digital-world.dev

Tor & Privacy

Tor Middle Relay auf Debian betreiben

Ein Tor Middle Relay ist ein starker Einstieg in Privacy-Infrastruktur: Es unterstützt das Tor-Netzwerk mit Bandbreite und Stabilität, ohne die operativen Risiken eines Exit-Relays zu übernehmen. Dieser Guide zeigt die wichtigsten technischen und organisatorischen Punkte für Debian.

← Zurück zu allen Artikeln Zum Thema: Tor & Privacy

Grundsatz

Ein Relay ist Infrastruktur, kein einmal gestarteter Dienst.

Privacy Infrastructure

Tor-Relay-Betrieb besteht aus mehr als Installation und Start. Entscheidend sind stabile Erreichbarkeit, saubere Konfiguration, Kontaktinformationen, Bandbreitenplanung, Updates, Monitoring und eine klare Kommunikation gegenüber Providern.

Role Middle

Transportiert Traffic innerhalb des Tor-Circuits, ohne Exit-Traffic ins Internet zu leiten.

Port ORPort

Der ORPort muss öffentlich erreichbar sein, sonst ist das Relay praktisch nutzlos.

Contact ContactInfo

Kontaktinformationen helfen bei technischen Problemen und Abuse-Rückfragen.

Ops Monitoring

Service-Zustand, Logs, Bandbreite und externe Sichtbarkeit regelmäßig prüfen.

Relay-Rolle

Warum ein Middle Relay ein guter Einstieg ist.

Middle Relays stärken das Tor-Netzwerk, ohne als Exit ins offene Internet aufzutreten. Dadurch sind sie für viele Betreiber operativ einfacher und risikoärmer als Exit-Relays.

Middle

Transport im Circuit

Ein Middle Relay transportiert verschlüsselten Traffic zwischen anderen Relays. Es kennt nicht den kompletten Pfad.

Kein Exit

Keine direkte Zielverbindung

Anders als ein Exit Relay verbindet ein Middle Relay nicht direkt zu Zielservern im Internet.

Stabilität

Laufzeit zählt

Tor bewertet Relays nicht nur nach Maximalbandbreite, sondern auch nach Stabilität und Verfügbarkeit.

Bandbreite

Planbar betreiben

Bandbreitenlimits sollten zum Server, Tarif und Provider passen. Unrealistische Werte bringen nichts.

Transparenz

ContactInfo setzen

Eine Kontaktadresse signalisiert Verantwortlichkeit und erleichtert Rückfragen.

MyFamily

Mehrere Relays deklarieren

Wer mehrere Relays betreibt, sollte diese sauber per MyFamily miteinander verknüpfen.

Installation

Tor auf Debian installieren.

Für einen stabilen Relay-Betrieb sollte Debian aktuell gehalten werden. Tor kann über die Paketquellen installiert werden. Je nach Anspruch kann zusätzlich das offizielle Tor-Repository sinnvoll sein.

Debian

Basisinstallation

apt update
apt install -y tor nyx
systemctl enable --now tor
systemctl status tor --no-pager

nyx ist optional, aber praktisch für lokale Status- und Bandbreitenprüfung.

Firewall

ORPort erreichbar machen.

Der ORPort ist der öffentliche Port, über den andere Tor-Relays dein Relay erreichen. Wenn dieser Port durch Firewall, Provider-Regeln oder falsche Bind-Adressen blockiert ist, wird das Relay nicht sauber nutzbar.

Prüfung

Listener und Firewall prüfen

ss -tulpen | grep tor
nft list ruleset
ufw status verbose
journalctl -u tor -n 100

torrc

Minimal sinnvolle Middle-Relay-Konfiguration.

Die Datei /etc/tor/torrc steuert die Relay-Rolle. Die folgende Konfiguration ist ein Einstiegspunkt und muss an Hostname, Bandbreite, Kontaktadresse und Betriebsmodell angepasst werden.

/etc/tor/torrc

Beispiel für ein Middle Relay.

Config

Middle Relay Baseline

Nickname DigitalWorldRelay01
ContactInfo kontakt AT digital-world DOT dev
ORPort 9001
ExitRelay 0
SocksPort 0
ControlPort 9051
BandwidthRate 50 MBytes
BandwidthBurst 70 MBytes

ExitRelay 0 stellt klar, dass dieser Node nicht als Exit betrieben wird. SocksPort 0 deaktiviert lokale Client-Nutzung, wenn der Server nur Relay sein soll.

Validierung

Konfiguration testen und Dienst neu laden.

Nach Änderungen an der torrc sollte der Dienst geprüft und sauber neu geladen werden. Logs zeigen meist sehr deutlich, ob ORPort, Nickname, Bandbreite oder andere Werte problematisch sind.

Befehle

Tor neu laden und prüfen

systemctl restart tor
systemctl status tor --no-pager
journalctl -u tor -n 120 --no-pager
grep -i "self-testing" /var/log/tor/log

Erreichbarkeit

Extern prüfen, nicht nur lokal.

Lokal kann Tor sauber laufen, während der ORPort von außen nicht erreichbar ist. Deshalb gehört externe Prüfung zum Betrieb: Firewall, Provider-Filter, IPv6 und tatsächliche Erreichbarkeit.

Prüfung

Ports und Logs

ss -tulpen | grep 9001
journalctl -u tor | grep -i "reachable"
journalctl -u tor | grep -i "orport"

MyFamily

Mehrere eigene Relays müssen deklariert werden.

wichtig

Wer mehrere Relays betreibt, sollte sie mit MyFamily verknüpfen. Dadurch kann das Netzwerk vermeiden, mehrere Relays desselben Betreibers im selben Circuit zu kombinieren. Das ist ein Transparenz- und Sicherheitsmerkmal.

Problem Mehrere Relays

Ohne Kennzeichnung weiß das Netzwerk nicht, dass Relays zusammengehören.

Risiko Pfad-Korrelation

Mehrere eigene Relays könnten theoretisch in einem Circuit landen.

Fix Fingerprints

Relay-Fingerprints sauber in MyFamily pflegen.

Pflege Dokumentation

Relay-Namen, Fingerprints, Standorte und Ports dokumentieren.

Monitoring

Ein Relay muss beobachtet werden.

Tor-Relays sollten nicht einfach unbeobachtet laufen. Wichtig sind Dienstzustand, Logs, Bandbreite, Erreichbarkeit, Flags und externe Sichtbarkeit.

systemd

Dienststatus

systemctl status tor --no-pager

journalctl

Logs prüfen

journalctl -u tor --since "24 hours ago"

nyx

Live-Status

nyx

Ports

Listener anzeigen

ss -tulpen | grep tor

Bandwidth

Bandbreite prüfen

journalctl -u tor | grep -i bandwidth

Updates

System aktuell halten

apt update && apt list --upgradable

Provider

Kontakt und Abuse-Kommunikation vorbereiten.

Auch Middle Relays können Rückfragen auslösen. Eine saubere Kontaktadresse, kurze Erklärung zum Relay-Betrieb und technische Dokumentation helfen, Missverständnisse mit Hostern zu vermeiden.

Vorbereitung

Was dokumentiert sein sollte

Relay-Rolle, IP-Adresse, ORPort, ContactInfo, ExitRelay 0, Bandbreitenlimit, Betreiberkontakt und Hinweis auf Tor Middle Relay.

Exit-Abgrenzung

Middle Relay ist nicht Exit Relay.

Ein Middle Relay leitet keinen Traffic direkt ins offene Internet aus. Diese Unterscheidung ist wichtig, wenn Provider oder Dritte Traffic falsch einordnen.

Konfigurationspunkt

Exit deaktivieren

ExitRelay 0
ExitPolicy reject *:*

Typische Fehler

Was Relay-Betrieb unnötig instabil macht.

Die meisten Probleme entstehen durch fehlende Erreichbarkeit, schlechte Dokumentation, falsche Ports oder unklare Betreiberkommunikation.

Fehler 1

ORPort nicht offen

Tor läuft lokal, aber andere Relays erreichen den ORPort nicht. Firewall und Provider prüfen.

Fehler 2

ContactInfo fehlt

Ohne Kontaktadresse wirkt der Betrieb weniger transparent und Rückfragen laufen ins Leere.

Fehler 3

MyFamily vergessen

Mehrere eigene Relays sollten sauber miteinander verknüpft werden.

Fehler 4

Unrealistische Bandbreite

Zu hohe Werte können Server, Tarif oder Provider unnötig belasten.

Fehler 5

Keine Updates

Tor und Debian müssen gepflegt werden. Alte Versionen sind ein Betriebsrisiko.

Fehler 6

Kein Monitoring

Ohne Monitoring fällt erst spät auf, wenn Relay, Port oder Bandbreite kippen.

01

Vor Start

  • Debian aktualisieren
  • Tor installieren
  • ContactInfo vorbereiten
  • ORPort und Firewall planen
02

Konfiguration

  • Nickname setzen
  • ExitRelay 0 setzen
  • BandwidthRate definieren
  • MyFamily bei mehreren Relays pflegen
03

Betrieb

  • Logs prüfen
  • Erreichbarkeit validieren
  • Bandbreite beobachten
  • Provider-Kommunikation bereithalten

Fazit

Ein Tor Relay ist ein Beitrag zu digitaler Infrastruktur.

Ein stabil betriebenes Middle Relay stärkt das Tor-Netzwerk, verbessert Kapazität und unterstützt Privatsphäre. Entscheidend sind saubere Konfiguration, Erreichbarkeit, Monitoring und verantwortungsvoller Betrieb.

Mehr Tor & Privacy Nächster Artikel: n8n Pipeline