Ik weet dat Freedom geen simkaarten afgeeft voor mobiel internet en dat de vraag die ik nu ga stellen, daarom buiten de dienstverlening van Freedom valt. Maar toch, ik probeer het. Wie weet veilig (i.e. met het oog op privacy) alternatief voor mobiel internet met een laptop buiten bereik van eigen wifi, mogelijk in combinatie met een vpn verbinding met Fritzbox modem? Met tethering via mijn smartphone waar ik toch al ruime bundel heb?
Wat maakt de AweSIM dan zo bijzonder? Er staat iets over unified customer identifiers voor advertenties. Naar mijn weten doen operators in Nederland dit niet. Ik werk bij een MVNO, die doet dat ook zeker niet. Granted, privacy is een van de kernwaarden van dat bedrijf.
Mij lijkt een oplossing van Freedom i.c.m. een private APN ideaal. Die zou je dan willen koppelen aan de VPN server van de fritzbox / naar keuze. Maar Freedom kan er ook voor kiezen zelf internet te regelen voor hun eigen simkaarten (zonder VPN dus).
Wat is precies het probleem dat getackeld moet worden.
- GCNAT, Carrier Grade NAT, dit wordt vrijwel door all mobiele providers toegepast,
- Provider meekijken? dat is vrijwel niet te voorkomen,
- Wifi meekijken bij winkelcentra, etc.
Het volgen van een SIM locatie en het signaal afluisteren kan de Mobiele provider zo wie zo. En je toestel heeft altijd een uniek nummer (IMEI). Een SIM ook een uniek nummer.
Daar is mogelijk geen Naam oid aan gekoppeld, maar locatie tracking (met een marge) blijft mogelijk.
Tot zover het GSM, LTE deel.
mbt. WiFi en het volgen door derden of inhoudelijk volgen door een mobiele provider alsmede CGNAT issues voorkomen is relatief eenvoudig te doen met een VPN. Niet een commerciele VPN maar een VPN tussen het toestel en het thuis front.
Dan is transparante toegang tot het huis netwerk mogelijk, verbinding tussen ISP-Modem en Mobiele toestel.
Kandidatien zijn hiervoor:
- IPSEC tunnel - Dit vereist voor setup / teardown conversatie van ~10 pakketten een keepalive tegen CGNAT…
Het is wel de meest veilige optie door regelmatige keywisseling, bij behoud van alle IP karakteristieken. - OpenVPN tunnel - Dit heeft een iets kortere startup, vereist wel dat de UDP optie wordt gebruikt om issues met TCP over TCP te voorkomen.
- Wireguard tunnel - Dit heeft een korte setip/teardown nodig 5 tal pakketten. Wireguard heeft een paar eigenschappen die het wel heel geschikt maken voor mobiele oplossingen.
Ik zal wat meer ingaan op Wireguard, omdat over de overige protocllen voldoende te vinden is.
- Het maakt op diverse (Linux) telefoons al deel uit van de kernel, waar dat niet het geval is is er een efficiente usermode versie beschikbaar.
- Het protocol is in staat om bijna op lijnsnelheid te encrypten/decrypten
- Door hoge effciency is er een langere autonomie dan bij IPSEC/OpenVPN.
- Door korte setup en goedkope keep alive effectief tegen CGNAT ook op langere termijn (permanente gebruik?)
- Het is niet mogelijk om een eindpunt uit te peilen met een poortscan oid tenzij de juiste sleutel in het eerste pakket gepresenteerd wordt.
Ik gebruik wireguard dan ook op permanente basis. Het is ingesteld als permanente tunnel, waarbij alle verkeer over de tunnel moet.
(Noot: op android alleen het verkeer dat van het toestel zelf komt over een tunnel geleid, verkeer via een AP die beschikbaar is gesteld wordt niet door de tunnel geleid, dat is een Android feature).
Het is nu mogelijk om van de PBX thuis direct verbinding te maken met het mobiele toestel ondanks de CGNAT van de Mobiele Service Provider. Ook is de pi-hole thuis in staat om ALTIJD alle DNS queries vanuit het mobiele toestel te filteren.
(en dat levert soms interessante inzichten op mbt. tot data exfiltratie door oa. Google.)
NB. Al het mobiele verkeer loopt via de Huis aansluiting (geen probleem bij 100+ Mbps).
- Dit lost ook privacy bezwaren met smart home oplossingen op, die hebben geen WAN maar uitsluitend LAN toegang nodig.
- Uitgebreidere filtering mogelijk
- verlenging van autonomie mobiele toestel door verminderd verkeer en activatie
- (AD blokker…), zonder performance kosten op het mobiele toestel
- evt. VPN oplossing is alleen nodig op huis aansluiting.
Awesim is best prijzig… ik heb niet zoveel mobiele data nodig… 2GB/maand is ruim voldoende…, dit zou een vertienvoudiging van de mobiele kosten worden… Het is wel een goed concept access provider scheiden van degene met klant info.
Zeker in de US zijn er veel te weinig privacy waarborgen.
Ik vermoed dat justitie hier wel mee uit de voeten kan…
Access provider heeft immers IMEI/SIM nummers
SIM provider heeft NAW… ivm. facturering.
(of het is nu al een anonieme kaart).
Vorig jaar heeft de NYT (november, december) overigens op basis van “Anonieme locatie data” van een paar maanden veel personen kunnen tracken… Ze hebben er ook enkele ge-interviewed. Woon adressen, slaap adressen, werk adressen (afgeleid beroepen), of wel niet deelnemer aan protesten. Het was er allemaal uit te halen.
NYT artikel over anonieme locatie data (eerste artikel).
AWEsim gaat dat probleem niet oplossen vrees ik. Alleen een privacy vriendelijke (al of niet afgedwongen) access provider.
Echt anoniem gaat zo’n sim niet zijn. De provider moet om meerdere redenen weten wie je bent (facturatie, maar ook CIOT wil graag elke dag weten wie klant is en met welk nummer).
De AweSim heeft in Nederland niet zo veel zin. Providers in Nederland verkopen over het algemeen je data niet, i.t.t. de USA. Maar als je echt paranoĂŻde bent kan je altijd een Wireguard tunnel naar je eigen machine aanzetten.
Die Wireguard tunnel heeft veel meer voordelen.
Je kan een pihole (op RPi of in LXD container) gebruiken als prive DNS filter.
Je kan een Telefoon VOIP App gebruik laten maken van de PBX thuis ook bij een mobiel provider die CGNAT gebruikt.
Je kan devices thuis aansturen zonder dat de devices via servers van derden hoeven te werken (de meeste Smart Home oplossingen).
Vooral een uitgebreid filter (pihole) + wireguard samen leveren een langere levensduur van een batterij lading op.