Access Point mit Sicherheiten

  • Hallo liebe Community,

    Ich plane einen Access Point auf meinem Pi einzurichten, der aber besondere Kriterien erfüllt, da mein Nachbar (ein netter Student) mein WLAN mitbenutzen möchte.
    Prinzipiell ist das ja auch kein Problem, was ich aber nicht möchte ist dass er auf meinen Sever (Diskstation) und meine Freigaben sehen kann usw. oder meinen Internetzugang für illegale dinge nutzt.
    Deswegen sollte der AP folgende Kriterien erfüllen:

    • einen eigenen IP Bereich
    • eine Geschwindigkeitsbegranzung (DL/UL auf wlan0)
    • es soll NUR HTTP/HTTPS traffic durchgelassen werden
    • jeglicher Traffic von wlan0 (oder zur not eben nur der HTTP/S) soll über einen Proxy weitergeleitet werden (falls er dann doch was verbotenes macht)

    Einen Proxy Server miete ich selber, deswegen lag es mir als Anonymisierungsmethode nahe, den Traffic auch über diesen weiterzuleiten.

    Die ersten beiden Punkte sind ja jetzt nicht so das Problem, gibt da ja zig gute Anleitungen zu.
    Aber die letzten beiden Punkte scheinen mir doch etwas kniffliger, hat da jemand eine Idee oder einen Ansatz wie man das realisieren kann, oder eventuell besser lösen kann?

    LG
    Dimmi

  • Hey,

    um was für einen Proxy handelt es sich denn? Prinzipiell ist das etwas schwieriger ( Transparenter Proxy mit SQUID z.B.). Aber nur so: Du müsstest deinem Mitbenutzer klarmachen, dass ein Dritter dazwischen hängt und ggf. nicht verschlüsselte Inhalte lesen kann.

    Das Durchlassen von HTTP / HTTPS Traffic erreichst du via iptables (Port 80 und 443). Aber was ist mit E-Mail ? (POP3 110, 995, IMAP 143, 993, SMTP 25,465)

    Alternativ wäre ggf. noch TOR zu nutzen (Stichwort: Torberry) oder einen VPN (cyberghost).

    Einmal editiert, zuletzt von GrafKoks (19. Mai 2015 um 16:24)


  • Das Durchlassen von HTTP / HTTPS Traffic erreichst du via iptables (Port 80 und 443).

    Es gibt aber auch nicht HTTP/HTTPS-Traffic, der die Ports 80 bzw. 443 verwenden kann.
    Was ist mit nicht HTTP/HTTPS-Traffic, der z. B. einen HTTP-Tunnel nutzt, wenn man z. B. auf "HTTP GET / HTTP POST & Co." filtern würde?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (19. Mai 2015 um 16:54)

  • Hi und danke für die schnelle Antwort!

    Es ist ein mal ein HTTP und dann noch ein SOCKS 4/5 Proxy und die Authentifizierung kann entweder durch Login/Passwort erfolgen oder durch meine öffentliche IP.
    Ja klar, das würde ich ihm natürlich vorher sagen, aber ich nutze ihn ja auch selber zur Anonymisieren, also von daher.

    Guter Hinweis! ich hatte gar nicht mehr an Mails gedacht! die will ich ihm ja dann auch noch gönnen :D

    Jaa, an Tor hatte ich auch schon gedacht, aber lassen sich meine anderen punkte mit Tor vereinen?

    Man kann schon durch andere Ports tunneln, ich glaube aber nicht dass bei meinem Nachbar da Augenmerk drauf gelegt werden muss:er studiert Deutsch und Erdkunde auf Lehramt :D

  • Gerade etwas interessantes gesehen:

    http://aninternetwebsite.com/2014/11/12/cre…a-raspberry-pi/

    Via TOR ist es meiner Meinung nach einfacher. Dafür gibt es auch viele Anleitungen. Aus Fürsorge solltest du aber bei E-Mail z.B. nur die Verschlüsselten Ports zulassen und einen deutschen Exit wählen ;)

    Eine Drosselung kannst du mittels "wondershaper" erreichen, einfach die gewünschte Up-/Download Geschwindigkeit mitteilen (eth0, damit die WLAN Geschwindigkeit nicht leidet).
    http://www.mdash.net/traffic-shaping-using-wondershaper

    via VPN ist es meiner Meinung nach auch einfacher. HTTPProxy - naja - ich müsste mich da erst einlesen um brauchbare Tipps geben zu können ;), und glaube so einfach ist das nicht möglich den als transparenten Proxy dazwischen zu schalten.[/code]

  • Okay super!
    Danke für die Tipps und zusätzlichen Infos. Werde mich jetzt nochmals hinsetzten und mir überlegen wie/was genau ich da jetzt machen werde.

    Aber noch ne frage zum VPN, müsste ich dafür dann nicht beispielsweise bei Cyberghost zahlender Kunde sein, damit ich das auf dem Pi einrichten kann?

  • Aber noch ne frage zum VPN, müsste ich dafür dann nicht beispielsweise bei Cyberghost zahlender Kunde sein, damit ich das auf dem Pi einrichten kann?

    jap. Es gibt aber auch immer mal wieder Vergünstigungen. Achte einfach dadrauf, dass dein VPN Anbieter auch openvpn anbietet. z.B. Tunnelbear, swissvpn oder cyberghost.

    VPN ist, generell, um "anonymisiert" sich im Netz zu bewegen die bessere Alternative als Proxys.

    Kostenfrei, etwas "unsicherer", dafür etwas "anonymisierter" ist hingegen TOR. Aber da muss man sich an gewisse Verhaltensregeln halten.

    Tor:

    http://raspberry.tips/raspberrypi-tu…erwenden-anopi/

    Einmal editiert, zuletzt von GrafKoks (20. Mai 2015 um 10:02)

  • Hast Du ne Fritzbox ??

    Wenn ja, aktiviere den Gastzugang und der Fall ist erledigt .... ;):D

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye

  • Egal womit Du Deinen Nachbarn an Deinen Anschluss lässt, Du bist nie aus der Haftung.

    Das macht dann keinen Unterschied ob PasPi oder FritzBox oder sonst was.

    Der Gastzugang hält die Nutzer aus Deinem Netz raus, ist also das, was Du eigentlich mit dem Pi auch machen wolltest.

    WLan Anleitung: http://avm.de/nc/service/fri…pot-einrichten/
    LAN Anleitung: http://avm.de/nc/service/fri…Box-einrichten/

    Beides Beispiele an einer Fritzbox 7390.

    Zitat AVM:

    Zitat

    Über den (W)LAN-Gastzugang der FRITZ!Box können Sie Netzwerkgeräten (z.B. Computer, Spielekonsole) den schnellen und sicheren Internetzugang über Ihre FRITZ!Box erlauben, ohne dabei den Zugriff auf Ihr Heimnetz oder die FRITZ!Box-Benutzeroberfläche zu ermöglichen. So kann z.B. Ihr Nachbar über FRITZ!Powerline Ihre Internetverbindung nutzen, erhält dadurch aber keinen Zugriff auf Ihre persönlichen Daten.

    Die Störerhaftung betrifft Dich trotzdem, da ja die Daten über Deine Leitung gehen. Du könntest höchstens einen Vertrag mit Deinem Nachbarn machen und solltest irgendwie im Fall des Falles nachweisen können, dass er den Schindluder getrieben hat.

    Aber denke daran: Generell sind solche "Nachbarschaftsverbindungen" in den (V)DSL Verträgen nicht erlaubt.

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!