[Anleitung] Chromecast + Unblock-US + Fritz!Box = Funktioniert

Der Chromecast ist ein schönes kleines Gadget, der bei uns neben dem Bluray-Player die Hauptlast des Film- und Serienkonsums trägt. Wir haben uns schon lange vom klassischen (linearen) Fernsehen verabschiedet und machen uns das Programm selbst. Zunächst waren es DVDs, dann kam Bluray, später diverse Streaming-Angebote. Die Sat-Schüssel hängt zwar am Haus, ist aber an unserem Fernseher schon gar nicht mehr angeschlossen.

Da wir gerne Filme und Serien in der amerikanischen Originalversion ansehen, und das Angebot bei Netflix USA wesentlich reichhaltiger ist, könnten wir Unblock-US nutzen, um trotz Geosperre auf das amerikanische Angebot zugreifen zu können. Dabei wird die Anfrage nach Auflösung der Internetadresse über einen DNS-Server in den USA geleitet und man gaukelt man dem Netflix-Server vor, man säße in einem anderen Land.

Ich gehe hier nicht auf die Details zur Einrichtung der DNS-Anfrage ein, dazu gibt es im Netz schon jede Menge. Einfach mal googeln.

Wenn man den abweichenden DNS-Server von Unblock-US fest in den Router einträgt (in unserem Fall eine Fritz!Box 6360 Cable von Kabel Deutschland), können alle mit dem Heimnetz verbunden Geräte die Geosperre umgehen, ohne dass weitere Einstellungen an den Geräten selbst nötig sind. Es ist nur darauf zu achten, dass alle Geräte (PCs, Handys, Tablets etc.), ihre Server-Einstellungen via DHCP von der Fritzbox erhalten (alternativ die IP-Adresse der Fritzbox jeweils als primären DNS-Server hinterlegen).

Link zur DNS-Konfigurationsseite der Fritzbox:
http://[IP-Adresse der Fritzbox im Heimnetzwerk]/internet/dns_server_enh.lua.

Hier liegt aber mit dem Chromecast der Hund begraben: Der Chromecast hat von Google für seine Anfragen fest die DNS-Server von Google eingebrannt bekommen (8.8.8.8 und 8.8.4.4). Alle DNS-Anfragen vom Chromecast werden daher an der (an Unblock-US gerichteten) DNS-Einstellung der Fritzbox vorbeigemogelt und lassen einen Zugriff auf das amerikanische Netflix nicht zu.

Nutzt man einen Profirouter (oder hat Glück, dass man einen Router hat, der mehr Einstellungen als die Fritzbox zulässt), kann man mit Einträgen in die iptables alle Anfragen aus dem Heimnetz an die Google-DNS-Server an den Unblock-US-Server umleiten. Leider ist das bei der Fritzbox so einfach nicht möglich (abgesehen davon, man spielte eine alternative Firmware auf den Router).

Mit einem kleinen Trick bekommt man den Chromecast aber nun doch dazu, mit dem Unblock-US-DNS-Server zu kommunizieren. Das Zauberwort heißt statische Route.

Unter Heimnetz > Netzwerk > Netzwerkeinstellungen findet sich der Punkt Statische Routingtabellen. Hier kann man hinterlegen, was mit Anfragen an gewisse IP-Adressen geschehen soll, wohin diese geleitet werden sollen.

Ein Wort zur Vorsicht: Nimmt man hier falsche Einstellungen vor, kann man sich den Zugriff auf den Router und das Netzwerk selbst verbauen. Es lohnt sich, zunächst ein Backup der funktionierenden Fritzbox-Einstellungen vorzunehmen).

An dieser Stelle legen wir nun fest, dass alle Anfragen aus dem Heimnetz an die DNS-Server von Google ins Nirvana geschickt werden. Die Einstellungen dazu lauten wie folgt:

Wir legen für jede der beiden IP-Adressen 8.8.8.8 und 8.8.4.4 jeweils eine Route an:

IP-Adresse: 8.8.8.8
Subnetzmaske: 255.255.255.0
Gateway: Eine gültige IP-Adresse aus dem Heimnetzwerk, die nicht vergeben ist

IP-Adresse: 8.8.4.4
Subnetzmaske: 255.255.255.0
Gateway: Eine gültige IP-Adresse aus dem Heimnetzwerk, die nicht vergeben ist

Durch diese Einstellung sendet der Chromecast seine Anfrage zur Namensauflösung an den Google-DNS-Server. Die Fritzbox nimmt nun diese Anfrage und leitet sie auf die unter Gateway eingetragene IP-Adresse im Heimnetz weiter. Da dort aber kein Server antwortet, sendet die Fritzbox die Antwort Destination unreachable (Ziel nicht erreichbar) an den Chromecast zurück. Dieser fällt nun auf die Fritzbox-DNS-Adresse zurück und versucht sein Glück darüber. Die Fritzbox leitet seine Anfrage an den Unblock-US-Server und voilà: Der Chromecast hat Zugriff auf Neflix USA.

Noch zwei weitere Worte zur Vorsicht

  1. Erstens: Das hier beschriebene Szenario ist eine theoretische Abhandlung, die bei dem Cousin eines Freundes eines Freundes funktionierte. Natürlich würde niemand diese Einstellungen vornehmen, da man ja eine Geosperre umgehen würde und damit entgegen der Netflix-Nutzungsbedingungen handeln würde.
  2. Zweitens: Durch die Umleitung aller Anfragen aus dem Heimnetz auf einen alternativen DNS-Server (in diesem Fall Unblock-US) gibt man dunklen Mächten die Möglichkeit, den gesamten Internetverkehr aus dem Netz abzugreifen. Zwar ist dies kein VPN und es wird nur die Anfrage nach der Namensauflösung über den alternativen Server geschickt. Der anschließende normale Traffic sollte über die üblichen Wege zu den Servern gelangen. Allerdings könnte ein böser Mensch mittels der Antwort der DNS-Anfrage den gesamten Verkehr über seine eigenen Server leiten und den Datenstrom mitschneiden. Hier ist also die Frage zu beantworten, inwieweit man einem Anbieter eines DNS-Server vetraut (davon abgesehen, dass das gleiche ja auch beim DNS-Server des eigenen Internetproviders oder jedes anderen DNS-Servers zutrifft, der nicht unter der eigenen Kontrolle steht). Würde jemand einen solchen DNS-Anbieter hacken, hätte er die Möglichkeit, alle Daten (für den Laien unbemerkt) auf andere Server umzuleiten und von dort aus dann zur richtigen Adresse zu schicken.

    Es ist demnach empfehlenswert, den DNS-Server nur für die Zeit einer Chromecast-Anfrage umzustellen und anschließend wieder die Standardeinstellungen zu verwenden. Grundsätzlich lohnt es sich, darauf zu achten, möglichst viel seines Internetaufenthalts über HTTPS abzuwickeln, da der Datenstrom dann noch zusätzlich verschlüsselt ist und zumindest nicht ohne größeren Aufwand ausgelesen werden kann (ich empfehle hierzu einen Blick auf die Firefox- um Chrome-Erweiterung HTTPS Everywhere zu werfen).

Noch ein paar Links für weitere Infos:

No Comments

Post a Comment