Seite 1 von 3

Threema und iCloud-Fotofreigabe per VPN

Verfasst: Mi 14. Sep 2016, 19:07
von zenlib
Hallo zusammen!

Zunächst einmal vielen Dank für die TrutzBox! Seit Ende August habe ich die Box in Betrieb und mache mich anhand der wirklich sehr gut geschriebenen Anleitung nun Schritt für Schritt mit dem Gerät vertraut. Dabei habe ich den WLAN-Stick zunächst einmal nicht installiert und nutze TrutzBrowse als eingetragenen Proxy mit Firefox (unter Windows 7) und iCab Mobile (unter iOS 9). Bei Firefox habe ich wie in der Anleitung beschrieben TrutzBox-Zertifikat und Proxy-Einstellungen eingebunden, unter iOS aber nur das Zertifikat, da ich bei iCab Mobile die TrutzBox auch direkt als Proxy eintragen konnte.

Vor kurzem habe ich nun den Fernzugriff über VPN aktiviert und mittels OpenVPN-App in iOS eingebunden. Funktioniert auch sehr gut - bis auf Threema und die iCloud-Fotofreigabe (über die ich mittels eingerichteter Alben Fotos mit verschiedenen Kontakten austausche): Bei Threema habe ich das Problem, dass ich Fotos per VPN zwar problemlos empfangen, aber nicht versenden kann - bei der iCloud-Fotofreigabe ist es genau umgekehrt, denn hier kann ich Fotos, die andere geteilt haben, per VPN leider nicht empfangen, trotzdem aber eigene Fotos versenden.

Dass die iCloud-Fotofreigabe mit dem VPN nicht uneingeschränkt funktioniert, könnte ich vielleicht noch verschmerzen, aber das mit Threema stört mich schon sehr. Denn zurzeit muss ich die VPN-Verbindung hier immer für kurze Zeit unterbrechen.

Wäre deshalb für jede Hilfe dankbar.

Re: Threema und iCloud-Fotofreigabe per VPN

Verfasst: Do 15. Sep 2016, 15:39
von comidio support
Schauen Sie bitte einmal unter "TrutzBox Filter" -> "Status" nach, ob dort evtl. Server Zugriffe aufgeführt sind, bei denen die TrutzBox zu viel filtert. Am besten vor dem Reproduzieren des Problems, die kompletten Listen löschen, so dass Sie nur die Zugriffe sehen, die für den Test relevant sind.

Um das Problem zu lösen, können Sie dort dann einzelne Server-Zugriffe auf einen höheren SliderLevel setzen.

Ihr Comidio Support

Re: Threema und iCloud-Fotofreigabe per VPN

Verfasst: So 18. Sep 2016, 14:08
von zenlib
Vielen Dank für den Tipp!

Habe mir wie empfohlen die Einträge unter "TrutzBox Filter" > "Status" mal etwas genauer angeschaut, und nachdem ich unter "TrutzBox Filter" > "Filter konfigurieren" : "Slider Einstellungen" verschiedene Einstellungen durchprobiert hatte, läuft Threema mit "*.BLOB.THREEMA.CH", Slider-Position 10 nun auch bei aktivierter VPN-Verbindung endlich wieder rund. :)

Bild

Wie ich beobachten konnte, spielen die Server unter *.blob.threema.ch sowohl für den Up- als auch Download eine Rolle. Wäre diese Einstellung für Threema (neben Facebook u.a.) nicht auch als Voreinstellung zu überlegen?

Für die Apple-Dienste unter iOS habe ich nun allgemein "*.APPLE.COM", Slider-Position 10 eingstellt. Da sich so auch Probleme mit anderen Apple-Diensten lösen ließen, nehme ich mal an, dass damit auch die iCloud-Fotofreigabe wieder uneingeschränkt funktioniert. Testen kann ich es aber leider erst in den kommenden Tagen.

Gibt es eigentlich eine Möglichkeit, TrutzBrowse bei VPN-Verbindung ausschließlich über den Proxy-Port anzusprechen? Falls nicht, würde ich an dieser Stelle gerne eine entsprechende Option vorschlagen.

Und wie erklärt sich eigentlich diese etwas verklausulierte Bezeichnung eines über VPN angesprochenen Geräts (unter "TrutzBrowse Status")? Erinnert mich eher an eine Versionsnummer als an alles andere. ;)

Re: Threema und iCloud-Fotofreigabe per VPN

Verfasst: So 18. Sep 2016, 17:57
von comidio support
Wie ich beobachten konnte, spielen die Server unter *.blob.threema.ch sowohl für den Up- als auch Download eine Rolle. Wäre diese Einstellung für Threema (neben Facebook u.a.) nicht auch als Voreinstellung zu überlegen?

-> wir tun uns immer etwas schwer, weitere Server default-Mässig frei zu schalten. Wenn wir Server bei allen TrutzBoxen frei schalten, dann würden unsere Kunden zu Recht denken, wir hätten diesen Server geprüft und fest gestellt, dass dieser Server keine persönliche Daten verarbeitet. Aber das können wir gar nicht garantieren. Und gerade Kommunikations-Dienstleister wie z.B. Threema oder auch Whatsapp sind in der Lage, viele Verhaltensdaten über ihre Nutzer zu sammeln und zu verarbeiten. Obwohl diese Dienste End2End verschlüsselt sind, übernehmen die Dienstleister die Vermittlung zwischen den Kommunikations-Partnern und sind somit zumindest technisch in der Lage, die Meta-Daten zu sammeln. Hier raten wir natürlich die sichere TrutzBox Funktion zu nutzen: TrutzRTC (XMPP-Chat).
Aber dank Ihrer hier geschilderten Erfahrung kann natürlich jeder selbst entscheiden, ob er trotz TrutzBox Nutzung den Threema-Server frei schaltet.


Für die Apple-Dienste unter iOS habe ich nun allgemein "*.APPLE.COM", Slider-Position 10 eingstellt. Da sich so auch Probleme mit anderen Apple-Diensten lösen ließen, nehme ich mal an, dass damit auch die iCloud-Fotofreigabe wieder uneingeschränkt funktioniert. Testen kann ich es aber leider erst in den kommenden Tagen.

-> bitte geben Sie uns bescheid, wenn Sie es getestet haben. Da wir icloud schon frei geschaltet haben, spricht eigentlich nichts dagegen auch *.apple.com auch noch frei zu schalten (ist ja schliesslich die gleiche Firma).



Gibt es eigentlich eine Möglichkeit, TrutzBrowse bei VPN-Verbindung ausschließlich über den Proxy-Port anzusprechen? Falls nicht, würde ich an dieser Stelle gerne eine entsprechende Option vorschlagen.

-> ich bin nicht sicher was Sie mit "Proxy-Port anzusprechen" meinen. Aber eigentlich nutzen Sie mit einer VPN-Verbindung zur TrutzBox ausschließlich TrutzBrowse, also den TrutzBox-Proxy.


Und wie erklärt sich eigentlich diese etwas verklausulierte Bezeichnung eines über VPN angesprochenen Geräts (unter "TrutzBrowse Status")? Erinnert mich eher an eine Versionsnummer als an alles andere.

-> der Name wird vom Open-VPN-Server auf der TrutzBox so an den Proxy geliefert. Auf den Namen haben wir keinen Einfluss.

Ihr Comidio Support

Re: Threema und iCloud-Fotofreigabe per VPN

Verfasst: So 18. Sep 2016, 23:31
von zenlib
wir tun uns immer etwas schwer, weitere Server default-Mässig frei zu schalten. Wenn wir Server bei allen TrutzBoxen frei schalten, dann würden unsere Kunden zu Recht denken, wir hätten diesen Server geprüft und fest gestellt, dass dieser Server keine persönliche Daten verarbeitet. Aber das können wir gar nicht garantieren. Und gerade Kommunikations-Dienstleister wie z.B. Threema oder auch Whatsapp sind in der Lage, viele Verhaltensdaten über ihre Nutzer zu sammeln und zu verarbeiten. Obwohl diese Dienste End2End verschlüsselt sind, übernehmen die Dienstleister die Vermittlung zwischen den Kommunikations-Partnern und sind somit zumindest technisch in der Lage, die Meta-Daten zu sammeln. Hier raten wir natürlich die sichere TrutzBox Funktion zu nutzen: TrutzRTC (XMPP-Chat). Aber dank Ihrer hier geschilderten Erfahrung kann natürlich jeder selbst entscheiden, ob er trotz TrutzBox Nutzung den Threema-Server frei schaltet.
Ehrlich gesagt hatte ich mich auch ein wenig gewundert, dass Sie entsprechende Ausnahmen fest vorgeben - d.h., ohne dass sie überhaupt deaktivierbar wären, darunter eben auch Anbieter wie Facebook, LinkedIn und XING - womit ich Threema eigentlich nicht vergleichen möchte - wodurch ihr Dilemma aber natürlich nicht besser wird. Mein Vorschlag wäre, zwar ausgesuchte Regeln vorzugeben, es aber dem Benutzer zu überlassen, ob er diese Regeln auch aktivieren bzw. deaktivieren möchte. Darüber hinaus wäre ein angepinnter Beitrag im Forum hilfreich, in dem man entsprechende Regeln auch austauschen und nachlesen kann.
bitte geben Sie uns bescheid, wenn Sie es getestet haben. Da wir icloud schon frei geschaltet haben, spricht eigentlich nichts dagegen auch *.apple.com auch noch frei zu schalten (ist ja schliesslich die gleiche Firma).
Ja, sehr gern.
ich bin nicht sicher was Sie mit "Proxy-Port anzusprechen" meinen. Aber eigentlich nutzen Sie mit einer VPN-Verbindung zur TrutzBox ausschließlich TrutzBrowse, also den TrutzBox-Proxy.
Und eben diese erzwungene Nutzung würde ich gerne deaktivieren bzw. per VPN ebenso handhaben können wie in meinem LAN, wo ich TrutzBrowse nur durch Eintrag der Trutzbox als lokalen Proxy mit meinem Browser nutze (fast alle anderen Verbindungen gehen bei mir bislang also, die Rechner direkt an eine FritzBox angeschlossen, ungefiltert ins Internet. Ausnahmen bilden "Embedded Devices" wie WLAN-Radios, Fernseher & Co.). Dann könnte ich bei iCab Mobile unter iOS (wie bei Firefox unter Windows) die Trutzbox als Proxy eintragen und mir sämtliche Ausnahmeregeln (die sich ja auch auf die an den internen LAN-Buchsen angeschlossene Geräte auswirken) sparen. Diese Freiheit habe ich aktuell zwar bei lokal, direkt über die FritzBox angebundenen Geräten - bei Geräten via VPN aber eben bislang leider nicht.
der Name wird vom Open-VPN-Server auf der TrutzBox so an den Proxy geliefert. Auf den Namen haben wir keinen Einfluss.
Aber auf die Anzeige des Namens müssten Sie doch Einfluss haben. Zumindest war es für mich so nicht ersichtlich, dass sich hinter dieser Nummernkennung mein iPhone via VPN verbirgt. Eine Anzeige wie bspw. "<Kennung> (VPN)" wäre hier wirklich hilfreich gewesen.

Re: Threema und iCloud-Fotofreigabe per VPN

Verfasst: Mo 19. Sep 2016, 10:57
von comidio support
Sie können unsere vorgegeben Default-Slider Einstellungen selbst anpassen. Sie können diese zwar nicht löschen, aber sie können die Slider-Position auf eine beliebige andere Position stellen.

Mit unserer vorgegeben Default-Slider Einstellung für Facebook und anderen "zweifelhaften" Servern kann ich Ihnen nur Recht geben. Wir hatten anfänglich viele Beschwerden, dass man den Slider zu oft bedienen muss. Daraufhin folgten hier intern lange Diskussionen darüber, ob wir solche Server wirklich freigeben sollen und da haben sich die vielen Support-Anfragen durch gesetzt. Aus heutiger Sicht war das wirklich inkonsequent.

Bzgl. mehr Freiheiten beim VPN-Zugang werde ich das intern noch einmal als Erweiterung vorstellen.

Auch eine besserer Bezeichnung des VPN-Devices werde ich intern auf die Erweiterungs-Liste setzen.

Ihr Comidio Support

Re: Threema und iCloud-Fotofreigabe per VPN

Verfasst: Di 20. Sep 2016, 16:32
von zenlib
Also wie ich bereits vermutet hatte, läuft mein iPhone mit dem zusätzlichen Eintrag "*.APPLE.COM", Slider-Position 10 hinsichtlich der verschiedenen Apple-Dienste (iCloud-Fotofreigabe, App Store etc.) per VPN nun vollkommen problemlos. Zumindest konnte ich mit diesem zusätzlichen Eintrag keine Einschränkungen mehr feststellen.
Bzgl. mehr Freiheiten beim VPN-Zugang werde ich das intern noch einmal als Erweiterung vorstellen.
Vielen Dank, so eine Option würde die Handhabung (insb. mobiler Geräte mit installierten Apps) via VPN sicher deutlich vereinfachen. Und natürlich sollte so eine Option nicht als Freifahrtschein für jede Art App verstanden werden (schließlich könnte man mit deaktivierter Option etwaige "Problem-Apps" nach wie vor entlarven). Vielmehr sollte sie einem die gleiche Freiheit wie beim direkten Anschluss zugestehen.
Auch eine besserer Bezeichnung des VPN-Devices werde ich intern auf die Erweiterungs-Liste setzen.
Natürlich könnte man die Anschlussart auch grundsätzlich in die Gerätebezeichnung mit aufzunehmen - oder besser noch - die verwendeten Geräte nach Anschlussart (internes LAN/externes LAN/VPN) kategorisieren. Imho würde dies die Geräteübersicht nochmals spürbar verbessern.

Re: Threema und iCloud-Fotofreigabe per VPN

Verfasst: Mi 21. Sep 2016, 20:37
von zenlib
Sie können unsere vorgegeben Default-Slider Einstellungen selbst anpassen. Sie können diese zwar nicht löschen, aber sie können die Slider-Position auf eine beliebige andere Position stellen.
OK, habe nun die die Slider-Einstellungen für

*.FBCDN.COM
*.LINKEDIN.COM
*.LINKEDIN.DE
*.MYHERMES.DE
*.XING-NEWS.COM
DE-DE.FACEBOOK.COM
FACEBOOK.COM
FACEBOOK.DE
WWW.FACEBOOK.COM


auf Stufe 1 (Äquivalent zur Standardeinstellung nicht voreingestellter Adressen) gestellt.
Mit unserer vorgegeben Default-Slider Einstellung für Facebook und anderen "zweifelhaften" Servern kann ich Ihnen nur Recht geben. Wir hatten anfänglich viele Beschwerden, dass man den Slider zu oft bedienen muss. Daraufhin folgten hier intern lange Diskussionen darüber, ob wir solche Server wirklich freigeben sollen und da haben sich die vielen Support-Anfragen durch gesetzt. Aus heutiger Sicht war das wirklich inkonsequent.
Ich sage es mal so:

Die Motivation, mir eine Trutzbox zu kaufen und den damit verbundenen Mehraufwand für die Administrierung eines solchen Geräts in Kauf zu nehmen, war und ist vor allem von der Einsicht getragen, dass es einfach nicht (mehr) genug ist, sich in der Erwartung durch das Internet zu klicken, dass man weltweit schon irgendwie bereit sei, die Privatsphäre und das Recht auf informationelle Selbstbestimmung anderer zu respektieren. Im Anschluss daran habe ich dann doch relativ schnell zur TrutzBox gefunden. Und das nicht, weil sie vielleicht die meisten Testsiege abgeräumt hätte, sondern weil sich ihr Konzept meiner Ansicht nach a) mit meinen Bemühungen deckte, wieder unabhängig(er) und wehrhafter gegenüber den Strategien großer Unternehmen zu werden, die mit Personendaten mehr oder weniger ungefragt bzw. alternativlos viel Geld verdienen möchten, und b) mit potenter Hard- und quelloffner Software wohltuend stimmig von denen der Konkurrenz absetzte. Wunderbar, dachte ich, da hat sich also jemand nicht nur auf wirtschaftlichen Erfolg und das Schulterklopfen anderer besonnen - hier hat jemand eine Idee, die er in sich stimmig umsetzen möchte. Na, und derjenige hat doch Recht, sehe ich doch auch so, kauf ich!

Dass oben genannte Adressen nun vorab freigegeben werden, verunsichert mich zwar nicht in meiner Einschätzung, läuft meinem Bild eines an sich stimmigen Konzepts aber doch zuwider. Denn was habe ich mit LinkedIn, XING und Facebook zu tun? Also bis auf die Einsicht, dass ich mich vor deren Geschäftsideen nicht selten besser schützen sollte? Am besten gar nichts. Und das Dank TrutzBox, hoffe ich! Möglichst out-of-the-box. Ohne dass ich meinen Freunden und Bekannten die Trutzbox mit dem Hinweis empfehlen müsste, die Unterstützung für LinkedIn, XING und vor allem Facebook nach Einrichtung ggf. gleich deaktivieren zu müssen. Verstehen Sie, was ich meine? Schließlich könnte man dann auf die Idee kommen, wozu der ganze Aufwand denn dann überhaupt? Umgehrt sollte doch eigentlich ein Schuh daraus werden. Je mehr "kostenlose" Internetdienste ich bedenkenlos in Anspruch nehmen möchte, desto größer sollte mein Einsatz sein. Eben deshalb sollte ich mir eine TrutzBox kaufen. Damit ich quasi out-of-the-box eben diese Entscheidungsgewalt zurückgewinne - und erst dann, bestenfalls mit zwei, drei Klicks mehr, vielleicht auch LinkedIn, XING und Facebook.

Just my two cents.

Re: Threema und iCloud-Fotofreigabe per VPN

Verfasst: Do 22. Sep 2016, 15:46
von comidio support
Wir können Ihre Argumentation und deren Motivation durchaus nachvollziehen. Da wir Anfangs die TrutzBox so restriktiv ausgeliefert hatten und wir von einigen Kunden einiges an Kritik dazu bekamen, motivierte uns diese wenigen Server per Default frei zu schalten.

Für jemanden wie Sie, der sich an dem Mehraufwand nicht stört und die TrutzBox so restriktiv wie möglich nutzen möchte, sieht die aktuelle Lösung sub-optimal aus.
Aber hier noch einmal zur Erklärung. Diese Sliderstellung wirkt sich nur bei TrutzContent aus, also wenn Sie facebook selbst bewusst direkt aufruft. Wenn eine andere Seite Daten an Facebook weiter geben möchte, wird diese immer noch daran gehindert. Eine der Alleinstellungsmerkmale der TrutzBox ist die Unterscheidung zwischen TrutzBrowse und TrutzContent:

- TrutzContent (das was Sie unter Filter-Konfigurieren einstellen) beschreibt, wie ein Link behandelt wird, den Sie direkt aufrufen. Den Sie also bewusst z.B. im Browser eintippen oder durch anklicken eines Links einer anderen Seite aufrufen. Z.B. wenn Sie facebook.de aufrufen, dann wird durch die Slider-Einstellung fest gelegt, welche Daten an facebook.de gehen und wie die, auf der facebook.de Seite weiter verlinkten http-Aufrufe, behandelt werden (die erben sozusagen den SliderLevel für diesen einen Aufruf). Sliderstellung L7 für facebook bedeutet somit, dass beim Aufruf von facebook.de zwar (fremde) Tracker zugelassen würden, aber diese fremden Seiten keine Cookies setzen dürfen.

- TrutzBrowse Einstellungen legt fest, wie auf die sub-http-Aufrufe, der Seite die Sie aufgerufen haben, behandelt werden. Wenn Sie also eine Zeitung mit Sliderstellung L1 aufrufen, die implizit auch Daten an Facebook geben möchte, dann wird dieser Shop durch die TrutzBrowse Blacklist daran gehindert, egal auf welchem SecurityLevel Facebook bei Ihnen eingestellt ist.

Ich hoffe diese Erklärung hilft etwas weiter Ihre Bedenken mit Datensammlern wir facebook, linkedin... zu relativieren.

Ihr Comidio Support

Re: Threema und iCloud-Fotofreigabe per VPN

Verfasst: Sa 15. Okt 2016, 11:25
von zenlib
Nochmals vielen Dank für die ausführliche Erklärung.

Damit Threema die eigenen Kontakte (anders als WhatsApp nicht lesbar, sondern mittels unbedenklicher Hashwerte) 8-) mit denen anderer Threema-Benutzer abgleichen kann, muss zusätzlich noch eine Ausnahmeregel für die Adresse "API.THREEMA.CH" - für den Versand von Fotos etc. per iMessage die Adresse "*.CONTENT-STORAGE-UPLOAD.GOOGLEAPIS.COM" eingetragen werden.

In der Summe habe ich nun für Threema und iOS folgende Ausnahmeregeln eingetragen:

*.THREEMA.CH : 10 (Threema-Dienste mit den Adressen wie bspw. "*.BLOB.THREEMA.CH" und "API.THREEMA.CH" sowie der Versand von Bug-Reports etc.)
5.148.175.198 : 10 (Threema-Dienst)

*.AMAZONAWS.COM : 10 (Fotofreigabe)
*.APPLE.COM : 10 (diverse Apple-Dienste)
*.CDN-APPLE.COM : 5 (Apple Content Delivery Network)
*.CONTENT-STORAGE-DOWNLOAD.GOOGLEAPIS.COM : 5 (Fotofreigabe und iMessage)
*.CONTENT-STORAGE-UPLOAD.GOOGLEAPIS.COM : 5 (Fotofreigabe und iMessage)
*.ICLOUD.COM : 10 (diverse Apple-Dienste)
*.ICLOUD-CONTENT.COM : 5 (Fotofreigabe und iMessage)
*.MZSTATIC.COM : 10 (diverse Medieninhalte der Apple App Store App)
APPSTO.RE : 10 (Aufruf der Apple App Store App per Kurz-URL)

Für die Einstellungen siehe u.a. hier.und hier.

Genannte Einstellungen basieren auf iOS 11.4.1. Nach Möglichkeit werde ich diesen Beitrag auch in Zukunft aktuell halten.

Übrigens ist mir vor kurzem aufgefallen, dass meine Korrektur der Standard-Regeln (von bspw. "*.FBCDN.COM", "*.LICDN.COM" etc.) auf Slider-Position 1 plötzlich wieder gelöscht waren. Vermute ich richtig, dass dies mit einem der letzten automatischen Trutzbox-Updates zusammenhängt? So was wäre natürlich alles andere als optimal...