Meine Regierung hat VPN-Zugänge blockiert. Was sollte ich verwenden?

Kann man ein Land, das sogar VPN-Verbindungen blockiert, überhaupt noch als freies Land bezeichnen..

China, Indonesien, das Vereinigte Königreich, Australien, ... das ist offenbar an mehr Orten ein Problem, als man denkt.

Hacker-News-Kommentare

• Ich habe Anfang der 2020er Jahre bei einem großen VPN-Anbieter an der Umgehung von Zensur gearbeitet

  • Der erste Schritt ist, an die eigentliche VPN-Software und die Konfigurationsdateien zu kommen. Anbieter, die Zensur ernst nehmen, verteilen ihre Programme über schwer zu blockierende Kanäle wie S3 und über verschleierte Pakete, manchmal auch in Zusammenarbeit mit lokalen Gruppen für eine sichere Verteilung
  • Wenn du die Software hast, würde ich empfehlen, sie mit einer zusätzlichen Verschleierungsschicht zu verwenden
  • Ein oft genutztes Tool ist Obfs4proxy; es tarnt den Traffic als etwas Unauffälliges, nutzt vorab geteilte Schlüssel und verbirgt auch den VPN-Handshake. Es ist nicht vollkommen sicher, kommt aber durch die meisten DPI-Systeme (Deep Packet Inspection)
  • Shapeshifter (von der Operator Foundation) und andere Plug-in-Transportverfahren sind ebenfalls einen Versuch wert. Der Anbieter muss diese Protokolle allerdings unterstützen
  • Langfristig ist der schwierigste Teil, nicht schon durch die bloße Nutzung eines VPNs aufzufallen. Bei langfristiger statistischer Analyse kann man VPN-Verbindungen selbst mit Verschleierung erkennen, und ein Staat kann so etwas relativ kostengünstig überwachen. Ich kenne die Lage in Indonesien nicht gut genug, um dazu konkret zu raten
  • Ich halte Mullvad für einen vertrauenswürdigen und technisch starken VPN-Anbieter. (Ich war nie bei Mullvad, war sogar bei einem Wettbewerber. Ich habe ihren Ansatz aber immer respektiert)

  • Ich denke manchmal, es wäre gut, wenn einer der großen Kurzwellen-Sender VPN-Pakete selbst als eine Art öffentliche Dienstleistung per Datenrundfunk weltweit ausstrahlen würde

  • Du sagst, Obfs4proxy lässt den Traffic wie etwas Unwichtiges aussehen, aber in der Praxis kann DPI ihn auch einfach als zufälligen Bytestrom erkennen, als unbekanntes Protokoll klassifizieren und blockieren. Es ist wahrscheinlich besser, DPI auszutricksen, damit es glaubt, es sei HTTPS. Natürlich bringt das nichts, wenn selbst HTTPS blockiert wird

  • Mich würde interessieren, was du von Systemen wie Mullvads DAITA hältst, die mithilfe eines konstanten Bandbreitenmusters Traffic-Analyse verhindern sollen

  • Tricks wie fragmentiertes TLS oder vertauschte Paketreihenfolgen wirken ebenfalls, und selbst ein einfacher HTTPS-Transport ist an den meisten Orten ein brauchbarer Ausgangspunkt. Das Open-Source-Distributed-System URnetwork bietet all das. Man bekommt es auch in den großen Stores oder bei F-Droid

  • Obfs4proxy und Shapeshifter zu installieren ist wirklich mühsam und zeitaufwendig

    • Besorg dir lieber selbst einen VPS (in Europa/den USA etwa $10/Jahr für 2 GB RAM, 40 GB Speicher und Traffic im TB-Bereich pro Monat), ich würde eine europäische Region empfehlen
    • Installiere dort WireGuard + Verschleierungstool oder Tailscale + eigenen DERP-Server
    • Noch einfacher ist es, einen ssh -D-Port als SOCKS-Server zu verwenden. Das wird meistens nicht blockiert, fällt wegen seiner Traffic-Eigenschaften aber leicht auf

• Ich habe eine Zeit lang in China gelebt und mehrere Wellen von VPN-Sperren erlebt. Inzwischen haben die meisten VPN-Firmen die Unterstützung für blockierende Länder aufgegeben. Kommerzielle VPNs werden am Ende immer irgendwann blockiert

  • Meine Methode war, auf einer kostenlosen EC2-Instanz in einer Auslandsregion einen SOCKS5-Server aufzusetzen und mich von meinen Geräten dorthin zu verbinden. Eine Cloudflare-VM wäre dafür vermutlich ebenfalls gut geeignet
  • Es läuft nur mein eigener Traffic darüber, das Profil ist also unauffällig, und unter den vielen Servern in dieser Region kann der Staat ihn nicht leicht herausfiltern
  • Überlebenstipp für unfreiheitliche Internetumgebungen: GitHub wird nicht blockiert (zumindest in China), daher haben lokale Engineers dort Materialien und Downloads hochgeladen
  • Wenn du dir wegen einer statischen IP Sorgen um deine Identität machst: Eine VM ist auch nur ein Computer, du kannst also noch eine zusätzliche VPN-Verbindung darüberlegen, um die Anonymität zu erhöhen

  • Ich habe gehört, dass öffentliche IP-Blöcke von VPS-Anbietern bekannt sind und diese Methode in China deshalb nicht funktioniert. Mir wurde gesagt, dass das gegen die chinesische Firewall keine brauchbare Lösung ist

  • Eine VM-Instanz als VPN-Tunnel zu nutzen ist gut, aber die echte Internetbandbreite nach und aus China ist so begrenzt, dass es Traffic-Limits gibt. Eine bessere Konfiguration ist, auf beiden Seiten der Firewall eine VM zu haben und zwischen interner und externer VM Peering innerhalb desselben Hosters zu nutzen (z. B. bei Alibaba Cloud). Die interne VM kann mit Tools wie socat oder netfilter einfach gebaut werden

    • Ein Verschleierungstool sollte man auf jeden Fall verwenden
    • Wenn eine Sperre kommt, muss man nur die externe VPN-IP austauschen und die Konfiguration aktualisieren. Die interne VM-IP muss fast nie geändert werden

  • Ich habe früher auch in China gearbeitet (nicht dauerhaft dort gelebt, aber war oft dort) und auf einem Server, den ich besaß, OpenVPN auf Port 443 oder 22 offen gehabt. Damit kam ich meistens ohne Probleme durch

  • Auch in Indonesien war GitHub vor zwei Jahren kurzzeitig blockiert, und einer der großen Provider hat SSH damals ebenfalls vorübergehend blockiert

• Als jemand, der in Indonesien lebt, erinnere ich mich nicht an Nachrichten, dass X (Twitter) oder Discord kürzlich blockiert worden wären. 2024 hieß es einmal, X könnte wegen Erwachseneninhalten blockiert werden

  • Du kannst den aktuellen Blockierungsstatus selbst in Echtzeit auf dieser Seite prüfen
  • Du sagtest, VPN-Verbindungen funktionieren nicht, aber einige Anbieter haben das früher zwar blockiert, in den letzten fünf Jahren ist das jedoch nicht passiert
  • Deshalb könnte es auch helfen, einen anderen Internetanbieter zu probieren

• Ich denke nicht, dass dies hier (Hacker News) der richtige Ort für Fragen zur Umgehung von Zensur ist

  • Hier werden meist nur Selbstbau-Lösungen wie Tor, Tailscale, WireGuard-basierte VPNs oder Mullvad empfohlen, was nach wenig Praxiserfahrung klingt
  • Man muss nur nach VPNs suchen, die sich auf China, Russland oder Iran richten. Die sind beim Datenschutz vielleicht nicht so gut wie Mullvad, funktionieren dafür aber zuverlässig

  • Wenn ich ein Geheimdienst aus China, Russland oder Iran wäre, würde ich genau solche VPN-Anbieter für Risikoländer tarnen und als Honeypot nutzen, um Informationen über Dissidenten zu sammeln

  • Aus meiner Sicht ist für technisch versierte Einzelpersonen die sicherste Methode, auf einer kleinen Instanz in einer ausländischen Cloud einen Server hochzuziehen und per SSH-Forwarding + Proxy an Informationen zu kommen

    • Als Beispiel siehe Squid-Proxy-Setup-Anleitung
    • Da Regierungen SSH-Traffic nicht blockieren, bietet diese Methode sowohl hohe Privatsphäre als auch Zensurumgehung

  • Ich finde nicht, dass man Leuten pauschal fehlende Erfahrung mit Zensurumgehung unterstellen kann, nur weil sie bekannte Methoden oder Anbieter empfehlen

    • Anonyme Anbieter und provisorische Verfahren können am Ende ebenso Watering-Hole-Angriffen ausgesetzt sein

  • Wenn du dem äußeren Layer nicht vertraust, kannst du darüber ja noch ein weiteres VPN schachteln

  • VPNs, die Werbung machen, verfolgen kommerzielle Interessen, deshalb ist die Wahrscheinlichkeit hoch, dass staatliche Nachrichtendienste involviert sind

    • Zumindest oberflächlich funktionieren sie (man kommt auf blockierte Seiten).
    • Je nachdem, welcher Dienst sie betreibt, bekommt man vielleicht tatsächlich Privatsphäre, oder man wird im Gegenteil als bestimmter Nutzer identifiziert und der Traffic wird gespeichert
    • Ich halte freie (Open-Source-)Software, die nicht von einer Firma kontrolliert werden kann, für die bessere Option

• Ich habe das Gefühl, dass Australien und das Vereinigte Königreich bald denselben Weg einschlagen könnten

  • Das Bittere daran ist, dass wir (HN-Nutzer) vielleicht Umgehungslösungen finden, normale Bürger aber weder das Budget noch die technischen Fähigkeiten haben, sodass Regierung und große Medien Bürgerjournalismus effektiv unterdrücken können

  • Vor sechs Monaten hätte ich über so eine Aussage wohl noch gelacht, aber inzwischen fühlt sie sich erschreckend real an (UK)

  • Ich habe in Australien schon seit einiger Zeit aus politischen Gründen davor gewarnt

    • Politik kümmert sich nicht um Technik, wenn es keine technische Debatte ist
    • Alle sollten verstehen, dass wir schrittweise in diese Richtung gehen
    • Ende 2017 sagte Premierminister Malcolm Turnbull: "Nicht die Gesetze der Mathematik gelten, sondern nur die Gesetze Australiens"

  • Ich glaube nicht, dass man die Fähigkeiten einer Gesellschaft unterschätzen sollte.

    • Als ich in einer armen Gegend in Großbritannien aufgewachsen bin, gab es immer "diesen einen Typen", der an illegale Computer/TVs, angezapften Strom, kopierte CDs und Videos kam
    • Am Ende wird es eben in jedem zweiten Haus jemanden geben, der mit billiger Hardware wie einem Raspberry Pi einen Proxy aufsetzt
    • Ehrlich gesagt würde ich so eine Rolle wohl selbst übernehmen, wenn ich meinen Job in der IT verliere

  • Ich denke, einige konservative US-Bundesstaaten werden das bald ebenfalls versuchen. Wenn die Ausweispflicht für Pornoseiten nicht funktioniert, wird der nächste Schritt folgen

  • 90 % des "Bürgerjournalismus" sind für mich kein echter Journalismus, eher auf dem Niveau von Bürgerwissenschaft bei Impfstoffforschung

• Tor: benutzerfreundlich, leicht zu installieren, hohe Anonymität und kostenlos. Aber es wird oft gezielt zensiert, ist langsam und Exit-Nodes werden von fast allen Websites misstrauisch behandelt

  • Tailscale + Mullvad Exit: so einfach wie installieren und konfigurieren, schneller als Tor und vielseitig einsetzbar. Nachteil: DPI kann Mullvad-Traffic erkennen, und es kostet Geld
  • Eigener VPS mit WireGuard oder Tailscale: fast vollständige Kontrolle, freie Geschwindigkeitswahl, mit Bekannten teilbar. Nachteil: etwas Betriebs-Know-how nötig, Hostingkosten vermutlich $20–30 pro Monat oder mehr

  • Tailscale braucht OP (der Fragesteller) nur dann, wenn er Mullvad.net nicht erreichen und sich deshalb nicht registrieren kann

    • Wenn die indonesische Regierung Mullvad-Nodes blockiert, hilft auch kein Trick mehr
    • Bei VPS-Zugriffen ist man von außen (für Websites) wegen der festen IP viel zu leicht identifizierbar
    • Meine Empfehlung wäre, Mullvad oder Tor auf einem ausländischen VPS zu installieren und den Traffic über diesen VPS umzuleiten. Wenn mehrere Geräte gleichzeitig daran hängen sollen, ist es am einfachsten, den VPS als Tailscale-Exit-Node zu verwenden

  • Einen WireGuard-fähigen VPS gibt es schon für $20–30 im Jahr, daher wirken $20–30 pro Monat wie ein Tippfehler. Auf vpspricetracker.com kann man günstige VPS finden

  • NordVPN oder ProtonVPN befinden sich in einer ähnlichen Lage wie Mullvad. Wenn etwas kostenlos ist, bist du das Produkt, und selbst bei Bezahlangeboten geht dein Traffic am Ende an öffentlich bekannte VPN-Server, was in manchen Ländern schon allein über diese Metadaten riskant sein kann

    • Man sollte sie unbedingt mit Vorsicht verwenden

  • Eine VPS-IP ist keine Wohn-IP, daher blockieren manche Websites/Dienste Zugriffe von VPS oder verlangen zusätzliche Verifizierung

    • Das ist kein besserer Lösungsweg, aber etwas, das man bedenken sollte

  • Tor hat auch Anti-Zensur-Techniken wie Snowflake. Wenn die Blockierung sehr hart ist, könnte Tor am wirksamsten sein

• Ich arbeite oft in China, und mein WireGuard-VPN (bei mir zu Hause installiert) wurde bisher noch nicht blockiert

  • Die Domain meines VPN-Servers hostet zusätzlich einen HTTPS-Dienst, was helfen könnte
  • Früher habe ich auf einem DO-Droplet shadowsocks (Open-Source-Proxy) und obfs (Verschleierung) genutzt, heute sind eher v2ray+vmess/vless+reality angesagt
  • Das ist eher ein Proxy als ein VPN, daher ist die Tarnung des eigentlichen Charakters einfacher und die Umgehung wirksamer
  • Wenn man es auf einem öffentlichen VPS hostet, fällt es nicht leicht, gleich AWS oder DO zu blockieren, also hat man eine gewisse Tarnung; zugleich kann es aber gerade wegen des klaren VPN-Endpunkts durch sein Traffic-Muster auffallen
  • Auf reddit r/dumbclub gibt es noch einige aktuelle Informationen dazu
  • Man sollte bedenken, dass solche Setups nicht leicht aufzubauen sind. Ich halte es selbst fast für ein Wunder, dass mein WireGuard immer noch funktioniert
  • Eine besondere Option ist eine Roaming-SIM. Beim Roaming wird der Traffic ohnehin zum Heimnetz des Providers getunnelt und ist deshalb selbst in China nicht blockiert. Für Notfälle wie Serverzugriff oder Proxy-Setup ist das nützlich

• Ich reise gerade in Usbekistan und war überrascht, dass das WireGuard-Protokoll selbst blockiert ist

  • Normalerweise konnte ich mich per WireGuard problemlos mit meinem Server verbinden, aber diesmal habe ich zum ersten Mal erlebt, dass das ganze Protokoll blockiert wurde
  • Es ist wichtig, vorab zu prüfen, was genau und auf welche Weise blockiert wird, und danach den VPN-Anbieter auszuwählen

  • An Orten, an denen WireGuard blockiert ist, habe ich WireGuard erfolgreich über wstunnel getunnelt

  • WireGuard selbst hat ein auffälliges Netzwerkmuster und versucht auch gar nicht, verschleiert zu wirken

    • Einige Tools tarnen den Traffic als 443/TCP

  • Es ist schon erstaunlich, dass eine Regierung einfach ein einzelnes Protokoll blockiert, das lediglich zwei Computern erlaubt, sicher einen Tunnel aufzubauen

  • Ich denke, eine Sperre des WireGuard-Protokolls könnte auch im Vereinigten Königreich bald Realität werden

    • Die Rolle von Hackern wird in Zukunft noch viel wichtiger werden

• XRay/XTLS-Reality/VLESS funktionieren ebenfalls ziemlich gut. Es heißt sogar, sie seien selbst in China schwer zu erkennen

  • Man kann einfach diesem Tutorial folgen, und zusätzliche Konfigurationsbeispiele gibt es hier

  • Dank der chinesischen Firewall hat sich die Technik zur Zensurumgehung stark weiterentwickelt. Schön, hier jemanden über XRay reden zu sehen!

    • Auch die offizielle V2Ray-Website oder Mit V2Ray und caddy in China auf das Internet zugreifen sind einen Blick wert
    • V2Ray-basierte Proxys können als Alternative zu VPNs dienen

  • Es gibt auch ein brauchbares Projekt namens sing-box (Projektlink).

    • Ich nutze es so, dass das Routing je nach App/Service unterschiedlich ist: zum Beispiel Banking-Apps über ein 5G-Modem, US-Banken über einen US-Residential-Proxy und alles andere über ein VPN (ohne Root auf Android)
    • Solche fortgeschrittenen Funktionen sind ebenfalls dank der chinesischen Firewall entstanden

  • Ich frage mich, ob es nicht gerade verdächtig wirkt, wenn der gesamte Traffic auf eine einzige Website konzentriert ist

• Mastodon lässt sich für Regierungen nur schwer vollständig blockieren, und die meisten Instanzen blockieren Tor-Nutzung nicht.

  • Tatsächlich gab es einen großen Zustrom zu Mastodon, als X in Brasilien blockiert wurde
  • Weitere Informationen gibt es auf joinmastodon.org

  • Ist es nicht trotzdem leicht, einzelne Server (mastodon.social usw.) jeweils separat zu blockieren?

  • Auch Blockierungen auf Protokollebene sind leichter möglich, als man denkt. Staaten, die VPNs blockieren, entwickeln sich oft schnell von einfachen IP-Sperren hin zu Protokollsperren