Hallo,

da ich eine gute Internetverbindung habe, überlege ich auf meinem Proxmox-Server einen Container als Tor-Relais zu betreiben.
Da ich auch einen weiteren Server bei meinen Eltern betreibe, würde ich jene auch fragen.

https://community.torproject.org/de/relay/

Wieso poste ich dies?
Mich würde von eurer Seite interessieren, ob etwas dagegenspricht.

Sowohl rechtlich als auch praktisch.
NB: Es werden keine Exit-Relays!

Solange du kein Exit-Relay zuhause betreibst, spricht überhaupt nichts dagegen.

Stell dich aber darauf ein, dass dein IP-Endpunkt (und der deiner Eltern) auf diversen Blacklists landet und du verschiedene Dienste nicht mehr erreichen wirst.
Ein paar Beispiele:

https://banking.ing.de/
https://www.elster.de/
https://rki.de/
https://www.destatis.de/
https://bmj.de/
https://www.handelsregister.de/
https://www.bfarm.de/

Edit: Sehe jetzt erst, dass du in Wien wohnst. Ich weiß nicht, wie Österreich da tickt :D

Es ist davon auszugehen, dass weitere Banken und auch viele weitere Dienste des Bundes "betroffen" sind.
Das liegt daran, dass die Betreiber bzw. deren Dienstleister zu dumm sind, die "richtige" Blockliste zu abonnieren und einfach alle Tor-Relays blacklisten, statt nur die Exitnodes, die sie eigentlich blocken wollten. Abhilfe schaffen VPNs oder alternative Verbindungen via Mobilfunk etc.
Das Problem kann man umgehen, indem man stattdessen eine Bridge betreibt. Bridges landen nicht in den gängigen Blocklisten, haben aber auch wesentlich weniger Traffic.

Die hohe Anzahl an Verbindungen setzt außerdem einen guten Router voraus. Fritzboxen sind keine guten Router und verrecken spätestens mit knapp über 6000 TCP-Verbindungen. Die Problematik ist auch hier beschrieben: https://community.torproject.org/relay/relays-requirements/
Daher habe ich meinen Router selbstgebaut (Linux, pppd, nftables) und ein ordentliches Draytek-Modem. Die Verbindung ist seitdem über Monate stabil und so performant wie noch nie.
Vermeiden kann man diese Problematik, indem man den Durchsatz in der torrc stark beschränkt, sodass dein Relay unattraktiv bleibt und nur wenige Verbindungen empfängt. Damit wird man zwar kein Guard-Relay, aber jedes bisschen hilft ja.
Ich habe kein praktischen Erfahrung mit Bridges, schätze aber, dass diese wesentlich weniger Verbindungen unterhalten.

Mit dem Provider (Vodafone) habe ich keine Probleme. Über mein Middle/Guard-Relay gehen aktuell ca. 5 TB im Monat.

Achte auf zeitnahe Updates auf die jeweils letzte und beste Tor-Version.

Wenn dich das alles nicht sofort abschreckt, empfehle ich einfach, loszulegen und eigene Erfahrungen zu sammeln. :smile:

Wow!

Danke für die vielen Infos!

Da es es in diesem Forum kein +1 gibt: Vielen Dank für deinen Beitrag, MORPHiNE :)

Da es es in diesem Forum kein +1 gibt: Vielen Dank für deinen Beitrag, MORPHiNE :)
Dem schließe ich mich an! :up:

Solange du kein Exit-Relay zuhause betreibst, spricht überhaupt nichts dagegen.

Stell dich aber darauf ein, dass dein IP-Endpunkt (und der deiner Eltern) auf diversen Blacklists landet und du verschiedene Dienste nicht mehr erreichen wirst.
Ein paar Beispiele:

https://banking.ing.de/
https://www.elster.de/
https://rki.de/
https://www.destatis.de/
https://bmj.de/
https://www.handelsregister.de/
https://www.bfarm.de/

Edit: Sehe jetzt erst, dass du in Wien wohnst. Ich weiß nicht, wie Österreich da tickt :D

Es ist davon auszugehen, dass weitere Banken und auch viele weitere Dienste des Bundes "betroffen" sind.
Das liegt daran, dass die Betreiber bzw. deren Dienstleister zu dumm sind, die "richtige" Blockliste zu abonnieren und einfach alle Tor-Relays blacklisten, statt nur die Exitnodes, die sie eigentlich blocken wollten. Abhilfe schaffen VPNs oder alternative Verbindungen via Mobilfunk etc.
Das Problem kann man umgehen, indem man stattdessen eine Bridge betreibt. Bridges landen nicht in den gängigen Blocklisten, haben aber auch wesentlich weniger Traffic.

Die hohe Anzahl an Verbindungen setzt außerdem einen guten Router voraus. Fritzboxen sind keine guten Router und verrecken spätestens mit knapp über 6000 TCP-Verbindungen. Die Problematik ist auch hier beschrieben: https://community.torproject.org/relay/relays-requirements/
Daher habe ich meinen Router selbstgebaut (Linux, pppd, nftables) und ein ordentliches Draytek-Modem. Die Verbindung ist seitdem über Monate stabil und so performant wie noch nie.
Vermeiden kann man diese Problematik, indem man den Durchsatz in der torrc stark beschränkt, sodass dein Relay unattraktiv bleibt und nur wenige Verbindungen empfängt. Damit wird man zwar kein Guard-Relay, aber jedes bisschen hilft ja.
Ich habe kein praktischen Erfahrung mit Bridges, schätze aber, dass diese wesentlich weniger Verbindungen unterhalten.

Mit dem Provider (Vodafone) habe ich keine Probleme. Über mein Middle/Guard-Relay gehen aktuell ca. 5 TB im Monat.

Achte auf zeitnahe Updates auf die jeweils letzte und beste Tor-Version.

Wenn dich das alles nicht sofort abschreckt, empfehle ich einfach, loszulegen und eigene Erfahrungen zu sammeln. :smile:


Also mein Netzwerk basiert auf einem Gigabit Anschluss inkl. 50/10MBit LTE BackUp Modem als Failover, da ich oft im Homeoffice bin und mir keine Verbindungsabbrüche erlauben möchte.

Realisiert wird dies über einen EdgeRouter 10X und dahinter eben die restliche Netzwerktechnik inkl. Homeserver, APs etc.

Der Gigabit Anschluss hat eine fixe IP, die will ich mir nicht verbrennen, aber der LTE ist dynamisch und mir folglich ziemlich wurscht.

Ich hätte also vor, dass ich 20/5 am LTE Modem als Tor-Relais verwenden lasse.
Eventuell bekommt der LTE-Tarif ein Update, dann lasse ich mehr zu.

Was meinst du dazu?

Hi,

danke euch erstmal für das liebe Feedback.

Realisiert wird dies über einen EdgeRouter 10X und dahinter eben die restliche Netzwerktechnik inkl. Homeserver, APs etc.


Dem Setup traue ich jedenfalls mehr Verbindungen als einer Fritzbox zu. :smile:


Der Gigabit Anschluss hat eine fixe IP, die will ich mir nicht verbrennen, aber der LTE ist dynamisch und mir folglich ziemlich wurscht.

Die IP wäre im Zweifelsfall nur für einige Zeit verbrannt. Die Blocklisten müssen ja häufig aktualisiert werden und können nicht ewig wachsen, entsprechend fliegen inaktive IPs auch wieder raus.


Ich hätte also vor, dass ich 20/5 am LTE Modem als Tor-Relais verwenden lasse.
Eventuell bekommt der LTE-Tarif ein Update, dann lasse ich mehr zu.

Was meinst du dazu?


1. Mobilfunknetze machen meist CGNAT. Damit ist es nicht ohne Weiteres möglich, die für ein Relay notwendigen Ports von außen erreichbar zu machen. Das funktioniert also sehr wahrscheinlich nicht.

2. Da du als Tor-Relay der eingehenden Traffic 1:1 wieder zum nächsten Relay hochlädst, wären in deinem Beispiel nur 5/5 Mbps möglich.

3. 5 Mbps Durchsatz reichten für eine (sehr) kleine Bridge.

1. Mobilfunknetze machen meist CGNAT. Damit ist es nicht ohne Weiteres möglich, die für ein Relay notwendigen Ports von außen erreichbar zu machen. Das funktioniert also sehr wahrscheinlich nicht.

2. Da du als Tor-Relay der eingehenden Traffic 1:1 wieder zum nächsten Relay hochlädst, wären in deinem Beispiel nur 5/5 Mbps möglich.

3. 5 Mbps Durchsatz reichten für eine (sehr) kleine Bridge.

Ad 1:

Interessant, dies muss ich eingehender testen.
Wenn die Gigabitleitung (Kabel) mal ausfällt, wechselt der DynDNS automatisch und ich kann eigentlich alle Dienste (vor allem Wireguard) wie gewohnt nutzen - aber wie geschrieben: Dies muss ich einmal explizit austesten - vielen Dank für diesen wertvollen Hinweis! :up:


Ad 2:

Stimmt - Denkfehler meinerseits!


Ad 3:

Ich muss einmal schauen wie viel Bandbreite ich da noch bekommen kann ohne exorbitante Kosten zu haben...

...Fritzboxen sind keine guten Router und verrecken spätestens mit knapp über 6000 TCP-Verbindungen. Die Problematik ist auch hier beschrieben: https://community.torproject.org/relay/relays-requirements/
...

Ich konnte aus dem Link nicht herauslesen, ob das ein Hardware- oder Software-Problem ist. D.h. kann man eine Fritzbox ggf. trotzdem mit einer neuen Firmware einsetzen?

PS: angesichts der Hardware-Anforderungen an CPU und RAM ggf. doch ein Hardware-Thema?

Ich konnte aus dem Link nicht herauslesen, ob das ein Hardware- oder Software-Problem ist. D.h. kann man eine Fritzbox ggf. trotzdem mit einer neuen Firmware einsetzen?

PS: angesichts der Hardware-Anforderungen an CPU und RAM ggf. doch ein Hardware-Thema?

Ich denke, am Ende beides.
Meine letzte Fritzbox hat ab Mitte 2022 nach einem Update die damalige Menge an Verbindungen nicht mehr mitgemacht und ständig rebooted, Packet Loss und miese Performance hatte sie aber schon vor dem Update.