ubuntuusers.de

Jetzt, wo Meister Yoda und Luke zugange sind, wird's spannend ... Ich warte neugierig. 😉

@elektronenblitz: Was hast Du vor? Ich sehe eine 32gb sdcard?

elektronenblitz63 . . .

Ist das in Stein gemeisselt, oder könnte man, eventuell auch von privoxy auf den Devices im Lan dann an Squid auf dem raspberry übergeben?

Da der Pi nur über eine Ethernetschnittstelle verfügt, müsste man dazu mit einem virtuellen Interface oder einem extra USB → Ethernet-Adapter arbeiten. Grundsätzlich sollte auch das möglich sein. Beide IF könnten dann in einer Bücke (Bridge) zusammengefaßt werden → WLAN Router - Netzwerkbrücke

Oh, ich sehe, da gibt's Probleme, die - für einen Naiven wie mich - nur schwer zu bewältigen sein werden 😉 (wo ich doch so sehr auf etwas Leichtes gehofft hatte ☹ 😉 😳 )

3) Benutzt Du Squid oder Squid3?

Unter Raspian ist Squid 2.7-stable in den Repos.

Ah, ok. Das hatte ich nicht bedacht.

Farinet schrieb:

1) Mir hat duesentriebchen's Argument eingeleuchtet, dass privoxy besser lokal installiert werden sollte (weil es so http und https handeln kann).

Privoxy kann http als intercepting proxy verarbeiten, https leider nicht. Mehr dazu in diesem Post weiter unten 😀
Farinet schrieb:

@duesentriebchen

Am Endgerät! (Am raspberry mache ich im Augenblick nichts; mit Deinem /etc/network/interfaces funktioniert es ja jetzt erst einmal, erlaubt den Login usw. Aber als Torbox ist es natürlich noch nicht konfiguriert.)

Okidoki 👍
elektronenblitz63 schrieb:

duesentriebchen schrieb:

Was mich am meisten interessiert, ob auch https Verkehr bei deiner Konfiguration von Privoxy gefiltert wird ❗

Hallo,
letztere geht (momentan) noch nicht, alles was über Port 80 kommt wird über Tor geleitet. https über Port 443 wird momentan direkt weitergeleitet. Privoxy filtert auch noch nicht so wie ich mir das vorstelle, da muss ich mich aber noch in die Konfiguration einarbeiten. Momentan ist der Pi allerdings nicht angeschlossen und ich kann nichts konkretes berichten.

Ok, schade.

Ich hab's auf meinem Router folgendermaßen installiert. Ich benutze eine Ethernet- und eine WLAN-Verbindung im LAN.
eth2+wlan0 – Router [hostapd → Privoxy (Intercepting Proxy) → Tor (Transparent Proxy) ] – DSL Router

Anbei die Optionen für Privoxy in der /etc/privoxy/config, damit dieser als intercepting Proxy arbeitet.

listen-address  192.168.2.25:8118
listen-address  192.168.3.25:8118

forward-socks4 / 127.0.0.1:9050 .
forward-socks4a / 127.0.0.1:9050 .
forward-socks5 / 127.0.0.1:9050 .

forwarded-connect-retries 1

accept-intercepted-requests 1

Anbei die /etc/tor/torrc → TransListenAddress = deprecated 😀

VirtualAddrNetworkIPv4 172.16.0.0/12
TransPort 192.168.2.25:9040
TransPort 192.168.3.25:9040
AutomapHostsOnResolve 1
DNSPort 192.168.2.25:9053
DNSPort 192.168.3.25:9053

Anbei die iptables-rules

iptables -t nat -A PREROUTING -i eth2 -p udp -m udp --dport 123 -j REDIRECT --to-ports 123
iptables -t nat -A PREROUTING -i eth2 -p udp --dport 53 -j REDIRECT --to-ports 9053
iptables -t nat -A PREROUTING -i eth2 -p tcp --syn --dport 80 -j REDIRECT --to-ports 8118
#iptables -t nat -A PREROUTING -i eth2 -p tcp --syn --dport 443 -j REDIRECT --to-ports 8118 -> https für Privoxy als intercepting funktioniert nicht
iptables -t nat -A PREROUTING -i eth2 -p tcp --syn -j REDIRECT --to-ports 9040
iptables -t nat -A PREROUTING -i wlan0 -p udp -m udp --dport 123 -j REDIRECT --to-ports 123
iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j REDIRECT --to-ports 9053
iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn --dport 80 -j REDIRECT --to-ports 8118
#iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn --dport 443 -j REDIRECT --to-ports 8118 -> https für Privoxy als intercepting funktioniert nicht
iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn -j REDIRECT --to-ports 9040

Und noch was wo horcht 😇

sudo lsof -nPi | grep LISTEN
dnsmasq    1258    dnsmasq    7u  IPv4  10032      0t0  TCP *:53 (LISTEN)
dnsmasq    1258    dnsmasq    9u  IPv6  10034      0t0  TCP *:53 (LISTEN)
privoxy    1721    privoxy    4u  IPv4  11339      0t0  TCP 192.168.2.25:8118 (LISTEN)
privoxy    1721    privoxy    5u  IPv4  11340      0t0  TCP 192.168.3.25:8118 (LISTEN)
sshd      20949       root    3r  IPv4  77003      0t0  TCP *:xxxxxxxx (LISTEN)
sshd      20949       root    4u  IPv6  77005      0t0  TCP *:xxxxxxxx (LISTEN)
tor       23968 debian-tor    7u  IPv4 228690      0t0  TCP 127.0.0.1:9050 (LISTEN)
tor       23968 debian-tor   10u  IPv4 228693      0t0  TCP 192.168.2.25:9040 (LISTEN)
tor       23968 debian-tor   11u  IPv4 228694      0t0  TCP 192.168.3.25:9040 (LISTEN)
tor       23968 debian-tor   12u  IPv4 228695      0t0  TCP 127.0.0.1:9051 (LISTEN)

Der SoC wurde doch recht warm (der Pi wird hier moderat übertaktet), so dass ich zunächst mal einen größtmöglichen Kühlkörper aufgeklebt habe. Der Kleber muss jetzt erstmal aushärten.

Hübsch, hübsch 👍

So richtig werde ich mich wahrscheinlich erst wieder kommende Woche damit beschäftigen können, da ich unter der Woche beruflich lange unterwegs sein werde. Am Wochenende werde ich leider ebenfalls kaum Zeit haben mich mit mit diesen Dingen zu beschäftigen.

Ok 🤓

Farinet schrieb:

1) Mir hat duesentriebchen's Argument eingeleuchtet, dass privoxy besser lokal installiert werden sollte (weil es so http und https handeln kann).

Ob das mit transparentem Squid funktioniert weiß ich selbst noch nicht.

Hab ich noch nie versucht...

Ist das in Stein gemeisselt, oder könnte man, eventuell auch von privoxy auf den Devices im Lan dann an Squid auf dem raspberry übergeben?

Da der Pi nur über eine Ethernetschnittstelle verfügt, müsste man dazu mit einem virtuellen Interface oder einem extra USB → Ethernet-Adapter arbeiten. Grundsätzlich sollte auch das möglich sein. Beide IF könnten dann in einer Bücke (Bridge) zusammengefaßt werden → WLAN Router - Netzwerkbrücke

Könnte funktionieren. Ich muss mich mal mit Squid beschäftigen 💡
Farinet schrieb:

Jetzt, wo Meister Yoda und Luke zugange sind, wird's spannend ... Ich warte neugierig. 😉

Wer der große Yoda ist, wissen wir. Aber wer ist Luke ❓

@elektronenblitz: Was hast Du vor? Ich sehe eine 32gb sdcard?

Auch wissen will 😬

duesentriebchen . . .

Wer der große Yoda ist, wissen wir. Aber wer ist Luke ❓

Wärst Du lieber r2d2? 😛

Wie auch immer, ich hatte Dich so verstanden, dass Du privoxy auf den Rechnern im Lan installiert hast. Nun hast Du es doch auf dem Router.

Inzwischen habe ich ein wenig mehr herumprobiert und etwas auf die Performance geachtet. Und da finde ich schon, dass Polipo Vorteile bringt, sowohl *ANSTELLE* von Privoxy wie auch in Kombination (das alles, bis jetzt, bei lokaler Installation wohlgemerkt). Am besten scheint mir die Kombination, den Browsercache im Ram aktiviert zu lassen, den Diskcache - im Browser - aber komplett abzuschalten und dafür Polipo zu benutzen

Auf der Seite von www.bodhizazen.net gibt es eine Anleitung wie man eine Easylist in eine forbidden Datei für Polipo transformieren kann und damit filtert auch Polipo gar nicht so schlecht. Z.B. auf der Seite der Süddeutschen filtert es sogar etwas besser als Privoxy (Das Problem scheint mir nur, dass die Easylists ständig gepflegt werden müssen, während Privoxy mehr über bestimmte Logiken ausfiltert, also gesamthaft wohl weniger Anpassungen braucht - wenn ich das richtig verstanden habe.

Es wäre also doch schön, wenn es möglich wäre polipo auf dem Raspberry ans Laufen zu bringen. Nur wie? Du hast ja die Fehlermeldung gesehen. Was mache ich da falsch? Wenn's gar nicht anders geht, könnte ich natürlich auch den Prozess umdrehen, polipo lokal und privoxy auf dem Router ... (?)

Guten Morgen Farinet

Wer der große Yoda ist, wissen wir. Aber wer ist Luke ❓

Wärst Du lieber r2d2? 😛

Danke fürs Kompliment ☺ 😬

Wie auch immer, ich hatte Dich so verstanden, dass Du privoxy auf den Rechnern im Lan installiert hast. Nun hast Du es doch auf dem Router.

Möchtest du Privoxy auf der Torbox als intercepting proxy einrichten, oder separat auf den einzelnen Clients?

Warum frage ich das... Die intercepting proxy Funktion von Privoxy hat einen erheblichen Nachteil, welches durch das ssl/tls verschlüsselte Netzwerkprotokoll entsteht. http-Verkehr lässt sich in dieser Funktion kinderleicht filtern, da hier das "GET" command im Klartext vorliegt. https-Verkehr allerdings nicht.

Warum? ssl verschlüsselte Verbindungen sind in der Regel Handshake's zwischen dem Client Socksport und dem Server Socksport, auch end-to-end genannt, daher verlässt der Datenverkehr den Client verschlüsselt, "CONNECT" command, bei ssl. Um den verschlüsselten Datenverkehr zu filtern, müsste man diesen aufbrechen. Das wäre dann ein klassischer man-in-the-middle-attack. Privoxy macht und kann das nicht als intercepting proxy.

Wenn du viel über https machst, ist es intelligenter privoxy auf den clients zu installieren.

Damit meinte ich vorbeugend, den Dienst lokal auf den Clients zu installieren, da Privoxy https als intercepting Proxy nicht beherrscht...

Inzwischen habe ich ein wenig mehr herumprobiert und etwas auf die Performance geachtet. Und da finde ich schon, dass Polipo Vorteile bringt, sowohl *ANSTELLE* von Privoxy wie auch in Kombination (das alles, bis jetzt, bei lokaler Installation wohlgemerkt). Am besten scheint mir die Kombination, den Browsercache im Ram aktiviert zu lassen, den Diskcache - im Browser - aber komplett abzuschalten und dafür Polipo zu benutzen

Das hab ich nie bezweifelt. Ich selbst nutze es nicht, daher kann ich es nicht beurteilen. Privoxy hat den Vorteil, daß es den Angriffsvektor über Add-Server mehr oder minder elimiert. Privoxy ist auch kein cache-Server, im Gegenzug zu polipo und Squid.
Interessant wird's in Verbindung mit Tor. Da bin ich am meisten darauf gespannt 😀

Auf der Seite von www.bodhizazen.net gibt es eine Anleitung wie man eine Easylist in eine forbidden Datei für Polipo transformieren kann und damit filtert auch Polipo gar nicht so schlecht. Z.B. auf der Seite der Süddeutschen filtert es sogar etwas besser als Privoxy (Das Problem scheint mir nur, dass die Easylists ständig gepflegt werden müssen, während Privoxy mehr über bestimmte Logiken ausfiltert, also gesamthaft wohl weniger Anpassungen braucht - wenn ich das richtig verstanden habe.

Jope. Polipo und Squid wollen gepflegt werden. Sind tolle Stücke Software, aber man hat auch den Adminitrationsaufwand ☺

Es wäre also doch schön, wenn es möglich wäre polipo auf dem Raspberry ans Laufen zu bringen. Nur wie? Du hast ja die Fehlermeldung gesehen. Was mache ich da falsch? Wenn's gar nicht anders geht, könnte ich natürlich auch den Prozess umdrehen, polipo lokal und privoxy auf dem Router ... (?)

Ich muss mich mit Polipo beschäftigen, um da eine Aussage zu treffen 💡

Hallo,
die Basiskonfiguration ist soweit fertig, habe da gerade noch etwas dran gebastelt. Die Konfiguration habe ich hier entsprechend aktualisiert.

Squid läuft also transparent, Privoxy arbeitet einwandfrei, die von duesentriebchen gezeigte Referenzseite und auch div. andere werden nun ohne Werbebanner usw. angezeigt. Auf den Clients muss nichts weiter konfiguriert werden.

Tor läuft auch, wobei die Konfiguration der Nodes, insbesondere der sog. Exitnodes zu beachten ist, da gab/gibt es anscheinend ein paar schwarze Schafe die Datenpakete manipuliert haben.

Ich nutze momentan einfach eine entsprechende Ländereinstellung, auch wegen der besseren Geschwindigkeit ...

...
EntryNodes {de}
ExitNodes {de}

Da werden u.a. auch Server vom CCC genutzt. Man kann die gewünschten und vertrauenswürdigen Server für den Exitnode aber auch explizit bestimmen. Um entsprechende auszusuchen fehlte mir bislang die Zeit

HTTPS läuft nur, wenn ich den Proxy entsprechend auf den Clients manuell in die .config eintrage → Proxyserver

Squid kann das aber auch, muss dazu aber manuell kompiliert werden, was mir auch gelungen ist. Dennoch funktioniert es noch nicht.

Bei einer verschlüsselten Übertragung findet ja eine End zu End Verschlüsselung statt, jetzt „sitzt“ Squid ja dazwischen („Man in the middle“) und die Verschlüsselung muss nun zwischen z.B. dem Browser und Squid erfolgen.

• Squid muss entsprechend vorkonfiguriert und dann kompiliert werden - ok

• eigene SSL-Zertifikate müssen über openssl erstellt werden - ok

• die squid.conf muss entsprechen angepasst werden - ok

• die Zertifikate werden in Squid eingebunden - ok

• Paketfilter über iptables müssen entsprechen gesetzt werden - ok

Müsste theoretisch funktionieren, tja, halt nur theoretisch. Funktioniert leider noch nicht und den eigentlichen Fehler habe ich natürlich auch noch nicht gefunden. Eine detaillierte Beschreibung gebe ich momentan deshalb noch nicht dazu, macht z.Z. keinen Sinn.

Farinet schrieb:

elektronenblitz63 . . .

Da der Pi nur über eine Ethernetschnittstelle verfügt, müsste man dazu mit einem virtuellen Interface oder einem extra USB → Ethernet-Adapter arbeiten. Grundsätzlich sollte auch das möglich sein. Beide IF könnten dann in einer Bücke (Bridge) zusammengefaßt werden → WLAN Router - Netzwerkbrücke

Oh, ich sehe, da gibt's Probleme, die - für einen Naiven wie mich - nur schwer zu bewältigen sein werden 😉 (wo ich doch so sehr auf etwas Leichtes gehofft hatte ☹ 😉 😳 )

Das ist wirklich nicht sehr schwierig, bei einem virtuellen IF wird nur die Konfiguration der Clients ggf. etwas schwieriger, da sich ja zwei DHCP-Server, der Router und der PI, im Netzwerk befinden. Dazu gibt es mehrere Lösungsansätze. Mit einen separaten Ethernet-Adapter ist das recht simpel umzusetzen.

PS: ich habe hier eine 2GB, eine 32GB und ein paar ältere 256/512MB SD-Karten. Für Raspbian sind die 2GB hier vielleicht etwas knapp bemessen, deshalb ist auf dieser Karte momentan Arch-Linux, noch unvollständig, installiert. Blieb also nur die 32GB übrig, eine 4GB-Karte würde aber auch genügen.

Auf einer der kleineren Karten (256MB) läuft OpenElec (XBMC-Media Center) hervorragend. Nur die Bildschirmauflösung passt noch nicht ganz. Streaming div. Mediatheken (ARD, ZDF, Arte usw.) und auf Festplatte aufgezeichnete Filme von unserem HD SAT-Receiver, welcher hier als Media-Server im lokalen Netz arbeitet, werden einwandfrei wiedergeben. Das war in sofern sehr interessant, da das entsprechende Plugin für Totem seit 12.04 nicht mehr kompatibel ist.

Wer der große Yoda ist, wissen wir. Aber wer ist Luke ❓

Überschätzt mich bitte nicht, ich muss mir das auch alles erarbeiten und anlesen!

Irgendetwas habe ich mir abgeschossen. Wenn ich versuche mich auf dem raspberry einzuloggen erhalte ich keinen dhcp lease mehr. Woaran könnte das liegen? Ich bin jetzt noch einmal die Dateien durchgegangen, aber ich finde nichts. Offensichtlich bin ich einfach zu dumm ☹

Wenn ich auf dem raspberry 'sudo service networking restart' mache, erhalte ich das:

sudo service networking restart
[....] Running /etc/init.d/networking restart is deprecated because it may not r[warnble some interfaces ... (warning).
[....] Reconfiguring network interfaces...Internet Systems Consortium DHCP Client 4.2.2
Copyright 2004-2011 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/eth0/b8:00:00:00:00:00
Sending on   LPF/eth0/b8:00:00:00:00:00
Sending on   Socket/fallback
DHCPRELEASE on eth0 to 0.0.0.1 port 67
Internet Systems Consortium DHCP Client 4.2.2
Copyright 2004-2011 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/eth0/b8:00:00:00:00:00
Sending on   LPF/eth0/b8:00:00:00:00:00
Sending on   Socket/fallback
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 4
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 9
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPOFFER from 0.0.0.1
DHCPACK from 0.0.0.1
bound to 0.0.0.103 -- renewal in 771019843 seconds.
done.

Das ist die Anbindung des raspberry an den Router. Aber auch mit dieser hatte der Login auf dem raspberry und der Zugang vom Lan ins Wan zuvor funktioniert ... (und ich will den Wlan Access des Routers nicht abschalten bevor das raspberry nicht einwandfrei und stabil läuft)

Hallo Farinet

Versuch mal die hier.

sudo /etc/init.d/dnsmasq restart
sudo /etc/init.d/hostapd restart
sudo /etc/init.d/networking restart

Zeig danach mal die Ausgabe am Pi von

ifconfig -a
arp -av
route -n

Farinet schrieb:

Irgendetwas habe ich mir abgeschossen. Wenn ich versuche mich auf dem raspberry einzuloggen erhalte ich keinen dhcp lease mehr.

Listening on LPF/eth0/b8:00:00:00:00:00 Sending on LPF/eth0/b8:00:00:00:00:00

...

DHCPOFFER from 0.0.0.1

DHCPACK from 0.0.0.1

bound to 0.0.0.103 – renewal in 771019843 seconds. }}}

Hallo,
das stimmt etwas mit der Ethernetschnittstelle nicht, die MAC-Adresse ist schon nicht richtig. Pi mal ein paar Minuten abschalten und nur das LAN-Kabel anschließen, keinen WLAN-Adapter oder sonstige USB-Geräte verwenden.

Zur Info:
Squid als transparenter Proxy für den https-Port 443 funktioniert nun auch. Das Zertifikat wird auch abgefragt. Damit das tatsächlich funktionieren würde, müsste ich noch ein eigenes Zertifikat bei CA-Cert authentifizieren lassen. Das spare ich mit hier aber, da es einfacher ist den Proxy für https-Verbindungen auf den Clients manuell zu setzen.

In den Raspbian Repost befindet sich ebenfalls squid3, Version 2.7 genügt aber auch. Das hatte ich übersehen.

Hallo elektronenblitz63 😀

elektronenblitz63 schrieb:

Hallo,
die Basiskonfiguration ist soweit fertig, habe da gerade noch etwas dran gebastelt. Die Konfiguration habe ich hier entsprechend aktualisiert.

Squid läuft also transparent, Privoxy arbeitet einwandfrei, die von duesentriebchen gezeigte Referenzseite und auch div. andere werden nun ohne Werbebanner usw. angezeigt. Auf den Clients muss nichts weiter konfiguriert werden.

Suppii 👍

Tor läuft auch, wobei die Konfiguration der Nodes, insbesondere der sog. Exitnodes zu beachten ist, da gab/gibt es anscheinend ein paar schwarze Schafe die Datenpakete manipuliert haben.

EIN PAAR ❓
Iran, Iraq, Russland, Ukraine, UncleSam und noch ein paar Andere.
Vermutet und eigentlich bestätigt wird, daß NSA & co genauso ExitNodes betreiben. Ab und an motzt mein Browser, daß SSL Zertifikate nicht verifiziert werden konnten oder nicht zum angefragten Server passen...
An diesen Tagen lass ich die Finger vom Internet 👿

Ich nutze momentan einfach eine entsprechende Ländereinstellung, auch wegen der besseren Geschwindigkeit ...

...
EntryNodes {de}
ExitNodes {de}

Da werden u.a. auch Server vom CCC genutzt. Man kann die gewünschten und vertrauenswürdigen Server für den Exitnode aber auch explizit bestimmen. Um entsprechende auszusuchen fehlte mir bislang die Zeit

Ich hab mir die Zeit genommen, hier ein wenig vorzubauen.

EntryNodes der CCC Server. Sitzen in der Schweiz, Österreich und der BRD. Zu finden hier 😬

EntryNodes chaoscomputerclub4,chaoscomputerclub18,chaoscomputerclub19,chaoscomputerclub20,chaoscomputerclub21,chaoscomputerclub27,chaoscomputerclub28,chaoscomputerclub29,chaoscomputerclub30, \
chaoscomputerclub31,chaoscomputerclub32,chaoscomputerclub33,chaoscomputerclub34

Ich darf die Option ExcludeNodes auf GeoIP Basis vorstellen. Diese werden sowohl als relays und auch als ExitNodes gesperrt 😬

ExcludeNodes {ae},{af},{al},{am},{az},{ba},{bd},{bg},{by},{cd},{cf},{cn},{gb},{gr},{hk},{il},{iq},{ir},{jo},{ke},{kg},{kr},{kz},{lb},{ly},{ma},{md},{me},{mn},{om},{pk},{ru},{sa}, \
{sd},{sn},{sy},{tj},{tm},{tn},{tw},{ua},{us},{uz},{vn}

HTTPS läuft nur, wenn ich den Proxy entsprechend auf den Clients manuell in die .config eintrage → Proxyserver

Das ist ja das Schlamassel an Intercepting/Transparent Proxys... 😢 👿

Squid kann das aber auch, muss dazu aber manuell kompiliert werden, was mir auch gelungen ist. Dennoch funktioniert es noch nicht.

Bei einer verschlüsselten Übertragung findet ja eine End zu End Verschlüsselung statt, jetzt „sitzt“ Squid ja dazwischen („Man in the middle“) und die Verschlüsselung muss nun zwischen z.B. dem Browser und Squid erfolgen.

• Squid muss entsprechend vorkonfiguriert und dann kompiliert werden - ok

• eigene SSL-Zertifikate müssen über openssl erstellt werden - ok

• die squid.conf muss entsprechen angepasst werden - ok

• die Zertifikate werden in Squid eingebunden - ok

• Paketfilter über iptables müssen entsprechen gesetzt werden - ok

Wer der große Yoda ist, wissen wir. Aber wer ist Luke ❓

Überschätzt mich bitte nicht, ich muss mir das auch alles erarbeiten und anlesen!

Tut ja keiner 😬 ☺

elektronenblitz63 schrieb:

Zur Info:
Squid als transparenter Proxy für den https-Port 443 funktioniert nun auch. Das Zertifikat wird auch abgefragt. Damit das tatsächlich funktionieren würde, müsste ich noch ein eigenes Zertifikat bei CA-Cert authentifizieren lassen.

Priovxy kann das (noch) nicht. Ich hab mal bei den Entwicklern von Privoxy ein FeatureRequest, mit dem Wunsch als SSL fähiger InterceptingProxy zu arbeiten, aufgegeben.
Ich bleib drann 💡

Das spare ich mit hier aber, da es einfacher ist den Proxy für https-Verbindungen auf den Clients manuell zu setzen.

Soweit zum Schlammassel...

In den Raspbian Repost befindet sich ebenfalls squid3, Version 2.7 genügt aber auch. Das hatte ich übersehen

Kann jedem passieren ☺ 😬

ifconfig -a

eth0      Link encap:Ethernet  Hardware Adresse b8:27:eb:70:d2:d6  
          inet Adresse:192.168.10.103  Bcast:192.168.10.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:26763 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8940 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:10083551 (9.6 MiB)  TX bytes:1258042 (1.1 MiB)

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:800 (800.0 B)  TX bytes:800 (800.0 B)

mon.wlan0 Link encap:UNSPEC  Hardware Adresse A0-F3-C1-29-DB-77-00-00-00-00-00-00-00-00-00-00  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2117 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:596223 (582.2 KiB)  TX bytes:0 (0.0 B)

wlan0     Link encap:Ethernet  Hardware Adresse a0:f3:c1:29:db:77  
          UP BROADCAST MULTICAST  MTU:1500  Metrik:1
          RX packets:115 errors:0 dropped:73 overruns:0 frame:0
          TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:26524 (25.9 KiB)  TX bytes:6411 (6.2 KiB)

arp -av

localhost (192.168.10.101) auf 00:14:a5:a8:4a:3e [ether] auf eth0
intern.router (192.168.10.1) auf 00:23:08:88:fa:7d [ether] auf eth0
Einträge: 2   Ignoriert: 0   Gefunden: 2

route -n

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.10.1    0.0.0.0         UG    0      0        0 eth0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0

Guten Morgen 😀

Farinet
Wenn du jetzt den WLAN-Stick anstöpselst, was passiert dann?
Kannst du einen Terminal öffnen, und die Ausgabe von

tail -f /var/log/syslog

posten, während du den Stick ansteckst?

Der stick war die ganze Zeit eingestöpselt. Ich habe ihn jetzt abgezogen und wieder angestöpselt und dann den Befehl eingegeben, den Du angabst.

tail -f /var/log/syslog

Aug 15 05:54:55 himbeerepi kernel: [121614.193811] ieee80211 phy1: Atheros AR9287 Rev:2
Aug 15 05:54:55 himbeerepi kernel: [121614.194551] cfg80211: Calling CRDA for country: CN
Aug 15 05:54:55 himbeerepi kernel: [121614.195060] Registered led device: ath9k_htc-phy1
Aug 15 05:54:55 himbeerepi kernel: [121614.300054] cfg80211: Current regulatory domain intersected:
Aug 15 05:54:55 himbeerepi kernel: [121614.300085] cfg80211:   (start_freq - end_freq @ bandwidth), (max_antenna_gain, max_eirp)
Aug 15 05:54:55 himbeerepi kernel: [121614.300101] cfg80211:   (2402000 KHz - 2482000 KHz @ 40000 KHz), (N/A, 2000 mBm)
Aug 15 05:54:55 himbeerepi ifplugd(wlan0)[5148]: ifplugd 0.28 initializing.
Aug 15 05:54:55 himbeerepi ifplugd(wlan0)[5148]: Using interface wlan0/A0:F3:C1:29:DB:77 with driver <ath9k_htc> (version: 3.6.11+)
Aug 15 05:54:55 himbeerepi ifplugd(wlan0)[5148]: Using detection mode: SIOCETHTOOL
Aug 15 05:54:55 himbeerepi ifplugd(wlan0)[5148]: Initialization complete, link beat not detected.

Hmmm....

Du hast mit unserem Yoda ein Script verfasst, welches die Steuerung des Wlan-Sticks übernimmt. Kannst du dieses neu starten und dabei syslog mitlaufen lassen?

@ Farinet

Sieht doch wieder ok aus. Verwendest Du übrigens einen USB-Hub mit eigener Stromversorgung, oder nur einen passiven Hub, bzw. schließ alles direkt am Pi an? Da gibt es schon mal Probleme mit der Stromversorgung für den WLAN-Adapter.

duesentriebchen schrieb:

EntryNodes der CCC Server. Sitzen in der Schweiz, Österreich und der BRD. Zu finden hier 😬

EntryNodes chaoscomputerclub4,chaoscomputerclub18,chaoscomputerclub19,chaoscomputerclub20,chaoscomputerclub21,chaoscomputerclub27,chaoscomputerclub28,chaoscomputerclub29,chaoscomputerclub30, \
chaoscomputerclub31,chaoscomputerclub32,chaoscomputerclub33,chaoscomputerclub34

Ich darf die Option ExcludeNodes auf GeoIP Basis vorstellen. Diese werden sowohl als relays und auch als ExitNodes gesperrt 😬

ExcludeNodes {ae},{af},{al},{am},{az},{ba},{bd},{bg},{by},{cd},{cf},{cn},{gb},{gr},{hk},{il},{iq},{ir},{jo},{ke},{kg},{kr},{kz},{lb},{ly},{ma},{md},{me},{mn},{om},{pk},{ru},{sa}, \
{sd},{sn},{sy},{tj},{tm},{tn},{tw},{ua},{us},{uz},{vn}

Danke!