Proxy umgehen mit VPN

S

Sbf93

Member
Wie das Thema schon sagt, würde ich gern dazu in der Lage sein, mich auch aus Netzen hinter einem Proxy mit euren Servern zu verbinden.

In der Berufsschule oder bei Lehrgängen ist es als Fachinformatiker ziemlich lästig, wenn man hinter einem zensierten Netz sitzt, bei dem nur wenige Ports offen sind.

Momentan habe ich für solche Zwecke noch einen Account bei incloak.com, aber würde diesen demnächst gern auslaufen lassen und nur noch bei euch Kunde sein.

Dafür müsste ich nur über Port 443 eine OpenVPN-TCP-Verbindung aufbauen können, da dieser Port bei (fast) jedem Proxy geöffnet ist.

Könntet ihr das bitte auf euren Servern einrichten? Bestimmt bin ich nicht der einzige, der das dann nutzen wird.

Grüße,
Sbf93
 
Nein, das machen Sie leider nicht, hier mal als Beispiel von dem Gigabit-CH-Server:

Wed Jan 15 14:20:53 2014 us=819350 Attempting to establish TCP connection with [
AF_INET]176.10.115.98:443
Wed Jan 15 14:20:53 2014 us=873398 TCP connection established with [AF_INET]176.
10.115.98:443
Wed Jan 15 14:20:53 2014 us=873398 TCPv4_CLIENT link local: [undef]
Wed Jan 15 14:20:53 2014 us=873398 TCPv4_CLIENT link remote: [AF_INET]176.10.115
.98:443
Wed Jan 15 14:22:53 2014 us=985895 [UNDEF] Inactivity timeout (--ping-restart),
restarting

Genau das ist ja mein Problem, über Port 443 komm ich nicht auf die PP-Server, was bei vielen anderen VPN-Abietern problemlos geht.
 
Ich habe das gerade mit unserem HTTP-Proxy getestet und das geht mit TCP. War mir ehrlich gesagt neu.

Die OpenVPN Config so lassen wie sie ist. In OpenVPN auf Einstellungen gehen, den Domainname des Servers eintragen(Bei meinem Test Moscow und 3128, bei dir die private IP eures Proxy und 443 für den Port. Danach fragt OpenVPN erstmal das PW des Proxys ab, da gibst du die Nutzerdaten an, die du von Euch hast und danach fragt OpenVPN die ugangsdaten von uns ab.

Edit: Socks5 geht nicht. Aber Squid geht. Wichtig ist drauf zu achten, das man die richtigen Nutzerdaten zur richtigen Zeit angibt
 
Hm, ja das sind die squid ports auf 443, nicht die openvpn... aber was Frank da meint müßte dann wie auf der Seite beschrieben sein: For example, suppose you have an HTTP proxy server on the client LAN at 192.168.4.1, which is listening for connections on port 1080. Add this to the client config:

http-proxy 192.168.4.1 1080 ...
 
Ich glaube wir haben uns misverstanden. Ich nutze OpenVPN ohne GUI und wie man dort Proxys auch mit automatischem Login usw einträgt ist mir bewusst.

Die Proxys, mit denen ich auf Arbeit und co kämpfen muss hören alle auf Port 80 oder 8080, lassen aber nur Port 80 (HTTP) und 443 (HTTPS) ins Internet durch, weshalb ich mich mittels Port 443 auf dem VPN-Server verbinden müsste.

Wie bereits gesagt habe ich mich so bereits mit mehreren anderen VPN-Anbietern erfolgreich ins freie Netz getunnelt. Es wäre also schön, wenn ihr auf ein paar oder allen Servern auch TCP-Verbindungen nicht nur über Port 152 und 1152, sondern auch über 443 zulassen würdet.

Ich hoffe, diesmal habe ich mich besser ausgedrückt als vorhin.

Edit:

Hier zum beispiel die Config, die ich bei meinem letzten Lehrgang benutzt habe, von einem anderen Anbieter, da wie gesagt weder Port 152 noch Port 1152 im Proxy offen ist.

http://pastebin.com/YADeHkEF

IP-Adressen und Dateinamen sind zensiert.
 
ja, in der FAQ wird zwar darauf hingewiesen, daß tcp genommen werden muß, aber daß der proxy einen connect für das Ziel-Port erlaubt, wird wohl stillschweigend vorausgesetzt. Wenn nur 443 als connect weitergeleitet wird, hilft wohl nur ein auf 443 hörender vpn-Server.
 
theoth;n4158 said:
ja, in der FAQ wird zwar darauf hingewiesen, daß tcp genommen werden muß, aber daß der proxy einen connect für das Ziel-Port erlaubt, wird wohl stillschweigend vorausgesetzt. Wenn nur 443 als connect weitergeleitet wird, hilft wohl nur ein auf 443 hörender vpn-Server.
Click to expand...

Genau. Deshalb meine Bitte diesen Port auf den PP-Servern zu öffnen.
 
und auf 443 läuft bei PP SQUID. Verstehe solche frechen Anfragen wieder nicht.

a.) befindet man sich in einem eingeschränkten netzwerk, hat schon seine Gründe warum die admins sich dafür entschieden haben.
b.) auf 443 ist der HTTP-SSL port, macht also mehr sinn dass da PP auch einen http proxy drauf laufen lässt.
c.) kann man sich ja als fachinformatiker seinen eigenen maßgeschneiderten tunnel bauen.
d.) versteht openVPN tunnels via HTTP, das heißt ich kann mich über einen http proxy mit openVPN verbinden.
 
Freche Anfrage?? Das war ein VORSCHLAG im Forum VORSCHLÄGE.

a.) Wozu ich einen VPN nutzen möchte kann doch egal sein. Gibt auch genug Leute, die die Server für illegale Sachen nutzen, ist auch nicht viel besser... Aber von mir aus, dann will ich mich halt aufgrund der Anonymität mit einem VPN verbinden.
b.) Ja, ich hab übersehen, dass der Port anderweitig verwendet wird, mein Fehler. Alternativ geht ja auch noch Port 80, der ist soweit ich das sehe noch nicht belegt.
c.) Kann man natürlich. Nur miete ich mir dafür nicht extra einen eigenen Server und der Upload meines Heimrouters ist mir dafür doch etwas zu gering.
d.) Versteh nicht so ganz, was du mir damit sagen willst. Ich kann mich auch mit einem http-proxy zu OpenVPN verbinden, aber wie ich zwei Proxys dafür verketten kann weiß ich nicht. Klär mich doch auf anstatt nur zu meckern.
 
1. Sorry, aber wir können nicht für jeden Einzelfall extra an den Servern herumfummeln: Auch wenn man das persönlich immer als für toll und furchtbar wichtig erachtet, so müssen wir doch ein wenig halblang machen

2. HTTP Kaskade meint das du die HTTP.Proxys auch in reihe schalten kannst mit zB Proxifier. Du nimmst dort ganz vorn den Unternehmens/Schulproxy und als 2. nutzt du unseren auf Port 443. Theoretisch sollte es sogar machbar sein darüber VPN zu schicken(zumindest TCP OpenVPN).

3. Solltest du das warscheinlich unbedingt sein lassen. Wenn bei dir ein solcher Proxy da ist, dann ist das meist nicht ganz grundlos. Der dortige Admin wird echt sauer sein, wenn du da durch tunnelst: Sowas ist auf Arbeit und auch inb der Schule ein absoluter Entlassungsgrund. Und das Ganze nicht zu Unrecht, denn man hebelt die ganzen Sicherheitsbemühungen des dortigen Admins aus. Auch wenn das den meisten nicht bewusst ist und diese kein Gefühl haben für solche Sachen, aber den Pförtner umhauen ist für das Unternehmen weniger schlimm als sowas. Die IT Abteilung kostet nämlich richtig Geld. Das Tunneln und Aushebeln der Sicherheitsvorkehrungen ist da ein Sabotageakt und das Wort ist nicht übertrieben....
 
Wird Denk ich n transparenter Proxy bei denen auf Arbeit sein oder? Dann langt in Proxifier der PP Proxy auf 443 und da drüber dann VPN. Sofern du Proxifier installieren darfst.
 
Der Admin auf Arbeit sitzt direkt neben mir und gibt mir öfters FTP-Links oder sonstiges, damit ich die über VPN runterlade. Der Proxy ist halt vor den gesamten Betrieb geschaltet und normale Mitarbeiter sollen halt nicht auf andere Ports zugreifen können. Die IT hingegen schon. Also keine Sorge wegen der Legalität...

Das mit Proxifier funktioniert leider nicht. Habe es eben ausgetestet und ich kann keine Proxy-Chain erstellen, wo der http-Proxy am Anfang steht.

Das ihr nicht für jedes Würstchen an den Servern rumfummelt ist mir bewusst und deshalb habe ich es als Vorschlag geschrieben. Der wurde abgelehnt und damit hat sich das Thema für mich gegessen. Der Thread kann meinetwegen auch gerne gelöscht werden. Schöne Grüße an alle hilfreichen Antworten (also alle außer owa)
 
Das funktioniert prima mit den TCP-configs für Windows und OpenVpn. OpenVPN Einstellungen - Proxy - http proxy anhaken - Adresse (einen pp-server nehmen bei mir funzt lu1.gigabit.perfect-privacy.com) - Port 443

Configs so lassen wie sie sind, OpenVpn auf einen Server verbinden, bei mir funzt das mit nl1.Dann musst du 2x Benutzername und Passwort von PP eingeben.

Voila und schon bist du über VPN mit PP via Port 443 verbunden (bei mir jedenfalls):rolleyes:

Danach kannst du auch den SSH Tunnel benutzen oder was auch immer.
 
@Sbf93

Na vielleicht hilft dir dein Admin mal ein bischen. Eigentlich müsste das mit der Squid Kaskade gehn. Welche Fehler bekommst du denn in Proxifier?

@XKeyscore
Das ist dann mehr oder weniger irgendwie auch Double VPN(so mit Auge zudrücken und so :p). Zumindest geht der VPN über zwei Stationen ;)
 
Moin zusammen,

hier meine Kommentare dazu:
1)
Port 443 für einen Proxy ist schon arg merkwürdig. Typisch ist 3128, 8080, 8088 und dergleichen. Wofür gibt es denn schon die Konventionen, wenn sich niemand dran hält und seinen Webserver demnächst auf port 90 lauschen läßt. Da wäre 443/tcp für openvpn schon sinnvoller.

2) Verstehe ich das richtig, daß hier empfohlen wird, per pp-proxy (mit user/password im http-header für die proxy auth) sich zum vpn weiterleiten zu lassen? Wäre mir neu, daß squid, auch wenn er auf 443 lauscht SSL-Verbindungen aufbaut. Die proxy-auth läuft also unverschlüsselt über http. Wäre mir zu riskant. Ich greife auf die PP-proxies nur per tunnel (vpn oder ssh) zu.

Ich zitiere mal aus der squid-Doku:

NOTE: The name and password are encoded using "base64" (See section 11.1 of RFC 2616). However, base64 is a binary-to-text encoding only, it does NOT encrypt the information it encodes. This means that the username and password are essentially "cleartext" between the browser and the proxy. Therefore, you probably should not use the same username and password that you would use for your account login.

3) Das Argument, daß man dabei firewalls umgeht und das lieber bleiben lassen soll, ist nicht zielführend. Ich geh mal davon aus, daß jeder sich dessen bewußt ist, was er tut. Wenn nicht, hat sie/er ohnehin ein größeres Problem.

p.s. hab gerade mal einen tcpdump für eine der Verbindungen zum pp-proxy mitgeschnitten:

Code: 
CONNECT board.perfect-privacy.com:443 HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:20.0) Gecko/20100101 Firefox/20.0
Host: board.perfect-privacy.com:443
Via: 127.0.0.1
X-Forwarded-For: 127.0.0.1
Proxy-Authorization: Basic VGhlbzpwYXNzd29ydDEyMwo=
Cache-Control: max-age=259200
...
wie erwartet wird auch bei SSL-connect die proxy-auth/basic mitgeschickt. Und da stehen Username und passwd im header drin:
Code: 
echo VGhlbzpwYXNzd29ydDEyMwo= | base64 --decode
Den output habe ich weggelassen - will ja nicht, daß jemand mein passwort kennt...
 
tjo warum dann nicht einfach auf den ganzen servern die 16 IPs+ haben, 2 virtuelle maschinen installieren, und da von port 1-65535 openVPN listener laufen lassen und auf der anderen VM das gleiche mit SSH. das sind dann für die ganzen spezis spezielle einlog server, wofür nur 1 outgoing port frei sein muss.
 
Hallo,


Punkt 1: werden wir nochmal überdenken

Punkt 2:: Halte ich nicht für so extrem kritisch. Die meisten nutzen irgendein unverschlüsseltes Proxyprotokoll. Ausserdem sind die Nutzerdaten lediglich Zugangsdaten die aber ansonsten sogar recht unkritisch sind. Klingt blöd, ist aber so. Die werden nicht zur Verschlüsselung der anderen Protokolle genutzt. Das jemand die über diesen Weg abfängt, bringen demjenigen gar nichts, ausser das er eine Runde surfen könnte.

Punkt 3: Das sind sich eben die leute nicht bewusst. Wenn ich das so ausdrücklich sage, dann hat das einen Grund. Ausserdem lieber mal einmal mehr drauf hinweisen, als einmal zu wenig. Von daher hättest dir den Punkt schenken können.
 
Hallo Frank,

Punkt 2 ist insofern kritisch, als die Proxy-auth Daten identisch mit den PP-vpn Zugangsdaten sind. Wer die kennt, kann die PP-Zugänge nutzen, ob er bezahlt hat oder nicht. Ich würde die nicht über meinen Provider oder das Firmennetzwerk jagen.

Punkt 1 macht Sinn, weil 443 in fast allen Firmennetzen freigeschaltet ist und auf den pp-Kisten ja kein https läuft. Firmenproxies würden da ein connect machen und keinem würde großartig was auffallen.

Punkt 3 - naja das klang für mich ein wenig so:

Kunde: Kriegt man das Modell T1 auch in schwarz?
Autohändler: theoretisch ja, hat aber nur Nachteile. Ich empfehle das rote Modell, das hab ich gerade da...

Klar, manchmal ist ein Hinweis nicht verkehrt, aber im Geben ungefragter Ratschläge sind Deutsche Weltmeister
 
You must log in or register to reply here.
Back
Top