Squid-Proxies + Apple OS X

Ghost

Junior Member
Hey,

ich würde sehr gerne den Dienst Squid-Proxies nutzen.


Wie muß ich das konfigurieren?


Ist-Zustand: Apple OS X + Firefox + VPN Verbindung (Viscosity) (Amsterdam)

Soll-Zustand: Apple OS X + Firefox + VPN Verbindung (Viscosity) (Amsterdam) + Squid-Proxies (Amsterdam)


Danke euch, wie immer.......:)
 

JackCarver

Junior Member
Netzwerkeinstellungen und dort bei deiner aktiven Verbindung (WLAN/LAN) auf Proxies, dort Webproxy und sicherer Webproxy die IP des Squid und der Port des Squid Proxies eintragen, dann ist allerdings die Verbindung zum Squid unverschlüsselt. Besser erst ne SSH Verbindung aufbauen und den Squidport an nen lokalen Port binden. Dann unter Webproxy und sicherer Webproxy die 127.0.0.1 mit dem lokalen Port eintragen. Dann ist die komplette Verbindung verschlüsselt.
 

Ghost

Junior Member
Erst mal Danke für die Antwort.

Das ist jetzt doch etwas komplizierter als ich dachte.

Gibt es keine Möglichkeit den Squid Proxy zusammen mit einer VPN Verbindung (Viscosity) zu nutzen?
Ich möchte den Squid Proxy nur zur Änderung meiner Browserdaten verwenden.
 

PP Frank

Staff member
@Ghost

Im Endeffekt funktioniert das wie bei allen anderen OS auch. Du musst den Squid schon für den Browser eintragen. Also so wie Jack das erklärt hat ;)
 

logfile

Junior Member
Dazu mal ne theoretische Frage/Anmerkung:

Es wäre doch allerdings kein Problem wenn eine VPN Verbindung (über viscosity oder tunnelblick) bspw. nach Amsterdam aktiv ist. Dann trägt er im System/Firefox in den proxy-einstellungen die interne ip des servers (amsterdam) und einen beliebigen squidport ein. Dann sollte das ganze doch so aussehen:

VPN (Amsterdam) --------> Squid-Proxy (Amsterdam)

Dann müsste alles druch die vpn verbindung gehen (also verschlüsselt) und es würde der Proxy verwendet werden um die Browserdaten zu verschlüsseln.


Jetzt habe ich dazu eine praktische Frage/Wie macht ihr das?

1. Nutzt ihr VPN und Squid oder nur VPN?

2. Wenn ihr beides nutzt, macht ihr das dann über die interne ip des vpn servers, sodass die Proxy-Verbindung durch die VPN-Verbindung verschlüsselt ist? Oder ist es immer empfehlenswert VPN und dann einen ssh-tunnel für squid-proxy? Wären das dann nicht 2 verschlüsselte Verbindungen parallel?

3. Wenn man die Variante mit dem zusätzlichen ssh-tunnel wählt, sollte man dann einen anderen Squid nutzen als der VPN Server? Würde das erhöhte Sicherheit bringen? (Bspw. VPN(amsterdam) SSH2---->Squid ( Frankfurt))

Ich weiß viele Fragen und Möglichkeiten, würde mich aber über eine Antwort freuen ;)
 

JackCarver

Junior Member
Zu 1, wenn dann nutze ich nur VPN, zu 2 wären es keine parallelen sondern Kaskaden, also erst zum VPN und dann weiter zum ssh/Squid, zu 3 würde ich so machen, da ne Kaskade die Anonymität erhöhen kann, Tor zb Kaskadiert immer über 3 Server, entrance middle exit.
 

PP Daniel

Staff member
Hi logfile,

wie du das genau machst ist allein dir überlassen, viele Wege führen nach Rom. Ob du direkt den Proxy auf dem Server verwendest oder einen auf einem anderen Server, oder ob du da noch eine Kaskade zwischenschaltest die dann ggf. auch noch ein Mix aus OpenVPN und SSH sein kann, ist letztlich eine Frage des Aufwands den du betreiben magst. Kaskaden brauchen natürlich beim Aufbau länger und du musst ggf. noch ein paar mehr Klicks machen, den Rest dazu hat Jack bereits geschrieben. Ein wichtiger Punkt bei der Nutzung der Proxies (habe ich mal aus unserer FAQ c&p):

"Beim Einsatz eines Proxys in Verbindung mit einem VPN gibt es ggf. etwas wichtiges zu beachten, damit der Datenverkehr zum Proxy durch die verschlüsselte VPN Verbindung geht. Wenn der genutzte VPN Server und der Proxy Server derselbe sind, also z.B. moscow.perfect-privacy.com, so muss, sofern ein Proxy genutzt werden soll, als Proxy zwingend die interne IP Adresse des genutzten Proxy Servers angegeben werden! Würde erneut moscow.perfect-privacy.com eingetragen, so würde die Verbindung zum Proxy Server unverschlüsselt am VPN Tunnel vorbei laufen! Der Grund hierfür ist das Routing, bei dem, damit der VPN Tunnel funktioniert, die Daten zum VPN Server direkt über die Defaultroute ins Internet gehen und alles andere (nicht lokale) durch den VPN Tunnel geroutet wird. Die Verbindung zum Proxy Server würde also ebenfalls direkt verlaufen und somit am VPN Tunnel vorbei! Die interne IP Adresse des Proxy Servers wird hingegen über die verschlüsselte VPN Verbindung angesprochen."

Hoffe das hilft dir bei der Entscheidung und Konfiguration. :)
 

logfile

Junior Member
JackCarver;n8196 said:
Zu 1, wenn dann nutze ich nur VPN, zu 2 wären es keine parallelen sondern Kaskaden, also erst zum VPN und dann weiter zum ssh/Squid, zu 3 würde ich so machen, da ne Kaskade die Anonymität erhöhen kann, Tor zb Kaskadiert immer über 3 Server, entrance middle exit.
Danke für die Info, also ist der Schutz beim surfen ausreichend, auch ohne zusätzlichen Proxy (dachte nur wegen den Browserdaten)? Würde also auch bedeuten, dass wenn man vpn und proxy nutzen will und dabei KEINE Kaskadierung haben möchte, dass man für den proxy die interne ip des vpn angibt (wie in der faq beschrieben).
Schützt du dich unter mac zusätzlich noch mit irgendeiner software ab?(dns leak oder dergleichen) bzw. welche vpn software nutzt ihr? Tunnelblick, Viscosity oder was anderes?

PP Daniel;n8199 said:
Hi logfile,

wie du das genau machst ist allein dir überlassen, viele Wege führen nach Rom. Ob du direkt den Proxy auf dem Server verwendest oder einen auf einem anderen Server, oder ob du da noch eine Kaskade zwischenschaltest die dann ggf. auch noch ein Mix aus OpenVPN und SSH sein kann, ist letztlich eine Frage des Aufwands den du betreiben magst. Kaskaden brauchen natürlich beim Aufbau länger und du musst ggf. noch ein paar mehr Klicks machen, den Rest dazu hat Jack bereits geschrieben. Ein wichtiger Punkt bei der Nutzung der Proxies (habe ich mal aus unserer FAQ c&p):

"Beim Einsatz eines Proxys in Verbindung mit einem VPN gibt es ggf. etwas wichtiges zu beachten, damit der Datenverkehr zum Proxy durch die verschlüsselte VPN Verbindung geht. Wenn der genutzte VPN Server und der Proxy Server derselbe sind, also z.B. moscow.perfect-privacy.com, so muss, sofern ein Proxy genutzt werden soll, als Proxy zwingend die interne IP Adresse des genutzten Proxy Servers angegeben werden! Würde erneut moscow.perfect-privacy.com eingetragen, so würde die Verbindung zum Proxy Server unverschlüsselt am VPN Tunnel vorbei laufen! Der Grund hierfür ist das Routing, bei dem, damit der VPN Tunnel funktioniert, die Daten zum VPN Server direkt über die Defaultroute ins Internet gehen und alles andere (nicht lokale) durch den VPN Tunnel geroutet wird. Die Verbindung zum Proxy Server würde also ebenfalls direkt verlaufen und somit am VPN Tunnel vorbei! Die interne IP Adresse des Proxy Servers wird hingegen über die verschlüsselte VPN Verbindung angesprochen."

Hoffe das hilft dir bei der Entscheidung und Konfiguration. :)
Auch dir danke für die Infos ;) So hab ichs oben auch gemeint, nur nicht so klar und ausführlich wie bei der FAQ ;)
 

JackCarver

Junior Member
Für mich ist der Schutz ausreichend, aber genau das liegt im Ermessen eines jeden. Wenn du die Browserdaten faken möchtest, dann nimm noch den Squid. Ich nutze zum Surfen zb den Safari ohne Addons usw, so wie das wahrscheinlich viele Apple User machen, da bin ich einer unter vielen. Ja ohne Kaskadierung nimmst du die VPN IP, die externe wäre fatal weil das dann am VPN vorbei geht. Ich nutze derzeit Tunnelblick ohne Zusatzsoftware. Den Google DNS hab ich fest im System eingetragen, damit gibt's kein DNS Leak und vor IP Leaks kannst du dich mit Bordmitteln schützen, zb der OSX eigenen Firewall pf.
 

Ghost

Junior Member


Stimmt das so? (Firefox)

Verbunden bin ich mit VPN-Amsterdam (MAC OSX + Viscosity)
Ist es so verschlüsselt?
 

Dexter

Junior Member
Nicht ganz richtig. unter HTTP-Proxy: localhost eintragen und unter Port jeweils den Port den zu über den SSH Client einstellt.

Unter MacOS Terminal öffnen und folgendes eingeben:
ssh -N -L 8020:lu.gigabit.perfect-privacy.com:3128 NUTZERNAME@lu.gigabit.perfect-privacy.com

somit ist hier der Port 8020 im Firefox einzutragen.
 

Ghost

Junior Member
Das bedeutet also, dass diese Aussage falsch ist.

Dazu mal ne theoretische Frage/Anmerkung:

Es wäre doch allerdings kein Problem wenn eine VPN Verbindung (über viscosity oder tunnelblick) bspw. nach Amsterdam aktiv ist. Dann trägt er im System/Firefox in den proxy-einstellungen die interne ip des servers (amsterdam) und einen beliebigen squidport ein. Dann sollte das ganze doch so aussehen:

VPN (Amsterdam) --------> Squid-Proxy (Amsterdam)

Dann müsste alles druch die vpn verbindung gehen (also verschlüsselt) und es würde der Proxy verwendet werden um die Browserdaten zu verschlüsseln.



Ich verstehe das alles nicht,
ich habe eine VPN-Verbindung aufgebaut,
den Squid Proxy in Firefox eingetragen
und muß trotzdem noch einen SSH-Tunnel aufbauen um eine verschlüsselte Verbindung zu haben.

Wäre schön, wenn PP eine Anleitung für MAC OSX zur Verfügung stellen würde, wie Squid Proxy zu konfigurieren sind, damit alles verschlüsselt ist.
 

Ghost

Junior Member
Ich verstehe es noch nicht ganz, aber ich habe es jetzt wie folgt umgesetzt.

1: VPN-Verbindung zu Amsterdam aufgebaut
2: SSH Tunnel zu Luxemburg aufgebaut (Terminal)

ssh -N -L 8020:steinsel.perfect-privacy.com:3128 Name@steinsel.perfect-privacy.com

3: Firefox konfiguriert

HTTP Proxy: localhost (Haken für alle Protokolle gesetzt)
Port: 8020

Scheint zu funktionieren.
Ich hoffe PP meldet sich mal mit einer Anleitung.



Konfiguration der pf Firewall (Danke JackCarver)

Code:
block all
pass in on lo0 all
pass out on lo0 all
pass out on en0 proto udp to any port {1194,1151,150,151,149,1149,1150,53,5353} keep state
pass out on en0 proto tcp to any port {1152,152} keep state
pass out on en0 to 192.168.178.0/24
pass in on en0 from 192.168.178.0/24
pass out on tun0 all keep state
pass in on tun0 all keep state
 

Ghost

Junior Member
Danke für die Unterstützung Dexter.

Schön, dass es noch paar hilfsbereite Mitglieder gibt.
 

logfile

Junior Member
Ghost;n11054 said:
Das bedeutet also, dass diese Aussage falsch ist.






Ich verstehe das alles nicht,
ich habe eine VPN-Verbindung aufgebaut,
den Squid Proxy in Firefox eingetragen
und muß trotzdem noch einen SSH-Tunnel aufbauen um eine verschlüsselte Verbindung zu haben.

Wäre schön, wenn PP eine Anleitung für MAC OSX zur Verfügung stellen würde, wie Squid Proxy zu konfigurieren sind, damit alles verschlüsselt ist.

Nein diese Aussage ist selbstverständlich nicht falsch.
Ich erkläre das mal kurz:

Du stellst eine VPN Verbindung zu irgendeinem Server her (bspw. Frankfurt mit viscosity oder tunnelblick), dann trägst du, wie ich bereits oben geschrieben habe, in den FF Proxy einstellungen die INTERNE IP(!!) von Frankfurt ein und wählst als Port einen Squid Port aus (bspw.3128).

Damit hast du folgendes erreicht:

Du benutzt eine verschlüsselte Verbindung, um mit dem Squid Proxy zu surfen.

Das was du in deinem anderen Post beschrieben hast, funktioniert genauso, nur dass du eine Kaskade durchgeführt hast.
Du benutzt den Squid eben durch einen SSH Tunnel, nicht mehr und nicht weniger.

Ich hoffe ich konnte dir ein wenig helfen.
 

Ghost

Junior Member
Danke logfile.

Bin jetzt mit Viscosity zu Amsterdam2 verbunden.
Die IP 37.48.65.178 ist eine von vielen internen IP's des Amsterdam2 Servers.



FF habe ich nun mit dieser IP konfiguriert.




Ist jetzt alles richtig konfiguriert?
 

logfile

Junior Member
Hey Ghost,

bitte entschuldige meine verspätete Antwort.
So wie du es eingestellt hast, es ist nicht korrekt. Du hast einfach die externe Ip des servers genommen (bei deinem Bild steht ja auch external ip ;))
Wenn du es so eingestellt hast, dann geht deine Proxy(squid) Verbindung an der verschlüsselten VPN Verbindung vorbei.

Mach folgendes:
Verbinde dich bspw. mit frankfurt (VPN), dann schau in Viscosity oder Tunnelblick nach welche interne ip dir vergeben wurde.
Ich kanns dir leider nur für Tunnelblick erklären, da ich das andere Programm nicht habe. Im Tunnelblick schaust du einfach in vpn-verbindungen, dann auf den server mit dem du verbunden bist und dann auf Protokoll.
Dort solltest du recht schnell fündig werden. In meinem Fall habe ich das mal gemacht und die interne ip lautet: 10.29.13.129

Diese Ip trägst du dann in den proxy einstellunge ein und bspw den port 3128.
Jetzt hast du eine squid verbindung, die durch die VPN Verschlüsselung geht.

Wie gesagt, das ist nur eine Lösung wie du es machen kannst.

Du hattest weiter oben im Thread ja schon beschrieben, wie du es anders machen kannst, also mit der ssh Verbindung und dann localhost in den Proxy-Einstellungen. Das sind eben 2 verschiedene Möglichkeiten. Du kannst auch einfach nur ne ssh Verbindung zu nem proxy aufbauen.

Jeder sollte dies so machen wie er es benötigt.

Bei dem einem has du halt ne Kaskade zwischen VPN und SSH-Tunnel (mit Squid) bei der von mir beschriebenen Möglichkeit hast du ne VPN-Verbindung mit verschlüsseltem squid ohne Kaskade, da du ja zum gleichen Server über die interne Ip verbindest.

Du solltest allerdings wissen, dass du immer die interne Ip des gleichen Servers verwenden solltest, da du ansonsten ne unverschlüsselte Verbindung parallel aufbaust.
Aus diesem Grund verwenden viele einen SSH Tunnel, wenn sie einen anderen Squid benutzen wollen.

Ich hoffe ich konnte dir helfen. Falls noch etwas unklar sein sollte, einfach fragen.

LG
 

Ghost

Junior Member
@logfile : Danke für deine Antwort.

Ich habe beim PP Support gefragt, wie man die interne IP des verbundenen VPN-Servers feststellt.

Hier die Antwort:

Einfach ein Terminal aufmachen und ifconfig eingeben. Beim Device tun0 siehst du deine private IP und dort dann die Letzte Zahl zu einer 1 ändern

So sieht das bei mir grad aus:

tun0: flags=8851 mtu 1500
inet 10.15.21.4 --> 10.15.21.4 netmask 0xffffff80

Also 10.15.21.4 zu einer 10.15.21.1 ändern (die 10.15.21.1 wäre in diesem Fall die interne IP des verbundenen VPN-Servers)

In den Proxy-Einstellungen des Firefox folgendes eintragen:

HTTP Proxy: 10.15.21.1 (interne IP des VPN-Server)
Port: 3128
Haken für "Use this Proxy Server for all protocols"


Somit verwende ich eine verschlüsselte Verbindung mit Squid Proxy.
 
Top