T-Mobile / Congstar stellen mit DPI VOIP über OpenVPN fest und sperren es

Das bei mir OpenVPN noch läuft, könnte 3 Gründe haben.
1. Ich nutze UDP statt TCP und einen sehr hohen Port
2. Mein VPN-Server läuft bei der Telekom. Eventuell ist deren Firewall nicht so streng wenn es im eigenen Netz bleibt.
3. Ich verwende OpenVPN mit den Optionen auth none und no-replay um den Overhead zu minimieren. Der Paketteil für die Authentifizierung könnte unverschlüsselt sein und damit hätte die Firewall ein leichtes Spiel den Datenverkehr zu erkennen. Leider finde ich nirgends eine schöne Grafik in der der Paketaufbau von OpenVPN dargestellt ist. Sicherheitstechnisch ist der unverschlüsselte Teil kein Problem, auch der sog. Salt oder auch der IV bei Verschlüsselungen sind unverschlüsselt.

Die Idee OpenVPN über SSH zu tunneln klingt gut, aber dadurch hat man noch mehr Overhead. Und SSH allein benutzen setzt vorraus, dass die Anwendung einen Proxy (http oder Socks) unterstützt.

Irgendwie müssen wir gegen die Telekom vorgehen, deren Verhalten im Mobilfunknetz-Netz darf nicht toleriert werden.

Noch ein paar (abschliessende?) Kommentare:

Es ist definitiv sehr einfach moeglich, OpenVPN zu erkennen und (wenn man will) zu unterbinden. Apache und OpenVPN koennen z.B. ueber Port 443/TCP koexistieren. Die Pakete lassen sich ganz einfach mit regulaeren Ausdruecken identifizieren. Siehe auch hier, ein SSH/SSL-Multiplexer:

http://www.rutschle.net/tech/sslh.shtml

Jetzt zum soweit besseren Teil:

T-Mobile scheint OpenVPN aber doch nicht generell auszufiltern, sonst ginge es ja ueberhaupt nicht. Bei mir tut es momentan ueber UDP/1194 -- also ganz offiziell. (Das wollte ich so nicht haben, weshalb ich mich eben nur mit dem beschaeftigt habe, was ich haben wollte.)

Trotzdem pfuschen sie auf eine perfide Art und Weise in TCP/443 rein. Die Chessbomb-Seite geht weiter nicht normal und OpenVPN geht ueber diese Kombi auch weiterhin nicht.

Ich habe noch etwas experimentiert.
Wie bereits geschrieben habe ich die Optionen auth none und no-replay um den Overhead zu reduzieren. Mit diesen Optionen funktioniert VOIP einige Sekunden und dann verstümmelt die Telekom.
Wenn ich aber nur noch auth none verwende, also die Replay Protection aktiviert habe, die 8 Byte Overhead pro Paket hinzufügt, kann ich problemlos eine Minute per VOIP übers VPN telefonieren. Probiere ich es dann 2 Minuten später nochmal, wird innerhalb von Sekunden das Gespräch verstümmelt. Dieses Verhalten, dass das System länger braucht, bis es reagiert, wenn die Replay-Protection eingeschaltet ist, ist eindeutig reproduziert.

Nun zur guten Nachricht. Über ein TCP Openvpn ist mir VOIP problemlos möglich. Auch hier verwende ich auth none und no-replay. Um die Latenz zu reduzieren verwende ich zusätzlich den Schalter socket-flags TCP_NODELAY. Dieser sorgt dafür, dass der Nagle-Algorithmus deaktiviert wird, der mehrere kleine Pakete zu einem großen zusammenfasst und dadurch natürlich Wartezeit entstehen würde bis genügend Pakete ein größeres ergeben. UDP verwendet nicht den Nagle-Algorithmus, sodass dort kleine Pakete immer sofort gesendet werden. Man stellt also mit der TCP_NODELAY Option hier nur dasselbe Verhalten her, wie bei UDP auch.
Einziger Nachteil ist, dass der TCP Header mindestens 8 Byte größer ist, als der UDP-Header. Hinzu kommt dann noch der Overhead der ACK Pakete, welcher 52 Byte pro bestätigtem Paket ist. Also so gehen sind es 60 Byte pro Paket mehr Overhead und bei einer Paketmaximalgröße von 1500 Byte sind das mindestens 4 Prozentpunkte mehr Overhead.

Ein weiterer Vorteil von TCP ist jedoch, dass die Verbindung länger offen bleibt. Bei UDP macht das NAT diese relativ schnell zu. IMAP Idle Mails (Pushmail) kamen dadurch teilweise verzögert an. Ich weiß, dass man das durch Keepalive Pakete verhindern kann, aber das geht auf die Akkulaufzeit.

Ich würde jedoch gerne bei UDP bleiben wegen dem geringeren Overhead. Schließlich hat man ja nur ein begrenztes Datenvolumen pro Monat zur Verfügung.

Wie ich nun feststellen musste, unterstützt der Kernel des Galaxy S3 nicht die Option TCP_NODELAY. Das Resultat ist, dass ich den Gesprächspartner super hören kann, ich bei ihm aber total verstümmelt bin bei Verwendung des EDGE-Netzes. Die Auswirkung ist bei einem Codec mit geringer Bandbreite stärker, da ja gerade hier TCP_NODELAY die Verzögerung minimiert. Klappt dies aber nicht, kommen die Pakete zu spät an und werden vermutlich verworfen, anders kann ich mir die Aussetzer nicht erklären, denn im HSDPA-Netz funktioniert es etwas besser. Hier ist aber die Latenz geringer, sodass man vermutlich genau unter dieser Paket-Verwerfungsgrenze liegt. Das Rauszufinden hat mich auch wieder mehrere Tage gekostet. Ich habe echt nur Ärger mit Congstar.

Wie ich jetzt im Congstar-Forum lesen musste, blockieren sie nun selbst VNC (nicht aber RDP) und selbst SSH-Verbindungen.

Ich überlege mir von Gangster zu Vodafone zu wechseln, leider ist deren UMTS-Netz doch etwas schwächer ausgebaut als das der Telekom.

Ein weitererer Test: OpenVPN wurde auf Port 53 UDP, dem DNS-Port konfiguriert. Schon der Verbindungsaufbau mit dem VPN dauerte mehrfach länger als auf den anderen Ports. Eine Verbindung war kaum möglich. VOIP war sofort zerstückelt. Bei Port 53 wird also sofort eingegriffen und der Datenfluss enorm gestört. Nachdem Congstar bzw. die Telekom soviel stört, kann ich diesen Anbieter nur noch als gestört bezeichnen.

Nur mal so als Anmerkung: Wenn vertraglich vereinbart wird, das VoIP nicht zum Tarif gehört dann muss das auch nicht mit Gewalt möglich sein. Telekom hat durchaus Tarife in denen VoIP zugestanden wird.

Es ist ein deutlicher Unterschied ob man die Dienste gar nicht betrachtet, extra bevorzugt oder bewusst stört. Letzteres macht T-Mobile. Das ist in etwa mit einem Kleinwagen vergleichbar, bei dem der Motor zu stottern anfängt, sobald man über eine Wiese fährt. Man hätte sich ja einen Geländewagen kaufen sollen.
Bei einem Internetvertrag gehe ich davon aus, dass ich das Internet mit allen Ports nutzen kann. Das ist Standard, da braucht nichts extra vereinbart werden, da das keinen zusätzlichen Aufwand für den Anbieter darstellt. Im Gegenteil das bewusste blockieren stellt einen beträchtlichen Aufwand dar. Ergo ich habe einen Vertrag über Internet abgeschlossen, also muss ich das auch komplett nutzen können.

Es macht auch einen deutlichen Unterschied, ob man nur die Standard VOIP Ports sperrt oder alles blockiert, von dem man keine Ahnung hat, es aber wie VOIP aussieht. Hinzu kommen die zahlreichen anderen Dienste, die mit VOIP gar nichts gemeinsam haben, aber blockiert werden.
Bei allen anderen Anbietern läuft es ja problemlos nur die Telekom zickt so rum.

Congstar hat keine solchen Tarife. Außerdem müsste der nicht VOIP Tarif heißen, sondern echter Internet Tarif.

Wenn ich mit jemand etwas vertraglich vereinbare, möchte ich das sich dieser auch daran hält. Genauso sieht es die andere Seite, das ich mich daran halte. Wenn mit den Optionsbedingungen - die jeder gerne ausblendet - VoIP NICHT zu den Dienstleistungen gehört, kannst Du auch keinen Anspruch daraus ableiten. Für Lau-Tarife muss halt immer mit Einschränkungen gerechnet werden. Außerdem ist das auch "jammern auf hohem Niveau" (--> nicht persönlich gemeint!) - in anderen Ländern sind ganz andere Zustände zu beklagen.

Congstar ist auch die Billigmarke von T-Mobile. Wenn Du "richtige" Tarife suchst, findest Du die bei T-Mobile (mein dienstlicher Vertrag beinhaltet VoIP Gespräche).

Wie gesagt, wenn nur die VOIP Ports gesperrt wären, hätte ich ja nichts gesagt, aber was für einen DPI Aufwand D1 da treibt ist sehr grenzwertig zumal noch zahlreiche andere Dienste die mit VOIP gar nichts zu tun haben, blockiert werden.

Vertrauen ist gut, Kontrolle ist besser. Daten werden überall kontrolliert und dabei ist auch nichts auszusetzen; solange verschlüsselte Inhalte nicht direkt mit gelesen werden.

Leider gehst du nicht darauf ein, dass auch andere Dienste blockiert werden, für die es keinerlei Rechtfertigung gibt. Port 53 hat mit VOIP überhaupt nichts zu tun, dennoch wird der VPN Datenverkehr hier systematisch gestört.

Der einzige Grund warum sie VOIP blockieren ist doch, dass sie mit überhöhten Gesprächspreisen Reibach machen wollen. Man sollte im Hinterkopf behalten, dass in Österreich die Gebühren für Mobilfunk wesentlich niedriger sind. In Kanada unterscheiden sich die Preise zwischen Festnetz und Handy Netz überhaupt nicht. Auch die Rufnummer sind die gleichen. Auch die anderen Anbieter machen hier keine Probleme, nur die Telekom.

Ich schlage vor hier nicht mehr über die Tarifgestaltung zu diskutieren, sondern lediglich weitere Verstöße gegen die Netzneutralität hier aufzulisten, denn die Standpunkte wurden hier ausdrücklich dargestellt. Ein Internetzugang beinhaltet alle Ports bis 65536 sowohl TCP als auch UDP.

Kalle-Klump schrieb:

... Für Lau-Tarife muss halt immer mit Einschränkungen gerechnet werden. Außerdem ist das auch "jammern auf hohem Niveau" (--> nicht persönlich gemeint!) - in anderen Ländern sind ganz andere Zustände zu beklagen. ..

Zum Vergrößern anklicken....

Das sind keine "Für Lau Tarife". Ich denke, Einschränkungen nur in den AGB zu verklausulieren oder gar nicht zu erwähnen, sind schon unter aller Kanone. Ich habe mich nämlich auch schon gewundert, warum VNC nicht funktioniert.
Deine Business-Tarife brauchst du hier nicht immer zu erwähnen, denn das sind Äpfel und Birnen.

BioaSharky schrieb:

Deine Business-Tarife brauchst du hier nicht immer zu erwähnen

Zum Vergrößern anklicken....

Die Telekom Business Verträge sind allgemein Zugänglich (ich nutze privat Vodafone, wo ich besondere Konditionen vorhalte). Sie sind nur teurer.

Mit den AGB akzeptierst Du auch eine Randvoll Nebenkosten, welche bei Bedarf entstehen - die meckert auch niemand an...?! (z.B. Papierrechnung, Rücklastschrift, Auskunft, Hotlinekosten, ...).

Kalle-Klump schrieb:

Die Telekom Business Verträge sind allgemein Zugänglich (ich nutze privat Vodafone, wo ich besondere Konditionen vorhalte). Sie sind nur teurer.

Zum Vergrößern anklicken....

Du kannst nicht Consumer-Tarife auf der einen und Businesstarife auf der anderen Seite vergleichen, ob die nun zugänglich sind oder nicht.
Wenn ich einen Vodafone, O2 oder E+ Consumer-Tarif betrachte, vergleiche ich den auch mit einem Consumer-Tarif von T-Mobile. Wenn ich einen Polo und einen Corsa vergleiche und der Corsa kommt mit Carbonbremsen, führe ich ja auch nicht den Phaeton in den Vergleich.

Kalle-Klump schrieb:

Mit den AGB akzeptierst Du auch eine Randvoll Nebenkosten, welche bei Bedarf entstehen - die meckert auch niemand an...?! (z.B. Papierrechnung, Rücklastschrift, Auskunft, Hotlinekosten, ...).

Zum Vergrößern anklicken....

Weil diese Kosten idR. bei allen Providern dort drinstehen und dort auch vom Gros gesucht werden.
Hier ging's explizit um gesperrte Ports (VNC, SSH), die nirgends erwähnt werden.
Diese Internetanwendungen können demnach nicht genutzt werden, obwohl nicht in den AGB ausgeschlossen sind. Was bitte akzeptiere ich dann mit den AGBs?

http://www.teltarif.de/frei-spreche...r-voip-und-im-nutzung-nicht-zulaessig/15.html

Ich habe noch etwas experimentiert.
Wie bereits geschrieben habe ich die Optionen auth none und no-replay um den Overhead zu reduzieren. Mit diesen Optionen funktioniert VOIP einige Sekunden und dann verstümmelt die Telekom.
Wenn ich aber nur noch auth none verwende, also die Replay Protection aktiviert habe, die 8 Byte Overhead pro Paket hinzufügt, kann ich problemlos eine Minute per VOIP übers VPN telefonieren. Probiere ich es dann 2 Minuten später nochmal, wird innerhalb von Sekunden das Gespräch verstümmelt. Dieses Verhalten, dass das System länger braucht, bis es reagiert, wenn die Replay-Protection eingeschaltet ist, ist eindeutig reproduziert.

Zum Vergrößern anklicken....

T-Mobile hat mal wieder das Verhalten geändert. Jetzt schützt auch nicht mehr die Replay-Protection vor Gesprächsverstümmelung. Das Gespräch wird ca. 5 Sekunden nach Beginn verstümmelt, wie zuvor auch ohne die Replay-Protection.
Nur Ärger hat man mit diesem Anbieter.

the ubm schrieb:

Nur Ärger hat man mit diesem Anbieter.

Zum Vergrößern anklicken....

Geiz ist nicht immer geil.

Kannst du mal bitte deine OT Beiträge unterlassen? Bei Vodafone und O2 gibts auch nicht diese Probleme und die sind sogar billiger als die Telekom. Wir wissen nun, dass du viel zu viel bezahlst. Für 10 €, die die Telekom für einen VOIP-Tarif an ihre eigenen Kunden verlangt, bekomme ich bereits eine Festnetzflatrate, somit ist das absolut unattraktiv gestaltet, ganz zu schweigen davon, dass es Congstar Kunden erst gar nicht bekommen.

the ubm schrieb:

Kannst du mal bitte deine OT Beiträge unterlassen?

Zum Vergrößern anklicken....

kannst Du bitte von Deiner Tonlage runterkommen? Du bist hier in einer meiner moderierten Zonen und hier sehe ich das etwas anders als wenn Du in der BB-Zone über das Eingreifen berichtest.

Du schreibst selbst: "Für 10 €, die die Telekom für einen VOIP-Tarif an ihre eigenen Kunden verlangt, bekomme ich bereits eine Festnetzflatrate". Verstehe ich das jetzt richtig, das Du wegen 10 Euro Dich aufregst, weil Du ohne diese die Leistung nicht bekommst? Es ist ja nicht nur dt. Festnetz was Du damit abwickeln kannst, geht ja in Richtung Mobilfunk und Ausland weiter - und da sind 10 Euro nun wirklich keine Summe...

Verstehe ich das jetzt richtig, das Du wegen 10 Euro Dich aufregst, weil Du ohne diese die Leistung nicht bekommst?

Zum Vergrößern anklicken....

Wie ich hier bereits gesagt hatte, habe ich nichts dagegen wenn man nur die VOIP Ports sperrt, aber hier wird tief ins Fernmeldegeheimnis eingegriffen, hinzu kommt, dass zahlreiche andere Dienste ebenfalls blockiert sind. Andere Anbieter kriegen genauso hin, aber die Telekom will nur abzocken.

the ubm schrieb:

habe ich nichts dagegen wenn man nur die VOIP Ports sperrt

Zum Vergrößern anklicken....

...um dann auf indirekte Weise dennoch VoIP zu nutzen? Wo ist da der Unterschied?