Proxy umgehen mit VPN

[PP Frank]

Deswegenb habe ich mich bereits mit Lars über Punkt 1 unterhalten. Das macht tatsächlich Sinn.

Zu Punkt 2. Ob nun einer Squid nutzt, oder über den Squid auch noch VPN jagt.... Ich sehe da kein Unterschied.

Punkt 3: Nein war so nicht gemeint. Die meisten leute nehmen das Problem aber nicht für voll. Und ich will einfach nur nicht das es später heisst "Ja Danke, weil ich PP genutzt habe, bin ich jetzt beim Amt". Deswegen sage ich das gleich dazu, damit auch jeder 100 Prozent selbst schuld ist

 

[JackCarver]

Punkt 2 ist nur halb korrekt um das mal so zu sagen, denn base64 muss nicht sein, sofern ich das richtig in Erinnerung habe. Squid kann auch mit deutlich sichereren Verfahren zum Austausch von PW und User konfiguriert werden zb Digest Auth nur um eines zu nennen. Ich persönlich finde VPN auf 443 allerdings auch besser.

 

[JackCarver]

Und btw kann man ja auch ssh vorschalten um User/PW abzusichern.

 

[theoth]

...
Zu Punkt 2. Ob nun einer Squid nutzt, oder über den Squid auch noch VPN jagt.... Ich sehe da kein Unterschied.

Frank, wenn Du Dich direkt über Deinen Provider mit einem PP-squid verbinden läßt, so werden alle HTTP-requests in die Proxy-Anfrage eingepackt. Die jagt im Header Deinen Usernamen und Dein pp-passwort durch das Netz - und zwar base64 verschlüsselt; also quasi gar nicht.
Auch wenn Du anschließend darüber eine vpn-Verbindung aufbaust, ist die zwar innen als "connect" verschlüsselt, außen sind aber immer noch die Proxy-wrapper mit der proxy-auth sichtbar.

Umgekehrt ist es ok - also erst vpn und dadurch die Proxy-Anfragen laufen lassen. Dort ist dann alles bis zum PP-Server durch den vpn verschlüsselt.

JackCarver hat zwar Recht mit der Digest-Verschlüsselung, nur ist der Support dafür nicht so toll und der setup möglicherweise komplizierter.
In meinem Fall z.B. (squid-Kaskade) steht bei mir in der squid.conf:

cache_peer proxy_GigabitDE parent 443 0 no-query no-digest no-netdb-exchange login=hugo:passwort123

Laut squid-FAQ ist zwar auch DIGEST für cache_peer möglich, aber wie das genau geht ist z.B. nicht klar beschrieben.

Also würde ich eher dafür plädieren, den proxy immer nur nach Aufbau eines vpn-Tunnels oder ssh-Tunnels zu verwenden, nie umgekehrt.

 

[JackCarver]

Das setup ist nicht so komplex, allerdings kommt zum Bspl Proxifier nicht mit Digest zurecht. Hatte das mal getestet. Mit FF als Browser ging das. Aber ich geb dir recht, ohne ssh ist ne Verbindung zu nem Proxy sehr unsicher, was User/Pass anbelangt.

 

[Sbf93]

Ich wollte das Thema nur nochmal aufwärmen. Frank, du sagst, dass du dich mit Lars über die Thematik unterhalten hast und ihr zu dem Schluss gekommen seit, dass es Sinn machen würde die Ports zu ändern.

Also werden Sie in naher Zukunft geändert oder bleibt die nächsten Monate doch noch alles so, wie es ist?

 

[PP Frank]

Dazu kann ich dir gerade nichts sagen, da ich nicht weis in welchen Clienten da etwas geändert werden müsste. Ich weis es einfach nicht, das Thema wurde mal kurz besprochen und Lars wollte das wegen den Clienten prüfen. Das Ganze hat aber für uns momentan keine wirkliche Priorität.

 

[Sbf93]

Ich möchte die Thematik gern nochmal pushen.

Falls ihr vergessen habt, worum es ging:

Funktionswechsel von Port 443 von SQUID-Proxy zu TCP OpenVPN

Ist für mich nach wie vor einer der größten Wünsche an euch. Dann könnte ich endlich meinen selbstgehosteten VPN-Server abschalten.

 

[PP Frank]

Also VPN over Squid? Geht doch im Manager. Oder wie meinst du das?

An OpenVPN via HTTPS über 443 arbeiten wir, weswegen es auch keine 443 Sachen derzeit bei uns gibt. Aber da ist Geduld gefragt, weil wir erst die neuen Manager fertig kriegen müssen

 

[Sbf93]

Oh stimmt, der Port wurde ja zwischenzeitlich freigeräumt.

"OpenVPN via HTTPS über 443" genau das meine ich.

Keine Hektik, ich habe inzwischen so lange gewartet, da machen ein paar Monate mehr auch nichts mehr aus