• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

IPTables - Forwarding auf Proxyserver

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
Hallo zusammen, vorab entschuldigt meine hohe Fragen-Frequentität™, aber ich sitze zurzeit an einem aufwendigeren Projekt und bin noch nicht vollends mit der Thematik versiert. ^^

Zu meiner Frage:
Ich habe mich dazu bereit erklärt, für eine Einrichtung die bis jetzt ausschließlich Ethernetanschlüsse hat, WLAN-APs aufzustellen. Jedoch warnte man mich, pure Access Points kämen wohl mit der Adressierung nicht klar (die Admins in dieser Einrichtung sind etwas rückständig und überblicken ihr eigenes System nicht mehr) Meine Erkenntnis ist, dass deren DHCP-Server wohl nicht funktioniert, und die Vergabe einer statischen IP das Problem löst.
Also schlug ich vor jeweils Minicomputer zwischen AP und Netzwerk zu schalten auf denen ich über mehr Möglichkeiten verfüge eine Verbindung aufzubauen und weiterzuleiten.

Jetzt hat das Netzwerk nen http proxy und ich bin etwas überfragt wie ich das händln soll. Die Standard Forward-Regeln kann ich, jedoch hätte ich gern, dass der Minirechner sich bereits mit dem Proxy verbindet, sich authentifiziert und alle Clients am AP (eth1) zum Proxy auf eth0 durchtunnelt ohne dass der User am AP noch etwas tun muss.
Das System selbst sollte natürlich auch per Proxy mit dem Internet interagieren können.
Da direkt die Frage Nr. 2: Ich habe apt konfiguriert den Proxy zu benutzen, jedoch sagte er, er fände keinen Proxy-Server auf "proxy:8080". Kann ich das irgendwie auflösen lassen, damit da 'ne IP rauskommt und kein "hostname"?

Und noch was: wird bei Proxy nur der http(s) Traffic durchgeleitet? Ein Traceroute wird beim Proxyserver gedroppt, eine DNS-Anfrage an den Google-DNS geht durch.


Danke schonmal für eure Antworten.

Erforderliche Proxy-Konfiguration (so stands in den Windows-Rechnern die am Ethernet hängen):

http: proxy:8080
https: none
ftp: proxy:8080
socks: proxy:8080

SOCKS v5
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Hallo zusammen, vorab entschuldigt meine hohe Fragen-Frequentität™, aber ich sitze zurzeit an einem aufwendigeren Projekt und bin noch nicht vollends mit der Thematik versiert. ^^

Hä? Für sowas ist ein IT-Forum doch gedacht ;)

Wenn du nervst, antworten dir manche Leute einfach nicht. Andere sagen es dir. Von daher alles ok :)

Jedoch warnte man mich, pure Access Points kämen wohl mit der Adressierung nicht klar
Das klingt nach Inkompetenz und/oder einem falsch eingerichteten Netzwerk.

Also schlug ich vor jeweils Minicomputer zwischen AP und Netzwerk zu schalten auf denen ich über mehr Möglichkeiten verfüge eine Verbindung aufzubauen und weiterzuleiten.
Tu's nicht. Der Durchsatz wird tiefer in die Knie gehen als Tila Tequila.

Und noch was: wird bei Proxy nur der http(s) Traffic durchgeleitet?
Kommt darauf an. Wenn's ein HTTP-Proxy ist, ja, wenn's ein SOCKS-Proxy ist, kannst du auch sämtliche anderen Protokolle "durchschleifen". Ist nur oft keine gute Idee.

Mein Rat: Fixe das DHCP/DNS-Setup und lass' das mit den Mini-Rechnern. Das macht die Sache nur unnötig kompliziert.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Das, was phre4k sagt. Alternativ: Stell einen Server und bau eine Parallelinfrastruktur in einem anderen IP-Raum auf, und umgeh den Proxy auch gleich. Einfach die Dosen direkt auf nen eigenen Switch patchen lassen und den Rest über nen ordentlichen Server laufen haben. RPis haben zwar gute Prozessoren, aber die Busanbindung des Netzwerkadapters ist unter aller Sau, daher ist das - wie phre4k schon gesagt hat - keine gute Idee.

Was die Admins angeht... naja... ich glaub, Unfähigkeit triffts ganz gut...
 

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #4
Also: Unfähige Admins auf jeden Fall. Ich kann das Problem nicht wirklich gut beschreiben ohne essenzielle Informationen preiszugeben, glaubt mir einfach. :)

Proxyserver umgehen wird unmöglich, auf die Interne Infrastruktur habe ich keinen Einfluss. Ich will ein abgeschottetes Netz bauen, welches sich nur aus dem Internen Netz Internetzugang zieht.
Die Performance wird wohl ungut, aber ich ich habe auch keinen Raspi sondern einen anderen Minirechner genommen, der etwas mehr Durchflussrate haben sollte. Ein Flaschenhals ist es trotzdem nicht, denn die Internetanbindung der Einrichtung ist sowieso schon madig.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Also: Du hast eine Netzwerkdose, aus der kommt Internet. Zwischen dieser Dose und dem Internet hängt ein Proxyserver. Soweit korrekt?

Dann klemm einen alten Rechner mit zwei Netzwerkkarten an die Dose und an den AP, lass den Adapter mit dem AP von dnsmasq mit DHCP und DNS versorgen, bau nen Forwarding zwischen den Adaptern mit iptables (inklusive NAT) und lass den Server per Cronjob die Authentifizierung am Proxy übernehmen. Für den Proxy sieht es dann immer so aus, als würde nur dieser eine Rechner ins Internet wollen, egal wie viele Clients du im WLAN hängen hast.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Das klingt schlimm.

Warum Rechner und kein Router? EdgeRouter ER-X ist wohl billiger als jeder PC.
 

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #7
Für den Proxy sieht es dann immer so aus, als würde nur dieser eine Rechner ins Internet wollen, egal wie viele Clients du im WLAN hängen hast.
Ja genau das war doch der Plan ^^ nur eben mit Minirechner. Jetzt hätte ich gern ein etwas detailierteres Tutorial was diesen Part angeht:
bau nen Forwarding zwischen den Adaptern mit iptables (inklusive NAT) und lass den Server per Cronjob die Authentifizierung am Proxy übernehmen.
Pures Forwarding bringt mich zwar ins Lokale Netzwerk aber tunnelt mich noch nicht in den Proxy.

Das klingt schlimm.
Hör ich nicht zu ersten Mal.

Warum Rechner und kein Router? EdgeRouter ER-X ist wohl billiger als jeder PC.

Ich bezweifle, dass dein EdgeRouter sich an nem Proxy anmelden und den Traffic da durch tunneln kann.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Cazawhi: Ich gehe davon aus, dass der Proxy das Gateway ist, und wenn sich der Server daran authentifiziert hat, ist jeder Traffic vom Server legitimiert. Der Proxy sieht ja nicht, dass hinter dem Server ne Armada anderer Clients sitzt.
 

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #9
@Metal_Warrior: Die Annahme mit dem Proxy = Gateway würd ich nicht direkt bestätigen. Ich schick morgen mal ein Traceroute, aber soweit ich weiß ging meine Anfrage letztes Mal über das Gateway noch drüber und wurde eine Lokale Adresse weiter erst gedropped.

Verständnisfrage: Wenn der Proxy auf dem Gateway sitzt, kann der Rechner sich dann einfach auf dem Proxy anmelden und den Traffic nur noch Richtung Gateway schieben? Ich hätte mir das so ähnlich wie VPN vorgestellt, dass man den Traffic tatsächlich auf einen Dienst leiten muss der auf einem Port des Zielrechners sitzt.
 
Zuletzt bearbeitet:

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #11
Ihr habt mich alle ein wenig missverstanden, die Hardware ist bereits eingekauft ich habe tatsächlich nur Fragen bezüglich IPTables bzw Linux an sich.
Ich möchte halt wie von Metal_Warrior richtig beschrieben den Traffic auf den Proxy leiten.
 

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #13
[src=bash]traceroute to google.de (216.58.206.3), 30 hops max, 60 byte packets
1 10.97.0.1 (10.97.0.1) 0.875 ms 1.453 ms 1.742 ms
2 192.168.192.105 (192.168.192.105) 0.578 ms 0.640 ms 0.559 ms
3 * * *[/src]
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Kann sein, dass ICMP einfach nicht vom Gateway weitergeleitet werden.

Check' mal auf Port 80. Beispielsweise mit [kw]nping --tcp -p 80[/kw].
 

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #15
[src=bash]~$ sudo nmap -p 80 10.97.0.1

Starting Nmap 7.40 ( https://nmap.org ) at 2018-01-19 09:40 CET
Nmap scan report for 10.97.0.1
Host is up (0.0032s latency).
PORT STATE SERVICE
80/tcp closed http


~$ sudo nmap -p 80 192.168.192.105

Starting Nmap 7.40 ( https://nmap.org ) at 2018-01-19 09:40 CET
Nmap scan report for 192.168.192.105
Host is up (0.0014s latency).
PORT STATE SERVICE
80/tcp filtered http

[/src]
 
Oben