Fritz!Box: Mehr Privatsphäre durch regelmäßigen Wechsel der externen IP-Adresse

Skript zum Reboot/Reconnect oder doch lieber Zeitschaltuhr?

Beim Tracking durch Konzerne spielt die IP-Adresse wieder eine größere Rolle, seitdem es mit Cookies etwas schwieriger wird. Da wäre es gut, wenn die externe IP-Adresse (WAN-IP) des eigenen Internetanschlusses häufiger wechseln würde. Vor allem bei Kabel-Internet und wohl auch bei Glasfaseranschlüssen hat man aber oft monatelang dieselbe Adresse: Ein Traum für Tracker.

Auf der Suche nach einer Lösung bin ich auf diesen Blog gestoßen, der letztlich dieses Skript verwendet, um von einem Linux-/Unix-Server (z. B. ein Raspberry Pi) aus die Fritzbox neu zu starten. Eingebunden in einen cron-job kann man die Fritzbox beispielsweise täglich um 4.30 Uhr neu starten, um eine neue WAN-IP zu erhalten. - Soweit die Theorie.

Leider erhält man bei einem Reboot, was ja nur eine Unterbrechung von einigen Sekunden (oder 1 - 2 Minuten?) bedeutet, in den allermeisten Fällen wieder dieselbe IP-Adresse! Man müsste wohl schon einige Minuten, vielleicht auch 10 Minuten, unterbrechen, um mit einer gewissen Wahrscheinlichkeit eine neue WAN-IP zu erhalten.

Aufgrund von den auf jeder Fritzbox mit http://fritz.box:49000/tr64desc.xml und http://fritz.box:49000/wanipconnSCPD.xml abrufbaren Beschreibungen ist zu erkennen, dass die Fritzbox eine Aktion namens ForceTermination kennt, mit der man die Verbindung trennen kann. In der Hoffnung, dass dann nicht gleich eine Wiederverbindung stattfindet, sondern dass man einige Minuten warten kann, bevor man mit der Aktion RequestConnection eine Wiederverbindung vornimmt, habe ich das Ausgangsskript so verändert, dass nicht Reboot aufgerufen wird, sondern ForceTermination. Dazu im Skript die Variablen wie folgt besetzen:

• location=„/upnp/control/wanipconnection1“
• uri=„urn:dslforum-org:service:WANIPConnection:1“
• action=‚ForceTermination‘

Das wirft bei mir aber einen UPnPError mit errorCode 707. Eine nach demselben Muster ausgeführte Anfrage nach der WAN-IP funktioniert hingegen. Dazu die ersten beiden Variablen wie eben und die dritte so:

• action=‚GetExternalIPAddress‘

Ist hier (also bei ForceTermination) vielleicht die Implementierung seitens AVM beschränkt?

Jedenfalls haben diese Hindernisse und Beschränkungen bei mir zu der Überlegung geführt, ob es nicht vielleicht am zweckdienlichsten ist, die Fritzbox einfach per Zeitschaltuhr jede Nacht für 10 min vom Strom zu trennen, um den gewünschten Effekt zu erhalten. Das könnte man auch als Luxus-Variante mit IP-gesteuerter Schaltsteckdose ausführen, falls dabei irgendein Zusatznutzen erkennbar wird (wobei hier natürlich die Verbindung vom Server zur Steckdose nicht über die Fritzbox laufen darf). Gibt es Gründe, die gegen eine tägliche 10-minütige Trennung der Fritzbox vom Stromnetz sprechen?

Ich habe noch eine öffentliche IPv4-Adresse. Aber irgendwann steht natürlich die (global gesehen eigentlich längst überfällige) Umstellung auf IPv6 an. Macht diese Vorgehenweise unter IPv6 dann überhaupt noch Sinn? Hat man unter IPv6 vielleicht ohnehin immer dieselbe IP oder kann man sie ohnehin viel einfacher wechseln?

Noch ein Hinweis: Bei heise+ (Paywall) wird erklärt, wie man mit der Fritzbox SSL-verschlüsselt kommuniziert und das Passwort nicht im Klartext sondern kombiniert mit weiteren Angaben als gehashtes „Secret“ auf dem Server ablegt. (Ist nur ein MD5-Hash, aber immer noch besser als Klartext). Der zusätzliche Aufwand lohnt sich aber natürlich nur, wenn die IP-Erneuerung an sich zuverlässig funktioniert.

Meine FritzBox trennt nachts immer das WLAN für einige Stunden… Kann man in der Box einstellen. Habe so täglich eine andere IP, allerdings immer in einer überschaubaren Anzahl von Bereichen…

Beim WLAN geht es um interne IP-Adressen, also um Adressen im internen Netzwerk deiner Wohnung. Die sind um mehrere Größenordnungen weniger interessant/empfindlich, was die Privatsphäre angeht, als die hier von mir angesprochene externe (also öffentliche) IP-Adresse. Das ist die, die du vom deinem Provider (ISP) bekommst und mit der du mit dem Internet verbunden bist. Sie ist deutlich weniger einfach zu wechseln.

Die FritzBox trennt sich auch vom Internet und soll eine neue IP-Adresse beziehen. Sie trennt das regelmäßig, das kann man in den Ereignissen nachlesen, ob es eine neue IP-Adresse gibt, werde ich mal untersuchen für die nächste Zeit.
Die Zwangstrennung ist vom ISP anhängig. Bei der Suche nach einem neuen Telefonanschluss für meine Mutter, die einen Hausnotrufknopf hatte, hatten wir erfahren, dass alle ISP jede Nacht trennen, nur die Telekom trennt nur alle 6 Monate.
Das war für diesen Hausnotrufknopf sehr wichtig, da der die Trennung auf eigene Weise interpretierte und sehr laut „Frau XXXXX sind sie noch da?“ durch das Haus brüllte. Das will man nicht.

Vermutlich handelt es sich hierbei um einen DSL-Anschluss. Kabel- (und wahrscheinlich auch Glasfaser-) Anschlüsse haben normalerweise keine Zwangstrennung. Mein Kabelanschluss hatte bis vorgestern seit Anfang Januar (als der letzte Reboot der FB statt fand) dieselbe Adresse. S. a. Eröffnungspost.

@Qronos
Das ließe sich auch ohne cronjob lösen:
In der FRITZ!Box unter /Internet/Zugangsdaten/Internetzugang/Verbindungseinstellungen: Zwangstrennung durch den Anbieter verschieben → eine Uhrzeit eintragen.

@Wayne Diese Einstellungsmöglichkeit gibt es bei meiner FB 6490 Cable gar nicht. Hast du vielleicht auch einen DSL-Anschluss mit einer entsprechenden FB?

EDIT: Dazu kommt noch das Problem, dass man nach einer kurzen Trennung (zumindest bei Kabel-Anschlüssen) praktisch immer dieselbe Adresse wieder bekommt. Mit der von mir vorgestellten Methode ließe sich versuchen, zwischen Trennung und Wiederverbindung einige Zeit verstreichen zu lassen. Oder wenigstens mehrere Trennungen nacheinander vorzunehmen und dazwischen jeweils die jetzt erhaltene Adresse mit der vorherigen zu vergleichen, um zu testen, ob sie sich verändert hat.

Da war ich einfach zu schnell mit meiner Antwort. Ja, es handelt sich um einen DSL Anschluss mit entsprechender FB. Ich hatte gehofft, dass das ebenfalls für Kabel gilt.
Sorry

Mir war auch nicht klar, dass es in dieser deutlichen Ausprägung nur Kabel- (und Glasfaser?) Anschlüsse betrifft. Daher Danke an @Wayne und @B3rnd für den Beitrag zur Klärung!

Nein meine externe IP ist danach immer eine andere. LG

Ich kann zwar auch nur für eine DSL Verbindung schreiben, aber vielleicht haben ja Kabel/Glasfasernutzer auch die Möglichkeit sich von der Fritzbox per Mail benachrichtigen zu lassen, wenn eine neue IP Adresse vergeben wurde. So hat man wenigstens den Überblick, ob überhaupt und wann ein Wechsel stattfindet.
Fritzbox >System >Pushservice >Reiter PushServices und dann Häkchen bei „Aktuelle IP Adresse“ setzen. Auf dem Reiter „Absender“ kann die Maileinstellung für die Push Benachrichtigung eingestellt werden.
Unter >Internet >Online-Monitor kann ich im Reiter „Online-Monitor“ den Button „Neu verbinden“ betätigen, um eine neue IP-Adresse zu bekommen, ohne den Router neu starten zu müssen.

Ich werf da mal 2 Links in den Raum wo du vielleicht fündig wirst. In der Hoffnung es bringt dich weiter…

fritzconnection documentation

Using fritzconnection is as easy as:

from fritzconnection import FritzConnection

fc = FritzConnection(address="192.168.178.1", user="user", >password="pw")
print(fc)  # print router model information

# tr-064 interface: reconnect for a new ip
fc.call_action("WANIPConn1", "ForceTermination")
fc.reconnect()  # do the same with a shortcut

# http interface: get history data from a device with given 'ain'
fc.call_http("getbasicdevicestats", "12345 7891011")

https://github.com/kbr/fritzconnection

@tulpenknicker Das ist seeeeehr interessant, ein ganz großes Dankeschön!

Ein erstes Überfliegen der Doku erweckt allerdings den Eindruck, dass die Aktion ForceTermination automatisch einen sofortigen Reconnect auslöst. Damit wäre meine Idee mit dem Warten nach Verbindungstrennung, um die Chance auf eine veränderte IP-Adresse zu erhöhen, hinfällig.

Ich werd’s mir aber auf jeden Fall noch genauer ansehen, wenn ich die Gelegenheit dazu habe.

Ich kann das für die in „meiner Obhut“ befindlichen Boxen 6660 Cable und 6690 Cable bestätigen. Keine Möglichkeit eine Zwangstrennung zeitlich zu planen, da eine Zwangstrennung bei Kabelanbietern wohl nicht vorgesehen (oder üblich) ist.

Mein vorschlag ist zwar langweilig, aber ich würde eine 5€ Zeitschaltuhr nehmen und jede nacht mal abschalten für eine kurze zeit.

Das hatte ich ja in meinem OP bereits angedacht. Gut möglich, dass es darauf hinausläuft. Oder könnte irgendetwas dagegen sprechen?

Nach meiner Erfahrung (2x Privatanschlüsse Vodafone, ehemals UM, 1x Business ebenfalls ehem. UM) kann man bei einem Kabelanschluss selbst keinen Wechsel der IP veranlassen. Habe alle drei nochmal getestet.

Auch eine längere Trennung ändert daran nichts. Beim Business-Anschluss ist der letzte Wechsel fast 1.5 Jahre her.
Der Wechsel findet gefühlt nur im Zuge von providerseitigen Maßnahmen, z.B. beim letzten großen FB-Update oder einer Restrukturierung im Netz.

Ob man da konkret was selbst anstossen kann, wird man letztlich nur vom Provider erfahren können.

Ungeachtet dessen gehe ich in der Praxis nicht davon aus, dass bei einem Wechsel der IP und einem DSL- oder Kabelanschluss eine erhebliche Besserung der Situation bzgl. Privacy erfolgt. Vor allem dann nicht, wenn man nicht der einzige Nutzer im LAN ist und die Mitnutzer dann auch noch immer die gleichen sind.

Ich erinnere mich dunkel an die Zeit, als ich Netzwerk/IP lernte. Da war sowas bei der IP-Adresszuteilung per DHCP, das sich „Lease Time“ nannte und bedeutete, dass bei Trennung eines Hosts vom Netz dessen IP-Adresse über einen am DHCP-Server einstellbaren Zeitraum für diesen Host (MAC-Adresse) reserviert bleibt.
Ich weiß nicht, wie Provider das heutzutage handhaben, vermute aber, dass das auch eine Rolle spielen kann beim Versuch, die öffentliche IP-Adresse gewechselt zu bekommen.

Bin auch kein Experte aber ist nicht der Sinn von einem kommerziellen VPN seine IP zu verbergen?
Kann man diesen nicht in der Fritzbox hinterlegen?

Hab sonst auch mal hier gelesen, dass sich die wechselnden IP Adressen sehr schnell wiederholen.
Und ein Business Zugang eine dauerhafte eigene IP hat.

Falls ich daneben liege, den Beitrag einfach ignorieren.

Ein Business-Zugang hat das, was dem Provider technisch möglich und was vertraglich vereinbart ist. Hätte der genannte eine feste IP, hätte ich den nicht erwähnt.