Sicherer privater Proxy zum Selberhosten

[Novgorod]

Servus,

folgende situation: ich habe windows-rechner an 2 standorten, beide mit theoretisch "guter" internetanbindung: standort 1 hat 100MBit up/down, standort 2 hat 1GBit up/down, beide haben (quasi-)statische IPs und sind aus dem internet erreichbar (zumindest über die meisten ports).. das problem ist, dass die anbindung zwischen dem provider an standort 1 und diversen internetdiensten (inkl. google/youtube) aufgrund von miserablem QoS sehr beschränkt und instabil ist - z.b. werden youtube-videos sporadisch mit vollen 100MBit geladen, dann wieder nur mit 1MBit bis man ein paar mal F5 drückt und alles flüssig läuft; und da youtube nicht das komplette video cachet, frieren längere videos regelmäßig ein und man muss ein reload machen, sich den timestamp merken und an der stelle fortsetzen.. ja, man kann die videos auch als multistream runterladen, das geht normalerweise flott und ohne abbrecher (ggf. muss man den download ein paar mal neustarten), aber das ist alles extrem unbequem..

jedenfalls gibt es dieses problem an standort 2 nicht und die verbindung zwischen standort 1 und 2 ist in der regel immer unbeschränkt.. ich hab also daran gedacht, an standort 2 einen proxy aufzusetzen, der von standort 1 nur für bestimmte ziel-domains (vorrangig youtube) per browser-proxy-config o.ä. benutzt wird.. ich brauche dafür kein volles VPN, zum einen weil VPN (wahrscheinlich?) mehr drosselt und zum anderen weil ich diese umleitung nur auf anwendungsbasis haben will (d.h. als browsereinstellung mit domain-liste und nicht systemweit).. weiterhin muss dieser proxy natürlich https unterstützen und "sicher" sein, d.h. mit irgendeiner art von user-authentifikation (ich will ihn ja nicht dem gesamten internet zur verfügung stellen)..

gibt es eine simpel-lösung dafür, so wie es bei vielen VPN-server/client-programmen der fall ist?

 

[virtus]

Unter Windows bin ich mir nie sicher, welche Software es für solche Dienste überhaupt gibt, spontan fällt mir bei Windows der JanaServer ein. Er scheint jedoch auch schon etwas in die Jahre gekommen zu sein.

Aber um deine Frage allgemein zu beantworten: Ja, es gibt definitiv simple Lösungen.
Wobei ich eher einen SSH Tunnel nutzen würde. Das ist bequemer und wahrscheinlich sicherer.

 

[Novgorod]

Wobei ich eher einen SSH Tunnel nutzen würde. Das ist bequemer und wahrscheinlich sicherer.

der wäre auch nicht schwer aufzusetzen (nutze ich auch gelegentlich zum dateitransfer statt FTP), aber wie konfiguriert man sowas als proxy für bestimmte domains z.b. in firefox?

 

[virtus]

Bei vielen Standardkonfigurationen muss auf der Serverseite nichts mehr verändert werden.

Unter Linux und Mac OS:

[src=bash]ssh -f user@server.tld -L 8080:server.tld:80 -N[/src]

-f schickt ssh in den Hintergrund
-L p1:remote2 der lokale Port p1 wird zum remote-Host an Port p2 weitergeleitet
-N verhindert, dass Kommandos auf dem Remote-Host ausgeführt werden

Unter Windows:
Eine beispielhafte Anleitung für Putty und Firefox

 

[Novgorod]

mhm, gibt es einen weg ohne putty bzw. direkt über firefox, so dass nicht der gesamte traffic über den tunnel geht, sondern nur der traffic zu bestimmten domains? ansonsten sind wir doch wieder (quasi) bei VPN, wo ggf. die client-software nach regeln entscheidet, welcher traffic übers VPN geht.. also klingt nicht einfacher als eine komplette openvnp-konfiguration..

 

[kasimir]

Foxyproxy kann je nach Domain über verschiedene Proxies tunneln.

 

[virtus]

mhm, gibt es einen weg ohne putty bzw. direkt über firefox, so dass nicht der gesamte traffic über den tunnel geht, sondern nur der traffic zu bestimmten domains? ansonsten sind wir doch wieder (quasi) bei VPN, wo ggf. die client-software nach regeln entscheidet, welcher traffic übers VPN geht.. also klingt nicht einfacher als eine komplette openvnp-konfiguration..

Ohne Putty geht das nicht. Putty bildet die Schnittstelle zwischen einem lokalen Computer und dem Server, den du als Ausgangspunkt verwenden möchtest.
Bzw. es geht schon ohne Putty, dann brauchst du allerdings einen anderen Client, der den Tunnel für dich aufbaut.

Aber es wird auch nicht der gesamte Traffic durch den Tunnel geleitet. Port 8080 ist ein standardisierter und für alternativen HTTP Traffic reservierter Port. Der Port wird regelmäßig für Proxys verwendet. Keine normale Anwendung wird beginnen, über diesen Tunnel zu kommunizieren. Auch dein Webbrowser kommuniziert nicht einfach über einen derart konfigurierten Proxy, sondern nur, wenn du den Browser entsprechend einstellst. Wie kasimir schon sagte, kannst du die Konfiguration deines auch einem Plugin überlassen, das den Proxy dann auch nur für bestimmte Websites verwendet.


Aber ja, ein VPN wäre zumindest auf Dauer gesehen komfortabler.



Ich würde an deiner Stelle auch mal Beschwerde bei ISP einlegen. Da du über zwei Anschlüsse verfügst und so nachweisen kannst, dass die schlechte Erreichbarkeit am Routing deines Providers und nicht etwa an Youtube liegt, sind das optimale Voraussetzungen. Einfach mal über längere Zeit regelmäßig die Erreichbarkeit von Youtube testen und protokollieren. Jedes mal, wenn Youtube nicht/ nicht gut erreichbar ist, meldest du dich bei der Störenmeldezentrale deines ISP und wenn nach einem Monat keine Besserung eingetreten ist, dann verlangst du einen Nachlass bei der Rechnung.

 

[Novgorod]

ok, foxyproxy schau ich mir mal an, eine listenbasierte proxy-nutzung ist ja genau das was ich erreichen will.. den SSH-tunnel kann man ja sicher irgendwie als autostart automatisieren, der aufwand sollte sich also im endeffekt in grenzen halten.. es wäre bloß interessant zu wissen, ob es überhaupt "sichere" proxy-server mit irgendeiner art von authentifikation gibt oder ob dafür zwingend ein anderer layer (VPN, SSH-tunnel etc.) nötig ist..

achja, danke für den gut gemeinten rat mit dem provider, aber die ganze problematik spielt sich nicht in deutschland ab (und auch nicht im EU-ausland) - da gibts von meiner seite aus sehr wenig möglichkeiten dagegen vorzugehen und jede einzelne davon wäre wesentlich aufwendiger und zeitraubender als den proxy einzurichten ...

 

[saddy]

Also ist eine Linux Installation vorhanden?
Dann würd sich doch squid anbieten, den hab ich mal als Socks5 am laufen gehabt.

Ka was squid noch kann und ob foxyproxy socks kann, aber das wär dann auch ne Möglichkeit

 

[Novgorod]

@saddy: ne, alles windows..

so, ne kurze rückmeldung: foxyproxy ist tatsächlich ein super addon, womit man sehr einfach profile erstellen kann, welcher proxy für welche domains (inkl. wildcards, blacklists und whitelists) verwendet wird - damit war die einrichtung für "alle youtube-domains über standort 2 abrufen" buchstäblich in 2 minuten abgeschlossen ..
für den SSH-layer benutze ich den bitvise SSH-client (ich nutze ebenfalls den server für die andere seite), weil er das komplette profil inkl. logindaten speichert und mit einem klick im hintergrund ausführt (putty ist da etwas umständlich und ich brauche kein konsolenfenster).. er hat auch andere nette features direkt eingebaut, beispielsweise eine komplette sftp-GUI..

 

[virtus]

Danke für die Rückmeldung und vor allem für die Lösung, für die du dich letzten Endes entschieden hast.

 

[memcpy]

Der Faden ist zwar schon abgeschlossen, jedoch möchte ich noch auf die Möglichkeiten der PAC-Datei verwiesen haben. Basieren auf den URLs werden die angegebenen Proxys verwendet, nativ, keine Addons vonnöten.

https://de.wikipedia.org/wiki/Proxy_Auto-Config
https://www.lrz.de/services/netzdienste/proxy/browser-config/

 

[Novgorod]

stimmt, ist ne gute sache für browser, die keine proxy-addons unterstützen (z.b. auf mobilgeräten).. auf dem hauptrechner ist foxyproxy dennoch bequemer, weil man mit einem klick den proxy ein/ausschalten oder auch temporär für andere domains benutzen kann..