Wie am besten aus China ins Internet?

[Transmitter]

Hallo,

ich wohne in China und mich regt die Zensur auf.
Letztes Jahr hatte ich VPN Service von WiTopia der für Win nicht schlecht ist aber unter Linux war es häufig langsam, ich musste alle 1 - 2 Monate den Support anschreiben weil die Server blockiert waren, die Einstellungen sind nicht sonderlich einfach in KDE (habe einen Linux Desktop).
Dann habe ich einen eigenen Server und den über ein paar Monate teilweise als SSH Tunnel verwendet und im Browser einen Proxy eingestellt. Aber der Zugang ist seit ca. 2 Monaten übelst langsam. Text lässt sich schlecht laden (Google ca. 30 - 60 Sekunden), Bilder und Videos kaum/gar nicht.

Jetzt gibt es mittlerweile ja VPS für 2,50€ pro Monat - wäre das gut?
Ich könnte darauf einfach OpenVPN aufsetzen (falls TUN aktiviert ist) und den benutzen?

Wie ist es denn mit IPv6 - könnte mir die irgendwie helfen da zuverlässiger ein VPN Server zu haben (keine Blacklistung/Geschw.reduzierung)?

Oder ist etwas ganz anders sinnvoller?
Danke schon mal
Transmitter

[schorsch_76]

Als ich letzens für 2 Wochen in China war, hatte ich das Gefühl, dass alle hoch verschlüsselten Verbindungen (kein RC4 sondern RSA 4096 und AES256) sehr langsam waren. "Normaler" unverschlüsselter Verkehr war ok. Ich bin mir nicht sicher, aber das war meine Erfahrung vor 2 Wochen in Peking und Shanghai.

Wie du dein VPN schneller bekommst, kann ich dir nicht sagen ... sorry.

Gruß
schorsch

[Transmitter]

Es ist nur eine Vermutung aber ich schätze die haben hier eine Liste mit IPs die einfach künstliche in der Geschwindigkeit gedrosselt werden um es weniger interessant zu machen (Wikipedia z. B.)

Habe von einigen Leuten auch schon gehört die OpenVPN haben und das soll sehr schnell laufen - wie unverschlüsselter Verkehr - evtl. hängt das auch mit der IP zusammen. :-S

Was hast du denn verwendet? Ebenfalls OpenVPN?

[uname]

Persönlich würde ich auf einem eigenen VPS einen Proxy betreiben (z.B. tinyproxy) und den einfach per SSH tunneln (SSH-Local-Port-Forwarding). Performance-Probleme könnten vielleicht durch DNS-Probleme entstehen, wobei eigentlich die DNS-Auflösung auch auf dem VPS durchgeführt werden sollten.

Auch kannst du dir mal ein paar Glye-Webproxies anschauen. Ich habe mal eine Liste nach http://nopaste.debianforum.de/37722 kopiert. Wäre interessant zu erfahren wie viele davon in China überhaupt zugreifbar sind. Denk daran, dass die Anbieter Daten mitlesen können. Natürlich kannst du Glype auch auf dem eigenen Webserver (z.B. Apache auf VPS) und dann am besten per SSL betreiben. Sind nur ein paar vor allem PHP-Dateien.

[schorsch_76]

Es ist nur eine Vermutung aber ich schätze die haben hier eine Liste mit IPs die einfach künstliche in der Geschwindigkeit gedrosselt werden um es weniger interessant zu machen (Wikipedia z. B.)

Habe von einigen Leuten auch schon gehört die OpenVPN haben und das soll sehr schnell laufen - wie unverschlüsselter Verkehr - evtl. hängt das auch mit der IP zusammen. :-S

Was hast du denn verwendet? Ebenfalls OpenVPN?

In meinem Fall war das https auf meinem Server der ein eigenes Zertifikat nutzt. Als Cipher kommt eben RSA 4096 + SHA512 zum Einsatz. Von Zuhause mit meinem Laptop keinerlei Probleme, auch DNS schliesse ich aus, da der Hostname in der hosts aufgelistet ist.

[Transmitter]

Persönlich würde ich auf einem eigenen VPS einen Proxy betreiben (z.B. tinyproxy) und den einfach per SSH tunneln (SSH-Local-Port-Forwarding). Performance-Probleme könnten vielleicht durch DNS-Probleme entstehen, wobei eigentlich die DNS-Auflösung auch auf dem VPS durchgeführt werden sollten.

Soweit ich gehört habe ist ein SSH Tunnel nicht sinnvoll, da es leicht auffällt wenn täglich diverse MB oder mehr durch einen SSH Tunnel gehen. (Das habe ich ja schon mal gemacht und dann war es plötzlich langsam und wurde nicht mehr schneller).
Würde deswegen lieber gleich mit neuem Server und VPN starten.

Auch kannst du dir mal ein paar Glye-Webproxies anschauen. Ich habe mal eine Liste nach http://nopaste.debianforum.de/37722 kopiert. Wäre interessant zu erfahren wie viele davon in China überhaupt zugreifbar sind. Denk daran, dass die Anbieter Daten mitlesen können. Natürlich kannst du Glype auch auf dem eigenen Webserver (z.B. Apache auf VPS) und dann am besten per SSL betreiben. Sind nur ein paar vor allem PHP-Dateien.

Ich kann mir noch nicht mal glye.com anschauen. Da bin ich geblockt. Über Proxy ist der Proxy geblockt. :-S Habe über Glype noch nichts gehört - allerdings schon ähnliche PHP Skripte etc. ausprobiert und die funktionierten alle nicht.

[uname]

Und die ganze Nopaste-Liste hast du durchgearbeitet? Natürlich habe ich meinen eigenen Glype-Proxy auf meinem eigenen SSL-Webspace, welcher wohl nicht in der Proxy-Sperrliste steht Warum nun der VPN-Traffic weniger schnell erkannt werden soll als SSH-Traffic verstehe ich nicht. Kannst höchstens noch alternative Ports wie z.B. TCP 80 oder TCP 443 (sowohl VPN als SSH) mal probieren. Auch kannst du vielleicht das Laden von Bildern deaktivieren, um Traffic zu sparen. Vielleicht geht auch eher Port 25 oder andere Mailing-Ports. Auch kannst du dir noch sslh anschauen ... bringt vielleicht die Überwachung durcheinander.

[Transmitter]

Nein, ich habe die nopaste Liste noch gar nicht angefangen - ich weiß nicht was Glype ist und alle Infos darüber sind geblockt hier.

VPN über 80 oder 25 ist eine gute Idee. Habe mir jetzt einen Server gemietet und einfach mal OpenVPN installiert und natürlich Probleme damit .. sh. nächster Thread. :-S

[runsnake]

Ich würde versuchen ssh in stunnel (unauffälliger und verhindert ssh Blockierung via DPI) zu verstecken und über einen Vserver gehen, den gibts für 5 Euro pro Monat.

Beim stunnel hat man AES und bei ssh kann man dann Blowfish benutzen, weil Blowfish besser vor Trafficanalyse schützt.

Oder vielleicht kennen die Firewallbastler ja auch noch kein ptunnel?

[Cae]

alle hoch verschlüsselten Verbindungen (kein RC4 sondern RSA 4096 und AES256) sehr langsam waren. "Normaler" unverschlüsselter Verkehr war ok.

Dann waere doch die Konsequenz, einen stark verschluesselten Tunnel (ssh, tinc oder was auch immer) in httptunnel zu kapseln? Damit haette man valides HTTP, um die DPI zufrieden zu stellen, und trotzdem 'ne gescheite Crypto.

Gruss Cae

[schorsch_76]

alle hoch verschlüsselten Verbindungen (kein RC4 sondern RSA 4096 und AES256) sehr langsam waren. "Normaler" unverschlüsselter Verkehr war ok.

Dann waere doch die Konsequenz, einen stark verschluesselten Tunnel (ssh, tinc oder was auch immer) in httptunnel zu kapseln? Damit haette man valides HTTP, um die DPI zufrieden zu stellen, und trotzdem 'ne gescheite Crypto.

Gruss Cae

Momentan kann ich es nich testen, aber ich setz es auf meine Merkliste

Gute Idee! Danke!

[Transmitter]

Ich würde versuchen ssh in stunnel (unauffälliger und verhindert ssh Blockierung via DPI) zu verstecken und über einen Vserver gehen, den gibts für 5 Euro pro Monat.
Beim stunnel hat man AES und bei ssh kann man dann Blowfish benutzen, weil Blowfish besser vor Trafficanalyse schützt.
Oder vielleicht kennen die Firewallbastler ja auch noch kein ptunnel?

Klingt nach einem interessanten Ansatz.
Habe jetzt stunnel auf beiden systemen installiert und die Verbindung hergestellt.
Client: ssh root@localhost -v -p 443 (das verbindet zu localhost auf 443, stunnel erkennt 443 und leitet weiter an Server und dann ist die SSH Verbindung durch SSL aufgebaut - wenn ich das richtig verstanden habe)

Jetzt komme ich von dort aus nicht mehr weiter.
Auf dem Client muss ich jetzt in einer zweiten Konsole noch eingeben:

Code: Alles auswählen

ssh -Cv -ND localhost:9050 localhost

...
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Trying private key: /root/.ssh/id_dsa
debug1: Trying private key: /root/.ssh/id_ecdsa
debug1: Next authentication method: password
root@localhost's password:
debug1: Enabling compression at level 6.
debug1: Authentication succeeded (password).
Authenticated to localhost ([127.0.0.1]:22).
debug1: Local connections to localhost:9050 forwarded to remote address socks:0
debug1: Local forwarding listening on ::1 port 9050.
debug1: channel 0: new [port listener]
debug1: Local forwarding listening on 127.0.0.1 port 9050.
debug1: channel 1: new [port listener]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Connection to port 9050 forwarding to socks port 0 requested.
debug1: channel 2: new [dynamic-tcpip]
debug1: Connection to port 9050 forwarding to socks port 0 requested.
debug1: channel 3: new [dynamic-tcpip]
debug1: channel 3: free: direct-tcpip: listening port 9050 for debianforum.de port 443, connect from 127.0.0.1 port 56665, nchannels 4
debug1: channel 2: free: direct-tcpip: listening port 9050 for debianforum.de port 443, connect from 127.0.0.1 port 56664, nchannels 3

sh.:
http://www.bsdnow.tv/tutorials/stunnel
und müsste dann doch theoretisch eine Verbindung haben, die ich aus Firefox nutzen kann.
Das klappt aber nicht, FF zeit mir nach wie vor meine chin. IP an und Facebook etc. ist gesperrt, obwohl ich bei FF den Socks 5 proxy eingegeben habe und für die DNS Anfragen in FF auch den Tunnel verwende.

Wo liegt denn mein Denkfehler?

[runsnake]

Jo,
ssh root@localhost -v -p 443
ist die übliche Fernwartung und wenn die funktioniert, dann ist schonmal sicher das der stunnel funktioniert.


Nun muss man einen ssh-tunnel als Proxy für den Firefox einrichten.

Aber ich sehe gerade, mit der -D Option kann man keinen Port angeben, an den der Verkehr weitergeleitet werden soll. Es geht nur sowas:
ssh -Cv -ND 8080 localhost -p 443

Wenn auf dem Zielrechner jedoch alles über den Port 9050 geleitet werden soll, klappt das wenn ich es richtig verstanden habe nur mit -L, d.h. ohne Socks:
ssh -Cv -NL 8080:localhost:9050 localhost -p 443

D.H. wenn Tor auf Port 9050 lauscht, wäre noch einen Socksifier wie z.B. Privoxy (Adfilter) oder Polipo (Cache) nötig. Also müsste das ganze dann eher so aussehen.
ssh -Cv -NL 8080:localhost:8118 localhost -p 443

Somit lauscht der Tunnel auf Port 8080, sendet zum stunnel auf Port 443 weiter, auf dem Zielrechner wird an den Port 8118 des Privoxy weitergeleitet und Privoxy forwarded dann via Socks zum Port 9050.

Bei Privoxy wäre in der /etc/privoxy/config folgendes zu aktivieren:
forward-socks5 / 127.0.0.1:9050 .
Und falls man keine Zeit durch das filtern und blocken von Ads verlieren möchte:
toggle 0

[Transmitter]

Perfekt - jetzt läuft es mit stunnel
Danke dir.