Mobiele providers een hak zetten

Door Sgreehder op vrijdag 13 mei 2011 22:15 - Reacties (19)
Categorie: Overig, Views: 5.833

Een kleine deviatie van het reguliere onderwerp van deze blog; dit moest ik gewoon even kwijt.

Daar de kans groot is dat alle providers een vorm van DPI (al dan niet SPI) gebruiken om het verkeer op mobiele datanetwerken te 'besnuffelen', vond ik het tijd om eens verder te kijken naar mogelijke maatregelen. Dit heeft weinig met mijn aluminium hoedje te maken (die overigens mooi glimt), maar DPI kan naar mijn mening niet effectief zijn zonder machine learning (afhankelijk van je semantieke overtuiging kan je het net zo goed data-mining noemen), en voor machine learning geldt dat deze moet worden getraind door mensen. Dit proces vereist dat daadwerkelijke data moet worden ingekeken, dus het is niet de vraag óf je gegevens worden ingekeken. Ik ga er tenminste niet vanuit dat een ethisch wetenschappelijk proces is gevolgd waarbij de te trainen datasets met de hand op basis van bijvoorbeeld enquetes en interviews zijn vervaardigd.

Afijn, oplossingen. Arnoud Wokke noemde zoiets als het opzetten van een VPN SSL c.q. VPS tunnel via het buitenland. Dit lijkt me prijzig en onnodig gecompliceerd. We vertrouwen liever dat onze vrienden van bijvoorbeeld XS4all (vervang hier door wat aan fatsoenlijke providers over is) een beetje vies zijn van DPI, en laten het gewoon via de internetverbinding thuis lopen.

In de basis gebruiken we dus een smartphone om contact te maken met een computer op het thuisnetwerk via een VPN-verbinding, welke vervolgens aan de router doorgeeft een IP adres toe te kennen, waardoor de smartphone via de VPN verbinding internet 'uit de muur' kan gebruiken. Ik meen dat dit redelijk platform-onafhankelijk moet kunnen gebeuren, ongeacht VPN server, router of smartphone. Ondersteuning voor VPN is zeker een voorwaarde. Voor mijn voorbeeld hieronder heb ik een Windows 7 desktop, een Linksys modem-router, en een iPhone gebruikt.

VPN server

Goed, de VPN server op het thuisnetwerk moet een inkomende VPN verbinding kunnen faciliteren. Met Windows 7 (en ik denk dat dit met Vista ook zo ongeveer gaat) gaat men naar Control Panel > Network and Internet > Network Connection, en drukt vervolgens op alt (standaard heeft Microsoft tegenwoordig in dit soort schermpjes de menubalk verborgen). Kies dan File > New Incoming Connection... In de wizard die volgt moeten accounts worden gekozen (zorg er in vredesnaam voor dat er een wachtwoord op de accounts zit), en let er ook even op dat 'Through the Internet' staat aangevinkt. Een nieuw item verschijnt (Incoming Connections), waarna even dubbelklikken en naar het tabje Networking moet worden gegaan. Nog even dubbelklikken op Internet Protocol Version 4 (TCP/IPv4) (of het IPv6 item if that floats your boat) en even controleren of de optie 'Allow callers to access my local area network' is aangevinkt. Wat visueel materiaal ter ondersteuning:

http://tweakers.net/ext/f/Rmf1w5xzRFy9VP3KlDxgbGPT/medium.jpg

Je ziet dat ik hier een aparte range voor verbindingen via de VPN aangeef, dit is wel overzichtelijk als je redelijk wat rotzooi aan het thuisnetwerk hebt hangen.

Router

Met betrekking tot de router is het belangrijk om:

- de juiste poort (1723 via TCP) forwarden naar het juiste netwerkadres (van de computer waar het ontvangen van een VPN verbinding is ingesteld)

- de router zelf in te stellen op het gebruik van, in dit geval, PPTP-passthrough; dit is gewoon een keuze tussen aan of uit.

Het forwarden van de poort is te doen in de instellingen van de router, vaak te bereiken via de browser, of in sommige gevallen met een speciale applicatie. Het adres van de router is te vinden door in de status van de internetverbinding te zoeken naar een term als 'standard gateway'. Veelgebruikte addressen zijn 192.168.1.1 (of *.*.2.1) en 10.0.0.1.

Beide instellingen zijn wellicht even zoeken. Bedenk ook dat als de router met IP addressen werkt als het om port forwarding gaat, het misschien zinvol is om het IP adres van een machine handmatig in te stellen, zodat het adres niet plots verandert.

Wederom wat visueel materiaal:

http://tweakers.net/ext/f/h6ZKlpvBeVsemDWVyOiexShz/medium.jpg

Smartphone

Dit is redelijk eenvoudig. Bij een iPhone is het Settings > General > Network > VPN > Add VPN Configuration...; het zal bij een vergelijkbaar OS zoiets dergelijks zijn. Vul je publieke IP in (Google maar even naar 'what's my IP' via je computer). Verder heb je natuurlijk het juiste VPN protocol (PPTP) en je gebruikersnaam en wachtwoord. Het resultaat:

http://tweakers.net/ext/f/6bMtAuE7WmvCUdFN1W27fabH/medium.png

Voila. Letterlijk tot aan je voordeur is er geen mobiele provider die enig idee heeft wat je uitspookt via het mobiele netwerk. Naast de inhoud van pakketjes, zijn ook headers en bestemmingen niet in te zien; immers, de gehele verbinding is versleuteld.

Het enige nadeel is in mijn geval is dat de verbinding niet geheel automatisch op een VPN verbinding overgaat als de telefoon bijvoorbeeld uit stand-by komt. Met de iPhone is het bijvoorbeeld noodzakelijk om in het eerste schermpje van de instellingen een knop om te schuiven, wellicht dat dit op sommige besturingssystemen anders functioneert.

Volgende: Logs theft met PHP/MySQL 04-'13 Logs theft met PHP/MySQL
Volgende: Incursion 12-'10 Incursion

Reacties


Door Tweakers user Aike, vrijdag 13 mei 2011 22:20

Goed idee, alleen een PPTP-tunneltje staat niet bekend om z'n security. Zou je niet liever openssl of ipsec gebruiken?

Door Tweakers user Sgreehder, vrijdag 13 mei 2011 22:24

Aike schreef op vrijdag 13 mei 2011 @ 22:20:
Goed idee, alleen een PPTP-tunneltje staat niet bekend om z'n security. Zou je niet liever openssl of ipsec gebruiken?
Ruim toereikend voor dit doel. Als je daadwerkelijk geïnteresseerd bent in een veilige VPN tunnel ben je niet aan het kloten met een thuisnetwerk en een desktop.

Door Tweakers user siepeltjuh, vrijdag 13 mei 2011 22:29

VPN is niet echt de oplossing. Providers kunnen VPN verkeer (natuurlijk zonder te weten wat er door de tunnel gaat) ook eenvoudig herkennen en er extra tarieven voor opnemen. Net zoals voor VOIP of ander verkeer mogelijk is. Voor de korte termijn zal het wellicht een tijdje werken, maar zodra VPN verkeer toeneemt zullen ze dit ook opnemen in hun voorwaarden.

Door Tweakers user Petervanakelyen, vrijdag 13 mei 2011 22:32

Je zou er nog van kunnen verschieten hoeveel mensen aan het kloten zijn met dingen waar ze geen verstand van hebben. :') Overigens wel handig om te vermelden dat een publiek IP (afhankelijk van ISP/abonnement) ook wel eens dynamisch kan zijn. Op de WAG120N kan je DynDNS gebruiken om dit probleem te passeren, in andere configuraties kan de DynDNS Updater een uitweg vormen.

[Reactie gewijzigd op vrijdag 13 mei 2011 22:32]


Door Tweakers user i-chat, vrijdag 13 mei 2011 22:40

Sgreehder schreef op vrijdag 13 mei 2011 @ 22:24:
[...]


Ruim toereikend voor dit doel. Als je daadwerkelijk geïnteresseerd bent in een veilige VPN tunnel ben je niet aan het kloten met een thuisnetwerk en een desktop.
openSSHd -of- openSSL gebruiken, en je kunt het op je modem / of nas device installeren, dan heb je dus geen windows 7 pc nodig, scheelt je al snel 100+ euro per jaar,

als je dan ECHT graag 100 euro uit wilt geven... huur dan een VPS'je sterker nog,
voor slechts ongeveer 60 euro per jaar zou je al een (in nederland gehoste) vps server kunnen huren. met 128mb geheuge en 100gb trafic per maand (maar ik ga geen reclame maken).

het kost dan een beetje linux kennis, maar 128mb voor een headless server met vpn mogelijkheden installeren is geen punt, en omdat 128mb voor zoiets ook nog eens waanzinnige overkill is, stel ik voor dat je ook gelijk een web-exelerator erop installeerd.
met de juiste tools namelijk, zou je al het verkeer naast versluetelen ook nog eens kunnen zippen... waardoor je meer pagina's uit je mobiele data-limiet kunt halen.

let er dan wel op dat je een a-synchroon compressie methode neemt zoals bijv lmza (deze vergen veel geheugen en cpu bij het zippen, en heel weinig bij het uitpakken... dan blijft het surfen op je mobiel misschien nog een beetje leuk....

als daar intresse in is, is het misschien wat om er eens actief naar te kijken zodat er een echte 'howto gepost kan worden, dan hebben mensen er nog wat aan...
siepeltjuh schreef op vrijdag 13 mei 2011 @ 22:29:
VPN is niet echt de oplossing. Providers kunnen VPN verkeer (natuurlijk zonder te weten wat er door de tunnel gaat) ook eenvoudig herkennen en er extra tarieven voor opnemen. Net zoals voor VOIP of ander verkeer mogelijk is. Voor de korte termijn zal het wellicht een tijdje werken, maar zodra VPN verkeer toeneemt zullen ze dit ook opnemen in hun voorwaarden.
als ze dat doen ga je strax ook veel betalen voor bijv internetbankeren, het idee van een tunnel is namelijk dat je geen onderscheid meer kunt maken...
het enige wat ze dan nog kunnen proberen te achterhalen op osi lvl 1 is of jouw data aan het bursten is of niet... een constante stroom data, suggereerd namelijk ander gebruik dan, een burst, een tijdje niets en weer een burst...

[Reactie gewijzigd op vrijdag 13 mei 2011 22:43]


Door Tweakers user Alex), zaterdag 14 mei 2011 00:09

siepeltjuh schreef op vrijdag 13 mei 2011 @ 22:29:
VPN is niet echt de oplossing. Providers kunnen VPN verkeer (natuurlijk zonder te weten wat er door de tunnel gaat) ook eenvoudig herkennen en er extra tarieven voor opnemen. Net zoals voor VOIP of ander verkeer mogelijk is. Voor de korte termijn zal het wellicht een tijdje werken, maar zodra VPN verkeer toeneemt zullen ze dit ook opnemen in hun voorwaarden.
Daarvoor is er dan weer SSL-VPN bedacht. Alles loopt SSL-versleuteld over poortje 443. Niemand die het verschil tussen een VPN-sessie of de hele dag internetbankieren kan zien zonder het verkeer te decrypten.

Door Tweakers user Tsurany, zaterdag 14 mei 2011 01:16

Andere simpele oplossing is OpenVPN gebruiken, krijg je twee gratis test licenties en kan je gewoon een virtual appliance downloaden. Draai zelf zo'n op Ubuntu gebaseerde appliance op mijn Server 2008 R2 server via Hyper-V, werkt prima. Enkel krijg ik het nog op mijn Android telefoon met de MIUI rom niet geïnstalleerd, dat moet ik nog uitzoeken.

Door Tweakers user ZpAz, zaterdag 14 mei 2011 11:17

Heb zelf een VPN-pakketje in de USA, kost 5 euro per maand ofzo. Gebruik het voor Netflix. VPN kan je prima onder iOS instellen, dus mocht het tarief verhoogt worden aan de hand van wat je doet, dan ben ik er klaar voor.

[Reactie gewijzigd op zaterdag 14 mei 2011 11:17]


Door Tweakers user CodeCaster, zaterdag 14 mei 2011 11:38

i-chat schreef op vrijdag 13 mei 2011 @ 22:40:
[...]


openSSHd -of- openSSL gebruiken, en je kunt het op je modem / of nas device installeren, dan heb je dus geen windows 7 pc nodig, scheelt je al snel 100+ euro per jaar,
Troll niet zo, Windows 7 kost OEM nog geen tachtig euro en gaat minstens een jaar of vijf mee.

Door Tweakers user Brahiewahiewa, zaterdag 14 mei 2011 11:53

CodeCaster schreef op zaterdag 14 mei 2011 @ 11:38:
Troll niet zo, Windows 7 kost OEM nog geen tachtig euro en gaat minstens een jaar of vijf mee.
't Gaat om het stroomverbruik van een PC t.o.v. een device.
Volgens mijn metingen is dat overigens 60 ¤uro per jaar.

Door Tweakers user i-chat, zaterdag 14 mei 2011 13:33

CodeCaster schreef op zaterdag 14 mei 2011 @ 11:38:
[...]

Troll niet zo, Windows 7 kost OEM nog geen tachtig euro en gaat minstens een jaar of vijf mee.
lol - zo als de waard is, ik had het over de stroomkosten van een volwaardige pc tov die van een nas of routertje, 100+ watt vs nog geen 10 watt wat... en dat terweil de stroomkosten de pan uit reizen tegenwordig...

het is niet meer 1kwh voor een cent hoor...

Door Tweakers user Shadow, zaterdag 14 mei 2011 13:48

Allemaal heel interessant natuurlijk, maar het punt is natuurlijk het gebruik maken van skype/voip, en ik denk dat daar een extra 'laag' (noem het een proxy) niet zo heel geschikt voor is. Ik denk dat Mobiel <--> Thuis <--> Skype gewoon teveel lag veroorzaakt aangezien skype over UMTS nu al op het randje is.

En soms zelfs over het randje heen, maar ik verdenk Vodafone er van om dat opzettelijk te doen, aangezien het tot een jaar geleden bij mij altijd zonder problemen werkte. Aangezien ze toch al DPI doen, waarom zouden ze dan niet opzettelijk lag veroorzaken (of 'traffic shaping' om de kwaliteit van het netwerk te garanderen zoals ze het dan waarschijnlijk zelf zullen noemen) om het gebruik van Voip te ontmoedingen...
Misschien dat het gebruik van Voip over VPN dus zelfs wel béter kan werken, aangezien ze het niet meer als 'voip' kunnen herkennen bedenk ik me nu! Hmm misschien wel een experiment waard!

[Reactie gewijzigd op zaterdag 14 mei 2011 13:48]


Door Tweakers user HyperBart, zaterdag 14 mei 2011 14:10

Shadow schreef op zaterdag 14 mei 2011 @ 13:48:
[...]

Allemaal heel interessant natuurlijk, maar het punt is natuurlijk het gebruik maken van skype/voip, en ik denk dat daar een extra 'laag' (noem het een proxy) niet zo heel geschikt voor is. Ik denk dat Mobiel <--> Thuis <--> Skype gewoon teveel lag veroorzaakt aangezien skype over UMTS nu al op het randje is.

En soms zelfs over het randje heen, maar ik verdenk Vodafone er van om dat opzettelijk te doen, aangezien het tot een jaar geleden bij mij altijd zonder problemen werkte. Aangezien ze toch al DPI doen, waarom zouden ze dan niet opzettelijk lag veroorzaken (of 'traffic shaping' om de kwaliteit van het netwerk te garanderen zoals ze het dan waarschijnlijk zelf zullen noemen) om het gebruik van Voip te ontmoedingen...
Misschien dat het gebruik van Voip over VPN dus zelfs wel béter kan werken, aangezien ze het niet meer als 'voip' kunnen herkennen bedenk ik me nu! Hmm misschien wel een experiment waard!
Ligt er ook maar net aan hoe je je VPN opbouwt... als je via SSL gaat werken dan kan het zijn dat de QoS bij providers SSL een lagere prioriteit geeft dan bv Youtube of VoIP waarbij er betaald is voor die diensten...

/evil modus
Ik ben [insert een of andere mottige provider die niet aan netneutraliteit doet], ik stel volgende regeltjes in op mijn trafficshapers
Youtube (betaalde klanten)
VoIP (betaalde klanten, patterning aan de hand van whitelisting (Skype adressen)
HTTP verkeer
HTTPS-verkeer naar enkele bekende sites (banken bv, paypal enz... (whitelisting)
Overig HTTPS-verkeer (beperkt tot enkele KB's en geen rekening houdend met latency)
Verkeer dat kan DPI'en
Alle verkeer dat ik niet kan DPI'en krijgt maar X aantal KB's

Happy tunneling bastards...

/evil modus off

Door Tweakers user i-chat, zaterdag 14 mei 2011 14:59

HyperBart schreef op zaterdag 14 mei 2011 @ 14:10:
[...]

Happy tunneling bastards...

/evil modus off
DOH! - Breng ze nog lekker op 'goeie' ideeën... [/facepalm]

maar je hebt waarschijnlijk gelijk - zoiets kun je dik verwachten... vrees ik.

Door Tweakers user Y0shi, zaterdag 14 mei 2011 22:33

Ik deed dit zelf ook voorheen met mijn android (voor ie stuk ging) en ga het met mijn volgende zeker weer doen.
Tip voor mensen met DDWRT:
er zit een PPTP server in de meeste dd-wrt distro's. zelfs openvpn. makelijk op te zetten en zeer efficient voor je energiegebruik :)

Door Tweakers user Dennism, zondag 15 mei 2011 07:39

Alex) schreef op zaterdag 14 mei 2011 @ 00:09:
[...]

Daarvoor is er dan weer SSL-VPN bedacht. Alles loopt SSL-versleuteld over poortje 443. Niemand die het verschil tussen een VPN-sessie of de hele dag internetbankieren kan zien zonder het verkeer te decrypten.
Jammer dat de meeste telefoons helaas geen fatsoenlijke SSL-VPN kunnen opzetten.

Netextender van Sonicwall werkt bijv alleen op gerootte telefoons, voor IOS nog geen enkel zicht op een fatoenlijke client.

Door Tweakers user SeatRider, zondag 15 mei 2011 09:18

En waarom een VPN en geen proxy?

Door Tweakers user Sgreehder, zondag 15 mei 2011 13:17

SeatRider schreef op zondag 15 mei 2011 @ 09:18:
En waarom een VPN en geen proxy?
Ik betwijfel sterk of er een vorm van DPI is wat zich laat misleiden door het gebruik van een proxy.

Door Tweakers user FX16, zondag 15 mei 2011 16:49

Net even een VPN opgezet , vervolgens de gegevens aan een vriend doorgegeven .
Resultaat, hij heeft er een paar minuten mee kunnen werken en opeens werd de verbinding verbroken.( Vodafone standaard internet )

Wat nu? moet ik dan VPN over SSL gaan proberen ?

Reageren is niet meer mogelijk