Bastelempfehlung FTTH + WiFi + Ethernet + OpenBSD?

[medV2]

Ich nutz zurzeit z.B. "Vanilla" OpenBSD mit händischer Konfiguration und bin sehr zufrieden.

Grundsätzlich ist meine Vertrauenskette "Plaste-SoHo-Router vom Provider" -> Eigener SoHo-Plaste-Router -> Mittelgroße Routerlösungen für KMU & CO -> Profigeräte von Markenherstellern (einzelne Hersteller ausgenommen hust Cisco hust) -> Selbst gebautes mit Linux -> Selbst gebautes mit *BSD

Auch die Features und möglichkeiten steigen halt ... deutlich.

Plasterouter sind dabei so Netgear, FritzBox, NoName, D-Link Produkte etc - wobei von denen die FritzBox inzwischen noch eindeutig eins der besseren Produkte innerhalb der Kategorie ist

Jaaa das mit dem Vertrauen in Hersteller ist natürlich so eine Sache. Aber da würde man, konsequent weitergedacht, eine offen designte und selbst hergestellte CPU benötigen. Mitlerweile ist ja selbst die Firmware auf den aktuellen CPUs so komplex, dass man selbst ohne böse Absichten Sicherheitsprobleme vermuten kann. Aber prinzipiell seh ich das auch so, im beruflichen Umfeld würd ich nicht den TP Link Router verwenden, ich werde dann doch lieber von den USA als von China ausspioniert. Und noone gets fired for using cisco/HPE/Netgear...

Privat muss man da irgendwo abstriche machen.

 

[turrican]

Verzeihe mir meine Unwissenheit, aber warum möchte man sich selbst einen Router aus einem PC bauen

Man hat speziell zu diesem Thema wie oft im Leben ja direkt eine Wahl:

1. man nimmt den vom Provider gelieferten und betriebenen Router (ok, wenn der Provider den Router vorgibt, ist hier schluß mit der oben beschriebenen Wahlfreiheit)
2. man besorgt sich selber nen Router und richtet den einmalig ein bzw läßt einrichten - und ist glücklich
3. man besorgt sich KEINEN dedizierten Router sondern baut sich selber einen - durchaus mit der Herausforderung mit wenig Aufwand an Geld und Material das maximal mögliche (wenig Stromverbrauch, viel Durchsatz, volle Kontrolle) rauszuholen - einerseits aus Neugier oder Spieltrieb oder weil mans einfach mal machen möchte, oder anderseits weil mans eh beruflich macht und da halt keinen Sinn drin sieht sich mit ner Fritzbox o.ä. rumzuschlagen ("das kann ich selber besser");

Ich wage zu behaupten, dass die meisten Menschen mit einem vom Provider gelieferten (und vielleicht sogar betriebenen) Router glücklich sind und ihnen im Leben nichts fehlt (ich erinnere mich da an eine Konversation im Bekanntenkreis "ah, 100MBit hab ich? ist das viel? ich kenn mich da ja gar nicht aus...")


@Yamagi hats ja schon angesprochen, APU ist faktisch tot, aber ich würd z.B. nicht nein sagen, wenn ich noch wenigstens 2 bzw 2 plus x von den neueren mit SFP Ports irgendwoher im Abverkauf bekommen würde, aber sonst nimmt man halt was mit J4125, J5040 oder N100/N95 wie schon angesprochen, die sollten eigentlich von der Leistungsfähigkeit für Home-Use von der Single-Core-Power (grad mit OpenBSD ja ein Thema, die routing threads laufen immer noch nur s-t wenn ich richtig informiert bin, man möge mich hier gern korrigieren) her locker ausreichen um ein Heimnetzwerk abzudecken; bei Gigabit-Glasfaser sollte man vielleicht nochmal selber testen, grade wenn VPN noch mit im Spiel ist, ggf ist dann noch was "mit mehr punch" vonnöten, z.B. i5 oder Ryzen, aber das ist wieder ne andere Hausnummer

Tante Edit: jetzt hab ich doch wirklich noch den einen Punkt vergessen, wegen welchem ich eigentlich angefangen hatte, hierauf zu schreiben : weil man beim selbstgebastelten vielleicht ne Eingriffsmöglichkeit für dein ursprünglich im anderen Thread genanntes Problem hätte - z.B. ner Bridge beim schalten zuzusehen bzw deren Daten und Verhalten (bzw generell des ganzen Rechners) zur Laufzeit zu beobachten - kann man ja bei den zugenagelten Plaste-Routern nicht in dieser Form!

 

[dettus]

Verzeihe mir meine Unwissenheit, aber warum möchte man sich selbst einen Router aus einem PC bauen, wenn man vom ISP einen mitgeliefert bekommt? Im Keller oder auch nicht, ist so ein Standard-Teil vom ISP mit 4 LAN-Buchsen und Wifi nicht ausreichend?

Weils geil is!

 

[cabriofahrer]

Wie schon geschrieben, der Hauptgrund für mich ist der, dass ich meinem ISP schlicht nicht traue (und man allgemein keinen ISP trauen kann). Ein ISP hat idr. Adminzugang auf den von ihnen bereitgestellten Routern, damit auch 100%igen Zugriff auf alles was darüber läuft, also auch das interne Netz, DHCP/DNS Einstellungen, ...

Das klingt natürlich nicht gut. Aber woher dieses Misstrauen? Und warum sollte ein ISP so etwas tun? In eigener Initiative glaube ich kaum. Sondern wahrscheinlich nur auf Anordnung durch eine Sicherheitsbehörde und das auch nur mit richtericher Genehmigung, falls Du unter ausreichendem Verdacht in irgendeiner Straf- oder Staatsschutzsache stehst. Würde ich mal so vermuten.

jetzt hab ich doch wirklich noch den einen Punkt vergessen, wegen welchem ich eigentlich angefangen hatte, hierauf zu schreiben : weil man beim selbstgebastelten vielleicht ne Eingriffsmöglichkeit für dein ursprünglich im anderen Thread genanntes Problem hätte - z.B. ner Bridge beim schalten zuzusehen bzw deren Daten und Verhalten (bzw generell des ganzen Rechners) zur Laufzeit zu beobachten - kann man ja bei den zugenagelten Plaste-Routern nicht in dieser Form!

Ja, sowas hatte ich mir auch gedacht, zumal wir in meinem Thread auch Hardwareaspekte / Specs angesprochen hatten. Dann würde ich an dieser Stelle noch gerne fragen: Kann es einen Zusammenhang zwischen einer hohen Anzahl von geöffneten Tabs im Browser und der Hardware des Router geben? Wobei ich den Eindruck habe, dass die Tabs gar nicht "aktiv" sind, bevor man sie nicht öffnet.

EDIT: Und jetzt gerade habe ich den Effekt der schlechten Performance auf dieser Seite reproduzieren können: Es vergingen immer mehrere Sekunden, bis hier ein Button (z.B. Glockensymbol für Benachrichtigungen) reagiert hat. Wieso, wo es doch gestern Abend gut funktionierte? Ein Blick auf das Internetradio legte die richtige Vermutung nahe: Ein Stream war eingestellt. Also, Stream abgeschaltet und der EDIT Button für dieses Edit ging dann plötzlich ganz schnell.
Also liegt die Vermutung nahe: Gewisse oder zu viele Apparate über WLAN am Router, die gerade streamen / einen Datenfluss haben, beinträchtigen die Reaktionszeit meines Firefox auf dem PC. Vorschläge also zu einem besseren Router / besserer Hardware zum Router im Eigenbau?

 

[medV2]

Das klingt natürlich nicht gut. Aber woher dieses Misstrauen? Und warum sollte ein ISP so etwas tun? In eigener Initiative glaube ich kaum. Sondern wahrscheinlich nur auf Anordnung durch eine Sicherheitsbehörde und das auch nur mit richtericher Genehmigung, falls Du unter ausreichendem Verdacht in irgendeiner Straf- oder Staatsschutzsache stehst. Würde ich mal so vermuten.

1. Ich MÖCHTE nicht, dass jemand, theoretisch Zugang zu meinen Daten hat. Dazu brauch ich erstmal eigentlich keien Gründe, auch wenn ich im Folgenden gleich einige aufführe

2. Wo Möglichkeiten sind, da sind auch Begehrlichkeiten. Es muss nicht nur der Staat sein, es kann auch der frustriete Mitarbeiter sein. Oder der unfähige Mitarbeiter, der den PC + Zugang offen lässt wärend er auf Mittag geht. Was den Staat betrifft: Wie du richtig schreibst, es genügt verdächtig zu sein. Verdächtig ist man schnell mal. Es werden sogar mehr unschuldige Menschen verdächtigt, als schuldige. Das ist jetzt ne Behauptung die ich in den Raum stelle, aber in jeder Strafverfolgungsbehörde werden mehr Leute verdächtigt, als dann schlussendlich vor Gericht gestellt, erst recht nicht, vor erfolgreich vor Gericht gestellt.

Noch ein Beispiel zu den Möglichkeiten und Begehrlichkeiten: Zu Beginn der Coronapandemie wurden in Gaststätten Listen geführt, wo sich jeder Gast eintragen musste. Es wurde hoch und heilig versprochen, diese Daten nur zur zu Gesundheitszwecken - sprich Nachvollziehung von Infektionsketten - zu nutzen. Sowohl in Ö als auch in D hat es mehrere Fälle gegeben, wo von der Polizei dennoch auf diese Daten zugegriffen wurde. Nichtmal wegen wirklich schwerer Verbrechen wie Terrorismus oder dem Menschenhändlerring - nein wegen Körperverletzung, Diebstahl und Co.

Ich gehe also davon aus, dass Möglichkeiten genutzt werden, wenn sie vorhanden sind. Da es für mich wenig Aufwand ist, mein Heimnetz dahingehend abzusichern (ich mach das ohnehin beruflich) mache ich das also. Ist aber natürlich auch eine Kosten/Nutzenrechnung.

Ja, sowas hatte ich mir auch gedacht, zumal wir in meinem Thread auch Hardwareaspekte / Specs angesprochen hatten. Dann würde ich an dieser Stelle noch gerne fragen: Kann es einen Zusammenhang zwischen einer hohen Anzahl von geöffneten Tabs im Browser und der Hardware des Router geben? Wobei ich den Eindruck habe, dass die Tabs gar nicht "aktiv" sind, bevor man sie nicht öffnet.

Nein. Also.. nicht wenn du 500+ MBit Leitung hast und der Router das auch packt. Das tut es in deinem Fall. Da du gerne alte HW nutzt würde ich eher in der HW deines Rechners nach der Ursache suchen. Mein Firefox z.B. braucht gerade mit 22 offenen Tabs 3 GB RAM.

EDIT: Und jetzt gerade habe ich den Effekt der schlechten Performance auf dieser Seite reproduzieren können: Es vergingen immer mehrere Sekunden, bis hier ein Button (z.B. Glockensymbol für Benachrichtigungen) reagiert hat. Wieso, wo es doch gestern Abend gut funktionierte? Ein Blick auf das Internetradio legte die richtige Vermutung nahe: Ein Stream war eingestellt. Also, Stream abgeschaltet und der EDIT Button für dieses Edit ging dann plötzlich ganz schnell.
Also liegt die Vermutung nahe: Gewisse oder zu viele Apparate über WLAN am Router, die gerade streamen / einen Datenfluss haben, beinträchtigen die Reaktionszeit meines Firefox auf dem PC. Vorschläge also zu einem besseren Router / besserer Hardware zum Router im Eigenbau?

Wie schon gesagt würde ich dir von opn/pfSense abraten. Die Funktionen die du brauchst bekommst du auch ohne - und die Dinger sind halt schon etwas komplexer. Wenn du wirklich glaubst es liegt an deinem Router - ich bin mir da immer noch nicht sicher - überlege einen anderen Router zu kaufen - zB. Netgear Business Modelle, oder HP Business oder in D sind ja die Fritzboxen sehr beliebt auch wenn ich persönlich die für überteuert halte - UI / Support ist wohl gut. Aber wird glaub ich auch verkauft. Wenn du unbedingt selbst Hand anlegen willst, such dir was wo dd-wrt darauf läuft - das ist noch halbwegs einfach zu bedienen.
Ansonsten für opn/pfSense wurde hier, und werden auch anderswo, immer die Intel NUCs empfohlen.

 

[CommanderZed]

Diese Sicherheits/Privatsphärengeschichte auf die @medV2 da anspielt ist natürlich auch sehr abhängig davon "Was man so im Netz macht". Der Provider hat ja im zweifel eh den nächsten "hop" komplett unter seiner Kontrolle, also kann es schonmal nicht um allgemeinen Internetverkehr gehen. Den hat der Provider eh "bei den eiern".

Hab ich z.B. hinter dem Router als Clients zwei Smartphones, nen Tablet und nen Windows Notebook. Und verwende ich diese Geräte auch regelmäßig außerhalb des eigenen Heimnetzes betreibe, und dazu auch noch vorallem Clouddienste im Internet und nichts lokales, ist es vermutlich SEHR egal was fürn Router der Provider mir da hinflockt, da der Datenverkehr und alles sonst relevantes eh durch den Prodiver läuft.

Möchte ich aber z.B. gerade nicht das der Provider im lokalen Netz schnüffelt, das Smartphone weiß welche Windows-Clients gerade online sind und der FireTV Stick soll nichts vom FreeBSD Host wissen, ist ein Router mit dem ich ne ganze menge Privacy-Krams machen kann vermutlich sehr interessant.
So richtig sinn macht aber auch das - wie @medV2 sehr richtig schreibt - nur wenn man sich "etwas tiefgehend" auskennt. Da man nur dann die grundlagen beherscht um seine Situation richtig einzuordnen und zu schauen was für sein eigenes Szenario da irgendwie weiterhilft, und was nicht evtl. sogar verschlimmbessert. Dazu braucht es keine Schritt-für-Schritt-Anleitung sondern eine ganze menge wichtiger Erkentnise wie Computer und Netzwerke funktionieren.

Und manches ist auch eher esoterisches und dem eigenen zufriedenheitsgefühl / sicherheitsgefühl geschuldet als "echten" Bedrohungsszenarien.

 

[dettus]

hach wie ich diese Grundsatzdiskussionen hier liebe.

Okay, zurueck zum Thema:
Ich habe mich gestern mal mit dem BananaPi BPI-R3 beschaeftigt.
Das Problem ist, dass man nicht MalEbenSchnell(tm) die miniroot75.img von OpenBSD nehmen kann, weil: Dieses Board mag einen anderen Bootloader.


Da bin ich gerade dran: Es gibt ein schoenes Repo von Frank Wunderlich. Der hat den Original u-boot gepullt.

git clone https://github.com/frank-w/u-boot

Darin finden sich ein paar branches

git branch -r

von dem brauche ich

git checkout 2024.07-mt7986

und spaeter

git checkout r3-atf

Bei letzerem musste ich noch das Makefile aendern, und ein --fatal-warnings aus den gcc Optionen entfernen. Ob das schlau war, weiss ich noch nicht.


WAS ICH SCHON VERSTANDEN HABE:
Er erzeugt ein SD-Karten Image, mit 6 Partitionen. Dafuer hat er ein "Template" image.
Dieses wird auf eine SD-Karte geschrieben, die meldet dann ihre 6 Partionen.
Jede einzelne Partion ist fuer einen anderen Teil des Bootloaders vorgesehen.
Erst die fuenfte ist VFAT.
Die sechste ist das ext4fs mit Linux, mal gucken, ob ich da auch etwas anderes draufkriege.

 

[cabriofahrer]

Möchte ich aber z.B. gerade nicht das der Provider im lokalen Netz schnüffelt, das Smartphone weiß welche Windows-Clients gerade online sind und der FireTV Stick soll nichts vom FreeBSD Host wissen, ist ein Router mit dem ich ne ganze menge Privacy-Krams machen kann vermutlich sehr interessant.

Nun, wenn das das Bedrohungsszenario ist, was der ISP aus dem lokalen Netz erschnüffeln kann, sehe ich für den Ottonormalverbraucher eigentlich keine große Bedrohung.

 

[turrican]

Ich habe mich gestern mal mit dem BananaPi BPI-R3 beschaeftigt...

Da bin ich gerade dran:

Darin finden sich ein paar branches...

von dem brauche ich...

und spaeter...

Bei letzerem musste ich noch das Makefile aendern...

Die sechste ist das ext4fs mit Linux, mal gucken, ob ich da auch etwas anderes draufkriege....

siehste @cabriofahrer - das ist ein gutes Beispiel für was ich oben mit "Neugier oder Spieltrieb" meinte

 

[medV2]

Nun, wenn das das Bedrohungsszenario ist, was der ISP aus dem lokalen Netz erschnüffeln kann, sehe ich für den Ottonormalverbraucher eigentlich keine große Bedrohung.

Dein ISP macht männchen vor jedem Dorfpolizist. Das hat die Vergangenheit gezeigt (nein auch richterliche Beschlüsse werden da oft nicht abgewartet, "Gefahr in verzug" oder "Verdunklungsgefahr" - meist absolut rechtsmisbräuchlich, aber hilft dir als Betroffener meinst nicht viel.

Daher ist meine Empfehlung - auch gegenüber Ottonormalverbrauchern - immer: Eigenen Router. Entweder statt der ISP Kiste (wenn möglich) oder dahinter und die ISP Kiste in Modem-Only Mode oder DMZ Mode je nachdem. Eins von beiden geht immer. Schon unter 100 Euro gibt es brauchbares von HPE, Cisco oder Netgear Business. Und ja auch die sind im Zweifelsfall weisungsgebunden an US Geheimdienste, dass ich - berechtigt oder unschuldig - in deren Visier gerate ist aber deutlich geringer, also bei der lokalen Polizei.

 

[dettus]

Neues Update:
Ich habe mich gerade dagegen entschieden einen BananaPI BPI-R3 mit OpenBSD als Router zu benutzen.

Weil die ARM64 Unterstuetzung bei OpenBSD doch noch nicht so pralle ist.
Mittlerweile bin ich zwar so weit, dass ich mit u-boot eine Konsole starten kann.
Ausserdem kann ich auch beliebige Binaries nach 0x46000000 laden.
Und den DTB habe ich mittlerweile auch nach 0x48000000.

Aber bei einem booti 0x46000000 - 0x48000000 kommt halt immer ein
Bad Linux ARM64 Image magic!


VIELLEICHT mache ich ein paar releases spaeter mal wieder weiter, aber bis dahin hole ich mir einen IPU-PC.
Damit komme ich schneller online!

 

[cabriofahrer]

siehste @cabriofahrer - das ist ein gutes Beispiel für was ich oben mit "Neugier oder Spieltrieb" meinte

Na ja, jedem das Seine...^^. Ich bin manchmal auch neugierig, aber ich verfolge dann doch meist ein pragmatisches Ziel.

Neues Update:
Ich habe mich gerade dagegen entschieden einen BananaPI BPI-R3 mit OpenBSD als Router zu benutzen.

Weil die ARM64 Unterstuetzung bei OpenBSD doch noch nicht so pralle ist.

Äh... Wie wäre es dann, Dein Vorhaben auf dieser Plattform mit einem anderen Betriebssystem zu verfolgen, welches diese besser unterstützt? Z.B. Linux? Oder NetBSD?

Dein ISP macht männchen vor jedem Dorfpolizist. Das hat die Vergangenheit gezeigt (nein auch richterliche Beschlüsse werden da oft nicht abgewartet, "Gefahr in verzug" oder "Verdunklungsgefahr" - meist absolut rechtsmisbräuchlich, aber hilft dir als Betroffener meinst nicht viel.

Daher ist meine Empfehlung - auch gegenüber Ottonormalverbrauchern - immer: Eigenen Router. Entweder statt der ISP Kiste (wenn möglich) oder dahinter und die ISP Kiste in Modem-Only Mode oder DMZ Mode je nachdem. Eins von beiden geht immer. Schon unter 100 Euro gibt es brauchbares von HPE, Cisco oder Netgear Business. Und ja auch die sind im Zweifelsfall weisungsgebunden an US Geheimdienste, dass ich - berechtigt oder unschuldig - in deren Visier gerate ist aber deutlich geringer, also bei der lokalen Polizei.

Ich finde Deine Ausführungen, gerade in Bezug auf mögliche Hardware, sehr interessant. Ich werde mich da mal umgucken / einlesen. Wobei mich primär der Aspekt der Performance interessiert, wie sich aus meinem anderen Thread ergibt.
Zum Thema "Wie gut kann man sich vor dem Staat schützen?", weiß ich nicht, inwieweit man das 100% realisieren kann. Stichwort "sächsische Spaziergängergruppe", die sogar auf Telegram erwischt wurden...^^

 

[dettus]

Äh... Wie wäre es dann, Dein Vorhaben auf dieser Plattform mit einem anderen Betriebssystem zu verfolgen, welches diese besser unterstützt? Z.B. Linux? Oder NetBSD?

Linux bootet. OpenWRT ist sogar schon vorinstalliert. Aber OpenBSD ist halt mein OS des Herzens!

Zum Thema "Wie gut kann man sich vor dem Staat schützen?"

Wie heisst es so schoen? "Es ist leichter fuer die Demokratie zukaempfen, solange sie noch existiert?"
Wir leben in einer. Auch wenn einige Querpfosten das aendern wollen. Niemals vergessen!


Ich glaube aber, dass ein Selbstbaurouter Sinn macht, wenn es um Sicherheitsluecken gibt, die z.B. von Botnetzen genutzt werden. Da kann so ein Scanscript schonmal ueber einfachste Security by Obscurity stolpern. Wenn die Defaultroute mal nicht bei 192.168.1.1 liegt.

 

[medV2]

Ich finde Deine Ausführungen, gerade in Bezug auf mögliche Hardware, sehr interessant. Ich werde mich da mal umgucken / einlesen. Wobei mich primär der Aspekt der Performance interessiert, wie sich aus meinem anderen Thread ergibt.
Zum Thema "Wie gut kann man sich vor dem Staat schützen?", weiß ich nicht, inwieweit man das 100% realisieren kann. Stichwort "sächsische Spaziergängergruppe", die sogar auf Telegram erwischt wurden...^^

100% geht nichts im Leben, die Wahrscheinlichkeit, dass sich die Teilchen, die die Atome deines Herzens bilden, einfach auflösen, ist nicht Null. Aber keine Sorge, dass das Universum einfach so aufhört zu existieren ist deutlich wahrscheinlicher

Zum Stichwort "sächsische Spaziergängergruppe" hab ich auf Google tatsächlich nichts gefunden, es sagt mir auch nichts. Aber da Telegram erwähnt wird: Telegram ist nicht sicher. Es hat nur Server in Ländern, in denen die europ. Justiz keinen Zugriff hat. Aber Gruppenchats sind zB. nichtmal verschlüsselt. Wenn du also gegen den Staat schimpfen willst: Nimm Telegram, die Betreiber juckt das nicht. Aber eine Gruppe mit dem Thema LBTQ Rechte würde ich da nicht eröffnen.

 

[Andy_m4]

Telegram ist nicht sicher

Mir war das ja schon immer schleierhaft, wieso Telegram (von den entsprechenden Gruppen) als sicher (zumindest sicherer als WhatsApp) angesehen wurde. Das liegt vielleicht auch daran, das diejenigen die das benutzen um sich vor dem Staat zu schützen eh etwas "verstrahlt" sind. :-)

Zum Stichwort "sächsische Spaziergängergruppe" hab ich auf Google tatsächlich nichts gefunden

Ich nehme mal an, das war eine Anspielung auf z.B. durch Pegida initiierten Montagsspaziergänge u.ä.

inwieweit man das 100% realisieren kann

Es geht dabei ja auch nicht nur um den Staat, sondern allgemeine Datensammlungen (gerade Private schnüffeln ja sehr viel mehr; Tracking ist quasi überall) oder auch Datenabfluss durch Bugs u.ä.
Und ja. Man kann sich nicht zu 100% schützen.
Aber man benutzt ja auch einen Regenschirm, obwohl man trotzdem Tropfen abbekommen kann. Man schnallt sich im Auto an, obwohl das nicht bei allen Arten von Unfällen was bringt. Man schließt die Haustür zu, obwohl das nicht 100%ig gegen Einbruch schützt.
Kurzum: Man hat schlicht und ergreifend bei Sicherheitsmaßnahmen nicht den unrealistischen Anspruch, das sie zu 100% helfen (das sollte einem auch immer bewusst sein). Man macht sie trotzdem, weil sie das Risiko senken.

 

[turrican]

Stichwort "sächsische Spaziergängergruppe", die sogar auf Telegram erwischt wurden...^^

... hättens mal Signal benutzt ...

 

[mr44er]

[satire]Um unsere die Demokratie zu stärken erhalten, müssen wir daher endlich Verschlüsselung und diese umstrittenen Selbstbaurouter, sog. staatsdelegitimierende Abschottung verbieten. Es kann nicht sein, dass nicht geschnüffelt werden kann, weil wir das halt so wollen. Jetzt noch Terror und glaubhaft $verbotenerkram fürs Michel*inmännchen einfügen und raus mit der Pressemeldung.
[/satire]

Zum Thema:

Nun, wenn das das Bedrohungsszenario ist, was der ISP aus dem lokalen Netz erschnüffeln kann, sehe ich für den Ottonormalverbraucher eigentlich keine große Bedrohung.

Weit hergeholt ohne James Bond, aber bisher noch nicht erwähnt. Wenn der ISP Zugriff auf "seine" Kiste hat, könnte man dir auch was unterschieben.
Zu Messenger und "sicher": solange dein Kommunikationspartner dir gegenüber nicht persönlich authentifiziert ist, mag der Weg abgesichert sein, du weißt aber nicht, ob du gerade mit einem Beamten oder z.B. deinem Korallenschmuggler sprichst.
Ich bin entweder ein ungebildeter, dauergrimmiger, bärtiger Waldtroll oder sehe wirklich wie eine Diskette aus...das weiß eben niemand.

Auch noch nicht erwähnt wurden die parallel offenen Verbindungen, die auf den RAM gehen. Je schneller die Leitung und je mehr Geräte/Apps, umso mehr gleichzeitig offene Verbindungen gibts. Hat man noch Dienste laufen, also Upload, ist das schnell verdoppelt. Das kann bei schwachen Routern Probleme geben, beim Selbstbau dimensioniert man einfach größer, hält sich alle (positiven) Möglichkeiten offen und erfreut sich am Gebastel.

 

[cabriofahrer]

Ich nehme mal an, das war eine Anspielung auf z.B. durch Pegida initiierten Montagsspaziergänge u.ä.

Nein. Es war eine Anspielung auf auf eine Gruppe von Leuten, die sich immer im Wald getroffen hatten und dort zufällig einmal von Reportern von Frontal21 gesichtet und befragt wurden. Mit starkem sächsischen Akzent behaupteten sie, sie würden nur "spoozieren gehen". In der Telegramgruppe dieser Leute war die Rede davon, gewissen Politikern "Hausbesuche" abzustatten. Ein oder zwei Tage nach diesem Bericht war auf den ZDF-Nachrichten zu sehen, wie dann die Mitglieder dieser Gruppe einen Hausbesuch vom SEK bekommen haben, mit Türeintreten, Maschinenpistolen, usw.

Mir war das ja schon immer schleierhaft, wieso Telegram (von den entsprechenden Gruppen) als sicher (zumindest sicherer als WhatsApp) angesehen wurde. Das liegt vielleicht auch daran, das diejenigen die das benutzen um sich vor dem Staat zu schützen eh etwas "verstrahlt" sind. :-)

Schon möglich. Ich glaube auch, dass die "Sicherheit" auf Telegram eine Art Mythos ist. Ich selbst benutze Whatsapp, um mit Leuten in Kontakt zu bleiben.

Weit hergeholt ohne James Bond, aber bisher noch nicht erwähnt. Wenn der ISP Zugriff auf "seine" Kiste hat, könnte man dir auch was unterschieben.

So weit hergeholt ist das nicht. Das ist die perfekte Methode, um eine in der Öffentlichkeit stehende Persönlichkeit zu diskreditieren. Guter Punkt!

 

[Azazyel]

Daher ist meine Empfehlung - auch gegenüber Ottonormalverbrauchern - immer: Eigenen Router.

Ich würde meine Zeit und Energie eher in Zero Trust Security investieren:

Zero Trust Security (deutsch: Sicherheit auf Basis des Misstrauens), auch bekannt als Zero-Trust-Architektur (ZTA), ist ein Sicherheitskonzept im Bereich der Informationstechnologie (IT), das davon ausgeht, dass kein Benutzer, Gerät oder Netzwerk von Natur aus vertrauenswürdig ist.

Im Gegensatz zu traditionellen Sicherheitsansätzen, die darauf abzielen, das Innere des Netzwerks als vertrauenswürdig zu behandeln und den Zugriff von innen nach außen zu kontrollieren, legt Zero Trust Security den Schwerpunkt auf eine kontinuierliche Überprüfung und Authentifizierung aller Benutzer und Geräte, unabhängig von ihrem Standort oder ihrer Herkunft.

Das Gedankenmodell mein eigenes LAN ist sicher stammt noch aus einer Zeit unverschlüsselter Verbindungen und M2M-Vertrauensmodellen auf IP-Basis (NFS lässt grüßen ).

Wenn ich mir die bekanntgewordenen Vorfälle der letzten Jahre so anschaue (inklusive Fällen wie der Edathy-Affäre), nichts davon wäre durch einen eigenen Router abgefangen worden.

Betrachte einfach jedes Netzwerk (auch das heimische) als potenziell unsicher und du bist auf deutlich mehr Bedrohungsszenarien vorbereitet. Spätestens der eigene Laptop hängt im Normalfall früher oder später mal an einem WLAN-Hotspot.

Auch noch nicht erwähnt wurden die parallel offenen Verbindungen, die auf den RAM gehen. Je schneller die Leitung und je mehr Geräte/Apps, umso mehr gleichzeitig offene Verbindungen gibts. Hat man noch Dienste laufen, also Upload, ist das schnell verdoppelt. Das kann bei schwachen Routern Probleme geben, beim Selbstbau dimensioniert man einfach größer, hält sich alle (positiven) Möglichkeiten offen und erfreut sich am Gebastel.

Das war früher mal so. Die gleichzeitige Anzahl offener Verbindungen ist selbst auf den grottigen Speedport-Routern heute kein Thema mehr, was der Freude am Gebastel keinen Abbruch tun sollte.

 

[medV2]

Ich würde meine Zeit und Energie eher in Zero Trust Security investieren:


Das Gedankenmodell mein eigenes LAN ist sicher stammt noch aus einer Zeit unverschlüsselter Verbindungen und M2M-Vertrauensmodellen auf IP-Basis (NFS lässt grüßen ).

Wenn ich mir die bekanntgewordenen Vorfälle der letzten Jahre so anschaue (inklusive Fällen wie der Edathy-Affäre), nichts davon wäre durch einen eigenen Router abgefangen worden.

Betrachte einfach jedes Netzwerk (auch das heimische) als potenziell unsicher und du bist auf deutlich mehr Bedrohungsszenarien vorbereitet. Spätestens der eigene Laptop hängt im Normalfall früher oder später mal an einem WLAN-Hotspot.

Das eine muss das andere ja nicht ausschließen. Aber ZeroTrust ist dem Ottonormalverbraucher nicht zu erklären. Selbst in Unternehmen scheiterts am Verständnis der Leute. Selbst erlebt bei meiner Zeit beim Ö Bundesheer (Grunddienst): Das Netz, die Rechner, allgemein die IT ziemlich gut gesichert. Nur haben die Offiziere das eigentlich nur als Schikane durch die IT wahrgenommen, fast jeder hatte ein privates Notebook neben dem Dienst PC und natürlich waren dann Massenhaft Infos und Daten auf diesen Geräten. Jetzt nichts was die nationale Sicherheit betroffen hätte, aber auch Urlaubsverwaltung, Ergebnisse des letzten Schießwettbewerbs oder die Lagerverwaltung haben auf Privatgeräten halt eigentlich nichts verloren und dass konnte die ganze gute IT nicht verhindern.

Wobei ich natürlich nicht sagen will, dass man nicht ein bisschen ZeroTrust immer einfließen lassen kann, auch wenn es nicht konsequent zum ende umsetzbar ist.

 

[CommanderZed]

Das eine muss das andere ja nicht ausschließen. Aber ZeroTrust ist dem Ottonormalverbraucher nicht zu erklären. Selbst in Unternehmen scheiterts am Verständnis der Leute. Selbst erlebt bei meiner Zeit beim Ö Bundesheer (Grunddienst): Das Netz, die Rechner, allgemein die IT ziemlich gut gesichert. Nur haben die Offiziere das eigentlich nur als Schikane durch die IT wahrgenommen, fast jeder hatte ein privates Notebook neben dem Dienst PC und natürlich waren dann Massenhaft Infos und Daten auf diesen Geräten. Jetzt nichts was die nationale Sicherheit betroffen hätte, aber auch Urlaubsverwaltung, Ergebnisse des letzten Schießwettbewerbs oder die Lagerverwaltung haben auf Privatgeräten halt eigentlich nichts verloren und dass konnte die ganze gute IT nicht verhindern.

Wobei ich natürlich nicht sagen will, dass man nicht ein bisschen ZeroTrust immer einfließen lassen kann, auch wenn es nicht konsequent zum ende umsetzbar ist.

Oft liegts aber auch daran was dieIT bereit stellt.

Unsere Zentral-IT hat bis 2020 z.B. nur nen Mail-Postfach mit 500MB und ne Nextcloud mit 10GB pro Benutzer INKL. (!) Shares mit Kollegen bereit gestellt.

Und egal wie sehr wir als Lokale-IT dann gerufen haben das dies nicht Praxisnah ist etc, wurde halt immer wieder nur gesagt "Das muss reichen". (Sind halt auch alles so admins aus den 90ern)

Und waren total pikiert das die GSL dann irgendwann auf O365 umgestellt hat mit unbegrnezt großen Sharepoints, 250GB OneDrive und 100GB Mailpostfach, VIEL besseren Teilfunktionen etc, Teams statt der eledingen Kostenlosen Lokus Notes Jabber-Funktion etc.

Wenn man nicht mit der Zeit geht, geht man mit der Zeit, das gilt auch für Technik.

 

[CommanderZed]

Weit hergeholt ohne James Bond, aber bisher noch nicht erwähnt. Wenn der ISP Zugriff auf "seine" Kiste hat, könnte man dir auch was unterschieben.
Zu Messenger und "sicher": solange dein Kommunikationspartner dir gegenüber nicht persönlich authentifiziert ist, mag der Weg abgesichert sein, du weißt aber nicht, ob du gerade mit einem Beamten oder z.B. deinem Korallenschmuggler sprichst.
Ich bin entweder ein ungebildeter, dauergrimmiger, bärtiger Waldtroll oder sehe wirklich wie eine Diskette aus...das weiß eben niemand.

Ja, das ist auch mein wichtigster Punkt, wenn du sorge um deinen Internet-Traffic hast ist es VÖLLIG egal ob der ISP zugriff auf deinen lokalen Router hat oder nicht, er hat ja zu 100% zugriff auf SEINEN nächsten router und kann mit deinen Datenverkehr machen wozu er Bock hat (bzw wozu er rechtlich durch den Vertrag mit dir aber auch durch andere Gesetze verpflichtet ist)

(Soweit ich weiß geben ISP seit der DSGVO Daten NICHT mehr einfach so an behören weiter wenn die nicht irgend einen Richterlichen Beschluss haben - der ist teilweise natürlich sehr leicht zu bekommen, aber doch noch schwieriger nen einzelner Polizist der da böse guckt oder ne Privatfehde hat oder so wie es ja in der Vergangenheit auch mal vorgekommen ist.

Die strafen sind dafür einfach sehr hoch und so ziemlich alle Rechtsexperten sind sich einig das evtl. Personenbezogene Daten nicht "einfach so" an Behörden weitergegeben werden dürfen.)

 

[mark05]

@dettus halt mich mal auf den laufenden was das BPI R3 + OpenBSD Thema betrifft.

Die Hardware , auch der R4 , ist hochspannend weil die Gute Performace gepaart mit geringer
Stromaufnahme fuer kleines Geld bekommst.
e
Holger
P.S. Ist trau noch nicht mal großen Router / Firewall Herstellern wegen ihrer In Transparenter Closed
Source Software.
Selbst Geräte die vom BSI Zertifiert sind.

 

[CommanderZed]

Für die interessierten:

Hier gehts dazu weiter:

Datenschutz / DSGVO / allgemeine Gesamtsituation bei Tracking, Privacy & Co

Aber ZeroTrust ist dem Ottonormalverbraucher nicht zu erklären. Das Prinzip schon. Man muss es ja nicht auf technischer Ebene erklären. Mal davon ab, hat man bei der Verständlichmachung recht gute Karten. Dank diverser Filmproduktionen, in denen auch gerne mal unrealistische Hacking-Szenarien...

www.bsdforen.de

 

[dettus]

Hmm... Kaum beschwert man sich, kommt man doch einen Schritt weiter...
Ich bin mittlerweile so weit, dass ich bsd.rd gebootet kriege:

F0: 102B 0000
FA: 1040 0000
FA: 1040 0000 [0200]
F9: 103F 0000
F3: 1001 0000 [0200]
F3: 1001 0000
F6: 300C 0028
F5: 0000 0000
V0: 0000 0000 [0001]
00: 0000 0000
BP: 2400 0041 [0000]
G0: 1190 0000
EC: 0000 0000 [3000]
T0: 0000 01FE [010F]
Jump to BL

NOTICE:  BL2: v2.6(release):c30a1caf827-dirty sdmmc
NOTICE:  BL2: Built : 21:35:11, Aug 10 2024
NOTICE:  WDT: disabled
NOTICE:  CPU: MT7986 (2000MHz)
NOTICE:  EMI: Using DDR4 settings
NOTICE:  EMI: Detected DRAM size: 2048MB
NOTICE:  EMI: complex R/W mem test passed
NOTICE:  BL2: Booting BL31
NOTICE:  BL31: v2.6(release):c30a1caf827-dirty sdmmc
NOTICE:  BL31: Built : 21:35:15, Aug 10 2024


U-Boot 2024.07-rc3-mt7986-43599-gbc68f3572ff (Aug 10 2024 - 21:29:30 +0200)

CPU:   MediaTek MT7986
Model: BananaPi BPi-R3
DRAM:  2 GiB
Core:  44 devices, 19 uclasses, devicetree: separate
MMC:   mmc@11230000: 0
Loading Environment from MMC... Reading from MMC(0)... OK
In:    serial@11002000
Out:   serial@11002000
Err:   serial@11002000
Net:   eth0: ethernet@15100000
No EFI system partition
No EFI system partition
Failed to persist EFI variables
No EFI system partition
Failed to persist EFI variables
No EFI system partition
Failed to persist EFI variables
    26894   bcm2710-rpi-2-b.dtb
    29011   bcm2710-rpi-3-b-plus.dtb
    28392   bcm2710-rpi-3-b.dtb
    26890   bcm2710-rpi-cm3.dtb
    49090   bcm2711-rpi-4-b.dtb
    48810   bcm2711-rpi-400.dtb
    49202   bcm2711-rpi-cm4.dtb
    52456   bootcode.bin
       65   config.txt
            efi/
     7314   fixup.dat
     5448   fixup4.dat
            overlays/
  2953312   start.elf
  2229120   start4.elf
   570680   u-boot.bin
    11304   mt7986a-bpi-r3-sd.dtb
 18362795   bsd.rd

16 file(s), 2 dir(s)

enter kernel-name:
## Error: "kernelinput" not defined
## Error: "initrd" not defined
PARTITION_CONFIG only exists on eMMC
sd available
jedec_spi_nor spi_nor@0: unrecognized JEDEC id bytes: ff, ef, aa
Failed to initialize SPI flash at 0:0 (error -2)
NAND available
sd nand
fit=bpi-r3.itb
Failed to load 'bpi-r3.itb'
BPI-R3> fatload mmc 0:5 0x46000000 /efi/boot/bootaa64.efi
227979 bytes read in 18 ms (12.1 MiB/s)
BPI-R3> fatload mmc 0:5 0x47000000 /mt7986a-bpi-r3-sd.dtb
11304 bytes read in 2 ms (5.4 MiB/s)
BPI-R3> bootefi 0x46000000 0x47000000
Booting /\efi\boot\bootaa64.efi
disks: sd0*
>> OpenBSD/arm64 BOOTAA64 1.18
switching console to com0
>> OpenBSD/arm64 BOOTAA64 1.18
boot>
cannot open sd0a:/etc/random.seed: No such file or directory
booting sd0a:/bsd: 3023768+1214656+12712936+633232 [269381+91+701664+287051]=0x13edb50

Ganz kurz gesagt, habe ich den U-BOOT gebaut, in die .config per hand EFI reingeprokelt, eine neue Partition 7 angelegt. Partition 5 mit newfs.msdos formatiert, den Inhalt von miniroot75.img partition 1 dorthin kopiert, die bsd.rd auf die neue Partition 7, und soweit bin ich jetzt.