Hallo! Eine Bekannte von mir braucht einen Zugang zu meinem Server, dieser Zugang ist über SSH (sowohl Port 22, als auch 443) möglich. Die Sache hat nur einen Haken: sie sitzt in einem Uni - Netz, dass anscheinend durch einen transparenten Proxy gesichert wird. Als Ergebnis kommt sie nicht auf meinen Server drauf. Frage: was kann man da tun? Im Moment weiss ich echt nicht weiter; mein Server läßt sich auf jeden Fall rel. frei konfigurieren, auf das Uni - Netz haben wir jedoch keinen Einfluß. Danke für ein paar Ideen und ein schönes Wochenende noch! Stefan
Am Fr, den 01.10.2004 schrieb Stefan Schilling um 16:04:
Hallo!
Eine Bekannte von mir braucht einen Zugang zu meinem Server, dieser Zugang ist über SSH (sowohl Port 22, als auch 443) möglich. Die Sache hat nur einen Haken: sie sitzt in einem Uni - Netz, dass anscheinend durch einen transparenten Proxy gesichert wird. Als Ergebnis kommt sie nicht auf meinen Server drauf.
Frage: was kann man da tun? Im Moment weiss ich echt nicht weiter; mein Server läßt sich auf jeden Fall rel. frei konfigurieren, auf das Uni - Netz haben wir jedoch keinen Einfluß.
Danke für ein paar Ideen und ein schönes Wochenende noch!
Stefan
Hi, wie wärs mit einem http Tunnel: http://www.nocrew.org/software/httptunnel.html viel spass Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
Stefan Schilling wrote:
Eine Bekannte von mir braucht einen Zugang zu meinem Server, dieser Zugang ist über SSH (sowohl Port 22, als auch 443) möglich. Die Sache hat nur einen Haken: sie sitzt in einem Uni - Netz, dass anscheinend durch einen transparenten Proxy gesichert wird. Als Ergebnis kommt sie nicht auf meinen Server drauf.
naja, das heisst ja wohl eher das kein SSH nach aussen geht. was macht sie denn und was fuer eine fehlermeldung kommt?
Frage: was kann man da tun? Im Moment weiss ich echt nicht weiter; mein Server läßt sich auf jeden Fall rel. frei konfigurieren, auf das Uni - Netz haben wir jedoch keinen Einfluß.
ein "transparenter" proxy, laesst sich halt nur schlecht umgehen. evtl. mal auf anderen ports probieren, bis einer funzt. Ich tippe eher darauf, das die Firewall alles ausser port 80 blockiert. Dann hilft es, einen webzugagn aufzubauen, da das ja auf jeden fall geht (z.B. ueber usermin kann ein SSH zugang realisiert werden). ciao T
Am Freitag 01 Oktober 2004 17:01 schrieb Dr. Thorsten Brandau:
Stefan Schilling wrote:
Eine Bekannte von mir braucht einen Zugang zu meinem Server, dieser Zugang ist über SSH (sowohl Port 22, als auch 443) möglich. Die Sache hat nur einen Haken: sie sitzt in einem Uni - Netz, dass anscheinend durch einen transparenten Proxy gesichert wird. Als Ergebnis kommt sie nicht auf meinen Server drauf.
naja, das heisst ja wohl eher das kein SSH nach aussen geht.
was macht sie denn und was fuer eine fehlermeldung kommt?
Frage: was kann man da tun? Im Moment weiss ich echt nicht weiter; mein Server läßt sich auf jeden Fall rel. frei konfigurieren, auf das Uni - Netz haben wir jedoch keinen Einfluß.
ein "transparenter" proxy, laesst sich halt nur schlecht umgehen. evtl. mal auf anderen ports probieren, bis einer funzt. Ich tippe eher darauf, das die Firewall alles ausser port 80 blockiert.
Es reicht ja aus, wenn einfach kein IP-Forwarding auf dem Gateway ins Internet für Rechner aus dem LAN läuft. Das ist ja der Hauptgrund für den Einsatz eines Proxys: keine direkte Verbindung aus dem LAN ins Fremdnetz, das darf nur der Proxy. Da ist es sogar egal, ob der Proxy transparent ist oder nicht.
Dann hilft es, einen webzugagn aufzubauen, da das ja auf jeden fall geht (z.B. ueber usermin kann ein SSH zugang realisiert werden).
Ja, irgendeine Art, einen Konsolenzugang über http realisieren (Tunnelung, Java-Applet). usermin wäre da wohl das einfachste. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
On Friday 01 October 2004 16:04, Stefan Schilling wrote:
Eine Bekannte von mir braucht einen Zugang zu meinem Server, dieser Zugang ist über SSH (sowohl Port 22, als auch 443) möglich. Die Sache hat nur einen Haken: sie sitzt in einem Uni - Netz, dass anscheinend durch einen transparenten Proxy gesichert wird. Als Ergebnis kommt sie nicht auf meinen Server drauf.
Frage: was kann man da tun? Im Moment weiss ich echt nicht weiter; mein Server läßt sich auf jeden Fall rel. frei konfigurieren, auf das Uni - Netz haben wir jedoch keinen Einfluß.
Danke für ein paar Ideen und ein schönes Wochenende noch!
Was spricht dagegen einfach mal den Administrator zu fragen ob er nicht für die IP Deiner Bekannten für SSH freischalten kann? Evtl. gibt es ja auch eine andere Möglichkeit. Evtl. gibt es auch einen ftp-Proxy für das Netz, der aber nicht standardmäßig von jeder IP aus zugänglich ist. Darüber würden sich dann ja auch Daten austauschen lassen. Einen Admin zu verärgern indem man sicherheitsrelevante Einrichtungen umgeht ist wohl erstmal die schlechteste Wahl, oder? MfG Marco
Guten Tag Marco Röben, Am Freitag, 1. Oktober 2004 um 18:33 schrieb Marco Röben: Hallo! Zunächst einmal ein grosses Dankeschön für die Antworten. Ich glaube, ich muss das Ganze ein bischen präzisieren: tatsächlich funktionieren sollen eigentlich "nur" Skype und Trillian (oder ein anderes ICQ - Programm). Wir haben versucht, das Ganze über Port 80 laufen zu lassen, was leider fehlschlug. Deshalb war die Idee, entweder einzelne Ports zu tunneln (was jedoch bei einem P2P - Programm schwierig werden könnte, da ich ja vorneweg sagen muss, welche Rechner angesprochen werden soll) oder aber einfach einen VPN aufzusetzen, der dann, wenn gewünscht alles weiterleiten sollte (unsere Uni bietet einen VPN - Zugang an, den hätten wir dann einfach genutzt). Dummerweise ist es uns bisher nicht gelungen, - eine Verbindung mit Skype (sowohl auf dem Standardport (31855), als auch über Port 80) - eine Verbindung mit Trillian (zu login.icq.com, Port 5190), - eine Verbindung zum VPN unserer Uni - eine Verbindung von der Partneruni (übrigens die University of Central England) zu meinem Server (Ports 80 + 443) aufzubauen. Wäre es tatsächlich möglich, die Programme über Port 80 laufen zu lassen, würde Skype laufen, was es aber nicht tut. Das Programm "http-proxy" habe ich noch getestet, ich werde meine Bekannte aber noch bitten, dies zu tun. Ausserdem glaube ich nicht (wir habens noch nicht probiert...), dass der Admin tatsächlich die Verbindung freigeben wird, denn wenn sich sowas rumspricht, kommt der gar nicht mehr zur Ruhe. Wir werden es probieren, dann melde ich mich nochmal. Was mir halt Sorgen macht ist, dass es nicht mal über den verschlüsselten Port funktioniert, denn zumindest diese Daten SOLLTE der Proxy -hoffentlich- nicht analysieren können. Entweder wird eine Verbindung zu einer https:// - Adresse komplett geblockt (unwahrscheinlich, werde ich aber abprüfen lassen) oder aber er merkt, dass ers grad nicht mit einer verschlüsselten Website zu tun hat, sondern mit einer ssh-Verbindung. Ich hoffe, dies macht meine Denkrichtung etwas klarer, falls noch Fragen auftauchen, immer her damit, ich werd versuchen, sie schnellstmöglich zu klären. Schönen Abend noch und bis dann! Stefan
On Friday 01 October 2004 16:04, Stefan Schilling wrote:
Eine Bekannte von mir braucht einen Zugang zu mei1nem Server, dieser Zugang ist über SSH (sowohl Port 22, als auch 443) möglich. Die Sache hat nur einen Haken: sie sitzt in einem Uni - Netz, dass anscheinend durch einen transparenten Proxy gesichert wird. Als Ergebnis kommt sie nicht auf meinen Server drauf.
Frage: was kann man da tun? Im Moment weiss ich echt nicht weiter; mein Server läßt sich auf jeden Fall rel. frei konfigurieren, auf das Uni - Netz haben wir jedoch keinen Einfluß.
Danke für ein paar Ideen und ein schönes Wochenende noch!
Was spricht dagegen einfach mal den Administrator zu fragen ob er nicht für die IP Deiner Bekannten für SSH freischalten kann? Evtl. gibt es ja auch eine andere Möglichkeit. Evtl. gibt es auch einen ftp-Proxy für das Netz, der aber nicht standardmäßig von jeder IP aus zugänglich ist. Darüber würden sich dann ja auch Daten austauschen lassen. Einen Admin zu verärgern indem man sicherheitsrelevante Einrichtungen umgeht ist wohl erstmal die schlechteste Wahl, oder?
MfG Marco
Am Freitag 01 Oktober 2004 22:59 schrieb Stefan Schilling:
Guten Tag Marco Röben,
Am Freitag, 1. Oktober 2004 um 18:33 schrieb Marco Röben:
Hallo!
Zunächst einmal ein grosses Dankeschön für die Antworten.
Ich glaube, ich muss das Ganze ein bischen präzisieren: tatsächlich funktionieren sollen eigentlich "nur" Skype und Trillian (oder ein anderes ICQ - Programm). Wir haben versucht, das Ganze über Port 80 laufen zu lassen, was leider fehlschlug. Deshalb war die Idee, entweder einzelne Ports zu tunneln (was jedoch bei einem P2P - Programm schwierig werden könnte, da ich ja vorneweg sagen muss, welche Rechner angesprochen werden soll) oder aber einfach einen VPN aufzusetzen, der dann, wenn gewünscht alles weiterleiten sollte (unsere Uni bietet einen VPN - Zugang an, den hätten wir dann einfach genutzt).
Wenn es die Möglichkeit gibt, wäre das wohl die geeignetste Lösung.
Dummerweise ist es uns bisher nicht gelungen, - eine Verbindung mit Skype (sowohl auf dem Standardport (31855), als auch über Port 80) - eine Verbindung mit Trillian (zu login.icq.com, Port 5190), - eine Verbindung zum VPN unserer Uni
Admin der Uni fragen, was da läuft und welche Authentifizierung u.s.w.
- eine Verbindung von der Partneruni (übrigens die University of Central England) zu meinem Server (Ports 80 + 443) aufzubauen.
Wäre es tatsächlich möglich, die Programme über Port 80 laufen zu lassen, würde Skype laufen, was es aber nicht tut. Das Programm "http-proxy" habe ich noch getestet, ich werde meine Bekannte aber noch bitten, dies zu tun.
In der Regel reicht es nicht aus, das Programm einfach über Port 80 laufen zu lassen, um es durch den http-Proxy zu bringen. Es sollte schon durch das HTTP-Protokoll getunnelt werden, d.h. die Kommunikation auf dem Session-Layer (OSI-Layer 5, Kommunikations-Steuerung auf Anwendungs-Ebene) muss über die entsprechenden Protokoll-Befehle von HTTP laufen. Du brauchst also auf beiden Seiten eine Anwendung, die den Dateninhalt der gewünschten Anwendung in HTTP-Segmente packt und entsprechend auf der anderen Seite wieder entpackt (Stichwort: http-Tunnelung)
Ausserdem glaube ich nicht (wir habens noch nicht probiert...), dass der Admin tatsächlich die Verbindung freigeben wird, denn wenn sich sowas rumspricht, kommt der gar nicht mehr zur Ruhe.
Nicht nur das, das Ganze hat auch was mit Sicherheits-Policies im LAN zu tun. Deshalb würde ich mich vorher auch schlau machen, ob irgendwie auch eine Tunnelung von Fremdprotokollen verboten oder eingeschränkt ist (per Nutzungsordnung z.B.). Andererseits - wenn auch ein VPN-Gateway angeboten wird.
Wir werden es probieren, dann melde ich mich nochmal. Was mir halt Sorgen macht ist, dass es nicht mal über den verschlüsselten Port funktioniert, denn zumindest diese Daten SOLLTE der Proxy -hoffentlich- nicht analysieren können. Entweder wird eine Verbindung zu einer https:// - Adresse komplett geblockt (unwahrscheinlich, werde ich aber abprüfen lassen) oder aber er merkt, dass ers grad nicht mit einer verschlüsselten Website zu tun hat, sondern mit einer ssh-Verbindung.
Siehe oben: Port 80 ist noch netzwerkseitig im TCP/IP-Stack (OSI-Layer 4). Der wird aber nicht geforwardet (offensichtlich), sondern an den Proxy weitergeleitet. Dem Proxy ist aber der Port eigentlich relativ egal (er muss nur wissen, von welchem Port er die Daten entgegenzunehmen hat -> Konfiguration). Die eingehenden Daten verarbeitet er dann nach dem HTTP-Protokoll, und dafür gibt es eine bestimmte Syntax (--> Sniffer ;-). Kommt was anderes, wird es ignoriert und verworfen.
Ich hoffe, dies macht meine Denkrichtung etwas klarer, falls noch Fragen auftauchen, immer her damit, ich werd versuchen, sie schnellstmöglich zu klären.
Du solltest versuchen, einen VPN-Tunnel zu realisieren. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Hallo! Danke für die ausführliche Antwort...
Ich hoffe, dies macht meine Denkrichtung etwas klarer, falls noch Fragen auftauchen, immer her damit, ich werd versuchen, sie schnellstmöglich zu klären.
Du solltest versuchen, einen VPN-Tunnel zu realisieren.
ja, aber was mache ich, wenn der Proxy dies abfängt? Bisher hat es zwei Versuche gegeben - es hat nicht geklappt, allerdings konnte ich bisher nicht feststellen, ob die Anleitung meiner Uni (Bamberg) genau beachtet wurde, deshalb - gab es einen 2. Versuch, allerdings hat sie dabei dies Häkchen mit irgendwas das eine andere Verbindung aufgebaut werden soll (fragt mich nicht, ich hab kein XP...), auf jeden Fall wurde dann AOL aufgerufen, dass Problem habe ich ihr erklärt, wie sies umgeht, allerdings habe ich bisher noch keine Antwort erhalten, obs jetzt geht. Falls es dann immer noch nicht geht, muss (?) ich davon ausgehen, dass der Proxy auch VPN - Verbindungen unterbindet. Gibt es dann noch eine Möglichkeit, dies zu umgehen? Danke! Stefan -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
Am Sonntag 03 Oktober 2004 19:23 schrieb Stefan Schilling:
Hallo!
Danke für die ausführliche Antwort...
Ich hoffe, dies macht meine Denkrichtung etwas klarer, falls noch Fragen auftauchen, immer her damit, ich werd versuchen, sie schnellstmöglich zu klären.
Du solltest versuchen, einen VPN-Tunnel zu realisieren.
ja, aber was mache ich, wenn der Proxy dies abfängt? Bisher hat es
Das hat mit dem Proxy nix zu tun - naja, nicht direkt. Ein VPN-Tunnel muss über ein entsprechendes Gateway realisiert werden. Ist das nicht auf beiden Seiten vorhanden, geht es nicht. Das Gateway verpackt die eigentlich zu übertragenden IP-Pakete in ein anderes Protokoll, was über die gewünschte Verbindung übertragen werden kann. Wenn es z.B. durch das http-Protokoll getunnelt wird, dann lässt es auch der Proxy durch - oder eben über ein anderes Protokoll am Proxy vorbei (z.B. über IPSec). Ich denke, die Uni bietet VPN an?
zwei Versuche gegeben - es hat nicht geklappt, allerdings konnte ich bisher nicht feststellen, ob die Anleitung meiner Uni (Bamberg) genau beachtet wurde, deshalb - gab es einen 2. Versuch, allerdings hat sie dabei dies Häkchen mit irgendwas das eine andere Verbindung aufgebaut werden soll (fragt mich nicht, ich hab kein XP...), auf jeden Fall wurde dann AOL aufgerufen, dass Problem habe ich ihr erklärt, wie sies umgeht, allerdings habe ich bisher noch keine Antwort erhalten, obs jetzt geht.
Falls es dann immer noch nicht geht, muss (?) ich davon ausgehen, dass der Proxy auch VPN - Verbindungen unterbindet. Gibt es dann noch eine Möglichkeit, dies zu umgehen?
Wie gesagt, der Proxy leitet http(s)-Datenströme (und ggf. auch passives ftp) weiter - genauer gesagt: Er nimmt die Anfragen entgegen und stellt dann diese Anfrage als eigene ins Internet (Proxy = Stellvertreter) und gibt die Antworten dann als eigene Antwort an den Client zurück. Alle anderen Protokolle lassen den Proxy völlig unbeeindruckt - sie interessieren ihn nicht. Wenn die UNI einen VPN-Zugang anbietet, so läuft dieser parallel zum Proxy. Alles andere würde keinen Sinn machen. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Guten Tag Matthias Houdek, Am Sonntag, 3. Oktober 2004 um 22:34 schrieb Matthias Houdek:
Am Sonntag 03 Oktober 2004 19:23 schrieb Stefan Schilling:
Hallo!
Danke für die ausführliche Antwort...
Ich hoffe, dies macht meine Denkrichtung etwas klarer, falls noch Fragen auftauchen, immer her damit, ich werd versuchen, sie schnellstmöglich zu klären.
Du solltest versuchen, einen VPN-Tunnel zu realisieren.
ja, aber was mache ich, wenn der Proxy dies abfängt? Bisher hat es
Das hat mit dem Proxy nix zu tun - naja, nicht direkt.
Ein VPN-Tunnel muss über ein entsprechendes Gateway realisiert werden. Ist das nicht auf beiden Seiten vorhanden, geht es nicht.
ist vorhanden, ich hab es schon genutzt.
Das Gateway verpackt die eigentlich zu übertragenden IP-Pakete in ein anderes Protokoll, was über die gewünschte Verbindung übertragen werden kann. Wenn es z.B. durch das http-Protokoll getunnelt wird, dann lässt es auch der Proxy durch - oder eben über ein anderes Protokoll am Proxy vorbei (z.B. über IPSec).
es klappt nicht. d.h. meine Freundin hat es nochmals probiert, aber keine Verbindung hinbekommen.
Ich denke, die Uni bietet VPN an?
tut sie auch. Die Adresse lautet ja extra vpn.uni-bamberg.de es gibt auch eine Anleitung, wie das Ganze eingerichtet wird (http://www.uni-bamberg.de/urz/netze/vpn/index.htm) -nach der hat es meine Freundin -hoffentlich- probiert-. Nochwas: wird diese Verbindung eigentlich verschlüsselt? Immerhin werden darüber ja auch Passwörter transportiert. Auf der Uniseite findet sich dazu kein Hinweis (zumindest habe ich keinen gefunden).
zwei Versuche gegeben - es hat nicht geklappt, allerdings konnte ich bisher nicht feststellen, ob die Anleitung meiner Uni (Bamberg) genau beachtet wurde, deshalb - gab es einen 2. Versuch, allerdings hat sie dabei dies Häkchen mit irgendwas das eine andere Verbindung aufgebaut werden soll (fragt mich nicht, ich hab kein XP...), auf jeden Fall wurde dann AOL aufgerufen, dass Problem habe ich ihr erklärt, wie sies umgeht, allerdings habe ich bisher noch keine Antwort erhalten, obs jetzt geht.
Falls es dann immer noch nicht geht, muss (?) ich davon ausgehen, dass der Proxy auch VPN - Verbindungen unterbindet. Gibt es dann noch eine Möglichkeit, dies zu umgehen?
Wie gesagt, der Proxy leitet http(s)-Datenströme (und ggf. auch passives ftp) weiter - genauer gesagt: Er nimmt die Anfragen entgegen und stellt dann diese Anfrage als eigene ins Internet (Proxy = Stellvertreter) und gibt die Antworten dann als eigene Antwort an den Client zurück. Alle anderen Protokolle lassen den Proxy völlig unbeeindruckt - sie interessieren ihn nicht.
Wenn die UNI einen VPN-Zugang anbietet, so läuft dieser parallel zum Proxy. Alles andere würde keinen Sinn machen.
der Proxy läuft bei der engl. Uni, der VPN bei der deutschen. nochmals danke! Stefan -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
Am Dienstag 05 Oktober 2004 19:13 schrieb Stefan Schilling:
Guten Tag Matthias Houdek,
Am Sonntag, 3. Oktober 2004 um 22:34 schrieb Matthias Houdek:
Am Sonntag 03 Oktober 2004 19:23 schrieb Stefan Schilling:
Hallo!
Danke für die ausführliche Antwort...
Ich hoffe, dies macht meine Denkrichtung etwas klarer, falls noch Fragen auftauchen, immer her damit, ich werd versuchen, sie schnellstmöglich zu klären.
Du solltest versuchen, einen VPN-Tunnel zu realisieren.
ja, aber was mache ich, wenn der Proxy dies abfängt? Bisher hat es
Das hat mit dem Proxy nix zu tun - naja, nicht direkt.
Ein VPN-Tunnel muss über ein entsprechendes Gateway realisiert werden. Ist das nicht auf beiden Seiten vorhanden, geht es nicht.
ist vorhanden, ich hab es schon genutzt.
Gut.
Das Gateway verpackt die eigentlich zu übertragenden IP-Pakete in ein anderes Protokoll, was über die gewünschte Verbindung übertragen werden kann. Wenn es z.B. durch das http-Protokoll getunnelt wird, dann lässt es auch der Proxy durch - oder eben über ein anderes Protokoll am Proxy vorbei (z.B. über IPSec).
es klappt nicht. d.h. meine Freundin hat es nochmals probiert, aber keine Verbindung hinbekommen.
Ich hab mal bei der Uni Bamberg nachgesehen. Die beiden Protokolle sind (wahlweise) PPTP (das alte MS-Protokoll) und L2TP (das neue, IIRC zusammen mit CISCO entwickelt).
Ich denke, die Uni bietet VPN an?
tut sie auch. Die Adresse lautet ja extra vpn.uni-bamberg.de es gibt auch eine Anleitung, wie das Ganze eingerichtet wird (http://www.uni-bamberg.de/urz/netze/vpn/index.htm) -nach der hat es meine Freundin -hoffentlich- probiert-.
Tja, was hat sie denn probiert? Und unter Linux oder Windows? Und wo steht nun der besagte Proxy, der das verhindern soll (mach am besten mal 'ne Skizze).
Nochwas: wird diese Verbindung eigentlich verschlüsselt? Immerhin werden darüber ja auch Passwörter transportiert. Auf der Uniseite findet sich dazu kein Hinweis (zumindest habe ich keinen gefunden).
PPTP verschlüsselt ziehmlich mies, L2TP ist OK.
zwei Versuche gegeben - es hat nicht geklappt, allerdings konnte ich bisher nicht feststellen, ob die Anleitung meiner Uni (Bamberg) genau beachtet wurde, deshalb - gab es einen 2. Versuch, allerdings hat sie dabei dies Häkchen mit irgendwas das eine andere Verbindung aufgebaut werden soll (fragt mich nicht, ich hab kein XP...), auf jeden Fall wurde dann AOL aufgerufen, dass Problem habe ich ihr erklärt, wie sies umgeht, allerdings habe ich bisher noch keine Antwort erhalten, obs jetzt geht.
Falls es dann immer noch nicht geht, muss (?) ich davon ausgehen, dass der Proxy auch VPN - Verbindungen unterbindet. Gibt es dann noch eine Möglichkeit, dies zu umgehen?
Wie gesagt, der Proxy leitet http(s)-Datenströme (und ggf. auch passives ftp) weiter - genauer gesagt: Er nimmt die Anfragen entgegen und stellt dann diese Anfrage als eigene ins Internet (Proxy = Stellvertreter) und gibt die Antworten dann als eigene Antwort an den Client zurück. Alle anderen Protokolle lassen den Proxy völlig unbeeindruckt - sie interessieren ihn nicht.
Wenn die UNI einen VPN-Zugang anbietet, so läuft dieser parallel zum Proxy. Alles andere würde keinen Sinn machen.
der Proxy läuft bei der engl. Uni, der VPN bei der deutschen.
OK, vergiss das oben geschriebene bzgl. Skizze und so. Da hat deine Freundin wohl ein Problem, wenn sie sich nicht mit dem Admin anfreundet ;-) Die werden dort den gesamten Traffic ins Internet sperren und nur die Kommunikation über einen HTTP-Proxy erlauben. Da dürfte sie mit den beiden von der Uni Bamberg angebotenen VPN-Protokollen keine Chance haben. Sie braucht ein Gateway im Netz der engl. Uni, dass ihre VPN-Pakete ins Internet durchlässt (via NAT/Masquerading) - das ist das, was Bamberg in der Anleitung mit "VPN-Pass-Trough" bezeichnet. Eine Alternative (aber sehr umständlich): Sie tunnelt über https aus der Uni zu einem "Relay" im Internet, der die Pakete aus dem https-Tunnel nimmt und über einen PPTP/L2TP-Tunnel nach Bamberg weiterleitet (und retoure). Das ist sicherlich eine interessante Sache. Vielleicht gibt es sogar Anbieter für sowas. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Guten Tag Matthias Houdek, Am Dienstag, 5. Oktober 2004 um 20:10 schrieb Matthias Houdek:
Am Dienstag 05 Oktober 2004 19:13 schrieb Stefan Schilling:
Guten Tag Matthias Houdek,
Am Sonntag, 3. Oktober 2004 um 22:34 schrieb Matthias Houdek:
Am Sonntag 03 Oktober 2004 19:23 schrieb Stefan Schilling:
Das Gateway verpackt die eigentlich zu übertragenden IP-Pakete in ein anderes Protokoll, was über die gewünschte Verbindung übertragen werden kann. Wenn es z.B. durch das http-Protokoll getunnelt wird, dann lässt es auch der Proxy durch - oder eben über ein anderes Protokoll am Proxy vorbei (z.B. über IPSec).
es klappt nicht. d.h. meine Freundin hat es nochmals probiert, aber keine Verbindung hinbekommen.
Ich hab mal bei der Uni Bamberg nachgesehen. Die beiden Protokolle sind (wahlweise) PPTP (das alte MS-Protokoll) und L2TP (das neue, IIRC zusammen mit CISCO entwickelt).
Ich denke, die Uni bietet VPN an?
tut sie auch. Die Adresse lautet ja extra vpn.uni-bamberg.de es gibt auch eine Anleitung, wie das Ganze eingerichtet wird (http://www.uni-bamberg.de/urz/netze/vpn/index.htm) -nach der hat es meine Freundin -hoffentlich- probiert-.
Tja, was hat sie denn probiert?
Und unter Linux oder Windows?
sie hat XP.
Und wo steht nun der besagte Proxy, der das verhindern soll (mach am besten mal 'ne Skizze).
Nochwas: wird diese Verbindung eigentlich verschlüsselt? Immerhin werden darüber ja auch Passwörter transportiert. Auf der Uniseite findet sich dazu kein Hinweis (zumindest habe ich keinen gefunden).
PPTP verschlüsselt ziehmlich mies, L2TP ist OK.
zwei Versuche gegeben - es hat nicht geklappt, allerdings konnte ich bisher nicht feststellen, ob die Anleitung meiner Uni (Bamberg) genau beachtet wurde, deshalb - gab es einen 2. Versuch, allerdings hat sie dabei dies Häkchen mit irgendwas das eine andere Verbindung aufgebaut werden soll (fragt mich nicht, ich hab kein XP...), auf jeden Fall wurde dann AOL aufgerufen, dass Problem habe ich ihr erklärt, wie sies umgeht, allerdings habe ich bisher noch keine Antwort erhalten, obs jetzt geht.
Falls es dann immer noch nicht geht, muss (?) ich davon ausgehen, dass der Proxy auch VPN - Verbindungen unterbindet. Gibt es dann noch eine Möglichkeit, dies zu umgehen?
Wie gesagt, der Proxy leitet http(s)-Datenströme (und ggf. auch passives ftp) weiter - genauer gesagt: Er nimmt die Anfragen entgegen und stellt dann diese Anfrage als eigene ins Internet (Proxy = Stellvertreter) und gibt die Antworten dann als eigene Antwort an den Client zurück. Alle anderen Protokolle lassen den Proxy völlig unbeeindruckt - sie interessieren ihn nicht.
Wenn die UNI einen VPN-Zugang anbietet, so läuft dieser parallel zum Proxy. Alles andere würde keinen Sinn machen.
der Proxy läuft bei der engl. Uni, der VPN bei der deutschen.
OK, vergiss das oben geschriebene bzgl. Skizze und so.
Da hat deine Freundin wohl ein Problem, wenn sie sich nicht mit dem Admin anfreundet ;-)
ich werds ihr sagen :)
Die werden dort den gesamten Traffic ins Internet sperren und nur die Kommunikation über einen HTTP-Proxy erlauben. Da dürfte sie mit den beiden von der Uni Bamberg angebotenen VPN-Protokollen keine Chance haben.
sowas hatte ich mir auch schon gedacht, deshalb der Thread.
Sie braucht ein Gateway im Netz der engl. Uni, dass ihre VPN-Pakete ins Internet durchlässt (via NAT/Masquerading) - das ist das, was Bamberg in der Anleitung mit "VPN-Pass-Trough" bezeichnet.
Eine Alternative (aber sehr umständlich): Sie tunnelt über https aus der Uni zu einem "Relay" im Internet, der die Pakete aus dem https-Tunnel nimmt und über einen PPTP/L2TP-Tunnel nach Bamberg weiterleitet (und retoure). Das ist sicherlich eine interessante Sache. Vielleicht gibt es sogar Anbieter für sowas.
hmh, gibts für sowas -serverseitig- ein Programm? Ein Freund von mir betreibt eine Domain, auf diesem Rechner kann er sich anscheinend rel. frei bewegen (er hat dort ohne größere Schwierigkeiten mysql installiert). Vielleicht könnte ich ihn überreden, das dort zu installieren. Abgesprochen ist bisher nur, dass wir das Ganze über ein weiteres VPN laufen lassen, falls sich unsere Uni quer stellt. Danke und gute Nacht noch! Stefan -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
Am Dienstag 05 Oktober 2004 20:40 schrieb Stefan Schilling:
Guten Tag Matthias Houdek,
Am Dienstag, 5. Oktober 2004 um 20:10 schrieb Matthias Houdek:
Am Dienstag 05 Oktober 2004 19:13 schrieb Stefan Schilling:
Guten Tag Matthias Houdek,
Am Sonntag, 3. Oktober 2004 um 22:34 schrieb Matthias Houdek:
Am Sonntag 03 Oktober 2004 19:23 schrieb Stefan Schilling:
[...] Falls es dann immer noch nicht geht, muss (?) ich davon ausgehen, dass der Proxy auch VPN - Verbindungen unterbindet. Gibt es dann noch eine Möglichkeit, dies zu umgehen?
Wie gesagt, der Proxy leitet http(s)-Datenströme (und ggf. auch passives ftp) weiter - genauer gesagt: Er nimmt die Anfragen entgegen und stellt dann diese Anfrage als eigene ins Internet (Proxy = Stellvertreter) und gibt die Antworten dann als eigene Antwort an den Client zurück. Alle anderen Protokolle lassen den Proxy völlig unbeeindruckt - sie interessieren ihn nicht.
Wenn die UNI einen VPN-Zugang anbietet, so läuft dieser parallel zum Proxy. Alles andere würde keinen Sinn machen.
der Proxy läuft bei der engl. Uni, der VPN bei der deutschen.
OK, vergiss das oben geschriebene bzgl. Skizze und so.
Da hat deine Freundin wohl ein Problem, wenn sie sich nicht mit dem Admin anfreundet ;-)
ich werds ihr sagen :)
Und du wirst nicht eifersüchtig? *g*
Die werden dort den gesamten Traffic ins Internet sperren und nur die Kommunikation über einen HTTP-Proxy erlauben. Da dürfte sie mit den beiden von der Uni Bamberg angebotenen VPN-Protokollen keine Chance haben.
sowas hatte ich mir auch schon gedacht, deshalb der Thread.
Sie braucht ein Gateway im Netz der engl. Uni, dass ihre VPN-Pakete ins Internet durchlässt (via NAT/Masquerading) - das ist das, was Bamberg in der Anleitung mit "VPN-Pass-Trough" bezeichnet.
Eine Alternative (aber sehr umständlich): Sie tunnelt über https aus der Uni zu einem "Relay" im Internet, der die Pakete aus dem https-Tunnel nimmt und über einen PPTP/L2TP-Tunnel nach Bamberg weiterleitet (und retoure). Das ist sicherlich eine interessante Sache. Vielleicht gibt es sogar Anbieter für sowas.
hmh, gibts für sowas -serverseitig- ein Programm?
Es gibt nichts, was mit Linux nicht geht. Ob es dafür schon was vorgefertigtes gibt, weiß ich nicht. Um hier ggf. einen richtigen Ansprechpartner dafür zu finden, würde ich an deiner Stelle einen neuen Thread anfangen (neues Subject z.B.: Suche "Umsetzer" von http-Tunnel auf PPTP-Tunnel), wo du ggf. auf diesesn Thread verweist. Es kann sein, dass hier einige nicht mehr mitlesen - und vielleicht ist ja gerade da einer dabei, wer was konkretes kennt.
Ein Freund von mir betreibt eine Domain, auf diesem Rechner kann er sich anscheinend rel. frei bewegen (er hat dort ohne größere Schwierigkeiten mysql installiert). Vielleicht könnte ich ihn überreden, das dort zu installieren. Abgesprochen ist bisher nur, dass wir das Ganze über ein weiteres VPN laufen lassen, falls sich unsere Uni quer stellt.
Naja, es müsste ein http(s)-Tunnel [1] sein über den deine Freundin in England erstmal mit Ihren Daten ins Internet kommt. Dafür braucht deine Freundin auch ein entsprechendes Programm für Windows. Die getunnelten IP-Pakete müsste das Programm auf dem "Relay" dann auspacken und an den VPN-Tunnel der Uni-Bamberg weiterleiten und in der Gegenrichtung die Programme aus dem VPN-Tunnel in den http(s)-Tunnel schicken. Programme für HTTP-Tunnel: httptunnel, corkscrew, proxychains (vor allem das letzte scheint interessant zu sein -> http://proxychains.sourceforge.net) --- [1] Ein einfaches Port-Forwarding auf Port 80 dürfte nicht ausreichen (kein http-Protokoll -> Proxy kann nix mit anfangen) -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Hallo! Also, es gibt jetzt eine etwas neue Situation: es ist möglich, den Verkehr über http-proxy nach draussen zu tunneln. Jetzt treibt mich die Frage um: unter welchem Port läuft eine VPN Verbindung? jetzt könnte ich nämlich den http-proxy so einstellen, dass er die VPN - Verbindung abfängt und draussen dann weiterleitet. Am Rechner müsste ich als VPN - Server einfach "localhost" eintragen. Dazu brauche ich allerdings eine Angabe, unter welchem Port das läuft. Ausserdem müsste die VPN - Verbindung ja eigentlich sämtliche Verbindungsanfragen abfangen und nach draussen leiten, d.h. auch der http-proxy würde dann darüber laufen, was für dieses Scenario natürlich dumm wäre. Kann man das umgehen? Danke für ein paar Hinweise! cu, Stefan
Am Samstag 09 Oktober 2004 15:23 schrieb Stefan Schilling:
Hallo!
Also, es gibt jetzt eine etwas neue Situation: es ist möglich, den Verkehr über http-proxy nach draussen zu tunneln. Jetzt treibt mich die Frage um: unter welchem Port läuft eine VPN Verbindung? jetzt könnte ich nämlich den http-proxy so einstellen, dass er die VPN - Verbindung abfängt und draussen dann weiterleitet. Am Rechner müsste ich als VPN - Server einfach "localhost" eintragen.
??? _Du_ kannst den http-Proxy anders einstellen? Ich denke, der läuft an der Uni in England. Über welche(n) Port(s) eine VPN-Verbindung läuft, hängt von der Art der Verbindung ab. IPSec z.B. läuft über keinen TCP/UDP-Port, sondern hat ein eigenes Layer-4-Protokoll (AH oder ESP). L2TP läuft z.B. über UDP-Port 1701. Schau dir einfach entsprechende Dokus zu den einzelnen VPN-Varianten an.
Dazu brauche ich allerdings eine Angabe, unter welchem Port das läuft. Ausserdem müsste die VPN - Verbindung ja eigentlich sämtliche Verbindungsanfragen abfangen und nach draussen leiten, d.h. auch der http-proxy würde dann darüber laufen, was für dieses Scenario natürlich dumm wäre.
Nö, du must nur entsprechende Paket-Filter setzen (werden für den transparenten http-Proxy ja eh schon genutzt). -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Guten Tag Matthias Houdek, Am Samstag, 9. Oktober 2004 um 16:08 schrieb Matthias Houdek:
Am Samstag 09 Oktober 2004 15:23 schrieb Stefan Schilling:
Hallo!
Also, es gibt jetzt eine etwas neue Situation: es ist möglich, den Verkehr über http-proxy nach draussen zu tunneln. Jetzt treibt mich die Frage um: unter welchem Port läuft eine VPN Verbindung? jetzt könnte ich nämlich den http-proxy so einstellen, dass er die VPN - Verbindung abfängt und draussen dann weiterleitet. Am Rechner müsste ich als VPN - Server einfach "localhost" eintragen.
??? _Du_ kannst den http-Proxy anders einstellen? Ich denke, der läuft an der Uni in England.
Nochmal: es gibt einen Proxy an der engl. Uni; den kann ich nicht anders einstellen. Allerdings gibt es ein Win Programm namens "http-proxy" das einen SOCKS - proxy client ist und den Verkehr nach draussen leitet
Über welche(n) Port(s) eine VPN-Verbindung läuft, hängt von der Art der Verbindung ab. IPSec z.B. läuft über keinen TCP/UDP-Port, sondern hat ein eigenes Layer-4-Protokoll (AH oder ESP).
L2TP läuft z.B. über UDP-Port 1701. Schau dir einfach entsprechende Dokus zu den einzelnen VPN-Varianten an.
Dazu brauche ich allerdings eine Angabe, unter welchem Port das läuft. Ausserdem müsste die VPN - Verbindung ja eigentlich sämtliche Verbindungsanfragen abfangen und nach draussen leiten, d.h. auch der http-proxy würde dann darüber laufen, was für dieses Scenario natürlich dumm wäre.
Nö, du must nur entsprechende Paket-Filter setzen (werden für den transparenten http-Proxy ja eh schon genutzt).
da ich an den Proxy nicht ran komme, bleibt die Frage wie ich das mache cu, Stefan PS: sorry, dass ich mich so undeutlich ausgedrückt habe -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
Am Sonntag 10 Oktober 2004 00:21 schrieb Stefan Schilling:
Guten Tag Matthias Houdek,
Am Samstag, 9. Oktober 2004 um 16:08 schrieb Matthias Houdek:
Am Samstag 09 Oktober 2004 15:23 schrieb Stefan Schilling:
Hallo!
Also, es gibt jetzt eine etwas neue Situation: es ist möglich, den Verkehr über http-proxy nach draussen zu tunneln. Jetzt treibt mich die Frage um: unter welchem Port läuft eine VPN Verbindung? jetzt könnte ich nämlich den http-proxy so einstellen, dass er die VPN - Verbindung abfängt und draussen dann weiterleitet. Am Rechner müsste ich als VPN - Server einfach "localhost" eintragen.
??? _Du_ kannst den http-Proxy anders einstellen? Ich denke, der läuft an der Uni in England.
Nochmal: es gibt einen Proxy an der engl. Uni; den kann ich nicht anders einstellen. Allerdings gibt es ein Win Programm namens "http-proxy" das einen SOCKS - proxy client ist und den Verkehr nach draussen leitet
Oh, hab ich wohl so nicht gesehen. Ist halt ein Windows-Programm. Da kenne ich mich nicht (mehr) so gut aus. Und dieses "http-proxy" läuft auf dem Rechner deiner Freundin. Wie leitet es denn den Verkehr nach draußen? Ist das eine Seite eines HTTP-Tunnels unter Windows?
Über welche(n) Port(s) eine VPN-Verbindung läuft, hängt von der Art der Verbindung ab. IPSec z.B. läuft über keinen TCP/UDP-Port, sondern hat ein eigenes Layer-4-Protokoll (AH oder ESP).
L2TP läuft z.B. über UDP-Port 1701. Schau dir einfach entsprechende Dokus zu den einzelnen VPN-Varianten an.
Dazu brauche ich allerdings eine Angabe, unter welchem Port das läuft. Ausserdem müsste die VPN - Verbindung ja eigentlich sämtliche Verbindungsanfragen abfangen und nach draussen leiten, d.h. auch der http-proxy würde dann darüber laufen, was für dieses Scenario natürlich dumm wäre.
Nö, du must nur entsprechende Paket-Filter setzen (werden für den transparenten http-Proxy ja eh schon genutzt).
da ich an den Proxy nicht ran komme, bleibt die Frage wie ich das mache
cu, Stefan
PS: sorry, dass ich mich so undeutlich ausgedrückt habe
Ich versuche das mal zu rekapitulieren: +-------+ | UNI | | in D |----[PPtP-Tunnel (1)]--, +-------+ | | +- - - - - - - - - -+ : neu zu installie- : : rendes Relay : : (PPtP <--> HTTPT) : : im Internet (2) : +- - - - - - - - - -+ | | | +---------------+ | transparenter | | HTTP-Proxy d. | | Uni in GB | +---------------+ | +--------------+ | | PC deiner | '--[HTTP-Tunnel (3)]--| Freundin mit | | Windows (4) | +--------------+ (1) Der PPtP-Tunnel ist von einem dir zugänglichen Rechner im Internet realisierbar. (2) Umd diesen "Umsetzer" geht es dir. Er soll den Datenverkehr zwischen der Uni in England (nur via HTTP mgl.) und der Uni in D (nur PPtP) realisieren. (3) Der HTTP-Tunnel ist nötig, um durch den Proxy der Uni in GB zu kommen. (4) Der Windows-PC deiner Freundin hat ein Programm namens "http-proxy", dass du als Möglichkeit für einen HTTP-Tunnel ansiehst? Gut, dann solltest du versuchen, eine entsprechende Gegenstelle auf 2 für den HTTP-Tunnel aufzubauen - erst mal ohne den Proxy der GB-Uni dazwischen, wenn das möglich ist. Dafür brauchst du Kenntnisse über das Windows-Programm, dann kannst du auch was unter Linux für die andere Seite finden. Im 2. (eigentlich 3. - der erste ist ja der PPtP-Tunnel, der offensichtlich schon läuft) Schritt kannst du dich dann an die Weiterleitung der Pakete von einem Tunnel auf den anderen ranmachen. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Guten Tag Matthias Houdek, Am Sonntag, 10. Oktober 2004 um 11:56 schrieb Matthias Houdek:
Am Sonntag 10 Oktober 2004 00:21 schrieb Stefan Schilling:
Guten Tag Matthias Houdek,
Am Samstag, 9. Oktober 2004 um 16:08 schrieb Matthias Houdek:
Am Samstag 09 Oktober 2004 15:23 schrieb Stefan Schilling:
Hallo!
Also, es gibt jetzt eine etwas neue Situation: es ist möglich, den Verkehr über http-proxy nach draussen zu tunneln. Jetzt treibt mich die Frage um: unter welchem Port läuft eine VPN Verbindung? jetzt könnte ich nämlich den http-proxy so einstellen, dass er die VPN - Verbindung abfängt und draussen dann weiterleitet. Am Rechner müsste ich als VPN - Server einfach "localhost" eintragen.
??? _Du_ kannst den http-Proxy anders einstellen? Ich denke, der läuft an der Uni in England.
Nochmal: es gibt einen Proxy an der engl. Uni; den kann ich nicht anders einstellen. Allerdings gibt es ein Win Programm namens "http-proxy" das einen SOCKS - proxy client ist und den Verkehr nach draussen leitet
Oh, hab ich wohl so nicht gesehen.
Ist halt ein Windows-Programm. Da kenne ich mich nicht (mehr) so gut aus.
Und dieses "http-proxy" läuft auf dem Rechner deiner Freundin. Wie leitet es denn den Verkehr nach draußen? Ist das eine Seite eines HTTP-Tunnels unter Windows?
die Firma, die dieses Programm vertreibt, betreibt anscheinend mehrere Server, über die der Verkehr abgewickelt wird. Im Klartext: meine Freundin startet das Programm, dieses fängt den Verkehr ab, transferiert ihn zu einem Server der Firma (ich weiss nicht, welcher Server das ist) und dieser schickt die Anfragen dann ins Internet ab.
Über welche(n) Port(s) eine VPN-Verbindung läuft, hängt von der Art der Verbindung ab. IPSec z.B. läuft über keinen TCP/UDP-Port, sondern hat ein eigenes Layer-4-Protokoll (AH oder ESP).
L2TP läuft z.B. über UDP-Port 1701. Schau dir einfach entsprechende Dokus zu den einzelnen VPN-Varianten an.
Dazu brauche ich allerdings eine Angabe, unter welchem Port das läuft. Ausserdem müsste die VPN - Verbindung ja eigentlich sämtliche Verbindungsanfragen abfangen und nach draussen leiten, d.h. auch der http-proxy würde dann darüber laufen, was für dieses Scenario natürlich dumm wäre.
Nö, du must nur entsprechende Paket-Filter setzen (werden für den transparenten http-Proxy ja eh schon genutzt).
da ich an den Proxy nicht ran komme, bleibt die Frage wie ich das mache
cu, Stefan
PS: sorry, dass ich mich so undeutlich ausgedrückt habe
Ich versuche das mal zu rekapitulieren:
+-------+ | UNI | | in D |----[PPtP-Tunnel (1)]--, +-------+ | | +- - - - - - - - - -+ : neu zu installie- : : rendes Relay : : (PPtP <--> HTTPT) : : im Internet (2) : +- - - - - - - - - -+ | | | +---------------+ | transparenter | | HTTP-Proxy d. | | Uni in GB | +---------------+ | +--------------+ | | PC deiner | '--[HTTP-Tunnel (3)]--| Freundin mit | | Windows (4) | +--------------+
(1) Der PPtP-Tunnel ist von einem dir zugänglichen Rechner im Internet realisierbar.
(2) Umd diesen "Umsetzer" geht es dir. Er soll den Datenverkehr zwischen der Uni in England (nur via HTTP mgl.) und der Uni in D (nur PPtP) realisieren.
2 wird von dieser Firma betrieben. Ich habe leider k.A., wie man diese Einstellung überschreibt. Deswegen war ja meine Idee, auch den VPN schon übers dieses "http-proxy" zu realisieren; dass die Daten, die dann übers VPN an die dt. Uni kommen sollen, auch übers http-proxy transferiert werden. Im Grunde so: (1) (2) (3) ------------- ------------------ ----------- | PC meiner | | baut VPN auf, | | | | Freundin |----| VPN wird durch |-------|Uni Proxy | ------------- | http-proxy | | in Engl. | | realisiert. | ------------ ------------------ | | (6) (5) (4) | ------------ ----------------- ------------------ |dt. VPN | |Die VPN - Daten| |Serverfarm der | | UNI empf |-----|werden ver |--------|Firma, entpacken| |ängt die | |schickt | |der Daten aus | |Daten | ----------------- |http-proxy | ------------ ------------------ Dafür wäre es nötig, dass die Daten, die übers VPN geschickt werden sollen, folgenden Weg gehen: - abfangen der Daten und verpacken in den VPN Tunnel, - Versand der Tunnel Daten, - Tunneldaten werden von "http-proxy" abgefangen, - "http-proxy" schleust die Daten am Uni - Proxy vorbei zur Firma Serverfarm, - entpacken der Daten auf der Serverfarm, - weitersenden der VPN - Daten an den VPN - Gateway der dt. Uni - dt. Uni entpackt die VPN - Daten und schickt sie dann an die gewünschte Zieladresse Problem hierbei ist, dass ja eigentlich der VPN Eingang schon von vornherein die Daten abfängt. Demnach werden also die Daten, die von "http-proxy" verschickt werden auch vom VPN abgefangen. Da beginnen sich die Daten dann im Kreis zu drehen. Ausweg: Beschränkung des VPN auf bestimmte Daten. Mein Problem ist einfach das: ich habe keine Ahnung, wie ich die VPN Verbindung durch den Proxy der engl. Uni bekomme. "http-proxy" macht das zwar für bestimmte Daten, allerdings weiss ich nicht wie oder wohin, sonst könnte ich die ja einfach auf einen eigenen Server umleiten und von dort dann die VPN - Verbindung zur Uni aufbauen lassen (wobei das dann ein Schritt zu viel wäre, schliesslich könnte dieser eigene Server dann die Skype-Daten dann auch direkt verschicken, ohne sie erst noch an die dt. Uni transferieren zu müssen).
(3) Der HTTP-Tunnel ist nötig, um durch den Proxy der Uni in GB zu kommen.
richtig.
(4) Der Windows-PC deiner Freundin hat ein Programm namens "http-proxy", dass du als Möglichkeit für einen HTTP-Tunnel ansiehst?
damit ist es möglich, zumindest einen Teil der Daten durch den Proxy zu bekommen (ICQ). Problem hierbei: skype ist ein P2P - Programm, da ich aber vor Inbetriebnahme sagen muss, wohin diese Daten kommen sollen (ich dies bei einem P2P - Programm aber im Vornherein nicht weiss), brauche ich eine VPN - Verbindung, da ich hier ja nur die Adresse des VPN - Partners brauche und der sich dann darum kümmert, dass die VPN - Daten dann auch wirklich zum eigentlichen Ziel gelangen.
Gut, dann solltest du versuchen, eine entsprechende Gegenstelle auf 2 für den HTTP-Tunnel aufzubauen - erst mal ohne den Proxy der GB-Uni dazwischen, wenn das möglich ist.
könnte ich allenfalls, wenn ich das von hier aus mache, meine Freundin kann NUR über den Proxy gehen.
Dafür brauchst du Kenntnisse über das Windows-Programm, dann kannst du auch was unter Linux für die andere Seite finden.
hab ich keine. Es ist ein kommerzielles Programm, die werden mir wohl eher keine Infos geben und so der Top-Programmierer bin ich nu auch nicht.
Im 2. (eigentlich 3. - der erste ist ja der PPtP-Tunnel, der offensichtlich schon läuft) Schritt kannst du dich dann an die Weiterleitung der Pakete von einem Tunnel auf den anderen ranmachen.
Ich weiss, das ist alles ein bischen kompliziert, aber es wäre schön, wenn es sich irgendwie machen liesse. Sie ist ja noch ganze 9 Monate in England... :) ciao! Stefan -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
Am Sonntag 10 Oktober 2004 13:42 schrieb Stefan Schilling:
Guten Tag Matthias Houdek,
Am Sonntag, 10. Oktober 2004 um 11:56 schrieb Matthias Houdek:
[...] Und dieses "http-proxy" läuft auf dem Rechner deiner Freundin. Wie leitet es denn den Verkehr nach draußen? Ist das eine Seite eines HTTP-Tunnels unter Windows?
die Firma, die dieses Programm vertreibt, betreibt anscheinend mehrere Server, über die der Verkehr abgewickelt wird. Im Klartext: meine Freundin startet das Programm, dieses fängt den Verkehr ab, transferiert ihn zu einem Server der Firma (ich weiss nicht, welcher Server das ist) und dieser schickt die Anfragen dann ins Internet ab.
Aha. Jetzt verstehe ich. OK.
Über welche(n) Port(s) eine VPN-Verbindung läuft, hängt von der Art der Verbindung ab. IPSec z.B. läuft über keinen TCP/UDP-Port, sondern hat ein eigenes Layer-4-Protokoll (AH oder ESP).
L2TP läuft z.B. über UDP-Port 1701. Schau dir einfach entsprechende Dokus zu den einzelnen VPN-Varianten an.
Dazu brauche ich allerdings eine Angabe, unter welchem Port das läuft. Ausserdem müsste die VPN - Verbindung ja eigentlich sämtliche Verbindungsanfragen abfangen und nach draussen leiten, d.h. auch der http-proxy würde dann darüber laufen, was für dieses Scenario natürlich dumm wäre.
Nö, du must nur entsprechende Paket-Filter setzen (werden für den transparenten http-Proxy ja eh schon genutzt).
da ich an den Proxy nicht ran komme, bleibt die Frage wie ich das mache
cu, Stefan
PS: sorry, dass ich mich so undeutlich ausgedrückt habe
Ich versuche das mal zu rekapitulieren:
+-------+ | UNI | | in D |----[PPtP-Tunnel (1)]--, +-------+ | +- - - - - - - - - -+ : neu zu installie- : : rendes Relay : : (PPtP <--> HTTPT) : : im Internet (2) : +- - - - - - - - - -+ | +---------------+ | transparenter | | HTTP-Proxy d. | | Uni in GB | +---------------+ | | +--------------+ | | PC deiner | '--[HTTP-Tunnel (3)]--| Freundin mit | | Windows (4) | +--------------+
(1) Der PPtP-Tunnel ist von einem dir zugänglichen Rechner im Internet realisierbar.
(2) Umd diesen "Umsetzer" geht es dir. Er soll den Datenverkehr zwischen der Uni in England (nur via HTTP mgl.) und der Uni in D (nur PPtP) realisieren.
2 wird von dieser Firma betrieben. Ich habe leider k.A., wie man diese Einstellung überschreibt. Deswegen war ja meine Idee, auch den VPN schon übers dieses "http-proxy" zu realisieren; dass die Daten, die dann übers VPN an die dt. Uni kommen sollen, auch übers http-proxy transferiert werden.
Im Grunde so:
(1) (2) (3) ------------- ------------------ ----------- | PC meiner | | baut VPN auf, | | | | Freundin |----| VPN wird durch |-------|Uni Proxy | ------------- | http-proxy | | in Engl. | | realisiert. | ------------ ------------------ | (6) (5) (4) | ------------ ----------------- ------------------ |dt. VPN | |Die VPN - Daten| |Serverfarm der | | UNI empf |-----|werden ver |--------|Firma, entpacken| |ängt die | |schickt | |der Daten aus | |Daten | ----------------- |http-proxy | ------------ ------------------
Aha, also den VPN-Tunnel selbst über das http tunneln. Auch eine Möglichkeit.
Dafür wäre es nötig, dass die Daten, die übers VPN geschickt werden sollen, folgenden Weg gehen: - abfangen der Daten und verpacken in den VPN Tunnel, - Versand der Tunnel Daten, - Tunneldaten werden von "http-proxy" abgefangen, - "http-proxy" schleust die Daten am Uni - Proxy vorbei zur Firma Serverfarm, - entpacken der Daten auf der Serverfarm, - weitersenden der VPN - Daten an den VPN - Gateway der dt. Uni - dt. Uni entpackt die VPN - Daten und schickt sie dann an die gewünschte Zieladresse
Jepp. Vielleicht erst mal mit einem so getunnelten ssh oder telnet testen, ob das überhaupt möglich ist.
Problem hierbei ist, dass ja eigentlich der VPN Eingang schon von vornherein die Daten abfängt. Demnach werden also die Daten, die von "http-proxy" verschickt werden auch vom VPN abgefangen. Da beginnen sich die Daten dann im Kreis zu drehen. Ausweg: Beschränkung des VPN auf bestimmte Daten.
Tja, das ist ein Problem von Windows (evtl.). Unter Linux dürfte das kein Problem sein. Das Prinzip sollte so ablaufen: Anwendung sendet Daten --> Zieladresse... <----------------------, | | v | < im lokale Netz? >---ja---> NIC lokal------> | | v | < im VPN-Netz? >---ja---> VPN-Tunnel ---' | v < im Internet? >--------> http-proxy (Defaultroute) | | v über DFÜ zur Serverfarm der Firma von http-proxy (durch Proxy der UNI-GB hindurch) Das VPN-Programm ist letztlich auch nur eine Anwendung, die das eigentliche IP-Paket (an das LAN auf der anderen Seite des Tunnels adressiert - und nur diese!) neu verpackt und an das VPN-Gateway der Gegenseite (hier UNI in D) schickt. Dieses Paket wird erneut in den IP-Stack gestellt und abgearbeitet. Da es jetzt aber nicht mehr eine Adresse des VPN-LANs enthält, sondern die Internet-Adresse der UNI in D, geht es als "normales" Internet-Paket den Weg über das Programm http-proxy u.s.w. Normale Pakete ins Internet sollte das VPN-Programm nicht anfassen.
Mein Problem ist einfach das: ich habe keine Ahnung, wie ich die VPN Verbindung durch den Proxy der engl. Uni bekomme. "http-proxy" macht das zwar für bestimmte Daten, allerdings weiss ich nicht wie oder wohin, sonst könnte ich die ja einfach auf einen eigenen Server umleiten und von dort dann die VPN - Verbindung zur Uni aufbauen lassen (wobei das dann ein Schritt zu viel wäre, schliesslich könnte dieser eigene Server dann die Skype-Daten dann auch direkt verschicken, ohne sie erst noch an die dt. Uni transferieren zu müssen).
(3) Der HTTP-Tunnel ist nötig, um durch den Proxy der Uni in GB zu kommen.
richtig.
(4) Der Windows-PC deiner Freundin hat ein Programm namens "http-proxy", dass du als Möglichkeit für einen HTTP-Tunnel ansiehst?
damit ist es möglich, zumindest einen Teil der Daten durch den Proxy zu bekommen (ICQ). Problem hierbei: skype ist ein P2P - Programm, da ich aber vor Inbetriebnahme sagen muss, wohin diese Daten kommen sollen (ich dies bei einem P2P - Programm aber im Vornherein nicht weiss), brauche ich eine VPN - Verbindung, da ich hier ja nur die Adresse des VPN - Partners brauche und der sich dann darum kümmert, dass die VPN - Daten dann auch wirklich zum eigentlichen Ziel gelangen.
???
Gut, dann solltest du versuchen, eine entsprechende Gegenstelle auf 2 für den HTTP-Tunnel aufzubauen - erst mal ohne den Proxy der GB-Uni dazwischen, wenn das möglich ist.
könnte ich allenfalls, wenn ich das von hier aus mache, meine Freundin kann NUR über den Proxy gehen.
Dafür brauchst du Kenntnisse über das Windows-Programm, dann kannst du auch was unter Linux für die andere Seite finden.
hab ich keine. Es ist ein kommerzielles Programm, die werden mir wohl eher keine Infos geben und so der Top-Programmierer bin ich nu auch nicht.
Im 2. (eigentlich 3. - der erste ist ja der PPtP-Tunnel, der offensichtlich schon läuft) Schritt kannst du dich dann an die Weiterleitung der Pakete von einem Tunnel auf den anderen ranmachen.
Ich weiss, das ist alles ein bischen kompliziert, aber es wäre schön, wenn es sich irgendwie machen liesse. Sie ist ja noch ganze 9 Monate in England... :)
Dann lohnt es sich doch. Allerdings geht es hier um die Einrichtung des Windows auf dem PC deiner Freundin, und das dürfte hier ziehmlich OT sein. Außerdem kann ich dir bei dem Windows auch nicht so richtig weiterhelfen (zumal ich die Programme auch nicht kenne). Aber vielleicht hilft die ja der Ablauf oben weiter. Oder deine Freundin kommt rüber auf die "weiße Seite der Macht" *g*. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
On Friday 01 October 2004 22:59, Stefan Schilling wrote:
Ich glaube, ich muss das Ganze ein bischen präzisieren: tatsächlich funktionieren sollen eigentlich "nur" Skype und Trillian (oder ein anderes ICQ - Programm).
Versuche mal sim. Mein Kumpel hat das bei sich auf der Arbeit im Einsatz, weil es mit http-Proxys, sowie socks umgehen kann. MfG Marco
Guten Tag Marco Röben, Am Samstag, 2. Oktober 2004 um 14:18 schrieb Marco Röben:
On Friday 01 October 2004 22:59, Stefan Schilling wrote:
Ich glaube, ich muss das Ganze ein bischen präzisieren: tatsächlich funktionieren sollen eigentlich "nur" Skype und Trillian (oder ein anderes ICQ - Programm).
Versuche mal sim. Mein Kumpel hat das bei sich auf der Arbeit im Einsatz, weil es mit http-Proxys, sowie socks umgehen kann.
hi! ich hab Trillian hier, dies läuft auch damit. Aber ich kann sim dann auch nochmal probieren. Zunächst muss ich aber entweder einen http-tunnel oder den VPN realisieren; davor tut sich gar nix. Danke :) Stefan
participants (5)
-
Daniel Hanke -
Dr. Thorsten Brandau -
Marco Röben -
Matthias Houdek -
Stefan Schilling