Auslandsserver für sicheres HNA Routing und andere Mehrwerte

[mono]

Wie letztens auf dem Treffen besprochen, kann es sehr Vorteilhaft sein, Server im Ausland zur Verfügung zu haben.

Welche Angebote gibt es da, wie teuer ist das, und welche Nutzungsmöglichkeiten bieten sich?

Wer würde sich an den Kosten beteiligen, und warum haben wir das nicht schon längst

Sport frei!

[3dfxatwork]

Ich war ja nun beim letzen mal nur so halb da, habt ihr schon irgendwas herausgefunden, in welchem Land man soetwas anschaffen sollte, oder sonstiges ? Oder soll gerade dieser Thread dazu da sein, dies zu erörtern ?

Wir hatten ja auch beim vorletzten mal gesagt, das eine openssl Verbindung langsam sein soll, ich würe da mal bissel rumprobieren, und in dem Atemzug auch gleich noch die Frage an Cyrus, du wartest ja die vpn-tunnelserver, ist dir da etwas aufgefallen, dass etwa wenig Bandbreite zur Verfügung steht ?

MFg Matthias

[Sn1cki]

an den Kosten würde ich mich beteiligen...
leider hab ich da nicht so die Ahnung von solchen Sachen, aber ein Mehrwert ist das auf jeden Fall.
Ausserdem sichert es die HNA´s ab...
Nur wieviele Server bräuchte man da bzw. wieviele HNA´s könnten sich einen Server teilen?

[PapaBaer]

Würde vorschlagen (hab ich auch schon mal), im Wiki ne Seite mit Angeboten anzulegen, anstatt das hier unsortiert im Forum als Thread liegen zu haben. Vielleicht einfach ne Tabelle mit allen wichtigen Daten, welcher Anbieter, welches Land, welche Bandbreite, monatliche Kosten, ...

Ja, ich weiß, ich könnts auch einfach selbst anlegen, hab nur noch nix zum reinschreiben...

Stefan

[tox]

mh, sowas mit den geschwindigkeiten hab ich schon ausprobiert. hab mal nen endlos-download über http und https im lokalen lan gemacht, das kommt auf etwa 1,78 Mbyte/s und 715 kbyte/s. was aber immerhin anderhalb mal so schnell ist wie openvpn mit ca. 450 kbyte/s mit http.

für interessierte möchte ich an der stelle noch erwähnen, dass man mit derselben hardware (nämlich nem mips 32 bit im buffalo whr-hp-g54) über ssh ca. 175 kbyte/s getunnelt bekommt.

sämtliche werte bei maximaler cpu-auslastung. mit einem x86 bekommt man bei einem 2-ghz-core-2-duo-einkern-äquivalent ca. 25 mb/s über http hin bei 50% cpu-auslastung, also bei einer 5-fachen auslastung in bezug auf den router-prozessor bei großzügiger rundung auf etwa die vierzehnfache geschwindigkeit. d.h. bei normalisierter prozessorleistung auf etwa die 2,5-fache geschwindigkeit. nun müsste man weitere nachforschungen anstellen, ob es tatsächlich an der hardware liegt oder an einer langsamen implementierung der server.

bei diesem vergleich wurde die verschlüsselung noch komplett außer acht gelassen. nimmt man einmal pauschal an, dass ca. 120 mhz des mips für die verschlüsselung benötigt werden (die übertragungsrate ist ja etwa auf 1/2,5 gefallen mit ssl), dann würde ein 2-ghz-äquivalent ca 11,5 mb/s schaffen (ungeachtet anderer dienste). ein 2-ghz-x86 schafft 18 mb/s (rijndael-256, gemessen in user-space, im kernel-space kann die geschwindigkeit gegebenenfalls noch verdoppelt werden), also hat auch hier die x86-architektur die nase vorn.

möglicherweise sollte man dann, wenn man wirklich sowas vorhat mit auslandsservern, die architektur schon aus leistungsgründen wechseln.

[3dfxatwork]

Als in Deutschland, hab ich bisher noch keinen Miet-Server mit einer Architektur verschieden von x86 (oder mit 64 bit Erweiterung) gesehen

[Cyrus]

overhead entsteht ganz einfach durch die verschlüsselung bei openvpn, hier kann man auch verschiedene verschlüssleungsverfahren einsetzen, die dann auch unterschiedlich schnell sind, deswegen sind die hier dargestellten werte auch nicht 100%ig aussage kräftig.

[tox]

Als in Deutschland, hab ich bisher noch keinen Miet-Server mit einer Architektur verschieden von x86 (oder mit 64 bit Erweiterung) gesehen

mh ich hab doch von den ff-nodes geredet...

overhead entsteht ganz einfach durch die verschlüsselung bei openvpn, hier kann man auch verschiedene verschlüssleungsverfahren einsetzen, die dann auch unterschiedlich schnell sind, deswegen sind die hier dargestellten werte auch nicht 100%ig aussage kräftig.

ja, das ist sehr gut möglich. dennoch zeichnet sich in meinen augen bei den gemessenen werten eine tendenz ab. ich frage mich nur, ob wir angesichts der "flucht ins ausland" aufgrund von schärfer werdenden gesetzen wirklich an der verschlüsselung sparen wollen

also um verwirrungen vorzubeugen: die geschwindigkeitsmessungen hab ich genau aus dem grund gemacht, weil, wenn überhaupt, es genau der (zumindest in meinem fall) freifunk-router sein wird, der zu irgendeinem rechner im ausland tunneln wird. auch für router, die sowieso schon chronisch überfordert sind, sollte das sein. ich gehe davon aus, dass, abgesehen von mono, der sich sowieso schon ein x86-system dafür plant anzuschaffen (so wie ich es verstanden hab), auch tuxmos und jabo davon betroffen sein werden, sobald das vorhaben realität wird, da über sie doch eine ganze menge verkehr läuft, so wie ich das in der topo ablese.

die folgenden gedanken spiegeln teilweise das wider, was ich bereits beim treffen angemerkt habe, sind aber auch ein wenig weitergesponnen. was ich sage, muss nicht eintreten, wäre aber eine der logischen konsequenzen.

das problem wird einfach sein an der stelle, dass man dem geneigten laptop-user ebenso wie den nicht-hna-knoten irgendwie begreiflich machen muss, dass sie an einem knoten hängen, der im günstigsten fall 400 kbyte/s bringt, welche auch noch auf alle anderen nutzer dieses hnas aufgeteilt werden. und auch nur dann, wenn nicht olsrd oder dropbear auch noch mal ein paar prozente von der cpu brauchen. dann sind wir an dem punkt angelangt, wo die hna-user vor der entscheidung stehen: schnelleren rechner besorgen zum wohle des freifunk (was mit deutlichen kosten verbunden sein kann) oder die ganzen nutzer mit dieser geschwindigkeit gestraft lassen. dann werden die nutzer wiederum sich überlegen, ob sie nicht was an ihrem antennen-anschluss-router-management verändern, um nicht einen anderen hna reinzukriegen, der mehr hergibt als eine geschwindigkeit, die kanpp über umts-niveau liegt (und wie gesagt, das nur im idealfall). dann wird die topographie in einer clusterbildung enden, was entschieden entgegen dem gedanken von freifunk ist. abgesehen von diesem sozialinfratrukturellen problemen sehe ich auch noch viele ungeahnte seiteneffekte beim tunneln ins ausland. die geolokalisierung von seiten, sodass man beispielsweise bei der eingabe von "www.gmx.net" eine deutsche oberfläche bekommt, die ich auf dem treffen angesprochen hab, ist nur ein kleiner aspekt. da wir versuchen gewissen rechtlichen aspekten in deutschland aus dem weg zu gehen, sollten wir schon sehr, sehr weit weggehen, da diese aspekte mindestens in der europäischen union, den usa, kanada und japan, sowie den ländern des commonwealth und den französischen dom-tom beachtung finden oder mit sicherheit finden werden. da bleiben nicht mehr sehr viele länder übrig, die sagen wir mal keine ungünstigen abkommen bezüglich der auslieferung von informationen bei kriminalistischen verfolgungen haben. im wesentlichen zentralaftrika und der mittlere osten. d.h. man wird dem freifunk-user auch zusätzlich noch erklären müssen, warum er nicht auf seine lieblingsseite http://www.gmx.de kommt, da die möglicherweise aus afghanistan gar nich erreichbar ist. es tun sich meiner auffassung nach mehr rechtliche fragen auf, als dass sie mit auslandsservern beseitigt werden.

nun ja, genug gesponnen, vllt kommt es auch alles ganz anders. sind nur meine gedanken.

[se]

es gibt ja router mit hardware-crypto chip, wo man direkt vpn-verbindungen vom router aus einstellen kann. sowas könnte man ja dann zwischen freifunk-router und internet dazwischen klemmen und hat dann ausreichend schnelle verschlüsselte verbindung zumindest auf der client-seite.

[tox]

gut dann stell ich ganz provokativ die frage: wie viel kosten die? und ohne den progressiven gedanken, den mono hatte, in frage zu stellen, solche ideen sind wirklich selten, aber wie viel hardware soll sich ein otto-normal-hna eigentlich noch hinstellen? ja ich weiß, ich bin böse, aber diese fragen müssen alle mal auf den tisch, finde ich. und ich bin der idee an sich ja auch nich potenziell abgeneigt, wenn das möglicherweise dauernd bei mir so klingt, nur muss sie halt reiflich überlegt sein.

[Gordon]

nach etwas längerer Abwesenheit werde ich mich wohl nächste woche auch wieder beim Treffen einfinden... Jetzt aber erstmal bisschen was hierzu

Ich war, wie erwähnt, nicht dabei, verstehe die Motivation hinter dieser Sache aber sicher. Meiner Meinung nach wird das ganze in den zu erwartenden Größenordnungen jedoch leicht unverhältnismäßig.
Zur Hardware-Crypto: Wen wollen wir damit in diesem Moment schützen? Vor dem "Recht flüchten" kann der Betreiber eines HNA damit schonmal nicht, da es weiterhin bei ihm endet.
Zur Leistung/Architektur: Was anderes als x86 gibts denk ich schon, ältere Apple mit PowerPC-Architektur oder so... wobei es das halt dann auch nicht mit aktueller Leistung gibt... nur Housing im Ausland wird extrem schwierig, es sei denn wir bauen uns ne urlaubskasse und bei ner Störung macht halt einer Urlaub da und resetted den Eigenbauserver

naja, soweit erstmal kurze Meinungsäußerung von mir...

[stromer]

und ich bin der idee an sich ja auch nich potenziell abgeneigt

Ich auch nicht- aber..........!
Den Gedanken von mono finde ich vom Grundsatz erstmal gut, aber der Argumentation von tox und auch gordon kann ich mich auch nicht verschließen. Ich habe für meinen HNA-Standort prinzipiell schon ein gewisses Sicherheitsbedürfnis, aber sehe eigentlich nicht ein für "andere", deren Datenverkehr ich im wesentlichen nicht einschätzen kann, noch zu investieren, damit die vor irgendwas / irgendwem theoretisch besser geschützt sind bzw. Zugriff erschwert ist. Wer bei einem Auslandsserver sich mit einstöpselt kann sicherlich auch nicht festgestellt werden.
Abgesehen von den technischen Problemchen, ist hier also noch ein weites Feld zum diskutieren und klären.

Eine finanzielle Beteiligung in Grenzen schließe ich natürlich auch nicht aus.

[Cyrus]

Theoretisch unterstützen Router wie der WGT634U oder der Asus WL500GD Hardware-beschleunigte crypto mit laut specs bis zu 75Mbps, nur leider ist das broadcom typisch proprietär und es gibt keine linux-treiber...
Ohne HW-Beschleunigung kommt man mit Blowfish auf ~0,4MB/s.

Und zu dem gmx-Thema. Wer die Seiten aufgrund von geoinformationen der IP-Adresse ausliefert gehört an die Wand gestellt.
Browser senden Accept-Language header, die kann man auswerten.

[mono]

Es geht nicht (nur) darum, den Ottonormal_FF zu schützen. Meine persönliche Motivationen sind:

1) Sicherheit für den HNA. Und diese ist gegeben, wenn man einen enstprechenden Serverstandort wählt.
2) Umgehung von Zensurmaßnahmen (Goggle, DNS-Server-Einträge, etc.)
3) Weitere Möglichkeiten für Dienste und Städtekopplung
4) Aushebelung der Datensammelwut und der erstellten Profile, sowie freie Recherche von "ALLEN" möglichen Themen, ohne unter Generalverdacht auf einer "Terrorliste" zu landen.

und alles was vieleicht noch euch kreativen Köpfen zusätzlich einfällt

Jedem HNA ist es freigestellt, ob er das nutzt oder nicht. Die User sind nicht davon betroffen.
Nur der HNA muß eine Leistungsmäßig angepasste Hardware zur Verfügung haben, und um diese wird er sich kümmern, wenn er diesen Weg als sinnvoll erachtet.

Wer bis jetzt keine Zensurmaßnahmen festgestellt hat, oder der Meinung ist, als ehrlicher Mensch nichts zu verbergen zu haben, sollte sich bitte ab jetzt aus diesem Thread verabschieden, und er bekommt eine Windows-Vista-Lizenz und ein Abendessen mit Dr. Schäuble gratis dazu.

Außerdem haben wir auf der Fusion (unbestätigte) Informationen erhalten, das es entsprechende Gesetzesvorlagen gibt, die Europa innerhalb der nächsten 5 Jahre auf einen Niveau mit China bringen werden (Internetrechtlich).


Ich kann nachvollziehen wenn jemand dieses Thema als sinnlos, oder nicht zu realisieren betrachtet.
Jedem das seine.

Ich möchte daher darum bitten, das ab jetzt hier nicht mehr über die Sinnhaftigkeit zu diskutieren, sondern nur über Umsetzungsmöglichkeiten und Verwendungsmöglichkeiten.

Kritik ist gerne gesehen, aber nur wenn sie produktiv und zielführend ist.

ein gutes Stichwort für eine Googlesuche ist z.B.: "offshore hosting"

Vielen Dank,

Mono

[sneumann]

Moin!

Ketzerische Frage: Warum muss der HNA verschlüsseln, und alle Rechenlast haben ?
Er könnte ja auch den "normalen" http Verkehr dicht machen, und nur den VPN
Verbindungen der anderen Knoten die Bandbreite zum Endpunkt bereitstellen.

Damit haben wir ca. 120 MIPS CPUs zum Verschlüsseln

Gruss,
Steffen.

[se]

hab hier mal ein angebot aus hong kong rausgesucht, das recht vielversprechend klingt. man muss eigentlich nur bei google nach offshore server suchen..

der "small server" von denen kostet jährlich 2160 euro (entspricht monatlich 180 euro).
http://www.zentek-international.com/

[3dfxatwork]

Ja das Problem ist dann wieder auf der Serverseite, 120 VPN Tunnel, das wird dann auch schon den Offshore-Server an Grenzen bringen, aber das müsste man im Vorfeld mal testen.

Edit: Hong Kong ist glaube ich nicht das richtige für unseren Standort, zumal die Preise etwas sehr überzogen sind, oder bin ich nur von deutschen Angeboten verwöhnt

[mono]

Es ist das effizienteste wenn nur der HNA verschlüsselt.
Aussedem will der HNA ja wohl auch mit seinem eigenen Traffic darüber gehen.
Und den Netzinternen-Traffic grundsätzlich zu verschlüsseln, finde ich recht heftig.

@se Es gibt auch Angebote ab 90€

[sneumann]

Es ist das effizienteste wenn nur der HNA verschlüsselt.
Aussedem will der HNA ja wohl auch mit seinem eigenen Traffic darüber gehen.
Und den Netzinternen-Traffic grundsätzlich zu verschlüsseln, finde ich recht heftig.

Warum ? Gäbe es irgendwelche Nachteile ?
Der HNA baut sich auch einen Tunnel auf.
Man müsste für halt für stabile Tunnel sorgen,
das wird die schwierigste Aufgabe.

Zum DSL sharing mit VPNs gibt's hier noch einen Absatz

http://de.wikipedia.org/wiki/FON#Abgren ... n_Modellen

mit Link zu http://www.sofanet.de/

Edit: Heise hat auch noch ein paar Treffer: http://www.heise.de/netze/suche/?rm=sea ... button=los!

Gruss,
Steffen

[mono]

Warum ? Gäbe es irgendwelche Nachteile ?

Die Router wären überfordert, zumindest die zentralen Knoten.


http://www.katzglobal.com/hosting/offsh ... cated.html

[sneumann]

Ja das Problem ist dann wieder auf der Serverseite, 120 VPN Tunnel

Ack.

Dann machen wir nicht 120 VPN Tunnel, sondern schauen wir uns die Topo an,
und stellen einige Tunnel in die "Nähe" der DSL-HNAs. Damit kriegt man
pro MIPS-Tunnel 400 kb/s durch das DSL.

Das geht recht gut mit der
http://www.freifunk-halle.de/~se/olsr_topo/topo-hna.png
wo z.B. tuxmos33 die Gütchen einsammeln und über SAW schicken könnte,
oder der Onkel in Qeiser den Traffic durch den Gutsweg tunnelt.

Wie geht eigentlich OLSR damit um ? Neben den DSL-HNAs
haben wir dann auch VPN-HNAs, die werden doch ganz normal
in das Routing eingebunden. Oder gibt's da ein Problem,
das ich übersehen habe ?

Gruss,
Steffen

[tox]

ein dedicated server in vietnam für 105 $/monat: http://nvhserver.com/