Warum ich ein Tor-Middle-Relay betreibe

Ich betreibe ein Tor-Middle-Relay, weil Menschen in vielen Ländern täglich von staatlicher Zensur betroffen sind. Für sie ist freier Zugang zu Informationen keine Selbstverständlichkeit, sondern überlebenswichtig – für Bildung, Kommunikation und oft auch für die eigene Sicherheit. Ein Relay ist meine konkrete Möglichkeit, diesen Menschen zu helfen: Es erhöht die Kapazität und Stabilität des Tor-Netzwerks, damit Verbindungen durch Zensurbarrieren hindurch funktionieren.

      🌍 Kernmotiv: Mein Relay transportiert verschlüsselten Verkehr zwischen Entry und Exit. Es sieht keine Inhalte und keine Ziele – aber es macht Zensur-Umgehung skalierbarer. Je mehr Relays, desto schwerer ist Tor zu blockieren.
    

1. Middle-Relay – was es tut (und was nicht)

Ein Tor-Pfad besteht typischerweise aus drei Servern: Entry → Middle → Exit. Das Middle-Relay ist die Zwischenstation: Es sieht weder die IP der Nutzer noch die Zielserver und stellt damit kein rechtliches Risiko wie ein Exit-Node dar. Es ist dennoch essenziell: Mehr Middle-Relays bedeuten mehr Bandbreite, bessere Latenz und robustere Routen gegen Sperren.

2. Voraussetzungen & Architektur

Öffentlicher Port: TCP 9001 (Standard-ORPort) muss von außen erreichbar sein (Port-Forwarding im Router).
Kein CGNAT: Ein echter, erreichbarer IPv4-/IPv6-Zugang ist nötig. Bei CGNAT beim Provider nachfragen oder IPv6 nutzen.
Dauerbetrieb: 24/7-Laufzeit ist ideal; Bandbreite kannst du sauber begrenzen.
Hardware: Raspberry Pi 3/4 reicht vollkommen; Kühlung und stabiles Netzteil nicht vergessen.

3. Schritt-für-Schritt: Installation auf Raspberry Pi + Ubuntu Server

3.1 Ubuntu Server flashen & Grundsetup

Lade ein aktuelles Ubuntu Server LTS für Raspberry Pi herunter und flashe es (z. B. mit Raspberry Pi Imager).
Erststart, Benutzer anlegen, SSH aktivieren.
System aktualisieren:
```
sudo apt update && sudo apt -y upgrade
```

Optionale statische IP via Netplan (Beispiel):

sudo nano /etc/netplan/01-netcfg.yaml
# Beispiel (anpassen!)
network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      addresses: [192.168.1.50/24]
      routes:
        - to: default
          via: 192.168.1.1
      nameservers:
        addresses: [1.1.1.1,8.8.8.8]

sudo netplan generate
sudo netplan apply

ip a
ping -c 2 1.1.1.1
ping -c 2 google.com

Zeitsynchronisation prüfen (wichtig für Kryptografie):
```
timedatectl status
```

3.2 Tor aus offiziellen Paketquellen installieren

Du kannst Tor aus Ubuntu beziehen – noch besser ist das Tor Project-Repository (aktuellere Builds).

Voraussetzungen:

sudo apt -y install apt-transport-https curl gpg

Tor-Repo hinzufügen:

curl -fsSL https://deb.torproject.org/torproject.org/tor-archive-keyring.gpg \
 | sudo gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg

echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
https://deb.torproject.org/torproject.org $(lsb_release -cs) main" \
| sudo tee /etc/apt/sources.list.d/tor.list

Installieren:
```
sudo apt update
sudo apt -y install tor nyx
```
Hinweis: nyx ist ein Terminal-Monitor für Tor.

3.3 torrc konfigurieren

Die Konfiguration erfolgt in /etc/tor/torrc. Beispiel für ein reines Middle-Relay mit Bandbreitenlimit und IPv6:

sudo nano /etc/tor/torrc

# --- Basis ---
RunAsDaemon 1
ORPort 9001
# Optional IPv6 (wenn vorhanden):
# ORPort [::]:9001
Nickname comtomRelay
ContactInfo Thomas Rüdesheim <kontakt@BlueHome Automation.com>

# Reines Middle-Relay (kein Exit!)
ExitRelay 0
# (Alternativ/ergänzend: ExitPolicy reject *:*)

# --- Bandbreite (an Anschluss anpassen) ---
# Dauerhaftes Limit, z. B. 4 Mbit/s:
RelayBandwidthRate 4 MBytes
# Kurzzeitiger Burst darüber, z. B. 6 Mbit/s:
RelayBandwidthBurst 6 MBytes

# --- Erreichbarkeit hinter NAT ---
# Wenn dein öffentlicher Hostname/IPv4 abweicht:
# Address dein.dyndns.name

# --- Logging (optional, moderat halten) ---
Log notice file /var/log/tor/notices.log

      🔐 Middle, nicht Exit: ExitRelay 0 stellt sicher, dass dein Knoten keinen ausgehenden „normalen“ Internetverkehr bedient. Das minimiert rechtliche Risiken und Abuse-Mails.
    

3.4 Dienst starten & aktivieren

sudo systemctl daemon-reload
sudo systemctl enable tor
sudo systemctl restart tor
sudo systemctl status tor --no-pager

3.5 Firewall & Router-Freigabe

UFW lokal:

sudo apt -y install ufw
sudo ufw allow 22/tcp
sudo ufw allow 9001/tcp
sudo ufw enable
sudo ufw status

Im Router Port-Forwarding für TCP 9001 auf die Pi-IP einrichten.
Wenn verfügbar, auch IPv6 öffnen (keine NAT nötig, aber Firewall anpassen).

3.6 Erreichbarkeit & Fingerprint prüfen

Tor-Fingerprint anzeigen:

sudo -u debian-tor tor --list-fingerprint

Logs verfolgen:
```
journalctl -u tor -f
```
Terminal-Monitor:
```
nyx
```

3.7 Stabiler Betrieb

Updates: sudo apt update && sudo apt -y upgrade (monatlich oder via unattended-upgrades).
Kühlung/Netzteil: Pi stabil halten, SD-Karte hochwertig wählen (oder USB-SSD).
Bandbreite feinjustieren: RelayBandwidthRate/Burst so wählen, dass der Haushalt nicht gestört wird.

4. Monitoring & Qualität

Für einen schnellen Blick nutze ich Nyx. Wer tiefer einsteigen will, kann systemweite Metriken mit node_exporter + Grafana überwachen (CPU, Load, Netz, I/O). Wichtig ist vor allem: keine Paketverluste, stabile Latenz, konstante Verfügbarkeit.

5. Häufige Stolpersteine

CGNAT: Wenn dein Provider dich hinter NAT verbirgt, ist dein Port von außen nicht erreichbar. Lösung: Tarif wechseln, statische IP buchen oder IPv6 nutzen.
DSL-Upload: Alte Anschlüsse haben wenig Upload. Starte konservativ (z. B. 1–2 Mbit/s) und steigere langsam.
Router-Sicherheitsfunktionen: Manche „Sicherheitsschalter“ blockieren unbekannte eingehende Verbindungen. Whitelist für Port 9001 setzen.

6. Warum das hilft – ganz konkret

Autoritäre Regime blockieren oft Zugänge zu Informationen, Social-Media-Plattformen oder Messengern. Tor verbindet Nutzer über mehrere Relays; Deep-Packet-Inspection sieht nur verschlüsselten Tor-Traffic und hat es schwerer, einzelne Ziele zu sperren. Mehr Middle-Relays bedeuten mehr parallele Wege, höhere Bandbreite und damit funktionierende Verbindungen – besonders in Krisenzeiten. Mein Relay ist ein kleines Zahnrad in einem großen dezentralen Getriebe, das Menschen tatsächlich hilft.

      🧭 Rechtlicher Hinweis (keine Rechtsberatung): Ein Middle-Relay stellt keinen Exit-Traffic bereit. Prüfe dennoch Vertragsbedingungen deines Providers und halte Logs minimal (notice reicht).
    

7. Fazit

Ein Tor-Middle-Relay zu betreiben ist unkompliziert, ressourcenschonend und wirksam. Es ist mein technischer Beitrag gegen Zensur – leise, aber nachhaltig. Wenn du einen kleinen Server oder Raspberry Pi hast, kannst du mit wenigen Schritten mithelfen. Freiheit im Netz skaliert, wenn viele kleine Knoten Verantwortung übernehmen.

Fragen? Ich helfe bei der Relay-Einrichtung