Ich hab mir den Spaß auf Grundlage der hiesigen Diskussion jetzt mal erlaubt und für einen Monat Mullvad geholt. Die Möglichkeit da einen Brief mit Cash anonym hinzuschicken hab ich gelassen da ich rein nen technischen Test mache und das ganz rabattiert mit Crypto geholt.
Ich habe in meinem UniFi einfach ein weiteres Vlan gemacht ein paar Clients an NetzwerkPorts reingesteckt und ein bestehendes Wlan auf dieses Vlan gelegt damit ich Clients reinbekomme.
Das ganze war natürlich BOFH mäßig, aber das war mein Freischuss für April.
Der UniFi macht aktuell nen WireGuard-Tunnel zu einem Mullvad-Server in der Schweiz. Das heißt alle meine Clients in dem VLAN agierten zu Beginn mit einer Züricher-IP.
Schnell war klar so lässt sich ein Internetanschluss nicht nutzen. DIr fliegt beinahe absolut alles um die Ohren was einen Login erfordert, oder eine deutsche IP. Tja und dann gibts noch so Raketen wie Rtl+ die ein ganzes Netzwerk an Domains über eine dt. IP verlangen damit man nicht ins Geoblocking gerät und wo es echt sau schwer ist erstmal rauszufinden was muss ich aus dem Tunnel nehmen damit das Zeuch funktioniert. (Alles was einen Login erfordert eh raus).
Es war also klar ich brauch Routing damit problembehaftete Dienste am VPN vorbeigehen. Hier über ein Policy-Based-Routing gelöst das inzw. 75 Domains umfasst von MS, Amazon, Paypal, Rtl uswm.
Vgl.
Man sieht schön wie das Routing funktioniert:
~
❯ tracepath rtl.de
1?: [LOCALHOST] pmtu 1500
1: unifi.home.arpa 0.657ms
1: unifi.home.arpa 0.674ms
2: unifi.home.arpa 0.758ms pmtu 1492
2: lo1.0006.acln.01.htt.de.net.telefonica.de 10.595ms
3: lag33.0002.cord.01.htt.de.net.telefonica.de 10.601ms
4: lag1.0020.corp.10.muc.de.net.telefonica.de 10.912ms
^C⏎
~
❯ tracepath bild.de
1?: [LOCALHOST] pmtu 1500
1: UDR.local 0.854ms
1: UDR.local 0.790ms
2: UDR.local 0.738ms pmtu 1420
2: 10.64.0.1 21.408ms
RTL geht direkt raus weil das Policy-Based-Routing zieht und sonst die Nutzer nicht RTL+ gucken können weil das sonst sagt sie sind Schweizer das geht wegen unseren Lizenzen nicht das sieh unseren Verblödungsmüll konsumieren dürfen.
Bild.de ist nicht im Bypass und man sieht schön wie es der UDR in die RFC1918 10er IPAdresse vom VPN-Tunnel packt und gleichzeitg noch die MTU runter anpasst damit es nicht fragmentiert.
Latenzen und Speed sind absolut unkritisch zumindst mit so nem kleinen 100/40er Anschluss krieg ich das nicht ausgelastet.
Meines Erachtens ist das aus den vielen vorgenannten Posts absolut nicht sinnvoll nutzbar und sowas zu administrieren ist auch hinreichend ekelhaft. Gerade bei einer Vielzahl von Clients die alle unterschiedliche DInge tun erstmal die DNS-Caches leer kriegen gucken was lösen die aktuell wie auf was muss ich wie routen. I did it for the LULZ.
ist halt komplett sinnlos.. Würde dann eher empfehlen das eigene Smartphone von einem öffentlichen Wlan aus ins eigene kontrollierte LAN zu Wireguarden und von dort ins Internet wenn man sich da absichern will. Das Zeug läuft eh und kost nix.
