Deep Packet Inspection umgehen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Deep Packet Inspection umgehen

Beitrag von dmant » 22.12.2017 17:53:16

Hallo,

kennt hier jemand eine Möglichkeit DPI zu umgehen? Mir ist schon klar was und wofür DPI genutzt wird aber es muss doch einen Weg geben dies zu umgehen. Ich habe das Problem das ich meinen VoIP Server mit allen Providern bis auf T-Mobile nutzen kann. Mir kam sodann die Idee das ganze einfach durch einen VPN zu leiten, klappt jedoch auch nicht. Ich kann meinen VoIP somit nur mit WLAN (also Internetanschluß), D2 und o2 verwenden. T-Mobile will nicht. Da ein jittern bei T-Mobile (mit und ohne VPN) auftritt gehe ich von einem DPI aus dem T-Mobile nutzt.

Jemand Ideen wie ich VoIP trotzdem nutzen kann? Also über T-Mobile? Klar ich könnte nun auch T-Moble anrufen, VoIP extra buchen und bezahlen aber es geht ja nun nicht nur um VoIP. Wenn die schon VoIP Filtern (mit und ohne VPN) dann will ich nicht wissen was die noch so "prüfen".

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Deep Packet Inspection umgehen

Beitrag von eggy » 22.12.2017 19:01:37

DPI innerhalb vom VPN würde bedeuten, dass sie Deine Crypto aufgemacht haben.
Von ausserhalb sollte nicht erkennbar sein, was da über die Leitung geht. Evtl liegts an den Paketgrößen, da machen Dir "Optimierungen" manchmal nen Strich durch die Rechnung (Beispiel: tcp-no-delay/Nagle's Algorithm). Versuch mal, ob sich diesbezüglich Du am VPN was umstellen kannst. Falls OpenVPN: versuch mal auf UDP umzustellen, TCP innerhalb von TCP kann sich böse aufschaukeln und fiese Paketverluste/Retransmitraten erreichen.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Deep Packet Inspection umgehen

Beitrag von MSfree » 22.12.2017 19:06:23

eggy hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 19:01:37
TCP innerhalb von TCP kann sich böse aufschaukeln
Du meintest wohl UDP innnerhalb von TCP :wink:

TCP in TCP ist nämlich gar kein Problem, da schaukelt sich nichts auf. Nur UDP Pakete, die in einem TCP-Tunnel verschickt werden, können diese unschönen Nebeneffekte verursachen.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Deep Packet Inspection umgehen

Beitrag von dmant » 22.12.2017 19:12:29

Also ich nutze OpenVPN mit tap nicht tun aufgrund streaming. Es klappt auch alles wunderbar, mit und ohne VPN über alle ISP nur eben nicht mit T-Mobile, ob VPN oder eben nicht.
eggy hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 19:01:37
DPI innerhalb vom VPN würde bedeuten, dass sie Deine Crypto aufgemacht haben.
Nunja, bei 2048bit eher unwahrscheinlich,oder?

Nunja, DPI o.ä. werden die ja schon nutzen wegen der Bandbreitenbegrenzung oder? Also ein config Problem, oder? Ich gehe nicht davon aus das die Telekom bzw. T-Mobile hier anfängt und versucht den Datenstream zu knacken.

Ein tcp_low_latency = 1 habe ich auch schon versucht, ohne Erfolg.

DeletedUserReAsG

Re: Deep Packet Inspection umgehen

Beitrag von DeletedUserReAsG » 22.12.2017 19:23:29

dmant hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 19:12:29
Nunja, DPI o.ä. werden die ja schon nutzen wegen der Bandbreitenbegrenzung oder?
Für DPI müssten sie aber ins Paket schauen, und dafür müssten sie deine Verschlüsselung aufgemacht haben. Da das eher unwahrscheinlich ist, wird dein Problem nicht mit DPI zusammenhängen. Mit Trafficshaping o.Ä. hingegen schon. Das hat aber wieder mit VPN oder nicht wenig zu tun (es sei denn, sie drosseln selectiv TLS-Traffic auf Nichtstandardports – was aber, soweit ich weiß, nicht zulässig ist).

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Deep Packet Inspection umgehen

Beitrag von dmant » 22.12.2017 19:27:30

Also irgendwas müssen die ja einsetzen denn man kann VOIP extra zum Mobilfunkvertrag zubuchen und dann klappt das, demnach müssen die das ja irgendwie filtern.

Das verbinden klappt einwandfrei, der Rufaufbau auch doch dann beginnt das Jittern. Man kann auch abnehmen nur hört man nichts. Weder Rufzeichen noch das Gespräch noch sonst etwas.

Und das tritt nur ein T-mobile auf.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Deep Packet Inspection umgehen

Beitrag von MSfree » 22.12.2017 19:32:39

dmant hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 19:27:30
Also irgendwas müssen die ja einsetzen denn man kann VOIP extra zum Mobilfunkvertrag zubuchen und dann klappt das, demnach müssen die das ja irgendwie filtern.
Die filtern einfach Port 5060 und 5061 und eventuell bremsen sie UDP noch "ein wenig" aus, DPI ist da ziemlich unnötig.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Deep Packet Inspection umgehen

Beitrag von dmant » 22.12.2017 19:38:08

MSfree hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 19:32:39
Die filtern einfach Port 5060 und 5061 und eventuell bremsen sie UDP noch "ein wenig" aus, DPI ist da ziemlich unnötig.
Gut nur das mein Asterisk nicht auf den Ports läuft. Das war meine erste Idee, dem war allerdings nicht so.

Wenn die UDP "ein wenig" ausbremsen würden, wie stark ist bei dir dann "ein wenig"? Denn selbst mit einem G könnte man noch "abgehackt" telefonieren bzw. sich hören. Schon getestet.

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: Deep Packet Inspection umgehen

Beitrag von Lohengrin » 22.12.2017 20:49:44

Wenn ich als ISP verhindern wollte, dass einer meiner Kunden VoIP macht, ohne mein teures VoIP zu kaufen, würde ich einfach alles, was nicht mein VoIP ist, verruckeln.
Wo, außer bei VoIP stört ruckweise Daten denn sonst noch? Gibt es dafür einen Standard-Port? Falls ja, dann könnte es funktionieren, wenn du durch den tunnelst.
Harry, hol schon mal das Rasiermesser!

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Deep Packet Inspection umgehen

Beitrag von dmant » 22.12.2017 21:21:59

Lohengrin hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 20:49:44
Wenn ich als ISP verhindern wollte, dass einer meiner Kunden VoIP macht, ohne mein teures VoIP zu kaufen, würde ich einfach alles, was nicht mein VoIP ist, verruckeln.
Wo, außer bei VoIP stört ruckweise Daten denn sonst noch? Gibt es dafür einen Standard-Port? Falls ja, dann könnte es funktionieren, wenn du durch den tunnelst.
Streaming? YouTube?

Nunja, dann, wenn ich schon für VoIP zahlen soll, sollen die mir auch eine Rufnummer mit dazu geben, machen sie aber nicht, nur das man VoIP nutzen KANN soll man zahlen. Dann brauchste immernoch nen VoIP Provider.

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: Deep Packet Inspection umgehen

Beitrag von Lohengrin » 22.12.2017 21:42:11

dmant hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 21:21:59
Lohengrin hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 20:49:44
Wo, außer bei VoIP stört ruckweise Daten denn sonst noch? Gibt es dafür einen Standard-Port? Falls ja, dann könnte es funktionieren, wenn du durch den tunnelst.
Streaming? YouTube?
Ich dachte, beim Streaming sei der Download immer etwas voraus. Wenn zu wenig Daten kommen, dann wird gewartet, bis wieder ein paar Sekunden im Voraus da ist. Geruckel um eine Sekunde fällt dann nicht auf. Bei VoIP geht das nicht, weil zwei mal ein paar Sekunden Verzögerung deutlich auffallen.
dmant hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 21:21:59
Nunja, dann, wenn ich schon für VoIP zahlen soll, sollen die mir auch eine Rufnummer mit dazu geben, machen sie aber nicht, nur das man VoIP nutzen KANN soll man zahlen. Dann brauchste immernoch nen VoIP Provider.
Eiskalt rechnen, für welchen Preis der Provider das tut, was du brauchst! Wenn du für die Möglichkeit, VoIP zu benutzen, zahlen sollst, dann gehört das mit zum Preis. Und dann entscheiden, welchen Provider du nimmst!
Harry, hol schon mal das Rasiermesser!

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Deep Packet Inspection umgehen

Beitrag von eggy » 23.12.2017 03:06:23

MSfree hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 19:06:23
eggy hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 19:01:37
TCP innerhalb von TCP kann sich böse aufschaukeln
Du meintest wohl UDP innnerhalb von TCP :wink:

TCP in TCP ist nämlich gar kein Problem, da schaukelt sich nichts auf. Nur UDP Pakete, die in einem TCP-Tunnel verschickt werden, können diese unschönen Nebeneffekte verursachen.
Doch ist sogar nen gewaltiges Problem. TCP in TCP ist das Problem, UPD darin nicht. Die sind bei Verlust (egal wo) einfach weg. Egal, stört nicht weiter. Das zweifache TCP ist das Problem. Musst Du mir nicht glauben, ist aber trotzdem so.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Deep Packet Inspection umgehen

Beitrag von dmant » 23.12.2017 09:54:19

Lohengrin hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 21:42:11
Eiskalt rechnen, für welchen Preis der Provider das tut, was du brauchst! Wenn du für die Möglichkeit, VoIP zu benutzen, zahlen sollst, dann gehört das mit zum Preis. Und dann entscheiden, welchen Provider du nimmst!
Ähm sorry aber wir sind hier nicht in China wo hier alles "Zensiert" wird. Sorry aber möchte mein Datenvolumen nutzen wie ich es möchte. Wäre ja das gleiche wenn ich für Wasser zahle aber nicht duschen kann weil kaum Wasserdruck da ist.....

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: Deep Packet Inspection umgehen

Beitrag von mat6937 » 23.12.2017 10:28:59

dmant hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 21:21:59
... das man VoIP nutzen KANN soll man zahlen. Dann brauchste immernoch nen VoIP Provider.
Hast Du schon getestet ob VoIP _ohne einen VoIP-Provider_, im VPN-Tunnel mit T-Mobile funktioniert?
Evtl. kann man VoIP (im VPN-Tunnel) nur dann nicht nutzen, wenn man auch einen VoIP-Provider hat.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Deep Packet Inspection umgehen

Beitrag von dmant » 23.12.2017 10:35:50

Du meinst nur über den Asterisk local untereinander zu telefonieren?

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: Deep Packet Inspection umgehen

Beitrag von mat6937 » 23.12.2017 10:41:24

dmant hat geschrieben: ↑ zum Beitrag ↑
23.12.2017 10:35:50
Du meinst nur über den Asterisk local untereinander zu telefonieren?
Nein, nicht lokal sondern direkt über das Internet (... im VPN-Tunnel), ohne VoIP-Provider dazwischen. Z. B. über 2 verschiedenen Internetanschlüsse, von denen ein Internetanschluss von T-Mobile ist.

An einem Anschluss ist ein VoIP-Server und an dem anderen Anschluss ein VoIP-Client (... d. h. ohne VoIP-Provider).

EDIT:

Evtl. verhindert T-Mobile nur, dass man in deinem Tarif die Dienste eines VoIP-Providers nutzt, aber nicht das VoIP generell.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Deep Packet Inspection umgehen

Beitrag von dmant » 23.12.2017 10:51:39

Also sorry aber das verstehe ich jetzt nicht so ganz. Der Client meldet sich am Server an (Asterisk) ohne diesen kann der ja nicht telefonieren. Und den Asterisk kann ich ja kaum selbst anrufen, der redet nicht mit mir, ausser die Mailbox z.b. aber selbst die Mailboxabfrage geht nicht. Kein Rufzeichen, kein Ton aber laut der Asterisk Console kommt die Verbindung zustande.

Es sind ingesamt 13 Cleints am Asterisk (VoIP Server) angemeldet. Der VoIP Provider ist am Asterisk registriert, somit spielt der VoIP Provider keine Rolle, die Verbindung geht ja nur zu meinem Root Server, der Root Server baut ja sodann eine Verbindung zum VoIP Provider auf, davon "sieht" T-Mobile ja nichts. Die können ja nur die VoIP / VPN Verbindung zu meinem Server sehen aber nicht zu einem VoIP Provider.

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: Deep Packet Inspection umgehen

Beitrag von mat6937 » 23.12.2017 11:40:56

dmant hat geschrieben: ↑ zum Beitrag ↑
23.12.2017 10:51:39
Also sorry aber das verstehe ich jetzt nicht so ganz. Der Client meldet sich am Server an (Asterisk) ohne diesen kann der ja nicht telefonieren.
Ich habe doch geschrieben, mit Client und Server. Und Asterisk (als VoIP-Server) kann man im Internet zum Telefonieren (voipen durch einen VPN-Tunnel) mit einem geeigneten VoIP-Client, auch ohne einen VoIP-Provider nutzen.

dmant hat geschrieben: ↑ zum Beitrag ↑
23.12.2017 10:51:39
Und den Asterisk kann ich ja kaum selbst anrufen, ...
Doch, mit der entsprechenden Konfiguration geht das. Zum _Testen_ meine ich, ... denn klar ist das für dich im Alltag (d. h. reguläre Nutzung) nicht ausreichend bzw. nicht geeignet. Oder Du nimmst für den VoIP-Test über das Internet, ein anderes bzw. einfacheres VoIP-Server/-Client-System (... wenn Du deinen Asterisk-Server dafür nicht konfigurieren kannst).
dmant hat geschrieben: ↑ zum Beitrag ↑
23.12.2017 10:51:39
..., somit spielt der VoIP Provider keine Rolle, ... Die können ja nur die VoIP / VPN Verbindung zu meinem Server sehen aber nicht zu einem VoIP Provider.
Bist Du absolut sicher, dass _dein Internet-Provider_ (hier T-Mobile), Verbindungen zu einem (anderen) VoIP-Provider nicht sehen bzw. nicht feststellen kann?

EDIT:

Evtl. von deinem T-Mobile-Internetanschluss, auch eine VoIP-Verbindung/-Gespräch (ohne VPN-Tunnel) über einen öffentlichen VoIP-Server (z. B. Mumble-Server oder gleichwertig) testen.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Deep Packet Inspection umgehen

Beitrag von bluestar » 23.12.2017 19:13:01

Um Probleme mit deinem Asterisk-Setup auszuschließen, kann ich dir auf meinem Asterisk-Server einen Account zu Testen anbieten.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Deep Packet Inspection umgehen

Beitrag von dmant » 23.12.2017 20:50:41

Das wäre super

slu
Beiträge: 2136
Registriert: 23.02.2005 23:58:47

Re: Deep Packet Inspection umgehen

Beitrag von slu » 26.12.2017 15:20:41

dmant hat geschrieben: ↑ zum Beitrag ↑
23.12.2017 10:51:39
Kein Rufzeichen, kein Ton aber laut der Asterisk Console kommt die Verbindung zustande.
Das hört sich nach einem ganz klassisches NAT Problem an.
Wenn das SIP/VoIP durch einen OpenVPN Tunnel geht kann der Provider nichts machen, haben wir schon seit Jahren so...
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Deep Packet Inspection umgehen

Beitrag von bluestar » 27.12.2017 13:22:19

bluestar hat geschrieben: ↑ zum Beitrag ↑
23.12.2017 19:13:01
Um Probleme mit deinem Asterisk-Setup auszuschließen, kann ich dir auf meinem Asterisk-Server einen Account zu Testen anbieten.
dmant hat geschrieben: ↑ zum Beitrag ↑
23.12.2017 20:50:41
Das wäre super
Ich habe dir eine private Nachricht zwecks Austausch der Zugangsdaten geschickt.

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: Deep Packet Inspection umgehen

Beitrag von Lohengrin » 30.12.2017 16:59:11

dmant hat geschrieben: ↑ zum Beitrag ↑
23.12.2017 09:54:19
Lohengrin hat geschrieben: ↑ zum Beitrag ↑
22.12.2017 21:42:11
Eiskalt rechnen, für welchen Preis der Provider das tut, was du brauchst! Wenn du für die Möglichkeit, VoIP zu benutzen, zahlen sollst, dann gehört das mit zum Preis. Und dann entscheiden, welchen Provider du nimmst!
Ähm sorry aber wir sind hier nicht in China wo hier alles "Zensiert" wird.
Das ist die Diskussion um Netzneutralität.
Die einen sagen, dass das der Markt regeln würde, nämlich ein Provider, der so etwas mache, Kunden verlöre, und es dann sein ließe.
Die anderen sagen, dass ein Provider mit Gesetzen dazu gezwungen werden müsse, so etwas zu unterlassen, und nennen es Zensur.
dmant hat geschrieben: ↑ zum Beitrag ↑
23.12.2017 09:54:19
Sorry aber möchte mein Datenvolumen nutzen wie ich es möchte. Wäre ja das gleiche wenn ich für Wasser zahle aber nicht duschen kann weil kaum Wasserdruck da ist.....
Antwort der Anhänger der Marktwirtschaft: Dann such dir einen anderen Provider oder bau dir selbst etwas, das so funktioniert, wie du es haben willst!
Und dann wird es interessant. Gibt es überhaupt Alternativen? Darf man etwas selber bauen? Hat jemand ein Monopol auf Funkfrequenzen? Ab wann ist ein privates Unternehmen so mächtig, dass man einem Kunden Rechte einräumen soll, die für einen Bürger gegen den Staat gedacht sind, hier Zensurverbot?
Harry, hol schon mal das Rasiermesser!

Antworten