1. Aktiviere automatische Software Updates

Eines der wichtigsten Dinge, um dein Relay sicher zu halten, ist die rechtzeitige und idealerweise automatische Installation von Sicherheitsupdates, damit du es nicht vergessen kannst. Folge den Anweisungen, um automatische Software-Updates für dein Betriebssystem zu aktivieren.

2. Installiere Tor

# pkg_add tor
2.1. Empfohlene Schritte zur Installation von Tor

Wenn du eine neuere Version des tor-Pakets installieren willst, kannst du die Binärpakete von M:Tier benutzen:

# ftp https://stable.mtier.org/openup

Gleich nachdem du openup geholt hast, kannst du es ausführen, um das Repository von M:Tier zu synchronisieren und deine Pakete zu aktualisieren; es ist eine Alternative zu pkg_add -u.

Hier erfährst du, wie du bei diesen Schritten vorgehst:

# ./openup

3. Installiere obfs4proxy

# pkg_add obfs4proxy

4. Bearbeite deine Tor-Konfigurations-Datei, die sich normalerweise unter /etc/tor/torrc befindet, und ersetze ihren Inhalt durch:

RunAsDaemon 1
BridgeRelay 1

# Ersetze "TODO1" durch einen Tor Port deiner Wahl. Dieser Port muss von außen
# erreichbar sein. Vermeide Port 9001, weil er üblicherweise mit Tor in Verbindung gebracht wird, und
# Zensoren suchen möglicherweise das Internet nach diesem Port ab.
ORPort TODO1

ServerTransportPlugin obfs4 exec /usr/local/bin/obfs4proxy

# Ersetze "TODO2" durch einen obfs4 Port deiner Wahl. Dieser Port muss
# von außen erreichbar sein und muss sich von dem für ORPort angegebenen unterscheiden.
# Vermeide Anschluss 9001, weil er häufig in Verbindung gebracht wird mit
# Tor, und Zensoren suchen möglicherweise das Internet nach diesem Port ab.
ServerTransportListenAddr obfs4 0.0.0.0:TODO2

# Lokaler Kommunikations-Port zwischen Tor und obfs4. Stelle dies immer auf "auto" ein.
# "Ext" bedeutet "erweitert", nicht "extern". Versuche weder eine bestimmte Port-Nummer
# einzustellen, noch auf 0.0.0.0 zu hören.
ExtORPort auto

# Ersetze "<address@email.com>" mit deiner E-Mail-Adresse, damit wir dich kontaktieren können, wenn
# es Probleme mit deiner Brücke gibt  Dies ist freiwillig, wird aber empfohlen.
ContactInfo <address@email.com>

# Wähle einen Spitznamen für deine Brücke. Dies ist optional.
Nickname PickANickname
DataDirectory /var/tor
User          _tor

Vergiß nicht, die Optionen ORPort, ServerTransportListenAddr, ContactInfo und Spitzname zu ändern.

  • Beachte, dass sowohl der OR-Port von Tor als auch der obfs4-Port erreichbar sein müssen. Wenn sich deine Brücke hinter einer Firewall oder NAT befindet, stelle sicher, dass beide Ports geöffnet sind. Du kannst unseren Erreichbarkeitstest benutzen, um zu sehen, ob dein obfs4-Port aus dem Internet erreichbar ist.

5. Änderung von openfiles-max und maxfiles

Standardmäßig hält OpenBSD eine recht niedrige Grenze für die maximale Anzahl offener Dateien für einen Prozess. Für einen Daemon wie Tor's, der eine Verbindung zu jedem einzelnen Relay öffnet (momentan etwa 7000 Relays), sollten diese Grenzen angehoben werden.

Hänge den folgenden Abschnitt an /etc/login.conf an:

tor:\
    :openfiles-max=13500:\
    :tc=daemon:

OpenBSD speichert auch ein Datei-Deskriptor-Limit auf Kernel-Ebene in der sysctl-Variablen kern.maxfiles.

Erhöhe es vom Standard 7030 auf 16000:

# echo "kern.maxfiles=16000" >> /etc/sysctl.conf
# sysctl kern.maxfiles=16000

6. Starte Tor

# rcctl enable tor
# rcctl start tor

7. Überwache deine Logs (normalerweise in deinem syslog)

Um sicher zu gehen das deine Brücke ohne Probleme läuft, solltest du etwas ähnliches wie das sehen:

[notice] Your Tor server's identity key fingerprint is '<NICKNAME> <FINGERPRINT>'
[notice] Your Tor bridge's hashed identity key fingerprint is '<NICKNAME> <HASHED FINGERPRINT>'
[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:3818 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.

8. Schlussbemerkungen

Wenn du Probleme beim Einrichten deiner Brücke hast, schau dir unsere Hilfe-Sektion an. Wenn deine Brücke jetzt läuft, sieh dir die Nachinstallations-Hinweise an.