T-Mobile / Congstar stellen mit DPI VOIP über OpenVPN fest und sperren es

Hallo,

ich surfe seit neuestem über Congstar, also im D1-Netz, da das O2 Netz kaum mit UMTS ausgebaut ist. Gibt es dann mal UMTS, ist es hoffnungslos überlastet. Jedenfalls nutze ich über O2 schon seit einiger Zeit VOIP über ein VPN. Bei Congstar hatte ich das genauso vor. Obwohl im Speedtest deutlich höhere Datenraten mit Congstar (mehrere MBit statt nur wenige 100 KBit bei O2) habe, habe ich Probleme mit VOIP. Erst ist das Gespräch super, nach wenigen Sekunden ist es total abgehackt und es kommt regelrecht eine Melodie. Eine solch schlechte Verbindung hatte ich nichtmal im O2 Netz erlebt. Da war es zwar kurz abgehackt, aber nicht solche komischen Melodien.

Zu meinem Aufbau. Ich verbinde mich über OpenVPN per UDP Port > 30000 in mein Heimnetzwerk.
Wenn ich bei Congstar erst eine Webseite aus meinem Heimnetzwerk aufrufe und dann per VOIP anrufe, funktioniert es einwandfrei. Dies legt für mich nur den Schluss nahe, dass die Telekom / Congstar Deep-Packet-Inspektion VOIP feststellt. Zwar ist das dank VPN verschlüsselt, aber ein gewisses Muster lässt sich ja feststellen. Z.B. gleiche geringe Datenströme in beiden Richtungen.
Nach einiger Zeit in der keine Daten übertragen wurden, passiert es wieder, dass VOIP einige Sekunden geht und dann total verzerrt ist. Wenn ich dann während das VOIP-Gespräch läuft, versuche auf meinen http-Server im Heimnetzwerk zuzugreifen, ist das praktisch nicht möglich, die ganze Verbindung wird verstümmelt. Baue ich die VPN-Verbindung neu auf (OpenVPN schließen und neu öffnen), schon kann ich wieder auf meinen http-Server zugreifen.

D1 mag ja das beste Netz haben, was den Netzausbau betrifft (an zahlreichen Orten, die ich bis jetzt getestet habe, war wenn UMTS verfügbar war immer die Telekom dabei, die anderen Anbieter meistens nicht), aber so ist das Netz definitiv unbrauchbar und ich finde es eine Sauerrei, was D1 hier veranstaltet. Falls noch jemand eine Idee hat, woran es liegen könnte, immer her damit.
Wie gesagt bei O2 trat es nicht auf. Getestet wurde mit 2 Endgeräten, bei beiden dasselbe Verhalten. Aber ich möchte hier auch mal auf den Artikel http://www.teltarif.de/tethering-sperre-fernmeldegeheimnis/news/42000.html

Tethering ist nicht die einzige Einschränkung im mobilen Internet. So sperrt T-Mobile nach den Erfahrungen vieler Nutzer Voice over IP: Die Verbindung wird zunächst korrekt aufgebaut. Nach kurzer Zeit wird das Gegenüber aber komplett unverständlich.

Zum Vergrößern anklicken....

Noch schlimmer kommt es, dass sie sogar DTMF-Töne verfälschen

Aber nicht nur mobile Datenflatrates sind von merkwürdigen Sperren und Beschränkungen betroffen. Die Kanzlei Juconomy beklagt, dass zunehmend Festnetz-Rufnummernblöcke gesperrt oder bei Anrufen dorthin die DTMF-Wähltöne verfälscht werden. Das Ziel ist offensichtlich: Den Kunden die Nutzung der dort angebotenen kostengünstigen Chat- oder Weiterleitungsdienste zu verleiden.

Zum Vergrößern anklicken....

Wenn ich mein VPN über TCP tunnele scheint die Problematik nicht aufzutreten, aber generell ist durch die Tunnelung der UDP Pakete in TCP-Pakete die Qualität schlechter.

Es zeigt sich auch hier mal wieder, dass wir in einer Bananenrepublik leben, wo sogar in VPN-Datenverkehr ungestraft eingegriffen werden darf.

Nachtrag: Hier mal ein Ping auf meinen Router hinter dem VPN. Sobald das VOIP-Gespräch verstümmelt wird, funktioniert auch der Ping nicht mehr, da die ganze VPN-Verbindung lahm gelegt wird. Einige Sekunden nachdem aufgelegt wurde, funktioniert der Ping auch wieder

Ist denn eindeutig nachvollziehbar, dass die Störungen immer nach dem gleichen Zeitraum nach Aufbau der VoIP-Verbindung beginnen?

Ja immer ca. 10 Sekunden danach. Es lässt sich eindeutig reproduzieren. Wenn ich währenddessen und davor etwas http-Datenverkehr erzeuge, funktioniert VOIP in einer super Qualität. Auch im Congstar-Forum findet sich dazu, dass dasselbe mit Skype-Gesprächen gemacht wird. Erschreckend ist nur, dass sie auch in den VPN-Datenverkehr eingreifen, wo es denen unmöglich ist VOIP treffsicher zu erkennen. Sie vermuten es einfach und stören dann die ganze Verbindung. Die Verbindung direkt ins Internet ohne VPN funktioniert währenddessen völlig normal.

Na ja, die entschlüsseln vermutlich nicht den Inhalt, sondern kategorisieren die Pakete anhand der Größe und der Regelmäßigkeit.
Aber schon interessant, was die nicht alles tun, um den Kunden das Geld aus der Tasche zu ziehen...

Klar entschlüsseln können sie es nicht, deswegen hatte ich ja auch geschrieben, dass sie es nur vermuten und nicht erkennen können. Ich werde weiter analysieren um auch ohne VOIP deren Filter auslösen zu können, also legitime Anwendungen von denen geblockt werden.

Ich betreibe seit Ostern fuer unser Uni-Institut einen OpenVPN-Server. Er ist nicht in erster Linie dafuer gedacht, VOIP ueber das Netz von t-mobile zu benutzen -- aber da haette auch niemand ausser t-mobile mit ein Problem.

Ich benutze TCP ueber Port 443, also wie HTTPS. Der bekannte Witz ist, dass Dir das niemand sperren kann, sonst braucht er Dir erst gar keinen Netzzugang anbieten. Dass TCP etwas weniger als UDP geeignet ist, kann man serverseitig mit der Option "tcp-nodelay" mitigieren.

Wenn es funktioniert, dann funktioniert es ganz prima, man merkt keinen Unterschied in der Geschwindigkeit. Auch Skype habe ich darueber schon ausprobiert. Komischerweise funktioniert es aber oft auch nicht: Alles haengt und nur gelegentlich kommen dann mal ein paar Bytes rueber.

Und dann ist nicht die schlechte Netzverbindung schuld, denn wenn ich das VPN wegnehme geht wieder alles zack-zack. Es sind auch keine Konfigurationsfehler, denn wenn ich von t-mobile auf Vodafone (Websession, 5 Min. umsonst) wechsele, dann geht es auch sofort wieder zack-zack!

Mir scheint es extrem wahrscheinlich, dass sich t-mobile hier zum Zwecke der eigenen Profitoptimierung auf unverschaemteste Weise in die Kommunikation seiner Kunden einmischt.

Hier ist ein ganz nettes Posting dazu: https://grepular.com/Punching_through_The_Great_Firewall_of_TMobile.

Die betreiben da ganz offenichtlich "Deep Packet Inspection" der perfiden Art. Da sie aber in verschluesselte Pakete nun mal nicht reinschauen koennen, arbeiten sie mit Heuristiken. Dass dabei auch Kollateralschaeden entstehen ist unvermeidlich.

Leider ist unser Institut ein technisches, mit Juristerei ist da nix. Echt schade, denn meines Wissens ist jeder Versuch, in offensichtlich verschluesselte Daten reinzuschauen, ein Verstoss gegen das Datenschutzgesetz und mithin eine Straftat.

Das ist natürlich noch eine größere Frechheit, dass sie sogar in den SSL TCP Port eingreifen.
Die Option TCP_NODELAY stellt leider für mich keine Lösung dar, da sie den Overhead nur noch weiter erhöht und TCP an sich hat schon einen wesentlich höheren als UDP. Genau aus diesem Grund verwende ich ja UDP mit ein paar abgeschalteten Sicherheitsfeatures gegen aktive Angreifer (Paketverfälschung und Replay der Pakete) um den ohnehin schon extrem knapp bemessenen Traffic zu sparen.
Ich hatte bei TCP VPN wie gesagt keine Problem mit VOIP aber hatte das ja nicht lange getestet. Skype ist ein Sonderfall, da dieses ja auch immer mit dem Webserver des Herstellers kommuniziert und dadurch leicht erkannt werden kann oder verwendet du die Option redirect-gateway um allen Datenverkehr durch das VPN zu leiten?

Danke für den Hinweis, dass es mit Vodafone geht, wollte mir schon eine SIM-Karte holen und testen. Leider ist deren UMTS-Netz ja nicht so gut ausgebaut wie das der Telekom sonst wäre ich jetzt dort.

Dein Institut scheint nicht in Bayern zu liegen, denn dort ist im Behördennetz-Internetzugang die OpenVPN Webseite durch den zentralen Intermetzugang durch das "Rechenzentrum Süd" gesperrt und der Kategorie "Anonymizing Utilities" zugeordnet. Ein OpenVPN-Einsatz ist staatlich also in Bayern nicht gewünscht. Wenn man schon solche Seiten blockiert braucht man sich nicht wundern, dass unsere Behörden IT-mäßig nichts auf die Reihe bekommen.

PS: Herzlich Willkommen bei Powerforen.

Ich hatte bei TCP VPN wie gesagt keine Problem mit VOIP aber hatte das ja nicht lange getestet.

Zum Vergrößern anklicken....

Ich urspruenglich auch nicht. War aber (wie gesagt) nur eine der von mir angedachten Anwendungsmoeglichkeiten. Ich hab's am Ende vielleicht 1x wirklich benutzt. (Da ging's -- und ohne nicht.)

Jetzt ist es soweit, dass ich die beschriebenen Probleme immer wieder habe. Z.B. auch dann, wenn ich nur via VPN ein Paper z.B. von der Springer-Verlags-Seite runterladen will, die nur fuer Uni-IPs freigegeben ist.

Wie gesagt: Nicht immer, aber immer oefter. In dem oben verlinkten Blog-Beitrag wurde die These aufgestellt, dass es davon abhaengt, in welcher Funkzelle man landet, bzw. auch ueber welches Gateway mit welcher Version der Firewall-Software man reinkommt.

Nebenbei: t-mobile geht auch gegen 'http://www.skype.com' vor. Versuch mal, deren Webseite anzusteueren oder gar Skype selbst da runterzuladen. Dann kannst Du die Bits von Hand zaehlen -- auch wenn jede andere Seite flutscht.

Skype ist ein Sonderfall, da dieses ja auch immer mit dem Webserver des Herstellers kommuniziert und dadurch leicht erkannt werden kann oder verwendet du die Option redirect-gateway um allen Datenverkehr durch das VPN zu leiten?

Zum Vergrößern anklicken....

Mit 'redirect-gateway', ja. Bei mir geht alles ueber das VPN, egal wohin. Auch DNS-Abfragen. Kein Bit daneben.

Danke für den Hinweis, dass es mit Vodafone geht, wollte mir schon eine SIM-Karte holen und testen. Leider ist deren UMTS-Netz ja nicht so gut ausgebaut wie das der Telekom sonst wäre ich jetzt dort.

Zum Vergrößern anklicken....

Ich weiss nicht, Werbung wollte ich fuer die auch keine machen. Ich habe mich fuer t-mobile entschieden, weil sie schon das etwas bessere Netz haben. Insebesondere in der "freien Natur" (EGDE wg. iPhone urspruenglich).

Da wo ich bin, ist Vodafone meistens so gut vertreten wie t-mobile, aber sie haben oefters aergerlich lange Aussetzer, in denen gar nichts mehr geht. Verdaechtig erschien mir auch, dass sie eine Art Ausverkauf betreiben: Welcher Reseller bietet noch t-mobile an? (Ich hab noch einen gesucht, gefunden -- und bin jetzt die naechsten zwei Jahre da. Ob das eine gute Idee war? Egal, kann's nicht mehr aendern ...)

Dein Institut scheint nicht in Bayern zu liegen, ...

Zum Vergrößern anklicken....

Hessen. FFM.

PS: Herzlich Willkommen bei Powerforen.

Zum Vergrößern anklicken....

Danke! Ich gruesse euch auch!

-rgorn

Wie gesagt: Nicht immer, aber immer oefter. In dem oben verlinkten Blog-Beitrag wurde die These aufgestellt, dass es davon abhaengt, in welcher Funkzelle man landet, bzw. auch ueber welches Gateway mit welcher Version der Firewall-Software man reinkommt.

Zum Vergrößern anklicken....

Was die VPN-Blockade angeht, hängt es meiner Erfahrung nach nur davon ab, was zuvor übers VPN ging. Wenn ich die Startseite meiner Fritzbox und anschließend die Internetverbindungsseite aufrufe, die alle paar Sekunden einen XML-Request schickt, ein paar Sekunden warte und anschließend VOIP übers VPN mache, habe ich eine 1A Sprachqualität auch über EDGE, kein Vergleich mit O2.

Nebenbei: t-mobile geht auch gegen 'http://www.skype.com' vor. Versuch mal, deren Webseite anzusteueren oder gar Skype selbst da runterzuladen. Dann kannst Du die Bits von Hand zaehlen -- auch wenn jede andere Seite flutscht.

Zum Vergrößern anklicken....

Danke für die weitere Info.

Verdaechtig erschien mir auch, dass sie eine Art Ausverkauf betreiben: Welcher Reseller bietet noch t-mobile an? (Ich hab noch einen gesucht, gefunden -- und bin jetzt die naechsten zwei Jahre da. Ob das eine gute Idee war? Egal, kann's nicht mehr aendern ...)

Zum Vergrößern anklicken....

Was meinst du mit Ausverkauf?
Kündige doch D1 mit der Begründung wegen nicht erbrachter Leistung. Wenn sogar die Springerlink-Seiten via VPN blockiert werden und auch die Skype.com Seite.
Als einziger Prepaid-Reseller ist mir Congstar bekannt, der auch HSDPA bietet, da kann man dann monatlich entscheiden, ob man den T-Mobile Terror noch mitmachen will. Auch dürften die billiger sein (3 GB 20 €, 1 GB 13 und 500 MB 10 €).
Über welchen APN gehst du? internet.t-mobile (NAT) oder internet.t-d1.de (öffentliche IP). Ich gehe über NAT rein. Beim Antesten ging aber auch internet.t-d1.de mit meinen Umgehungstrick mit VOIP.

Ich habe Skype mal angetestet.
Also die Webseite selbst baut sich wunderbar schnell auf, aber sobald man die Datei Download will, sinkt die Geschwindigkeit auf unter 500 Byte/s (!) und erreicht damit das Niveau der ersten Akkustikkoppler. Aber der Hammer ist ja, dass sie sogar den HTTP-Header verfälschen, denn am PC wird mir die Dateigröße von ca. 922 KB angezeigt, am Laptop der via Congstar und WLAN-Hotspot meines Handys verbunden ist nicht. Hier wird der Header "Content-Length" definitiv unterdrückt.
Kaum tunnele ich per OpenVPN den gesamten Datenverkehr, schon flutscht der Download wieder und auch die Dateigröße wird mir wieder am Laptop angezeigt. Verknacken sollte man die für dieses miese Verhalten.

the ubm schrieb:

Was die VPN-Blockade angeht, hängt es meiner Erfahrung nach nur davon ab, was zuvor übers VPN ging. ...

Zum Vergrößern anklicken....

Bei meinen letzten Versuchen hab ich vorher rein gar nichts gemacht: Ich habe die Verbindung aufgebaut und das VPN eingeschaltet. => ...

Was meinst du mit Ausverkauf?

Zum Vergrößern anklicken....

Die (Vodafone) verkaufen/resellen/etc. den Internetzugang ueber UMTS aggressiv. Viele Konkurrenten wirst Du da haben.

Kündige doch D1 mit der Begründung wegen nicht erbrachter Leistung. Wenn sogar die Springerlink-Seiten via VPN blockiert werden und auch die Skype.com Seite.

Zum Vergrößern anklicken....

Ich will aber doch nur, dass das einfach tut und ich damit das machen kann, was offensichtlich ist.

Heute ist Feier-, morgen Brueckentag ... (Und andernfalls braeuchte ich auch keine Extrabeschaeftigung, wie z.B. mit Deppen rummachen ...)

Als einziger Prepaid-Reseller ist mir Congstar bekannt, der auch HSDPA bietet, da kann man dann monatlich entscheiden, ob man den T-Mobile Terror noch mitmachen will. Auch dürften die billiger sein (3 GB 20 €, 1 GB 13 und 500 MB 10 €).

Zum Vergrößern anklicken....

Ich zahle 13 EUR/Monat fuer 5 GB. Telekom-WLAN-Hotspots als Dreingabe. (Dafuer aber halt 2 JAhre auch gebunden.)

Über welchen APN gehst du? internet.t-mobile (NAT) oder internet.t-d1.de (öffentliche IP). Ich gehe über NAT rein. Beim Antesten ging aber auch internet.t-d1.de mit meinen Umgehungstrick mit VOIP.

Zum Vergrößern anklicken....

Kommt neuerdings am Ende gleich raus: Du bekommst so oder so nur eine nicht-oeffentliche IP.

Bei meinen letzten Versuchen hab ich vorher rein gar nichts gemacht: Ich habe die Verbindung aufgebaut und das VPN eingeschaltet. => ...

Zum Vergrößern anklicken....

Und dann ein paar Webseiten aufrufen, dann funktioniert zumindest bei mir VOIP, s.o.

Die (Vodafone) verkaufen/resellen/etc. den Internetzugang ueber UMTS aggressiv. Viele Konkurrenten wirst Du da haben.

Zum Vergrößern anklicken....

Verstehe. Wobei man dazu sagen muss, dass Vodafone 3 UMTS-Kanäle hat (15 MHz Spektrum), während die Telekom nur 10 MHz, also 2 Kanäle hat und auch der Traffik ist stärker eingeschränkt wie bei den E-Netzen. Aber prinzipell hast du Recht, durch die vielen Discounter und Reseller im Vodafone-Netz sollte die Bandbreite geringer als bei der Telekom sein.

Ich zahle 13 EUR/Monat fuer 5 GB. Telekom-WLAN-Hotspots als Dreingabe. (Dafuer aber halt 2 JAhre auch gebunden.)

Zum Vergrößern anklicken....

Interessant, dass es wirklich so günstig geht, welcher Tarif ist das?

Kommt neuerdings am Ende gleich raus: Du bekommst so oder so nur eine nicht-oeffentliche IP.

Zum Vergrößern anklicken....

Gerade getestet, ich bekomme bei internet.t-d1.de eine öffentliche IP, welche auch auf Port 8081 erreichbar ist (getestet auf dem Android-Handy und PAW-Server).

the ubm schrieb:

Und dann ein paar Webseiten aufrufen, dann funktioniert zumindest bei mir VOIP, s.o.

Zum Vergrößern anklicken....

Also ich konnte ja eben nichtmal das. Und VOIP wollte ich auch nicht machen. (Ehrlich! Wenn ueberhaupt, dann will ich zumindest so nur ganz gelegentlich bescheissen!)

Interessant, dass es wirklich so günstig geht, welcher Tarif ist das?

Zum Vergrößern anklicken....

http://fastsim.de

So um drei Ecken halt. Man landet erst bei etelon (Drillisch). Die faedeln dann den Deal ein. Als naechstes wird man Vertragspartner von Mobilcom/Debitel. Da zahlt man 35 EUR/Monat. Aber etelon gibt einem eine Gutschrift von 528 EUR. Die kann man sich nach zwei Monaten auf sein Konto ueberweisen lassen. Hab ich vor ein paar Tagen gemacht und das Geld soll in 1-2 Wochen auf meinem Konto sein. (EMail-Bestaetigung kam jedenfalls schon mal prompt.) Ja, und dann ist man halt im Netz von t-mobile ... -- und aergert sich am Ende in Foren wie diesem ... ("Normalbetrieb" ist aber bisher wie gewohnt ok.)

Gerade getestet, ich bekomme bei internet.t-d1.de eine öffentliche IP, welche auch auf Port 8081 erreichbar ist (getestet auf dem Android-Handy und PAW-Server).

Zum Vergrößern anklicken....

Ich hab's schon vor meinem letzten Post getestet und bei mir macht es weiterhin keinen Unterschied mehr. Bis vor einigen Monaten ging es aber noch so. (Da hatte ich noch simply fuer 20 EUR/Monat und 5 GB. Liegt aber nicht am Wechsel. Auch bei Simply hat der APN zuletzt keinen Unterschied mehr gemacht.)

the ubm schrieb:

Ich habe Skype mal angetestet.
Also die Webseite selbst baut sich wunderbar schnell auf, aber sobald man die Datei Download will, sinkt die Geschwindigkeit auf unter 500 Byte/s (!) und erreicht damit das Niveau der ersten Akkustikkoppler. Aber der Hammer ist ja, dass sie sogar den HTTP-Header verfälschen, denn am PC wird mir die Dateigröße von ca. 922 KB angezeigt, am Laptop der via Congstar und WLAN-Hotspot meines Handys verbunden ist nicht. Hier wird der Header "Content-Length" definitiv unterdrückt.

Zum Vergrößern anklicken....

Ich sage ja, dass da was ganz Linkes abgezogen wird. Dass in normalen HTTP-Vekehr nach Belieben reingepfusht wird, ist bekannt.

Drum geht ja mein VPN ueber "HTTPS".

Kaum tunnele ich per OpenVPN den gesamten Datenverkehr, schon flutscht der Download wieder ...

Zum Vergrößern anklicken....

Du bist besser dran als ich ... :winken:

Irgendwie ist es auch seltsam, dass du keine öffentliche IP über den internet.t-d1.de APN bekommst. Ich bekomme, da eine 88.X.X.X IP und um auszuschließen, dass dort kein NAT gemacht wird, hatte ich ja diesen PAW-Server installiert, der erreichbar war.

Warst du schonmal auf speed.telekom.de und hast die Optimierung ausgeschaltet? Vielleicht hilft das weiter.
Kann es sein, dass das Uni-Netzwerk relativ viele Daten unaufgeordert an deinen Laptop schickt? Meine Vermutung ist ja, dass sie VOIP so erkennen, dass ein konstanter Datenstrom in beide Richtungen geht und wenn das Uni-Netzwerk irgendwas an den Laptop schickt und dein Laptop ans Uni-Netzwerk kann da schnell dieser Filter ausgelöst werden.
Schreib doch mal an c't oder so, wenn bei dir nichtmal das funktioniert. Mir sind da leider die Hände gebunden, da VOIP offiziell nicht erlaubt ist, aber bei dir zerstört deren Schwachsinnsfilterung ja die ganze Verbindung.

the ubm schrieb:

Irgendwie ist es auch seltsam, dass du keine öffentliche IP über den internet.t-d1.de APN bekommst. Ich bekomme, da eine 88.X.X.X IP und um auszuschließen, dass dort kein NAT gemacht wird, hatte ich ja diesen PAW-Server installiert, der erreichbar war.

Zum Vergrößern anklicken....

Zumindest das hat mich nie interessiert -- vielkleicht habe ich deshalb etwas nachlaessig getestet.

Im Moment geht das wieder so: Mit 'internet.t-d1.de' bekomme ich wieder eine "oeffentliche" IP.

Es macht sogar einen Unterschied: Mit dem anderen APN haengt es nur laenger -- bis schliesslich nichts passiert. Mit 'internet.t-d1.de' kann ich die eingeschleussten RST-Pakete wie in dem Blog-Post, auf den ich oben verlinkt habe, auch ganz klar sehen.

Warst du schonmal auf speed.telekom.de und hast die Optimierung ausgeschaltet? Vielleicht hilft das weiter.

Zum Vergrößern anklicken....

Ja, ich habe da alles abgeschaltet.

Kann es sein, dass das Uni-Netzwerk relativ viele Daten unaufgeordert an deinen Laptop schickt?

Zum Vergrößern anklicken....

Nein. Hier bin ich in einer 1a-Position: Der Rechner steht in FFM im Keller unseres Instituts. Da bin quasi ich der Chef. Niemand und nichts fummelt hier rein.

Meine Vermutung ist ja, dass sie VOIP so erkennen, dass ein konstanter Datenstrom in beide Richtungen geht und wenn das Uni-Netzwerk irgendwas an den Laptop schickt und dein Laptop ans Uni-Netzwerk kann da schnell dieser Filter ausgelöst werden.

Zum Vergrößern anklicken....

Da ist nichts. VOIP wird da nicht gemacht. Auch keine anderen Scherze.

Entschuldigt, wenn ich schon wieder stoere ...

Ich war bloede genug, immer noch einen Haufen meiner (Frei-)Zeit hier zu investieren.

Ich habe eine Menge von Hypothesen aufgestellt, vieles davon ausprobiert, alles davon verwerfen muessen -- und bin leider auf keinen gruenen Zweig gekommen.

Als es mir dann zu dumm wurde, wollte ich beim Tal-Memorial vorbeischauen. (Ja, von Portugal-Deutschland hab ich auch das meiste gesehen.)

Also: Kann das mal jemand ueber einen T-Mobile-Zugang auch ausprobieren?

Einfach 'http://chessbomb.com' ansteueren und sich anonym einloggen. Ich sehe dann nur eine schwarze Seite -- und links unten ein 'Disconnected'.

Wenn ich mich via VNC auf einen Uni-Rechner in FFM einlogge (das geht! ssh auch! -- wie lange noch?), dann sehe ich, was ich sehen soll.

(Der Zusammenhang soll die geauesserte Vermutung zu stetigem und langsamen Datenverkehr von beiden Seiten sein.)

Einfach 'http://chessbomb.com' ansteueren und sich anonym einloggen. Ich sehe dann nur eine schwarze Seite -- und links unten ein 'Disconnected'.

Zum Vergrößern anklicken....

Bei mir steht mehrere Minuten "Connecting..." dort, dann habe ich den Versuch abgebrochen. Kaum, dass ich mein VPN mit redirect-gateway hochgezogen habe, dauerte es nur wenige Sekunden und es stand "connected" dort, so wie auch am PC.

Welchen Grund hat T-Mobile diese Seite zu sperren? So langsam sollte man Anzeige gegen diesen Saftladen erstatten.

Hier noch ein Link:

http://www.anonyproz.com/supportsuite/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=137

(Der ist offensichtlich von einer Firma, die OpenVPN-Services kommerziell anbietet.)

Und noch einer:

http://www.guizmovpn.com/index.php?option=com_agora&task=topic&id=312&Itemid=15

(Die machen offernsichtlich ein OpenVPN-GUI fuer iPhones.)

Und noch einer:

http://www.symbianize.com/showthread.php?t=610359

Dieser Satz gefaellt mir ganz besonders:

"It is important to understand that OpenVPN doesn't use the SSL wire protocol directly, like the majority of SSL applications does. So all the SSL packets from OpenVPN are encapsulated in a kind of OpenVPN container. Which is why some deep packet inspection firewalls might not allow OpenVPN traffic."

Fazit: Man kann in verschluesselte Verbindungen nicht wirklich reinschauen (waere ja noch schoner!), aber man kann trotzdem ganz gut rausfinden, was die Leute so machen: welches Protokoll, welcher Dienst, etc.

Warum es bei Dir (noch?) geht und bei mir (schon?) nicht mehr, weiss ich nicht.

Auch "Schurkenstaaten" wie z.B. Irak, China, etc. brauche ich nicht mehr zu besuchen. Das kann man ja ganz bequem hier haben: Besorge Dir doch einfach eine T-Mobile-SIM. (Auch die Technik soll ja nicht zuletzt aus Deutschland stammen. War da nicht neulich was? Siemens? Ja! Hier: http://www.heise.de/newsticker/meldung/Deutsche-Ueberwachungstechnik-fuer-Syrien-1518793.html.)

Wolltest Du nicht urspruenglich wissen, was die sonst noch alles treiben, und ob es nicht auch gelegentlich daneben geht? Scheint ja wohl so. Wenn noch mehr Leute mit T-Mobile-Netz bei Chessbomb vorbeischauen wuerden, wuesste man wenigstens das ganz genau.

(Und dass Dein OpenVPN-Server noch 'ne Weile tut, wuensche ich Dir -- Wenn nicht, dann weisst Du ja wohl, wer hier reingepfuscht hat.)