Am Freitag 01 Oktober 2004 22:59 schrieb Stefan Schilling:
Guten Tag Marco Röben,
Am Freitag, 1. Oktober 2004 um 18:33 schrieb Marco Röben:
Hallo!
Zunächst einmal ein grosses Dankeschön für die Antworten.
Ich glaube, ich muss das Ganze ein bischen präzisieren: tatsächlich funktionieren sollen eigentlich "nur" Skype und Trillian (oder ein anderes ICQ - Programm). Wir haben versucht, das Ganze über Port 80 laufen zu lassen, was leider fehlschlug. Deshalb war die Idee, entweder einzelne Ports zu tunneln (was jedoch bei einem P2P - Programm schwierig werden könnte, da ich ja vorneweg sagen muss, welche Rechner angesprochen werden soll) oder aber einfach einen VPN aufzusetzen, der dann, wenn gewünscht alles weiterleiten sollte (unsere Uni bietet einen VPN - Zugang an, den hätten wir dann einfach genutzt).
Wenn es die Möglichkeit gibt, wäre das wohl die geeignetste Lösung.
Dummerweise ist es uns bisher nicht gelungen, - eine Verbindung mit Skype (sowohl auf dem Standardport (31855), als auch über Port 80) - eine Verbindung mit Trillian (zu login.icq.com, Port 5190), - eine Verbindung zum VPN unserer Uni
Admin der Uni fragen, was da läuft und welche Authentifizierung u.s.w.
- eine Verbindung von der Partneruni (übrigens die University of Central England) zu meinem Server (Ports 80 + 443) aufzubauen.
Wäre es tatsächlich möglich, die Programme über Port 80 laufen zu lassen, würde Skype laufen, was es aber nicht tut. Das Programm "http-proxy" habe ich noch getestet, ich werde meine Bekannte aber noch bitten, dies zu tun.
In der Regel reicht es nicht aus, das Programm einfach über Port 80 laufen zu lassen, um es durch den http-Proxy zu bringen. Es sollte schon durch das HTTP-Protokoll getunnelt werden, d.h. die Kommunikation auf dem Session-Layer (OSI-Layer 5, Kommunikations-Steuerung auf Anwendungs-Ebene) muss über die entsprechenden Protokoll-Befehle von HTTP laufen. Du brauchst also auf beiden Seiten eine Anwendung, die den Dateninhalt der gewünschten Anwendung in HTTP-Segmente packt und entsprechend auf der anderen Seite wieder entpackt (Stichwort: http-Tunnelung)
Ausserdem glaube ich nicht (wir habens noch nicht probiert...), dass der Admin tatsächlich die Verbindung freigeben wird, denn wenn sich sowas rumspricht, kommt der gar nicht mehr zur Ruhe.
Nicht nur das, das Ganze hat auch was mit Sicherheits-Policies im LAN zu tun. Deshalb würde ich mich vorher auch schlau machen, ob irgendwie auch eine Tunnelung von Fremdprotokollen verboten oder eingeschränkt ist (per Nutzungsordnung z.B.). Andererseits - wenn auch ein VPN-Gateway angeboten wird.
Wir werden es probieren, dann melde ich mich nochmal. Was mir halt Sorgen macht ist, dass es nicht mal über den verschlüsselten Port funktioniert, denn zumindest diese Daten SOLLTE der Proxy -hoffentlich- nicht analysieren können. Entweder wird eine Verbindung zu einer https:// - Adresse komplett geblockt (unwahrscheinlich, werde ich aber abprüfen lassen) oder aber er merkt, dass ers grad nicht mit einer verschlüsselten Website zu tun hat, sondern mit einer ssh-Verbindung.
Siehe oben: Port 80 ist noch netzwerkseitig im TCP/IP-Stack (OSI-Layer 4). Der wird aber nicht geforwardet (offensichtlich), sondern an den Proxy weitergeleitet. Dem Proxy ist aber der Port eigentlich relativ egal (er muss nur wissen, von welchem Port er die Daten entgegenzunehmen hat -> Konfiguration). Die eingehenden Daten verarbeitet er dann nach dem HTTP-Protokoll, und dafür gibt es eine bestimmte Syntax (--> Sniffer ;-). Kommt was anderes, wird es ignoriert und verworfen.
Ich hoffe, dies macht meine Denkrichtung etwas klarer, falls noch Fragen auftauchen, immer her damit, ich werd versuchen, sie schnellstmöglich zu klären.
Du solltest versuchen, einen VPN-Tunnel zu realisieren. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu