorte Mensch, der seine Geräte/APPS dann updatet, wenn ICH es für sinnvoll halte. (gilt nur für iOS und WIN, nicht für Debian) -> Blockrate im Pi-Hole 83%, aber auch weil *.google.com & *.apfel.com vollständig drauf ist (bis auf ajax.googleapis.com und push.apfel.com).
„Rest durch TOR“ am besten vergessen. Mir ist bewusst, dass xyz.com mehr aufruft (und mittlerweile mehr braucht, als xyz.com selbst)

Ich hoffe, dass mir eine Einheitslösung gegen Bauchweh und Updates auf Abruf gelingt. Selbst wenn ich das Internet mehr zum Intranet machen muss. Gegen Schreirufe aus dem Wohnzimmer "Schatz, das Internet geht wieder nicht" bin ich mitlerweile ressistent.

[bluestar]

Hab Daheim einen Webserver und feste IP und mit vollständigen Impressum (Name, Adresse, Tel, UST-ID, IBAN). Weiß nicht, ob es normal ist, dass ich Bauchschmerzen beim surfen habe…

Das Setup (feste IPs + Webserver + Impressum) habe ich hier auch, allerdings surfe ich dennoch ohne Bauchschmerzen und wenn ich so die Webserver-Logs anschaue, dann kann ich auch nicht sagen, dass da auch nur ein Request für den Webserver reinkommt, der mein Impressum "abliest"... Ja manche Dienste checken, ob bei dir ein Webserver läuft aber mehr auch nicht.

Ein Gateway habe ich auch, dass alles über VPN weiterleitet (genau wie ein TOR GW), aber jedes mal das GW am Device zu ändern, wäre nicht nur nervig, sondern dumm (PUSH/E-Mail/Bank/und dergleichen über VPN/TOR => Bauchschmerzen)

Da verstehe ich deine Bauchschmerzen, das würde ich auch nicht nutzen wollen.

„Rest durch TOR“ ist technisch sinnfrei, das weiß ich. Mir ging darum, Listen durch verschieden Wege zu lotsen.
Gelingt es mir, die Seiten zu trennen, dann habe ich z.B auch eine G5-Liste mit dem Inhalt:
notwendig.für.updates.apfel.com
notwendig.für.updates.microsoft.com
und wenn das G5-„GW/Proxy“ hochgefahren ist, dann sind updates möglich.

Bisher zum updaten muss ich entweder Pi-Hole deaktivieren, oder den DNS am jeweiligen Device auf unsichere 1.1.1.1:53 stellen, dann jagt das System sämtliche Telemetry/analyse zum Anbieter.

Gehöre zu der sorte Mensch, der seine Geräte/APPS dann updatet, wenn ICH es für sinnvoll halte. (gilt nur für iOS und WIN, nicht für Debian) -> Blockrate im Pi-Hole 83%, aber auch weil *.google.com & *.apfel.com vollständig drauf ist (bis auf ajax.googleapis.com und push.apfel.com).

Das halte ich in der heutigen Zeit für einen höchst ehrenvollen Ansatz, allerdings haben wir da Alle bereits verloren ... Nimmst du dein Smartphone mit und verlässt das heimische WLAN dann läuft ja auch alles direkt zum Anbieter, wobei du das WLAN noch nicht mal verlassen musst - Das Gerät kann auch trotz WLAN über LTE rausfunken.

Ich hoffe, dass mir eine Einheitslösung gegen Bauchweh und Updates auf Abruf gelingt.

Hau rein, bleib dabei wenn du deine Lösung fertig hast und hier auch noch präsentierst, dann freue ich mich sie zu lesen.

Selbst wenn ich das Internet mehr zum Intranet machen muss. Gegen Schreirufe aus dem Wohnzimmer "Schatz, das Internet geht wieder nicht" bin ich mitlerweile ressistent.

Ich möchte - ohne dich zu beleidigen oder deinem Ansatz zu diskreditieren - mal ganz offen fragen, warum machst du mit deiner Zeit nichts schöneres?

Dank deiner ausführlichen Erklärung hätte ich auch noch ne Idee, die zumindest die Trennung von Surfen und Webserver relativ einfach realisiert. Hol dir doch bei einem vServer/Cloud-Anbieter für 3-5 Euro/Monat einen vServer und baue einen VPN-Tunnel zwischen dort und zu Hause auf, worüber du sämtlichen LAN-Traffic dann ins Internet ausleitest ... Ist zwar immer noch ne statische IP, aber auf der laufen ja sonst keinerlei Dienste.

[ServiceLinuxStart]

Das halte ich in der heutigen Zeit für einen höchst ehrenvollen Ansatz, allerdings haben wir da Alle bereits verloren ... Nimmst du dein Smartphone mit und verlässt das heimische WLAN dann läuft ja auch alles direkt zum Anbieter, wobei du das WLAN noch nicht mal verlassen musst - Das Gerät kann auch trotz WLAN über LTE rausfunken.

Ist zum Glück nicht der Fall. Gibt 3 Orte wo ich Inet am Smartphone brauche: Zuhause, Firma, Auto. Im Fahreug ist ein Raspi als Hotspot mit openVPN über LTEStick Daheim verbunden. DNS ist immer mein Pi-Hole, egal wo. Fremde Wlan Netze, kein Interesse. Im Kino, Sport, mit Freunden, brauche ich kein Internet. Kann es mir anders nicht mehr Vorstellen.

EDIT: Mobile Daten sind selbstverständlich dauerhaft deaktiviert.

Hau rein, bleib dabei wenn du deine Lösung fertig hast und hier auch noch präsentierst, dann freue ich mich sie zu lesen.

Werde ich definitiv machen.

Ich möchte - ohne dich zu beleidigen oder deinem Ansatz zu diskreditieren - mal ganz offen fragen, warum machst du mit deiner Zeit nichts schöneres?

Kein Ding, ich betreibe gerne einen Mordsaufwand und lerne dabei eine Menge, mit dem Ziel, eines der wichtigsten Sachen (möglichst gut) zu schützen; das neue Gold / Privatsphäre. Denn "wir" sind mitlerweile mehr online, als offline. Motto: "Lass mich 2h in Dein Netz und machen Dir ein bessers psychologisches Bild, als jeder Psychologe der Welt." Auserdem ist mein Fitnesscenter zu, gibt kein Kino, und was trinken mit Freunden... das war mal... Frau/Kinder werde nicht vernachlässigt, hoffe ich zumindest...

Dank deiner ausführlichen Erklärung hätte ich auch noch ne Idee, die zumindest die Trennung von Surfen und Webserver relativ einfach realisiert. Hol dir doch bei einem vServer/Cloud-Anbieter für 3-5 Euro/Monat einen vServer und baue einen VPN-Tunnel zwischen dort und zu Hause auf, worüber du sämtlichen LAN-Traffic dann ins Internet ausleitest ... Ist zwar immer noch ne statische IP, aber auf der laufen ja sonst keinerlei Dienste.

Wäre eine Option, da werde ich aber auf den Magen hören...