Wenn Sie mehrere Familienmitglieder mit eigenen Geräten haben oder eine WG sind, bei der jeder seinen eigenen Rechner, Tablet, AppleTV, FireTV Stick und Handy hat, aber sich alle eine Internetverbindung teilen, dann kann es für Sie attraktiv sein, die Internetverbindung für alle individuell zu schützen. Das heisst nicht, dass alle dieselben Tracker erlauben oder verbieten müssen. Gute Lösungen bieten die Möglichkeit, Profile einzurichten oder pro Gerät zu schützen, so dass ein Mitbewohner Youtube anschauen kann, während ein anderer es vielleicht gerne blockieren würde. Eine gute und einfache Lösung für den Einstieg ist eBlocker.
eBlocker
Zur Wiederholung: eBlocker war eine Firma, die den Datenschutz für nicht-Techniker einfach und bezahlbar für alle anbieten wollte. Es war ein Startup, dass sich über Crowdfunding finanziert hat und dann anfing, kleine weisse Boxen zu bauen, die an den Router zu Hause angeschlossen wurden und so Schutz boten. Diese Boxen hatten Software, die auf verschiedene Arten und Weisen Tracker und Werbung vom Rechner fernhielten und die es ermöglichten, einen VPN einzurichten, so dass alle Rechner im Heimnetz diesen nutzen konnten. Ausserdem hatten sie einen Tor-Client dabei, den Sie einfach nutzen konnten. Damit waren Sie in der Lage, Ihren gesamten Internetverkehr über das Tor-Netzwerk laufen zu lassen, ohne zusätzliche Kosten. Die Konfiguration aller Geräte, Ihres Rechners, Tablets und Smartphones fiel damit flach. Im Heimnetz schalteten Sie das VPN am eigenen Gerät aus und der eBlocker übernahm das für alle.
Der grosse Vorteil dabei war, dass jedes Gerät, dass in Ihrem Heimnetzwerk angemeldet war, sofort hinter dem VPN versteckt war. Damit wurde die aktuelle IP Adresse unterdrückt und somit auch die Standortbestimmung über die IP Adresse.
Leider hat die Firma den Startup-Modus nicht überlebt. Eine Finanzierungsrunde lieft nicht wie erwartet und die Firma wurde abgewickelt. Jedoch nicht die Idee. Die Firmengründer betreiben die Software weiterhin als Hobby. Und machen dabei grosse Fortschritte. Es gibt ein Forum in dem sehr schnell auf Probleme reagiert wird. Doch trotz des Hobbies benötigen die Entwickler Spenden, denn die Infrastruktur und die Filterlisten etc. müssen teilweise bezahlt werden. Für die Jugendschutz-Whitelist fragFINN gab es nicht genug Spenden, daher wurden diese Listen nicht mehr zur Verfügung gestellt. Schade.
Grössere Neuentwicklungen, zum Beispiel die Unterstüztung von IP v6 werden separat durch Spenden finanziert. Die Konsequenz daraus ist, dass es jederzeit passieren kann, dass auch dieser Betrieb eingestellt wird. Die Software ist kostenlos und daher eine Spende wert.
Doch ohne Hardware läuft die Software nicht. Sie können sie nicht in einer virtuellen Maschine laufen lassen oder einem normalen Rechner. Und die kleinen weissen Würfel gibt es nicht mehr. Vielleicht können Sie einen bei ebay ersteigern. Doch für mich sind diese, mittlerweile, unterdimensioniert. Je mehr Filterregeln es gibt, desto mehr Speicher braucht die Software.
Daher können Sie sich einen Raspberry Pi 4 für 60-100€ zulegen und diesen dazu verwenden. Es geht auch ein Banana Pi, aber diesen habe ich nicht ausprobiert. Er hat genug Rechenleistung und Sie können ihn in verschiedenen Speicherausführungen erhalten. Je nachdem, welche Ausführung Sie wählen, liegen Sie auch bei weit unter 100€. Wenn Sie neu in dem Thema sind kaufen Sie ein sogenanntes Bundle. Die Rasperry Pis sind modular aufgebaut und daher können Sie nur die Hauptkomponente kaufen oder ein Bundle, bei dem dann Kabel, Gehäuse usw. dabei sind. Ich habe mich für das Bundle mit 8GB RAM (mindestens 2GB sollten es sein) und 32GB SD-Karte (mindestens 8 GB sollten es sein und es muss eine Class 10 Karte sein) entschieden. Die SD-Karte ist sozusagen die Festplatte. Was die ganze Thematik vereinfacht, wie wir gleich sehen werden. Ausserdem benötigen Sie noch ein ganz normales Netzwerkkabel, mit dem Sie den Pi an den Router anschliessen.
Wenn Sie den Raspbery Pi 4 als Bundle bestellt und vielleicht noch eine SD Karte zu Hause haben, können Sie schon während Sie auf die Lieferung warten, Vorbereitungen treffen.
Das was jetzt folgt gilt auch, wenn Sie die mitgelieferte Karte verwenden.
Die SD-Karte agiert als Festplatte und benötigt daher ein Betriebssystem und die eBlocker Software. D.h., Sie müssen einmalig die SD-Karte vorinstallieren. Alle Updates können dann später vom Pi selber durchgeführt werden.
Anleitung eBlocker auf Raspberry Pi
- Laden Sie das eBlockerOS Image, also das Betriebssystem, herunter.
- Dieses Image muss auf die SD Karte installiert werden. D.h. Sie benötigen einen Rechner mit einem SD-Kartenleser. Dort stecken Sie die SD Karte hinein und schreiben das Image auf die SD Karte. Dazu verwenden Sie die Software Balena Etcher, die es für alle Plattformen gibt. Balena Etcher ist sehr einfach zu verwenden.
- Starten Sie die Software auf Ihrem Rechner und wählen Sie das eBlockerOS Image, das Sie eben geladen haben, als Quelle aus.
- Dann wählen Sie die SD-Karte, die Sie in den Kartenleser gesteckt haben, als Ziel aus. Alle Daten auf der SD-Karte werden gelöscht.
- Zum Schluss klicken Sie auf Flash! Jetzt dauert es ein bisschen, bis die Daten auf der SD-Karte sind.
- Wenn Balena Etcher fertig ist, schmeissen Sie die SD Karte aus, ziehen sie aus dem Lesegerät und stecken sie in den Pi. (Ich habe etwas gebraucht zu finden, wo man sie reinstecken muss.)
- Schliessen Sie den Pi mit dem Netzwerkkabel an den Router an. Stecken Sie den Pi an den Strom.
- Starten Sie den Pi. Es kann einige Minuten dauern, bis der Pi mit eBlocker hochgefahren und bereit ist. Geduld.
- Während Sie warten, versucht sich der eBlocker selber zu konfigurieren. Er liest die Informationen vom Router, schaut welche Geräte im Netz sind und vieles mehr. Das ist brilliant implementiert.
- Wenn Sie ein iPhone oder iPad haben, können Sie während des Wartens die eBlocker App aus dem AppStore installieren. Sie ist sehr hilfreich beim Konfigurieren und hinterher beim überprüfen, was der eBlocker so alles macht. Wenn Ihr iOS Gerät und der eBlocker im selben Netz sind, findet die App den eBlocker selbständig. Sollte das nicht funktionieren und Sie sind sicher, dass der eBlocker bereit ist, dann können Sie in Ihrem Browser auch http://setup.eblocker.com eingeben. Wenn im Browser rechts oben ein oranges Viereck mit einem weissen Kreis (ein gedrehter Stromknopf) zu sehen ist, dann funktioniert alles.
- Klicken Sie auf das Symbol (oder tippen Sie darauf) und Sie gelangen zur Kommandozentrale des eBlockers. Fast geschafft. Diese ist auch immer unter http://eblocker.box zu erreichen.
- Geben Sie die Lizenz ein, falls das nicht schon automatisch geschehen ist. Dazu suchen Sie im Dashboard, der Kommandozentrale des eBlockers, den Punkt Einstellungen und gehen auf „Einstellungen öffnen“.
- Gehen Sie links im Menu auf Lizenz & Aktualisierungen und geben als Lizenz folgendes ein:
FAMLFT-OPENSOURCE
Sie ist unbeschränkt. Software Updates und Filterlistenupdates bekommen Sie solange, solange es genug Spenden für dieses Projekt gibt.
- Jetzt ist es Zeit, sich mal alles anzuschauen. Selbst wenn Sie jetzt nichts mehr tun, sind Sie einigermassen gut geschützt. Tieftaucher sollten weiter lesen.
- Vergeben Sie ein Passwort für die Verwaltungsoberfläche. Dazu gehen Sie links auf System, dann oben auf Admin-Passwort und schieben den Schalter „Administratorpasswort ist deaktiviert“ nach links. Es öffnet sich ein Fenster, in dem sie das Passwort zweimal eintragen können. Damit können Veränderungen an den eBlocker-Einstellungen nur noch mit diesem Passwort vorgenommen werden.
- Es ist empfehlenswert, wenn auch optional, https auf dem eBlocker einzuschalten. Wie sollte der eBlocker Tracker erkennen, wenn Sie mit den Webservern verschlüsselt von Ihrem Rechner aus kommunizieren. Daher bietet der eBlocker an, die Anfragen an den Webserver zu verschlüsseln und Sie verschlüsseln Ihre Verbindung zum eBlocker. Damit das geht, müssen Sie das Zertifikat vom eBlocker auf Ihrem Client installieren. Wenn es Seiten gibt, denen Sie vertrauen und bei denen Sie nicht möchten, das der eBlocker hineinschaut, können Sie diese auf die Liste der vertrauenswürdigen Seiten setzen. Dann wird vom eBlocker für diese Seite nichts blockiert und das eBlocker Symbol wird auf der Webseite nicht angezeigt. Für Rechner (mobile Geräte kommen später):
- Klicken Sie in Ihrem Browser oben rechts auf das orange eBlocker Icon oder geben Sie http://eblocker.box ein und gehen dann auf Einstellungen und dort auf HTTPS. Sie sind im Tab Status.
- Aktivieren Sie den Knopf durch nach rechts schieben. Sie sehen HTTPS Unterstützung aktiv. Ein Fenster geht auf und erklärt Ihnen was Sie damit „anrichten“. Klicken Sie auf „Aktivieren“. Wenn Sie es dabei belassen, bekommen Sie ab jetzt beim Surfen im Internet häufig einen Fehler, wenn Sie https (was Sie unbedingt sollten) verwenden. Erinnern Sie sich an HTTPS Everywhere?
- Klicken Sie oben neben Status auf Zertifikat. Unter „Ihr eBlocker-Zertifikat“ sehen Sie den Knopf „Herunterladen“.
- Klicken Sie darauf und das Zertifikat wird heruntergeladen. Ab hier unterscheidet sich das weitere Vorgehen. Die Installation müssen Sie auf jedem Endgerät, dass Sie über den eBlocker laufen lassen wollen einmalig vornehmen.
Zertifikat in Windows installieren
Auf Windows machen Sie das folgendermassen:
- Doppelklicken Sie auf die gerade heruntergeladene Datei. Es öffnet sich der Zertifikatimport-Assistent, den Sie mit Weiter bestätigen.
- Klicken Sie jetzt auf „Alle Zertifikate in folgendem Speicher“ speichern und klicken Sie anschließend auf „Durchsuchen“.
- Wählen Sie jetzt den zweiten Eintrag „Vertrauenswürdige Stammzertifizierungsstelle“ aus und bestätigen Sie den Vorgang mit OK.
- Im Zertifikatimport-Assistent klicken Sie auf Weiter und anschließend auf „Fertig stellen“.
- Bestätigen Sie die folgende Sicherheitswarnung mit Ja.
Das eBlocker-Zertifikat ist nun in Windows hinterlegt. Die meisten Browser wie Edge oder Chrome können jetzt auf das eBlocker-Zertifikat zugreifen. Firefox kommt gleich, da das für alle Systeme gleich ist.
Zertifikat auf einem macOS installieren
Mit einem macOS Rechner:
- Öffnen Sie die Schlüsselbundverwaltung unter Programme/Dienstprogramme
- Wählen Sie Schlüsselbund-System und die Kategorie Zertifikate aus.
- Wählen Sie im Menü Ablage/Objekte importieren… aus.
- Im Datei-Dialog wählen Sie das heruntergeladene eBlocker-Zertifikat aus Ihrem Downloads Ordner und klicken Sie auf Öffnen. Eventuell werden Sie nach dem Administrator Passwort gefragt.
- Doppel-klicken Sie auf das importierte eBlocker-Zertifikat.
- Öffnen Sie das Dreieck bei Vertrauen und wählen Sie „Immer vertrauen“ in der Auswahlbox Secure Sockets Layer (SSL) aus.
- Schließen Sie das Fenster. Geben Sie bitte das Administrator Passwort ein, nachdem Sie eventuell gefragt werden.
Für Safari und Google Chrome war es das.
Zertifikat in Firefox installieren (alle Systeme)
Für Firefox müssen Sie das Zertifikat auf allen Systemen noch separat importieren.
- Gehen Sie im Firefox auf Einstellungen und dann auf Datenschutz&Sicherheit.
- Scrollen Sie bis ganz nach unten wo Zertifikate steht.
- Klicken Sie auf Zertifikate anzeigen.
- Dann klicken Sie unten auf Importieren.
- Wählen Sie wiederum das Zertifikat aus dem Downloadsordner aus.
- Sie werden gefragt, ob Sie diesem Zertifikat vertrauen um Webseiten und Emails zu identifizieren. Es sollte nur bei Webseiten ein Haken sein. Klicken Sie auf ok.
- Klicken Sie auf OK
Zertifikat in einem iOS Gerät installieren
Auf einem iOS Gerät:
- Nehmen Sie Safari und geben Sie als URL eblocker.box ein (wenn Sie im selben Netz sind).
- Suchen Sie nach dem Block Einstellungen und tippen Sie auf „Einstellungen öffnen“ (ggf. müssen Sie auf die zwei Pfeile tippen und alles zu sehen)
- Wenn Sie ein Password vergeben haben, melden Sie sich an
- Tippen Sie auf der linken Seite auf HTTPS
- Tippen Sie oben auf Zertifikat
- Tippen Sie auf „Herunterladen“. Es öffnet sich ein Fenster, das Ihnen ankündigt, dass Sie ein Konfigurationsprofil laden. Tippen Sie auf „Zulassen“.
- Es zeigt sich ein Fenster, dass das Profil geladen wurde. Tippen Sie auf schliessen.
- Gehen Sie in die Einstellungen des Gerätes, Allgemein-Profile. Dort sehen Sie unter „Geladenes Profil“ das eBlocker Profil. Tippen Sie darauf.
- Tippen Sie rechts oben auf Installieren.
- Geben Sie ggf. Ihre Pin ein
- Tippen Sie rechts oben nochmals auf Installieren.
- Im nachfolgenden Dialogfenster Profil klicken Sie wiederum auf „Installieren“.
- Sie sehen einen grünen Haken und den Text Überprüft.
Das eBlocker Zertifikat ist damit in iOS aufgenommen worden.
Ab der iOS Version 10.3 muss das hinterlegte eBlocker Zertifikat noch ein mal aktiviert werden.
Öffnen Sie die iOS Einstellungen und navigieren zu „Allgemein“ > „Info“ > „Zertifikatsvertrauenseinstellungen“.
Dort finden Sie das zuvor hinterlegte eBlocker Zertifikat und können es jetzt aktivieren. Ein Fenster erscheint. Tippen Sie auf Weiter.
Zertifikat in Android installieren
Auf einem Android Gerät
- Öffnen Sie die eBlocker HTTPS Konfigurationsseite.
- Klicken Sie auf den Button „Zertifikat aufnehmen“.
- Geben Sie gegebenenfalls Ihre PIN ein
- Geben Sie dem Zertifikat einen Namen (z.B.: Tim eBlocker).
- Wählen Sie unter Verwendung der Anmeldedaten bitte „VPN und Apps“ aus.
- Wiederholen Sie letzten Schritte und speichern Sie das Zertifikat zusätzlich unter „WLAN“.
- Sie finden das eBlocker Zertifikat im Download Ordner, sollte es nicht automatisch geöffnet werden.
Ein Hinweis: Wenn Sie GrapheneOS oder LineageOS mit dem Fennec Browser verwenden (und ggf. auch bei normalen Stock Android Geräten), werden Sie feststellen, dass er das Zertifikat nicht findet oder anerkennt. Sie erkennen das u.a. daran, dass keine Seite, die Sie mit https ansurfen sofort geöffnet wird. Und im eBlocker Dashboard, unter HTTPS Support, steht bei eBlocker certificate ein gelbes Ausrufezeichen und kein grüner Haken. Um das zu ändern gehen Sie wie folgt vor:
- Starten Sie Fennec
- Da es ein Firefox Ableger ist, kennen Sie das vielleicht schon: Tippen Sie in die Adresszeile about:config
- Suchen Sie nach dem eintrag: security.enterprise_roots.enabled
- Ändern Sie diesen durch Antippen auf true
- Gehen Sie auf auf das eBlocker Dashboard und suchen Sie nach HTTPS Support. Dort sollte jetzt alles grün sein.
Wenn Sie kein VPN haben, können Sie im eBlocker Tor konfigurieren, mit den oben genannten Einbussen bei der Geschwindigkeit. Dazu gehen Sie im linken Menu auf IP-Anonymisierung und dann auf Tor-Netzwerk. Sie können automatisch die beste Route wählen lassen oder die Länder auswählen, die als Exit-Knoten ins Internet erlaubt sind. Genial. Sie können das auch bei Bedarf einfach aktivieren und deaktivieren.
Wie aktivieren Sie den eBlocker für Ihre Geräte? Gehen Sie links auf Geräte. Sie sehen eine Liste aller in Ihrem Heimnetz gefundenen Geräte. Manchmal erkennen Sie den Hersteller, Sie sehen die IP Adresse, den Status und das aktuelle Gerät, mit dem Sie den eBlocker gerade konfigurieren, ganz oben mit einem Stern. Ist der Schalter ganz links nicht grün, klicken oder tippen Sie darauf. Wenn er grün ist, ist Ihr Gerät durch den eBlocker geschützt. Klicken Sie auf die Zeile dieses Eintrags sehen Sie einige Details zu dem Gerät. Wichtig ist die Anonymisierung. Hier können Sie Tor oder ein VPN Profil auswählen. Sie können auch Ihr Gerät tarnen, d.h. Sie können eBlocker sagen, dass Ihr Gerät als Linux Gerät mit einem Chrome Browser bei den Webseiten erscheint.
Die Einstellungen unter Blocker können Sie so lassen wie Sie sind, bis Sie mehr wissen und sich mit dem Gerät besser auskennen. Geschafft. Sie tauchen um einiges tiefer im Ozean als bisher.
Hilfreich ist auch das eBlocker Handbuch🇬🇧. Gerade wenn Sie den eBlocker für eine Familie oder eine WG mit unterschiedlichen Ansprüchen konfigurieren, sollten Sie hier mal reinschauen und in Erfahrung bringen, wie man Profile anlegt und ggf. Geräte aus der Liste nimmt, die der eBlocker schützen soll.