Mit Geo-IP-Sperren richten Content-Anbieter Blockaden gegen den Zugriff aus dem Ausland ein. Mit den richtigen Mitteln lassen sich diese aber legal umgehen.
Die Zeiten, in denen Sie zu einer bestimmten Zeit vor dem Empfangsgerät sitzen mussten, um Ihre Lieblingsfilme oder Serien zu sehen, gehören dank Internet der Vergangenheit an: Das Programm finden Sie wohlgeordnet in der Mediathek Ihres Lieblingssenders oder auf Videoportalen.
Das heißt aber nicht automatisch, dass Sie den Film trotz bezahlter monatlicher GEZ-Abgabe dann auch tatsächlich zu sehen bekommen. Einige Datenströme – wie etwa der “Tatort” – unterliegen mitunter Beschränkungen des Jugendschutzes und lassen sich daher nur zu bestimmten Zeiten abrufen. Nicht selten gängeln die Anbieter ihre Besucher aber auch noch mit anderen Hindernissen, sogenannten Geo-IP-Sperren.
Auslöser für den Autor, sich diesem Thema zu widmen, sind seine projektbezogenen Arbeiten von verschiedenen Standorten und Regionen aus. Unter anderem bekam er von Freunden in Deutschland Videoempfehlungen geschickt, doch der Versuch, diese im Ausland abzuspielen, scheiterte etwa bei Youtube daran, dass er sich laut seiner IP-Adresse nicht in Deutschland aufhielt. Ähnliches passierte auch Ihnen sicherlich schon, etwa bei amerikanischen News-Portalen. Zeit also, eine passende Lösung zu suchen.
Kurz umrissen umgehen Sie Geo-IP-Sperren zum Beispiel durch das Nutzen eines entfernten Rechners oder eines Proxy-Servers (siehe Kasten “Proxy-Server”), der in einem nicht gesperrten Land steht. Weitere Möglichkeiten bieten virtuelle private Netze (VPNs) oder Anonymisierer wie Tor. Als konkrete Werkzeuge kommen Ssh, OpenVPN, das Linux Terminal Server Projekt (LTSP), ein Socks-Proxy und X2go ins Spiel.
Proxy-Server
Ein Proxy-Server nimmt als Kommunikationsvermittler Anfragen von Clients entgegen und leitet sie dann mit seiner eigenen IP-Adresse an den Server weiter. Die Antworten des Servers leitet der Proxy an den Client weiter. Der Client und der Server müssen somit nicht direkt miteinander verbunden sein. Da Proxy-Server als Stellvertreter agieren, wissen sie zumindest bei unverschlüsselten Verbindungen genauso viel über die Datenkommunikation wie Sie als Nutzer. Verwenden Sie daher nur Proxy-Server, denen Sie zu 100 Prozent vertrauen.
Geo-IP-Sperren
Viele Dienste und Anbieter von Mediadaten, wie beispielsweise Youtube, Netflix, Amazon Prime Instant Video und Hulu sowie die deutschen öffentlich-rechtlichen Fernsehsender nutzen Geo-IP-Sperren. Der Grund dafür sind häufig Lizenzrechte (Abbildung 1).
Abbildung 1: Häufig zeichnen lizenzrechtliche Einschränkungen dafür verantwortlich, dass Anbieter wie das ZDF oder Youtube ein Video nur in bestimmten Ländern zeigen dürfen.
Jedes via Internet angeschlossene Gerät besitzt mit seiner IP-Adresse eine einmalig zugewiesenen Kennung. Zur IP-Adresse gehört auch eine landes- oder anbieterspezifische Kennziffer, die damit neben der Region auch den Provider verrät, über den Sie gerade eingebucht sind [1]. Daraus erschließt sich, von welchem Land aus Sie auf den Dienst zugreifen.
Ssh als Tunnelbauer
Diese Variante zum Umgehen von Geo-IP-Sperren nutzt eine verschlüsselte Verbindung mittels Ssh zu einem Rechner, der sich im IP-Bereich des Zielservers befindet. Dazu starten Sie Ssh mit der Option -Y (“trusted X11 forwarding”). Der Befehl ruft beispielhaft den Webbrowser Firefox auf, der dann auf dem entfernten Rechner startet:
$ ssh -Y User@Rechner firefox
Mit dem Aufruf leiten Sie das gesamte X11-Fenster über die verschlüsselte Verbindung auf Ihren Rechner um. Bricht aufgrund einer wackeligen Leitung die Verbindung ab, hilft Autossh bei der automatisierten Wiederaufnahme. Den Überblick über alle Verbindungen behalten Sie mit Sshuttle.
Socks-Proxy
Der Name Socks steht hier für Socket Secure und bezeichnet die sichere Verbindung über einen Netzwerk-Socket [2]. Um ihn für den vorgesehenen Zweck zu nutzen, genügen Ssh und ein Rechner im IP-Bereich des Zieldiensts.
Mittels Ssh starten Sie zunächst lokal den Proxy, über den dann alle Verbindungen zwischen Ihrem lokalen Rechner und dem Zielrechner laufen. Die Gegenseite sieht dann die IP-Adresse desjenigen Rechners, auf dem der SSH-Tunnel endet. Programme, die einen Socks-Client mitbringen, wie etwa Firefox oder Thunderbird, verbinden sich mit dem Socks-Proxy und nutzen diesen als Vermittler zur Außenwelt.
Um die sichere SSH-Verbindung zum entfernten Rechner aufzubauen, geben Sie im Aufruf die Option -D Port an, beispielsweise -D 23456. Damit legen Sie den lokalen Port fest, zu dem sich der Socks-Client verbindet. Die weiteren, für einen reinen Proxy empfohlenen Optionen sind -N (keine Shells oder Befehle auf der Remote-Seite starten), -f (direkt nach dem Start in den Hintergrund gehen) und -o ExitOnForwardFailure=yes (mit Fehler beenden, falls keine Verbindung zustande kommt). Listing 1 zeigt den kompletten Aufruf.
Zur Fehlerdiagnose ersetzen Sie -f durch -v. Damit zeigt der Ssh-Client kontinuierlich den aktuellen Verbindungsstatus in der Konsole an.
Listing 1
$ ssh -D 23456 -N -f -o ExitOnForwardFailure=yes User@Rechner
Im zweiten Schritt richten Sie den Socks-Client ein. In Firefox setzen Sie in den Einstellungen unter Netzwerk | Einstellungen den lokalen Socks-Proxy (Abbildung 2). Die Änderungen greifen auch ohne Neustart des Webbrowsers sofort. Über einen Aufruf der Webseite MeineIP.de [3] prüfen Sie nun die von außen sichtbare IP-Adresse (Abbildung 3).
Abbildung 2: In den Einstellungen von Firefox-Browsern legen Sie fest, dass der Browser zukünftig den festgelegten Proxy-Server als Zugang zum Internet verwendet.
Abbildung 3: Oben: Die IP-Adresse des Client-Rechners vor der Maskierung. Unten: Die öffentliche Adresse beim Surfen über den Socks-Proxy.
Besitzen Sie keinen eigenen Host im erforderlichen IP-Bereich, dann nutzen Sie die Dienste von Anbietern freier und kommerzieller Proxy-Server, etwa FoxyProxy [4], Socksproxy [5], HideMyAss [6] oder Gatherproxy [7].
Aus der Liste der möglichen Proxies wählen Sie IP-Adresse und Port des gewünschten Exemplars aus, verbinden sich per Ssh damit und tragen den Proxy in Ihrem Webbrowser ein. Sicherheitshalber sollten Sie vor der Benutzung mittels whois nachsehen, zu welchem Anbieter oder Dienst der Proxy gehört.
Alternativen
Virtuelle private Netze (VPN) legen verschlüsselte Tunnel durch das öffentliche Netz an. Das gelingt wieder mithilfe einer passenden Gegenstelle, also einem Zielrechner. Genaueres erfahren Sie im Artikel “Schlüsseldienst” aus Ausgabe 11/2005 von LinuxUser [8].
Sowohl das Linux Terminal Server Projekt (LTSP) als auch X2go [9] erfordern einen Server im gewünschten IP-Bereich, beispielsweise in einem Rechenzentrum oder als AWS-Instanz. Nach der Verbindung zum Server überträgt dieser die abgerufenen Inhalte an den Client.
Während bei LTSP ein Teil der Ausführung auf dem Server stattfindet, überträgt X2go nur Bild und Ton von der Serverinstanz zum X2go-Client auf der Gegenstelle. Die vollständige Ausführung erfolgt auf dem Server.
Fazit
Wo auch immer Sie sich befinden: Mit ein wenig technischem Geschick nehmen Sie netztechnische Hürden problemlos. Während sich ein SSH-Tunnel oder eine Socks-Proxy-Verbindung relativ einfach realisieren lässt, bedarf ein LTSP- oder X2go-Client mehr Vorbereitung.
Rechtliches
Ob das Umgehen von Ländersperren legal ist, wurde bislang noch nicht juristisch eindeutig geklärt [10]. Zwar stellt der Gesetzgeber in Deutschland das Umgehen oder Beschädigen wirksamer Sperren in Form technischer Maßnahmen unter Strafe (Paragraf 95a Urheberrechtsgesetz [11]), doch aus technischer Sicht manipulieren ein Proxy oder ein VPN weder die Geo-IP-Sperre noch schaltet sie sie aus. Daher fällt diese Vorgehensweise nicht unter den Straftatbestand. Auch der Autor vertritt den Standpunkt, dass das Vorgehen legal bleibt, solange Sie eigene gültige Zugangsdaten für die Dienste besitzen und verwenden, beispielsweise im Rahmen eines Abonnements für Filme.
Danksagung
Die Autoren bedanken sich bei Gerold Rupprecht und Axel Beckert für Anregungen und Kritik im Vorfeld dieses Beitrags.
Über die Autoren
Frank Hofmann arbeitet mobil, bevorzugt in Berlin, Genf und Kapstadt, als Entwickler, Trainer und Autor. Er ist Koautor des Debian-Paketmanagement-Buchs (https://www.dpmb.org). Mandy Neumeyer arbeitet im Tourismus, lebt seit neun Jahren in Südafrika und baut zurzeit ein zusätzliches Einkommen als digitaler Nomade auf.
Infos
-
“Major IP Addresses Blocks By Country”: http://www.nirsoft.net/countryip/
-
Socks-Proxy mit SSH: Hans-Georg Eßer, “Von den Socken”, EL 04/2013, S. 44, https://www.linux-community.de/30728
-
MeineIP: https://www.meineip.de
-
FoxyProxy: https://getfoxyproxy.org
-
Socksproxy: https://socks-proxy.net
-
HideMyAss: https://www.hidemyass.com
-
Gatherproxy: http://www.gatherproxy.com
-
OpenVPN-Tunnel: Mirko Dölle, “Schlüsseldienst”, LU 11/2005, S. 62, http://linux-community.de/9424
-
X2go: Markus Feilner, “Der letzte Heuler”, LU 07/2011, S. 43, https://www.linux-community.de/23613
-
“Umgehung von Geo-Sperren”: https://www.lawbster.de/umgehung-von-geo-sperren/
-
UrhG §95a: https://dejure.org/gesetze/UrhG/95a.html
