• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

LAN-Gateway zu .onion-Adressen

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Hallo Leute,

Würde gerne .onion-Adressen mit beliebigen Geräten in meinem Netzwerk öffnen, ohne TOR-Clients zu installieren.

Meine Idee war, einen Docker-Container auf meinem Homeserver einzurichten und .onion mit meinem Router zum Server aufzulösen.

Port 80/443 wird dann einfach per DNAT über den TOR-"TransPort" geleitet.

Da würde ich dann ähnlich dieser Anleitung vorgehen: https://trac.torproject.org/project...ansparentlyDoingDNSandRoutingfor.onionTraffic

Nur dass ich eben im Router einstelle, dass der TOR-DNS nur für die .onion TLD verantwortlich ist und nicht für alles.

Habe ich was vergessen? Geht das irgendwie schlauer?
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Zu Tor selbst kann ich wenig sagen. Hab's ein Mal getestet. Es war mir zu langsam, bzw. funktionierten einige angeklickte Links überhaupt nicht.

https://trac.torproject.org/project...ansparentlyDoingDNSandRoutingfor.onionTraffic
Warning: While this sounds great there is one disadvantage: ALL your dns request will be made through Tor-- anonymous and non-anonymous.
Heißt für mich, dass du den Tor-DNS für alle Anfragen nutzt. Das erscheint mir nicht sonderlich effizient.

Ich hab mal vor längerer Zeit in meiner Ex-Arbeit Pdnsd für solche Zwecke genutzt. Da kannst du in Abhängigkeit von der Domain unterschiedliche DNS-Server festlegen:

Code:
server {
   label="nur_für_außen";
   ip = 213.73.91.35; 	# Chaos Computer Club
   policy=fqdn_only;
}

server {
   label="nur_für_intern";
   ip = 192.168.178.1; 	# Fritzbox
   policy=simple_only;
}

server {
   label="bestimmte_domains_ausschließen";
   ip = 8.8.8.8, 8.8.8.4;     # Google
   exclude=.soll-nicht.de,.auch-nicht.de;
   policy=included;
}

server {
   label="nur_bestimmte_domains";
   ip = Ip_zum_tor_dns;
   include=.nur-die.onion,.die-auch.onion;
   policy=excluded;
}

Zusätzlich filter ich mit pdnsd auch noch die Werbung (13000 Einträge) für mein internes Netz raus.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #3
@musv: Ja, das mit den unterschiedlichen DNS für FQDN hatte ich ja schon vor:

Nur dass ich eben im Router einstelle, dass der TOR-DNS nur für die .onion TLD verantwortlich ist und nicht für alles.

Dass TOR langsam ist, ist ja nicht das Problem – anders kann man auf .onion-Domains einfach nicht zugreifen. Mir ist auch klar, dass man dann mittels Fingerprinting identifizierbar ist, aber mir geht's ja auch nicht um Anonymität.
 

Localhorst

Keks-Verteiler

Registriert
12 Nov. 2014
Beiträge
1.941
Bietet sich dafür dann nicht PiHole an? Der arbeitet mit dnsmasq und über die Weboberfläche können sehr viele DNS Server eingetragen werden. Ich kann gerade nicht nachsehen, aber ich kann mir vorstellen dass man dort sagen kann, jeglische .onion Adressen werden mit dem DNS 10.0.0.X aufgelöst.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #7
Wüsste jetzt nicht, warum ein Pi-Hole als zusätzliches Zwischenstück Sinn ergeben würde, wenn dann eh auf den DNS vom TOR-Gateway umgeleitet wird? Dann kann ich ja auch gleich den DNS meines Routers nutzen? Oder übersehe ich da was und ARP-Poisoning, was in meinem Netzwerk übrigens nicht erlaubt ist, bringt mir irgendwelche Vorteile?
 

Localhorst

Keks-Verteiler

Registriert
12 Nov. 2014
Beiträge
1.941
Ich dachte wir sind noch in der Lösungsfindung: wir man NUR .onion TLD an die Zwiebel schickt und alle anderen Anfragen an einen anderen DNS Server. Me Culpa :unknown:
 

killakuh

mit Glied

Registriert
2 Juni 2018
Beiträge
23
Wüsste jetzt nicht, warum ein Pi-Hole als zusätzliches Zwischenstück Sinn ergeben würde, wenn dann eh auf den DNS vom TOR-Gateway umgeleitet wird?

naja, du kannst dem pi-hole sicher mittels des eingebauten dns-servers den befehl geben, dns-anfrage für *.onion-domains von einem anderen dns-server zu erfragen. das wird aber denke ich nicht mal der pi-hole out-of-the-box können, denke.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #10
@killakuh: ich wiederhole meine Frage: Warum soll das der pi-hole tun, wenn mein Router das auch tun kann? :D
 

killakuh

mit Glied

Registriert
2 Juni 2018
Beiträge
23
Wenn du deinen Router den DNS Server füttern KANNST dann mach das bitte.

Wird aber kompliziert, da du die route ins TOR setzen musst und wie gesagt die dns einträge der onion domains fütterst.

Am leichtesten geht das ganz aber sicher mit proxy.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #12
Wird aber kompliziert, da du die route ins TOR setzen musst und wie gesagt die dns einträge der onion domains fütterst.

Das… äh… sollte ich gerade noch so hinbekommen…

Mich interessiert auch gar nicht die DNS-Seite der Gleichung, sondern eher wie ich den TOR-Proxy/Server/"TransPort" aufsetze. Habe mal ein wenig mit dem o.g. Docker-Container rumprobiert, aber so wirklich gut funktionieren tut das nicht. Auch ein eigener Docker-Container basierend auf Debian brachte noch keine Erhellung.

Sobald ich mich noch mal reingearbeitet habe, poste ich mal hier die Config.
 

killakuh

mit Glied

Registriert
2 Juni 2018
Beiträge
23
Mich interessiert auch gar nicht die DNS-Seite der Gleichung, sondern eher wie ich den TOR-Proxy/Server/"TransPort" aufsetze.

Entschuldige bitte, aber ich habe da selbst einen Denkfehler bezüglich deines Problems gehabt. Bin dabei jetzt auch raus. Schon mal bei Administrator.de nachgefragt?
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Bist du inzwischen weitergekommen mit dem Thema?

Je mehr ich darüber nachdenke, desto mehr reizt mich das Thema auch. Ich will jetzt bei mir mal VPN testen. Die Ideen sind da. Aber die Umsetzung fehlt noch etwas. Konkret schwebt mir da vor.

NAS:
Da soll das VPN drauf. Entsprechend müsste mir ein tun-/tap-Device zur Verfügung stehen. Das will ich aber in einen Net-Namespace packen, um 2 separate Defaultgateways zu haben. D.h. ich hätte damit die Möglichkeit, über die Auswahl des Net-Namespaces zu entscheiden, ob ich den Traffic über das VPN oder über das normale Netz jag.

Rechner im Netz:
Hier müsste ich dann wohl auch einen Namespace anlegen, indem ich dann den Browser bzw. Torrent & Co. starte, damit das dann über das VPN-Gateway geht anstatt über das normale Defaultgateway.

Übertragbarkeit auf Dein Problem:
Ist an der Stelle leider der falsche Weg, da wir hier ja die onion-Adressen über das Gateway jagen wollen, der Browser aber der Standardbrowser sein soll und damit auch ins "normale Internet" kommen soll. Wie gesagt, wenn du mit dem Thema weiterkommst, gib mal bescheid.
 
Oben