Unitymedia blockiert VPN-Verbindungen

Unitymedia ist ein deutscher ISP, und ich habe mich leider dafür entschieden, sie als meinen Internet Service Provider zu nutzen.

Leider sind sie kein sehr guter ISP, da sie Deep Packet Inspection (DPI) verwenden, um VPN-Verbindungen zu drosseln oder zu blockieren. Ich würde ein solches Verhalten von bestimmten Ländern erwarten (eine vollständige Liste der Länder, die sich an der Internet-Zensur beteiligen, finden Sie hier), aber nie in Deutschland.

Offensichtlich kann diese Behauptung nicht auf die leichte Schulter genommen werden. Es muss eine Art Beweis dafür geben, dass jeder, der behauptet, dass ein deutscher ISP die Internetkonnektivität des Kunden filtert.

Unitymedia verbietet VPN

Könnte das ein Fehler sein?

Möglicherweise. Unitymedia hat nicht genügend IPv4-Adressen, um jedem Kunden eine globale IPv4-Adresse zu geben. Stattdessen verwenden sie etwas namens DS-Lite, bei dem jeder Kunde eine eindeutige IPv6-Adresse hat, und IPv4-Verbindungen werden über IPv6 (4in6) zum Carrier getunnelt, wo die Kunden dann über Carrier-Grade Nat (CGN) ins Internet gehen müssen.

Andere Leute haben über häufige TCP-Trennungen und schlechte Konnektivität auf unitymedia (DE, englische Version hier) geschrieben, aber ich glaube, sie gehen weiter. Leider bringt es nicht zu wissen wie man die IP Adresse erneuern kann, das führt in diesem Falle nicht zum Ziel da der Provider selbst das Problem darstellt.

Die Beweise

Ich hatte den starken Verdacht, dass unitymedia Verbindungen filtert, aber ich brauchte einen guten Weg, um es zu beweisen.

Da die gebräuchlichste Nutzung für ein VPN darin besteht, regionale Einschränkungen zu umgehen (Ehrenwort an YouTube DE und GEMA) oder urheberrechtlich geschützte Inhalte illegal herunterzuladen, dachte ich, dass das Torrenting Ubuntu 14.04 ein guter Beispiel-Anwendungsfall wäre.

Ich habe Transmission installiert und konfiguriert, um verschlüsselte Verbindungen zu benötigen. Dadurch wird sichergestellt, dass alle Netzwerkverbindungen zu Peers UDP-verschlüsselt werden. Ich sollte auch beachten, dass IPv6 auf dem Computer deaktiviert wurde, so dass nur IPv4-Verbindungen möglich sind.

Also, für den ersten Test, habe ich den Torrent für Ubuntu 14.04 LTS AMD64 heruntergeladen und mit dem Herunterladen begonnen.

verschlüsseltes_udp_torrent_novpn

Alles funktioniert noch, gut.

Jetzt habe ich den Torrent angehalten und mich bei einem bezahlten OpenVPN-Dienst auf UDP-Port 1194 angemeldet. Um zu beweisen, dass die Verbindung funktioniert, werde ich einen Ping-Test auf Googles öffentliches DNS durchführen. Das ist das, was als nächstes passiert ist:

verschlüsselt_udp_torrent_udpvppn

Okay, also laden wir immer noch herunter, aber viel langsamer als vorher. Unitymedia wäre nicht der erste ISP in der Geschichte der unzensierten Welt, der VPN-Verbindungen drosselt.

Wir können jedoch nicht zu Websites navigieren. Chrome und Firefox sitzen einfach ewig da und warten auf Daten vom Remote-Server. Um meine VPN-Verbindung zu testen, habe ich mein Telefon an meinen PC angebunden und mich am VPN angemeldet. Websites werden perfekt geladen.

Aber was wäre, wenn wir eine TCP-basierte OpenVPN-Verbindung versuchen würden? Verbinden wir uns mit einem OpenVPN-Endpunkt über TCP auf Port 443. Oben rechts habe ich mich in meinen Router eingeloggt und suche nach TCP-RST-Paketen auf meiner vorgeschalteten WLAN-Verbindung (zum Unitymedia-Router). Wir sehen, dass der Ping noch läuft, obwohl wir noch nicht damit begonnen haben, etwas herunterzuladen.

verschlüsselte_udp_torrent_tcpvppn-Arbeiten

Ich setze den Torrent fort und plötzlich erhalte ich 2 TCP RST-Pakete und die Verbindung ist tot.

verschlüsselt_udp_torrent_tcpvppn-blockiert

Das ist völlig inakzeptabel

Unter keinen Umständen sollte ein ISP jemals TCP-RST-Pakete in die Verbindungen eines Benutzers einfügen. Hier ist die PCAP-Datei mit den TCP-RST-Paketen, die meine Verbindung beendet haben.

ISPs, die TCP-RST-Pakete einfügen, um Benutzerverbindungen zu unterbrechen, sind leider nicht neu. Comcast in den Vereinigten Staaten ist bekannt dafür, TCP RST-Pakete für Benutzer zu fälschen, die Bittorrent verwenden und esändern „Network Management“ nennen. Die EFF hat sogar einen Bericht über das zwielichtige Verhalten von Comcast erstellt. Es gibt einen Wikipedia-Artikel über den TCP-Reset-Angriff, wenn Sie mehr darüber erfahren möchten, wie er funktioniert.

Ein ISP bietet zahlenden Kunden einen Service an, und zu keinem Zeitpunkt sollten sie sich jemals in die Verbindungen eines Kunden einmischen oder ihn angreifen. Leider sind die Allgemeinen Geschäftsbedingungen (AGB) heutzutage in der Regel zugunsten des Dienstleisters und nicht zugunsten des Kunden.

Ich finde es paradox, dass ich in Deutschland, das in der Vergangenheit seine Bürger ausspioniert hat, keine datenschutzfördernde Technologie wie VPNs einsetzen kann.

Es gibt viele legitime Einsatzmöglichkeiten für eine sichere VPN Verbindung, wie z.B.: Verschlüsselung des Internetverkehrs von Ihrem ISP, Anonymisierung, um höhere Preise beim Online-Shopping zu vermeiden, oder günstigere Flugtickets für Ihren Urlaub.

Ich habe bestätigt, dass dieses Problem nicht auf meine Unitymedia-Verbindung beschränkt ist. Ich habe einen Freund, der in einer anderen großen deutschen Stadt lebt, und seine Verbindung sieht sich dem gleichen feindlichen Verhalten von Unitymedia ausgesetzt.

Die Filterung von Unitymedia beschränkt sich auch nicht auf kommerzielle VPN-Dienste. Meine Arbeit erfordert, dass ich eine VPN-Verbindung für den Zugriff auf interne Dienste verwende, und ich erlebe häufig Trennungen, verlorene Pakete, extreme Drosselung und beschädigte Pakete, während ich versuche zu arbeiten.

Also, warum schreibe ich das hier? Ich lebe in einem freien Land, ich kann mit meiner Brieftasche abstimmen und zu einem anderen ISP wechseln. Das ist wahr, aber wenn ich das täte, würden Leute, die nicht über das technische Wissen verfügen, um Verbindungsprobleme zu diagnostizieren.

admin

View more posts from this author