Internetzensur

[Aremonus]

Ich frage mich, ob das Absicht ist. Vermutlich sind die Leitungen einfach überlastet... oder wiedermal irgend ein Huawei-Billigswitch defekt. Dafür spricht, dass nicht alle Provider betroffen sind, sondern nur bestimmte - wäre es eine Regierungspolicy, müssten ja alle betroffen sein.

[VielUnterwegs]

Was mich aber tierisch nervt ist die Vollblockade aller auslaendischen IPs die alle paar Stunden fuer rund 10 Minuten aktiviert wird. Vielleicht liegt es daran, dass mein kompletter Traffic immer ueber HK oder US VPN geht? Ich kann zum Glueck ueber 3 Backbones online gehen, sprich ich wechsle dann immer schnell den Backbone und bin wieder online wenn einer grade dichtgemacht hat, aber es nervt doch sehr.

Ist das tatsaechlich der Fall? Also dass das von Hause aus alle 10 Minuten blockiert wird? Mir ist das naemlich auch schon aufgefallen & es nervt ungemein. Ich kann bei meinem Proxy aus gut 50 verschiedenen IPs aus etlichen Laendern waehlen und manchmal geht keiner davon. Aber das regulaere Internet auch nicht (also ohne VPN). Dann nach ein paar Minuten ist es uebelst schnell und wird dann etappenweise langsamer und geht dann gar nicht mehr. Man, was fluche ich in letzter Zeit ueber das Internet... nerv!

Genau so geht es mir auch. Ich bin echt froh, dass andere hier das gleiche erleben. Ich habe nun wieder auf den verseuchten China Unicom DNS umgestellt und es ist schonmal ein wenig besser geworden, sprich sie trennen mich seltener. Es passiert aber immer noch. Folgende Szenarien gibt es nun bei uns:

1. Kein VPN offen, keine westlichen Seiten offen, z.B. Film schauen auf Funshion oder Torrent downloads am Start: Internet blockiert sich nie.
2. Cisco VPN meines Arbeitgebers nanch HK oder USA: Internet blockiert sich nie.
3. OpenVPN nach HongKong oder in die USA offen: Internet sperrt regelmaessig komplett alle nicht-chinesischen IPs. Ich habe 3 Backbones (Unicom Beijing, Unicom Tianjin, China Telecom Beijing) die ich im Login interface meins Compounds auswaehlen kann. Ich waehle dann einen anderen aus, der mich noch nicht ausgesperrt hat, dann geht es wieder fuer paar Stunden, der Sperrt mich wieder ins CN Heimnetz ein, ich wechsle zum naechsten...


Alle 3 Backbones zeigen das gleiche verhalten.

[Shenzhen]

Bei OpenVPN, so weit du die Moeglichkeit hast den Server zu konfigurieren, per Port 80 tunneln. Ich benutze jetzt ein paar Monate SSH-Tunnel auf Port 80 und habe keine solche Probleme, dank Proxifier kann man auch den kompletten Internet-Verkehr per SSH tunneln.

Grosser Vorteil dieser Variante im Gegensatz zur reinen VPN-Verbindung oder Komplett-Tunneln : ich kann genau konfigurieren welche Programme tunneln sollen und welche nicht - QQ, Skype, Qvod, etc. lauft ohne Tunnel, RSS-Reader, JDownloader, einige "Spezialprogramme" per Tunnel und den Firefox kann ich per Proxy-Button ganz schnell zwischen tunneln und nicht tunneln umschalten. Fuer mich die Idealloesung.

[VielUnterwegs]

Ich habe auch einen Server in Deutschland ueber den ich per SSH tunneln kann, wie von dir beschrieben. Auch mit Foxyproxy im Firefox, etc. Leider auf Port 22, nicht 80. Mal mit dem Kumpel labern der den Server hat... Hast du den Service gemietet? Gibt es das fuer USA oder HK als Kaufloesung? Ich will jetzt nicht unbedingt einen Root Server in den USA oder HK aufsetzen nur fuer ein wenig tunnelei. Aber vom VPN werde ich aus genannten Gruenden wohl abruecken muessen...

[Shenzhen]

Dafuer reicht ein ganz billiger virtual Server - so lange der einigermassen gut angebunden im Rechenzentrum. Gibts ab 3 Euro im Monat in Deutschland bzw. weltweit fuer etwa das gleiche Geld.
Habe dafuer einen gemietet den ich allein fuers Tunneln nehme - so laesst sich der Port 80 einfach per iptable auf 22 umbiegen, da kein http-Server darauf laeuft ist der Port 80 frei. Alternativ kann man natuerlich auch openVPN auf Port 80 darauf installieren, aber mir gefaellt aus oben genannten Gruenden SSH-Tunneln besser weil viel flexibler.
Einziger Nachteil : man ist dann nicht mehr relativ anonym im Internet unterwegs, da man ja immer mit der geleichen IP ueber den gemieteten Server surft. Aber in D ist man ja selbst mit dynamischer IP und bald dank ipv6 auch schon lange nicht mehr anonym.

[Aremonus]

Wie funktioniert das mit SSH-Tunneln? Gibts da gute gratis Serversoftware (am liebsten für Win2k8r2)?
Ich arbeitete bis jetzt immer über VPN (nicht openVPN, sondern über IKEv2, also Windows VPN, funktioniert auch auf mac & iPhone). SSH-Tunnel wäre aber definitiv cooler, gerade wenn ich irgendwelchen Freunden Zugang gewähren und nicht Stunden lang das Einrichten einer VPN Verbindung erklären will.

[VielUnterwegs]

http://www.google.com/search?q=windows+ssh+server

Vermutlich schon der erste Treffer...

[Shenzhen]

Also SSH-Software ist bei Linux-Servern vorinstalliert - sonst kommt man garnicht auf den Server. Kenn mich mit Win-Servern nicht so aus aber wenn nicht kann man das sicherlich leicht nachinstallieren.
Client-Seitig brauchst du dann eine SSH-Software. Clientseitig kenn ich mich nur mit Windows aus: Putty geht fuer den Anfang ist aber nervig zu konfigurieren, da gibt es gute Hilfsprogramme wie z.B. MyEn Tunnel.
Dann braucht man noch ein Programm das alle Programme so verbiegt, dass sie ueber den Tunnel laufen - da gibt es auch Freeware, die haben aber einige Macken und sind nicht sehr komfortabel. Die beste Software dafuer ist Proxifier - die kostet aber.
Das ist optional - bei vielen Programmen kann man einen SOCKS-Port einrichten - aber bei denen die das nicht haben kommt man um einen "Portverbieger" nicht herum, ausserdem kann man dann die Software damit ganz einfach tunneln oder nicht - je nach dem wie man es gerade braucht.

Hoert sich alles super kompliziert an - aber wenn man sich da etwas einfummelt geht es. Wenn jemand gesteigertes Interesse hat bin ich gerne bereit fuer einen Obolus weiterzuhelfen.

[VielUnterwegs]

Nun erfolgt die Vollblockade auslaendischer IPs sogar beim Einsatz von Cisco VPN, so ca. nach 5-10 Minuten. Das Arbeiten von zu Hause aus wird da unmoeglich. Ganz grosses Tennis!

[incues]

Nun erfolgt die Vollblockade auslaendischer IPs sogar beim Einsatz von Cisco VPN, so ca. nach 5-10 Minuten. Das Arbeiten von zu Hause aus wird da unmoeglich. Ganz grosses Tennis!

Ich glaube es macht keinen Unterschied, ob das nun Cisco, Draytek oder sonst irgendwas ist. Nur weil man mehr Geld investiert hat, heißt es nicht, dass man nicht geblockt werden kann

[VielUnterwegs]

Nun erfolgt die Vollblockade auslaendischer IPs sogar beim Einsatz von Cisco VPN, so ca. nach 5-10 Minuten. Das Arbeiten von zu Hause aus wird da unmoeglich. Ganz grosses Tennis!

Ich glaube es macht keinen Unterschied, ob das nun Cisco, Draytek oder sonst irgendwas ist. Nur weil man mehr Geld investiert hat, heißt es nicht, dass man nicht geblockt werden kann

Natuerlich kann, wer genug investiert, so ziemlich alles blocken. Insbesondere Ende-zu-Ende Tunnel wie PPTP, OpenVPN, Cisco. Die Frage ist nur was im Auftrag der Sonnenkoenige geblockt werden soll. Lange Zeit wurden die VPNs gar nicht angegangen. Dann ging es PPTP an den Kragen, da das eben bei den "Privat VPNs" fuehrend war. Im Anschluss kam dann wohl OpenVPN irgendwann und auch die SSH Verbindungen auf Port 22 sind im Datendurchsatz komischerweise seit einer Weile sehr viel langsamer als HTTP auf Port 80. Ein Schelm... Cisco VPN setzt wohl fast niemand privat ein, sondern nur gewerblich, um eben Mitarbeiter an die Firma anzubinden oder Aussenstellen mit der Zentrale, usw. Bis jetzt wurde auf wirtschaftliche Interessen immer Ruecksicht genommen bei der Zensur, denn es ging ja um die maximale Ausbeutung. Es scheint aber immer mehr wieder um paranoiden Machterhalt zu gehen...

[hktraveller]

Wie wollen die denn bitte openVPN blocken. Man kann den Port doch frei waehlen wenn man den Server hat.

[Aremonus]

Wie wollen die denn bitte openVPN blocken. Man kann den Port doch frei waehlen wenn man den Server hat.

openVPN ist SSL-basiert - und offenbar scheinen viele Leute probleme mit SSL-Verbindungen ins Ausland zu haben...

[Shenzhen]

openVPN ist SSL-basiert - und offenbar scheinen viele Leute probleme mit SSL-Verbindungen ins Ausland zu haben...

Wenn die es ernst machen wird es immer schwerer - letztendlich koennen sie alles dicht machen, es ist ja schon im rumoren, dass es bald eine Whitelist geben soll - dann wirds ganz schwer.
Der erste Schritt wird sicherlich sein verschieden Protokolle und Ports zu blocken, SSL wird als einer der ersten mit dran glauben, auch diverse Ports werden langsam dicht gemacht. Dann kann man noch auf SSH-tunneln ausweichen, da wird es dann schon schwieriger das zu unterbinden da erstmal nicht vom normalen Surfen zu unterscheiden. Die naechste Keule koennte sein die deep package inspection zu erweitern - die gibt es ja jetzt schon wie man an manchen "Schlagworten" erkennen kann die man zu haeufig eingibt.
Alles keine guten Aussichten, ich hoffe, dass es nicht so weit kommt ich sehe da besonders die grossen Firmen in der Pflicht Druck auf die Regierung auszuueben, die sollen ja nach China kommen um hier zu investieren und Technologie hier zu lassen.

[VielUnterwegs]

Auch SSH auf Port 80 entdeckt und blockiert sich leicht. Einfach die ersten paar Zeichen jeder HTTP Verbindung anschauen, wenn kein HTTP Kommando (z.B. GET oder POST) enthalten, dann ist das keine Klartextverbindung und muss blockiert werden.

Die Firmen werden keinen Druck machen, denn die haben sowieso alle eine Standleitung nach Hongkong oder Seoul um einigermassen arbeiten zu koennen. Wobei selbst dafuer haben in den letzten Wochen einige Firmen (z.B. Baidu) Probleme bekommen und mussten dafuer sorgen, dass ihre Mitarbeiter nur den harmonischen Teil des Internets sehen koennen. Nun gut, sollte es sich zeigen, dass man langfristig nicht an unzensiertes Internet kommt heisst es fuer mich "ich bin dann mal weg".