Follow

technik-kundige menschen! mal angenommen, ich möchte ein tor middle relay betreiben, um dem netzwerk zu helfen. mit welcher gui konfiguriere ich das "sicher" so, dass ich da nicht aus versehen einen exit relay baue? vidalia gibt es ja nicht mehr. nyx.torproject.org/ - ?

· · Web · 5 · 5 · 0

@luebbermann
Das ist so simpel, wofür da ne GUI? Das Entfernen der Raute vor dem "ORPort 9001" reicht aus, um einen reinen middle Relay zu aktivieren.
Wenn du in der Konfigurationsdatei nicht explizit Exit Traffic erlaubst, ist es immer ein middle Relay. Solltest du Angst vor Fehlern haben, kannst du natürlich sicherheitshalber noch jeglichen ausgehenden Traffic verbieten -> Raute vor dem "ExitPolicy reject *:*" entfernen.
Alles zusätzliche ist optional.

Orientierung: github.com/coldhakca/tor-relay

@Tschuep danke! wenn man sowas weiß, klingt es natürlich einfach :-)

@Tschuep @luebbermann Weiterhin sei erwähnt, dass du keinen reinen middle konfigurieren kannst. Ein stabiler non-Exit mit höherer Bandbreite kann jederzeit auch ein guard (erster der drei relays (guard -> middle -> exit)) werden.

@txt_file @Tschuep das würde ich gern genauer verstehen, also welche risiken damit verbunden sind. der anschluss hier ist in einem zuhause mit anderen menschen, denen ich keine überfälle von uninformierten staatskräften zumuten möchte :/

@luebbermann @Tschuep Sollte keine Probleme bereiten Meine Erfahrung ist dass die Tor Entwickler sehr vorsichtig sind und niemanden in Gefahr bringen wollen Ich habe für mehrere Jahre einen guard+middle bei einem Server Hoster betrieben und nie irgendein Problem gehabt.
Bedenken solltest du noch, dass gewisse Dienste Tor aussperren. Einige betreiben leider overblocking und blockieren nicht nur die exits sondern alle relays. Dann hilft meist nur beim Dienst beschweren oder andere Dienste nutzen.

@txt_file @luebbermann Kleiner Ansporn: Nach zwei Monaten als Relay Betreiber darfst du dir ein stylisches Shirt aussuchen ;)

2019.www.torproject.org/getinv

@luebbermann Vorsicht: wenn du irgendein Tor relay betreibst (middle oder exit ist egal), kannst du von dieser IP-Adresse z.B. nicht mehr bei IKEA online bestellen. Ist mir vor ein paar Jahren so passiert.

@zekjur
Klingt komisch. Als "relay-only", also ohne Exit sollte die IP ja nie direkt mit z.B. Ikea Kontakt aufnehmen. Wie das dann? Ernstgemeinte Frage!
@luebbermann

@AndiS @luebbermann IKEA blockiert einfach vorsichtshalber alle tor IP adressen (gibt es als öffentliche Liste), und eben nicht nur exit nodes, was man eigentlich sollte.

@zekjur
Danke, das erklärt es zumindest.

Aber 🤦‍♂️🤷‍♂️
@luebbermann

@luebbermann Du willst Dich generell genauer mit der Thematik befassen *bevor* Du ein Relay betreibst.

Im Sinne von „Probleme mit der Strafverfolgung bekommen“ kann bei einem non-exit an sich nichts passieren.

Im Sinne von „Nebenwirkungen“ gibts einiges zu beachten.
- Nicht daheim betreiben (Bei DSL auch völlig sinnlos aufgrund der Bandbreiten)
- Eine eigene IPv4 u d ein eigenes /64 IPv6 dafür nehmen auf dem sonst *nichts* läuft.
- Ordentliched reverse DNS

@luebbermann Wenn Du unter 100Mbit/s *symmetrisch* zur Verfügung hast, bringt das nix mehr.
Betreibe lieber Bridges, davon gibt es zu wenig. Das geht auch sinnvoll mit geringerer Bandbreite.

Das GUI zum Administrieren von Tor Nodes heißt Terminal und das Tool der Wahl ist Ansible mit der Relayor Role. Als OS bevorzugt ein BSD (oder ein Linux) nehmen. Offline Masterkeys/Family Management macht die Role automatisch.
github.com/nusenu/ansible-rela

@MacLemon @luebbermann Den Punkt, dass weniger als 100MBit/s nichts bringe entkräfte ich. Ich habe bis vor einem halben Jahr einen relay mit weniger betrieben und der hat gut Traffic gehabt.
Soweit ich die letzten Diskussionen verfolgt habe, gilt weiterhin die Empfehlung bevorzugt ein relay zu betreiben und nur wenn es nicht geht eine Bridge.
Außerdem klingt für mich deine Argumentation sehr nach "mach es entweder richtig/ordentlich oder lass es lieber sein".

@txt_file @MacLemon @luebbermann Och joa. Habe an meiner alten "billo" 100/40er Vectoring Leitung auch einige Terrabytes/Monat durchs Netz geschoben. Also das es nichts bringt, sehe ich auch anders.

Dynamische IPs sind nicht unbedingt von Nachteil fürs Netz. Und eine möglichst hohe Varianz an unterschiedlichsten AS Provider Netzen ist theoretisch auch gut fürs Netz. Also meiner Meinung sind die typischen Raspberry Relays bei Privatleuten im Flur gut aufgehoben.

@Tschuep Deine Meinung halte ich in Ehren. Sie entspricht nur leider nicht mehr der Faktenlage der aktuellen Realität.
Dynamische IPs die mehr als alle 2 Wochen wechseln bekommen de-facto keinen Traffic mehr. Bläst den Consensus unnötig auf.

Wenn Du ein Relay von daheim betreibst, wird Deine IP bei so einigen Services geblockt werden. (Eine sinnlose Unsitte, aber erzähle das mal überzeugten IT Abteilungen oder völlig ahnungslosen Wordpress Plug-In Nutzer*innen.)

@txt_file @luebbermann

@MacLemon @txt_file @luebbermann Oh. Unter Umständen entspricht mein Wissen wirklich nicht mehr dem aktuell technischen Stand. Zeitlich war es bei mir Anfang 2017.
Ist aber auch schade. Das Netz besteht schon so aus viel zu wenigen Relays.

@Tschuep Relay und Exit Bandbreite ist im Netz an sich inzwischen gut das doppelte vorhanden von dem was verwendet wird. Das hat sich sehr stark weiterentwickelt. Die Anzahl der Relays ist auf 6.500-ish geschrumpft, aber die durchschnittliche Bandbreite pro Relay massiv gestiegen, insbesondere Exits. Guard Capacity könnte besser sein, Bridges fehlen immer, weil die halt in manchen Teilen der Welt auch *sehr* schnell verbrennen.
Die untere Beitragsschwelle ist gestiegen.

@txt_file @luebbermann

@MacLemon unter community.torproject.org/relay steht 10 Mbit/s als Minimum für middle/guard. Bitte nenne eine Quelle für deine Aussage, dass unter 100 Mbit/s nichts bringt.
Auf der selben Seite steht auch, dass dynamische IPv4 okay sind. Warum sprichst du dich gegen dynamische IPv4 aus? Wegen Problemen wie mit cloudflare/recaptcha/…?
@Tschuep @luebbermann

@txt_file Weil die Realität die Webseite überholt hat. Beim letzten Tor-Ops Meetup am 36c3 wurden diese Themen recht ausführlich diskutiert.
Konklusio war: 100Mbit/ symmetrische Baseline, keine dynamischen IPs die öfter als alle 14d wechseln.

Besser mit einer 3€/Monat VM bei $freundlichemHoster machen als am HomeDSL.

10Mbit/s *freien* Upstream haben halt auch immer noch erstaunlich wenige Zugänge in DE/AT
Plus die Nebenwirkungen die schon angesprochen habe.
@Tschuep @luebbermann

@MacLemon okay. In dem Meet-up war ich, aber habe mir nicht alles gemerkt und war da stellenweise nicht ganz so aufmerksam.
Finde ich ungünstig, dass die Webseite veraltet ist. Fehlt mir leider gerade die Zeit, das zu ändern. :-(
@Tschuep @luebbermann

@MacLemon @txt_file @Tschuep danke für eure diskussion und die infos, so lerne ich was und kann entscheiden: doch kein raspi am anschluss zuhause. schade aber ist dann so :)

@luebbermann Ansonsten gibt es auch noch andere Projekte, die Bandbreite gut nutzen können und keine Probleme bereiten dürften. Zum Beispiel i2p.
@MacLemon @Tschuep

@txt_file Die Nebenwirku gen wie Cloudflare/Google CAPTCHAs sind nur ein Problem. Es gibt auch dumme IT die alle IPs im Consensus hart Firewalled. Gerade Behörden tun das erstaunlich oft. Dann kannst Du die einfach nimmer aufrufen. Also in der Form, daß Dein SYN bestenfalls noch ein RST zurückbekommt.
Natürlich ist das technischer und operativer Unfug. Gibts aber erschreckend oft. Auch ganze CDNs.

@Tschuep @luebbermann

@txt_file Erst gestern zB bei odoo wieder gesehen. Webseite an sich antwortet via Exit. Das verwendete CDN liefert nur 403er. Resultat: Kein CSS, keine Bilder, etc. auf der Webseite. Völlig unbenutzbare Webseite. Wenn Du die aber brauchst, hast Du jetzt Pech gehabt und musst tethern oder das WLAN vom Café nebenan verwenden.

Wenn solche Leute dann mal den Consensus updaten, fallen alte IPs nie raus. Auf einmal haben Deine Netzwerknachbar*innen auch dieses Problem.

@Tschuep @luebbermann

@txt_file Die wissen aber nicht warum sie plötzlich geblocked werden und, sie können auch nichts dagegen tun. Es wäre daher, IMHO, sehr Rücksichtslos das so zu betreiben. Gegenüber sich selbst kamma diese Verantwortung übernehmen, keine Frage. Du hast die Freiheit Dir selbst unnötige Probleme zuzumuten. Aber gegenüber anderen ist das schon eine 2. Überlegung wert.

Es sei Dir natürlich völlig freigestellt da eine andere Meinung zu haben.

@Tschuep @luebbermann

@txt_file Ja klar gehts um richtig machen. Nicht richtig machen, bringt nix, ist also wider das eigentliche Ziel und kann für die Betreibenden blöde Nebenwirkungen haben. Die meisten sind nicht gewillt diese Einschränkungen in Kauf zu nehmen. Bei dynamischen IPs kommt hinzu, daß Du damit auch für *andere* diese Einschränkungen erzeugst die unwissentlich und unschuldig dann drunter leiden müssen.

@luebbermann

@luebbermann Wenn das nach viel Aufwand klingt oder kompliziert, isses auch geworden.
Was alternativ *immer* gut ist, den Organisationen die Haupt-Ehrenamtlich Relays (und Exits) betreiben zu spenden. Die können auch mehr Bandbreite/Geldeinheiten realisieren als Einzelpersonen.

ZB: @applied_privacy

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community