VPN Anbieter & Angebote

Falls ihr euren Aluhut mal so richtig glühen lassen wollt, dann empfehle ich eine aktuelle Doku aus der Schweiz.

Da haben sich regelrechte Abgründe aufgetan

Habs mir mal abgespeichert, bin an sowas immer interessiert. Danke!

Sorry, @Shallow: Das ist ziemlich falsch. Du zeigst mit jedem 'Post, dass du Materie allenfalls oberflächlich durchdrungen hast.

Es würde ein Blick in die Anfängerkonfiguration von openVPN helfen, um zu verstehen, warum die meisten VPNs UDP nutzen. Eben WEIL es als verbindungsloses Protokoll sehr viel schneller ist.

Und nein: Es hängt nicht von den Informationen ab,

Das legt der root des VPN schlicht fest und erzeugt für jeden Client die Certs samt Konfig.
In der Konfig wird das genau definiert. Anders würde keinerlei Connect mit dem VPN- Server funktionieren. Guck dir einfach einmal deine Clientkonfig an.

Die VPN Verbindungsstrecke wird mit diesen Certs verschlüsselt. Da der root des VPN- Servers die erzeugen muss mit SEINER EIGENEN CA (Certificate Authority) (die ihrerseits wieder von einer „Public CA“ (also einer sogenannten „Trusted CA“) zertifiziert sein kann, kann eben genau dieser root alles entschlüsseln. Er hat nicht nur die zu verwendende Verschlüsselung festzulegen, sondern auch das CA Rootcert, das VPN- Server Cert und für jeden Client eben ein Client-Cert erzeugt.
Es ist dabei völlig unerheblich, ob die CA dieses VPN- Servers ihrerseits durch eine „Public CA“ zeritifiziert ist und damit leicht auf Richtigkeit überprüft werden kann.
Du, als User, hast KEINERLEI Einfluss darauf, ob mit UDP oder TCP übertragen wird.
Kannst dich aber darauf verlassen, dass nach dem VPN- Tunnel, die Pakete wieder in das „richtige“ Protokoll verpackt wurden.

Es ist ebenso falsch, dass man eine VPN Verbindung direkt im Cliet aufbauen müsste.
Seit einiger Zeit kann man sich via Tor sich zu einem VPN- Dienst von Cloudflare (die mit dem schnellsten und modernsten DNS Server) verbinden und von dort aus VPN Strecken initieren und dann verwenden. Eine ziemlich clevere Lösung, wie ich finde - falls man einem amerikanischen Third- tier- provider trauen mag.

Dein Link zum Torknackpaper der US Marine ist ziemlich alt. Ich habe, iirc., das damals schon überflogen.
Wir verwenden aber mittlerweilen Tor in der Version 0.4.2.x
Dort sind viele solche Angriffsvektoren bereits eliminiert. Natürlich gibt es dafür wieder bessere, neue. Es ist eben ein konstante Krieg zwischen Tor und den üblichen Verdächtigen, die Tor brechen wollen.

Übrigens würden deine VPN- Pakete im Tor- Netz wie eine Art Leuchtfeuer die bösen Buben darauf aufmerksam machen, dass da wohl ein besonders lohnendes Ziel durch das Netz funkt.
Will man wahrscheinlich gar nicht so gerne. Genau solche Paketheader lassen sich prima in Echtzeit disassemblieren, wenn auch noch immer nicht entschlüsseln.

Auch ist deine Vorstellung von SSL/TLS etwas falsch.
Der Browser hat keinerlei Einfluss darauf, ob ein Webserver TLS einsetzt und wenn ja, welche Version.
Er kann allenfalls sich weigern, eine Seite ohne TLS darzustellen.
Den Verbindungsaufbar macht er aber in jedem Fall, auch wenn er danach abbrechen mag. Ein guter Webserver wird mit einem permanenten 301 immer auf Port 443 mit TLS umleiten. Muss er aber nicht. Aber er alleine legt fest, ob, und wenn ja, welche TLS Verschlüsselung verwendet wird. Der Browser kann sich weigern, oder ihm folgen, aber ganz sicher sonst gar nichts ausrichten.

'Und man kann sehr wohl via VPN in das Tor- Netz zu einem Onion-Service oder einem normalen Webserver mit TLS eine Verbindung aufbauen. Dann ist halt die ganze Strecke mit TLS verschlüsselt, während die Übertragungsstrecke mit VPN vreschlüsselt getunnelt wird, wo dann letztlich eine Teilstrecke im Tor- Netz verläuft.
Auch kein Hexenwerk. Und nicht einmal besonders langsam. Heute.

Deine Darstellung von Tor ist das, was so allgemein von Tor gewusst wird.
Ich bin Hardcorenetzwerker und sehe die Dinge sehr viel differenzierter.
Deine Darstellung von Tor ist auch viel zu schlicht. Es fehlen schon alle Fachbegriffe, die innerhalb von Tor die tatsächlichen Mechanismen beschreiben.
Es mitnichten so, dass ein Entryknoten einfach zu irgendeinem nächsten Knoten eine Verbindung aufbaut. Dahinter steckt ein ziemlich ausgefeilter Routingmechansimus, der teilweise im Protokoll selbst veranlagt ist.
Die tatsächlichen Verhältnisse sind immer sehr viel komplizierter, als man gemeinhin denkt.

Und ja: Auf meinem Server läuft ein hochsicheres und sauschnelles VPN.
Ich mache das ja auch schon länger auf diesem Level.

Wenn du das so beurteilen kannst, Glückwunsch.

Ich geb’s auf

Ja, ich kann das.
Ich habe vor ewigen Zeiten noch Assembler für Großrechner gelernt.
Damals gab es die ersten zaghaften Schritte zu einem PC hin.

Und die ganze Netzwerkerei habe ich von der Pike auf gelernt.
Bis hin zu Hochsicherheitsrechenzentren mit Satellittenup- und downlinks.

So an euch Profis:
Habe jetzt ein mal gegrowt wenig Ertrag, schreibe aber gerne hier im Forum mit.
Ist es jetzt schlimm, dass ich ohne irgendwelche Sicherheiten mit meinem Firefox Browser hier aktiv bin und allg. recherchiere?

Ich mein ist es schonmal vorgekommen, dass es Hausdurchsuchungen usw gab?

Nein, meiner Meinung nach überhaupt kein Problem

Super, danke
20 liebevolle Zeichen

Wenn sie dich haben wollen, bist du sowas von erledigt, dass du davon nicht einmal träumen konntest. Sie werden dir genau deinen Post vorlegen.
Was dich hingegen schützt, ist, dass das keine Behörde interessiert.
Wir sind nur zu unbedeutend - das ist unser einzig Schutz.

Seitdem ich im I-Net unterwegs bin, habe ich solche Progis noch nie nutzen müssen.

Ich verkaufe keine Waffen oder Drogen im Netz, verbreite keine Kinderpornos, besuche nur harmlose Seiten, bin weder auf Gesichtsbuch, Instamtam oder sonstigen asozialen Medien vertreten.

Wir haben keinen Festnetzanschluss, keinen Telefonbucheintrag, nix. Uns gibt es quasi nicht im www

Das ist definitiv falsch. Und das WWW ist nur ein kleiner Teil des Internets.
Da du hier angemeldet unter deinem Nick nicht zum Ersten male postest,
sind vier Grundtatsachen bekannt:

1. Es gibt irgendjemanden, der regelmäßig mit einem Server der Domain cannabisanbauen.net verbunden ist. Dort werden mehrere Domainlabels von ihm verwendet. (www. und forum. )
2. Da er das Domainlabel forum.cannabisanbauen.net regelmäßig ansurft, wird er dort angemeldet sein. Er hat also mindestens 1 Emailadresse bei irgendeinem Provider.
3. Er schreibt selbst, dass er keinen Festnetzanschluss hat. Damit kann er nur via Internetcaffee oder via Smartphone in’s 'Internet.
4. Wir suchen also ein Profil, das sich drastisch aus der Menge abhebt.

Rein aus Fakten, ohne jedes Hacken, ist das für einen Hacker schon mal eine gute Ausgangsbasis.
Wie man jetzt weiter verfahren würde, um dich näher zu identifizieren, unterlasse ich hier. Das gäbe den Skriptkiddies zu viel Futter.

Zu glauben, man könne anonym in Netz unterwegs sein, ist gefährlicher Irrglaube.
Es gibt über jeden und alles genügend Infos im Netz, man muss sie nur lesen und zusammenbringen können.

Ich habe ein Handy und nein, ich sitze nicht im Cafe Es gibt noch andere Möglichkeiten ins Netz zu kommen.

Übrigens sitze ich an einem Desk Rechner.

Nein, gibt es nicht.
Entweder irgendein Festnetzrouter, oder irgendein Mobile Accesspoint.

Und es ist völlig egal, welches Geräte hinter diesen zwei einzigen Arten des Internetzugangs liegt.

(Der Vollständigkeit halber sei noch direkter Satellitenzugang genannt; aber einen eigenen Sat - Uplink mit eigenem Zugang halte ich jetzt mal für ausgeschlossen. Schlicht weil das auch für mittlere Unternehmen unbezahlbar ist)

Frueher gab es mal so eine Art Kombimodell mit Sateliten-Downstream und Telefon-Upstream. Hat sich net lange gehalten lach. Allerdings denke ich irgendwann haben die Provider geschnallt, wieviel Geld man verdienen kann. Hier bauen sie grade Glasfaser aus. Hab zwei von diesen Haus-zu-Haus-Klinkenputzer schon vor der Tür gehabt und ihnen unter Androhung von Schlägen verboten, jemals wieder bei mir zu klingeln.ist ja sooooo viel schneller wenn man anstelle von 100MBit plötzlich das doppelte hat. Lol. ihr Argument: TV geht auch gut und so lol. hab den Guten Mann vier Meter weg vom Haus geführt und ihm die Schüssel gezeigt und gesagt TV ist da- ohne dass mich der Anschluß 1468,–Euro kostet. Und ihm dann gesagt, wenn ich noch einmal Werbung von denen finde, gibt es nen juristischen Rund-Um-Schlag. Mir ist es lieber, wenn der Staat mich über ne 100MBit-Leitung überwacht lol. Ich zahle doch net noch extra dafür, dass die mich noch mehr und noch schneller überwachen können .lol. Was für eine Idee

Muss ja nicht der eigene Festnetzanschluss sein, womit man online ist. Nur ein Nachbar der WPS Daueraktiv hat und man hätte gratis Internet, wenn man nur will. Offene Netze gibt es in Großstädte auch on Mass.

Völlig richtig.
Aber es wird einen am häufigsten genutzten Accesspoint geben.
Dass sich jemand pro „Einwahl“ mathematisch gleich verteilt irgendwohin begibt, um von dort eine Mail zu senden und zwei, drei Websiten aufzurufen, ist Irrealis.

Einmal identifiziert, kann man schon mit schlichtem Browsersniffing die Kiste eineindeutig identifizieren. Der Rest ist Kinderkram.
Wenn sie dich kriegen wollen, kriegen sie dich.
Es sei denn, du bist technisch besser als sie. Und das fällt schlicht aus, wegen is’ nich’.

Das stimmt wohl. Wollen sie dich, kriegen sie dich. Wird aber eine schwierige Aufgabe für die Ermittlungsbehörden, wenn man in der Stadt in einem großen Komplex wohnt und ein WLAN offen ist. Mit Richtantenne und genug Entfernung wird die Sache nochmal etwas komplizierter für die Ermittlungsbehörden. Aber für Forenbesuche muss man da schon echt Hardcoreparanoid sein und sollte lieber einen Psychologen aufsuchen anstatt sich mit growen zu beschäftigen.
Man kann es den Ermittlungsbehörden schon schwer machen, wenn man nur etwas kreativ ist.

Aber um mal auf den Grundpost zurückzukommen.
Wer Gratis ein VPN anbietet, muss die Daten der User nutzen um Geld zu produzieren. Ein vernünftiger VPS kostet Geld und Arbeit, sowas bietet ein seriöser Anbieter nicht umsonst (wer arbeitet schon umsonst). Wer die nötigen Schlüssel hat kann immer encrypten…

Ich weiß nicht.
Auf unserem Server hab ich mit ein paar Scripten die ganze Sache vollautomatisiert.
Ein Befehl mit einer Passwortabfrage und es wird eine verschlüsselte Partition gemountet, die eine komplett automatisierte CA enthält. Und je nach Parameter beim Aufruf werden dann neue User erzeugt, deren Konfig samt allen Certs fertig gepackt und ausgespuckt, oder halt Revokes etc. erledigt.
Kostet keine Arbeit mehr.

Man muss gar nicht von außen die Buben zu knacken versuchen. Mit Richtantennen ist entweder HighValueTarget, oder Oldschool…
GRINS

Aber die Ersteinrichtung kostete Zeit und etwas Arbeit, wenn man kein ootb-Server verwendet. Natürlich richten die Dienstleister ihre Server so ein, dass sie Arbeitsersparnis haben, ansonsten wären sie ganz schön blöd oder Arbeitsgeil.

Ich glaub ich bin mit meine Mitte 30 eher Oldskool und hatte ne bestimmte Zeit (berechtigte) Online-Paranoia, aus Gründen. Mit einer guten Richtantenne ist das Netzwerk halt weit genug weg, so dass man erstmal nicht zu den Verdächtigen gehört. Aus dem Alter bin ich aber raus und heute wären 2-3 Pflänzchen das Schlimmste was man mir vorwerfen könnte. Damals gab es noch gute VPN in Schweden, weil sie damals aufgrund ihrer Gesetze Logs löschen mussten oder halt erst gar nicht geloggt haben. Heute erfährt man das erst, wenn ein Provider busted wurde und die Clients dann auch busted wurden, dass er doch logged hat (trotz NoLog-Versprechen). Wenn die Ermittler beim VPN-Provider gerade sitzen und man dann gerade unanständig ist, hat man in den meisten Fällen eh die Arschkarte. USA-Server bzw. Provider müssen z.B. immer loggen. Wegen des Patriot Acts.
Sauber bleiben und so wenig interessant wirken ist das Sicherste. .onion + VPN, wohlmöglich noch VPN-Hop macht den User erstmal interessant, wenn dieser raussticht (analytisch), wer Aufwand betreibt, hat meist was zu verbergen.