• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Clients vor Proxy bewahren - Nat?

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
Hallo miteinander,

Dass die Netzwerke staatlicher Einrichtungen oftmals weniger geil aufgebaut sind ist wahrscheinlich für keinen von euch was Neues.

Jetzt hab' ich die tolle Aufgabe, einen Access Point aufzubauen, nur gibt es folgendes Problem: Das Internet (der einzig relevante Teil des ganzen für alle Endnutzer) ist nur mit Benutzung eines http proxies mit Authentifikation zu erreichen.
Da das auf egal welchem Engerät unfassbar anstrengend und nur eingeschränkt funktionabel ist, möchte ich die Verbindung erst durch einen Rechner mit zwei Netzwerkinterfaces schleifen, der dann im einen Interface alle Clients nimmt und gemeinsam mit dem eigenen Traffic (via NAT) über das andere Interface in Richtung Proxy schickt.

Gibts dafür irgendwelche Hardwarelösungen die das sozuagen "Plug and Play" können? Falls nein müsste ich es halt manuell konfigurieren was an sich kein Problem wäre aber ich finde halt annähernd nichts dazu im Internet.
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Router mit VPN Client Funktion dürfte dem nahe kommen. Musst du nur den Router für VPN konfigurieren.

Der Router muss dann natürlich auch das Gateway sein.

OpenWRT unterstützt das vermutlich alles klingt nicht all zu exotisch.

Damit arbeitest du allerdings aktiv am Proxy vorbei was aber zu sein scheint was du vor hast. Geht vemrutlich auch ohne sämtlichen Traffic in einem verschlüsselten Strom vorm Proxy zu verstecken, aber dann muss alles selbst definiert werden.
 
Zuletzt bearbeitet:

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
@Cazawhi: Sorry ich habe keine direkte Antwort auf deine Frage, sondern nur eine Menge Rückfragen an dich :unknown:

1. Ist das so eine "wenn wir was am Netzwerkt ändern wollen müssen wir IBM anrufen und dann kostet das Drölfmillionen" Sache?

--> Die korrekte Vorgehensweise ist es erstmal mit den Netzwerkadmins der Behörde zu reden, die für so Dinge wie den http-Proxy oder den Internetanschluss hauptamtlich verantwortlich sind. Das sind nämlich diejenigen, die den Access Point später einfach einkassieren werden, nachdem sie im Log ein unbekanntes Gerät gefunden haben, das signifikante Mengen an Traffic durchschleift. (... wenn es da Admins gibt)


2. Was meinst du mit "eingeschränkt funktionabel"? Anhand deiner Beschreibung würde ich Probleme erwarten wie "Dienste auf nicht http(s) Ports laufen nicht". Also z.B. VOIP oder VPN. Eventuell eingeschränkte Funktionalität von Messengern und Videospielen.

--> Diese Probleme wirst du nicht los, wenn der Proxy nur ausgehende Verbindungen mit Zielport 80 bzw 443 ermöglicht. Du müsstest einen Webserver haben, der "freies Internet" hat, mit dem du einen Tunnel aufbaust. Das dies möglich ist heißt aber nicht, dass es auch eine gute Idee ist. Insbesondere gibt es für sowas keine "Plug and Play" Lösungen, da es ziemlich nahe an sträfliche Sabotage herankommt. Dich schützt eventuell dein Auftrag, aber mal ganz im Ernst: der Proxy ist nicht das Hindernis, der erlaubt ja die Kommunikation mit Webservern im Internet. Das Hindernis ist die Firewall, denn diese verbietet die Kommunikation mit dem Internet. Deine Frage ist also "Wie umgehe ich von innen die Firewall einer Behörde?" Damit sollte auch klarer werden, warum es da wenig drüber zu finden gibt ;)

3. Wenn der Proxy "mit Authentifikation" funktioniert, wie planst du den Access Point zu authentifizieren? Mit dem Benutzeraccount und Passwort von John aus der Buchhaltung? Klingeln dir nicht die Ohren, wegen den ganzen Alarmsirenen, die dieser Auftrag auslöst? Selbst wenn du irgendwo einen Funktionsaccount gefunden hast, der berechtigt ist den Proxy zu benutzen: eigentlich braucht der AP einen eigenen solchen Account. Aber:

4. Was dein Kunde (wahrscheinlich) haben will: Einen Access-Point, der, basierend auf einer passend gepatchten Netzwerkdose, korrektem Routing und entsprechenden Firewallregeln definiert ist als "kann nur mit dem Internet, aber nicht mit dem behördeninternen Netzwerk kommunizieren". Siehe 1.


Mandatory Webcomic Reference: http://geek-and-poke.com/geekandpoke/2013/7/13/foodprints
 
Zuletzt bearbeitet:

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #4
1. Ist das so eine "wenn wir was am Netzwerkt ändern wollen müssen wir IBM anrufen und dann kostet das Drölfmillionen" Sache?

Das ist eine wir haben von der Behörde dieses System als Vorgabe und können das nicht wegschmeißen sondern müssen damit leben.



--> Die korrekte Vorgehensweise ist es erstmal mit den Netzwerkadmins der Behörde zu reden, die für so Dinge wie den http-Proxy oder den Internetanschluss hauptamtlich verantwortlich sind. Das sind nämlich diejenigen, die den Access Point später einfach einkassieren werden, nachdem sie im Log ein unbekanntes Gerät gefunden haben, das signifikante Mengen an Traffic durchschleift. (... wenn es da Admins gibt)

Grundsätzlich 'ne gute Idee, bloß gibt es keinen mehr der weiß wie das Netzwerk aufgebaut ist, da das zu Entstehungszeiten wohl random Informatikstudenten gemacht haben die da natürlich nicht mehr arbeiten.


--> Diese Probleme wirst du nicht los, wenn der Proxy nur ausgehende Verbindungen mit Zielport 80 bzw 443 ermöglicht. Du müsstest einen Webserver haben, der "freies Internet" hat, mit dem du einen Tunnel aufbaust. Das dies möglich ist heißt aber nicht, dass es auch eine gute Idee ist. Insbesondere gibt es für sowas keine "Plug and Play" Lösungen, da es ziemlich nahe an sträfliche Sabotage herankommt. Dich schützt eventuell dein Auftrag, aber mal ganz im Ernst: der Proxy ist nicht das Hindernis, der erlaubt ja die Kommunikation mit Webservern im Internet. Das Hindernis ist die Firewall, denn diese verbietet die Kommunikation mit dem Internet. Deine Frage ist also "Wie umgehe ich von innen die Firewall einer Behörde?" Damit sollte auch klarer werden, warum es da wenig drüber zu finden gibt ;)

Eben nicht. Ich will die Firewall nicht umgehen sondern ihre offene Stelle nutzen.

3. Wenn der Proxy "mit Authentifikation" funktioniert, wie planst du den Access Point zu authentifizieren? Mit dem Benutzeraccount und Passwort von John aus der Buchhaltung? Klingeln dir nicht die Ohren, wegen den ganzen Alarmsirenen, die dieser Auftrag auslöst? Selbst wenn du irgendwo einen Funktionsaccount gefunden hast, der berechtigt ist den Proxy zu benutzen: eigentlich braucht der AP einen eigenen solchen Account.

Eigentlich sind "Gegenfragen" dafür gedacht, um noch nicht gegebene Informationen zu erlangen, auf deren Basis man dann sein Urteil fällt. Was du machst ist einfach nur eine in einer Gegenfrage getarnte Anschuldigung für die du noch nicht mal genug Infos hast.
Also: Es geht um eine Schule in einer Großstadt. Alle Schulen müssen nach Vorgabe dieses komplett bescheuerte Servernetzwerk nutzen, welches sie am Ende auf einen Proxyserver lenkt der eventuell auch zentral sitzt (die Information wollte mir keiner der Zuständigen geben, oder hat selbst keine Ahnung).
Die Schulleitung und alle sonstigen Verantwortlichen intern haben meinem Projekt bereits zugestimmt und ich habe einen eigenen Account zur Anmeldung auf dem Proxyserver erhalten.


4. Was dein Kunde (wahrscheinlich) haben will: Einen Access-Point, der, basierend auf einer passend gepatchten Netzwerkdose, korrektem Routing und entsprechenden Firewallregeln definiert ist als "kann nur mit dem Internet, aber nicht mit dem behördeninternen Netzwerk kommunizieren". Siehe 1.
Was mein Kunde haben will: Ein Access Point der ein internes Netzwerk aufbaut, es mit einer Firewall von dem Schulnetzwerk trennt und nur Anfragen, die ins Internet gehen ins Schulnetzwerk forwardet, nur eben zu einem Proxyserver mit Authentifikation.

--- [2018-09-29 11:32 CEST] Automatisch zusammengeführter Beitrag ---

@alter_Bekannter: Ich will aber nicht am Proxy vorbei, ich will da rein.
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Physikalish gesehen gehts ja auch noch durch den Proxy. Deswegen muss der Router sich ja auch mit dem Verbinden.

Nur ebn logisch dran vorbei. Im Sinne von: egal wie viele CLeints dahinter stecken der Proxy sieht nur einen verschlüsselten Datenstrom mit dem er nicht interagieren kann außer eventuell eine Vollsperrung.

Das kann daher durchaus ein Verstoß gegen deinen Arbeitsvertrag sein, sogar ein Grund zur fristlosen Kündigung + Klage.
Aber ich hilet dich im Zweifel jetzt einfach mal für den mündigen Admin und das Problem für:

Besser kann ich es halt auch nicht formulieren.

Bei IBM heißt "günstig" halt schonmal:
Es kostet nur einen kleinen 5 stelligen Betrag pro Monat + Einsatzpauschale.
 

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #6
@alter_Bekannter: Verstehe ich das richtig?
Du meinst ein VPN Router kann sich am Proxy anmelden und dann per VPN den ganzen Traffic durch das Netz schleusen?

Dann müsste ich halt eine VPN bezahlen, was ich gar nicht brauche - ist mir jetzt nicht so wichtig den Datenstrom zu verschlüsseln.
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
Was du machst ist einfach nur eine in einer Gegenfrage getarnte Anschuldigung für die du noch nicht mal genug Infos hast.
Ja, das ging zuweit. Ich sollte hier nicht posten. wenn ich hungrig bin, da werde ich polemisch aggressiv. Sorry!
Mir geht bei solchen "müssen damit leben." Geschichten der Hut hoch. Das Ergebnis ist meiner Erfahrung nach noch mehr Pfusch in einem eh schon schlechten System.

ich habe einen eigenen Account zur Anmeldung auf dem Proxyserver erhalten.
:T

Es geht um eine Schule
Bei "Netzwerk staatlicher Einrichtungen" schwebte mir was anderes vor. Schulen verhalten sich anders wie Behörden: weniger Budget, mehr Widerstand gegen Änderungen an funktionierenden Strukturen, mehr Akzeptanz für wilde Anbauten.

[niemand] weiß wie das Netzwerk aufgebaut ist [...] random Informatikstudenten [...] die da natürlich nicht mehr arbeiten.
Also worst case. Aber zumindest bedeutet das, dass da wohl keiner kommen wird um den AP einzukassieren und dich am Ende noch dafür verklagt.
:T


Ist https://github.com/semigodking/redsocks was du suchst?

Achtung: ich habe das Ding nie im Einsatz gehabt, da ich den Ansatz Layer 4 auf Layer 7 aufzusetzen schon für falsch halte. Alle Informationen dazu sind "as is" und mein Wissen zu dem Thema ist damit erschöpft
 
Zuletzt bearbeitet:

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
@Cazawhi: Erzähl es nicht weiter :p Die Frage kommt immer mal wieder und der erste Ansatz sollte stets sein es den Fragenden auszureden :unknown:

Ich mach da mal eine Ausnahme für Bildungszwecke, aber wie gesagt: insbesondere das Umgehen der Authentifizierung kann unter Umständen sogar eine Straftat sein, denn du ermöglichst unberechtigten Systemen/Personen die Nutzung des Netzwerks, wenn sie sich an deinen AP klemmen, bzw verschleierst die tatsächlichen Nutzer und damit die Rückverfolgbarkeit, wenn jemand was anstellt. (Nicht das es da nicht Wege gäbe, aber bei diesem steckst du halt mit drin ;-)

Die Sache mit dem "eingeschränkt funktionabel" wirst du so auch nicht los werden, denn der Proxy, der wahrscheinlich Teil eines DPI Systems ist, verursacht das auch weiterhin. Siehe VPN / TOR für zensurfreies Internet.
 
Zuletzt bearbeitet:

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
@Cazawhi:
Korrekt, das war der Plan, das wird natürlich schwieriger wenn das über irgendein komische proprietäres Protokoll erfolgt für das es keine Implementierung für OpenWRT gibt.

Hat eure Firma nicht sowieso irgendwelche Server außerhalb des Netzwerks? In dem Fall bräuchte man nämlich nichts zusätzliches zu mieten.
Ohne Exitpoint kein Tunnel. Brauchst halt draußen wieder was dass den Datenstrom wieder auseinander nimmt, egal ob du es verschlüsselst oder nicht.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Du brauchst in jedem Fall einen Endpunkt außerhalb deines Netzwerks. Anders geht kein *freies* Internet.

Nachdem die Warnungen durch sind - und mit dem Hinweis an andere das das in Firmen als Arbeitnehmer zur Kündigung führen kann:

Du kannst außerhalb das https://www.softether.org nutzen und sich dort direkt von jedem.pc im Haus hin verbinden, dann muss man dort fast nichts ändern.
 

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #13
@drfuture: Dann müsste ich aber im Internet einen SoftEther VPN Server hosten, und das kostet mich definitiv Geld, weil mein Hausanschluss eigentlich nicht mal meinen Bedarf richtig deckt.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
die Schule müsste nicht du... und wie schon gesagt - ohne einen Endpunkt mit freiem Internet außerhalb der Schule / deines eingeschränkten Netzes funktioniert es nicht.
 
Zuletzt bearbeitet:

saddy

Bekannter NGBler

Registriert
16 Juli 2013
Beiträge
4.030
Ort
*.*
Also das Jobcenter arbeitet mit Access Datenbanken.
Sry aber Behörden und Sinn bei IT das passt einfach nicht ;)
 

Cazawhi

Geht ein

Registriert
13 Feb. 2016
Beiträge
357
Ort
im Funkloch
  • Thread Starter Thread Starter
  • #16
Nichts toppt dashier

3 Teams gestellt vom Förderverein der Schule, dem Elternbeirat und paar Leute der Stadt
1 Team macht PCs in den Klassenzimmern
1 Team macht die Verkabelung und die Pachpanels
1 Team verwaltet den Server

Die Teams reden nicht miteinander

Keiner der Mitglieder der Teams hat irgendwas mit IT zu tun und macht das zum ersten Mal
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Das schlimme daran ist, dass es mich nicht im geringsten schockiert oder auch nur überrascht.

5b32eb906c790134d06d005056a9545d.gif

Das letzte Panel ist Branchen- und Fachbereichübergreifend allgemeingültig.

Die einzige Ausnahme sind Trivialaufgaben also Sachen die auf unter 1 Stunde geschätzt werden von jemandem der was davon versteht und es dann selber ausführt.
 
Oben