Beantwortet: VPN Dienst in Firmennetz

pp3k

Junior Member
Hallo,

ich würde gern PP auf meinem Arbeitsrechner einrichten damit die Administratoren hier nicht mehr verfolgen können wo ich so rumsurfe ;-) Wir gehen über ein Proxy (HTTP) ins Internet der auf Port 80 läuft.

Ich habe den VPN Manager installiert und im Reiter Proxy HTTP/Host & Port angegeben. Eine Verbindung
wird dann auch aufgebaut aber sie bricht meist schnell wieder zusammen. Woran kann das liegen?

Auf unseren Rechnern ist in der Systemeinstellung -> Internetoptionen dieser Proxy standardmässig eingestellt. Muss ich diesen dann dort entfernen und nur im VPN Manager angeben ?

Reicht dieses Setup überhaupt um anonym gegenüber der IT hier zu surfen? Weil ja alle Daten erstmal über den Firmenproxy gehen oder ? Und das sicher unverschlüsselt.

Vielen Dank schonmal :)
 
Solution
Euer Admin sieht in jedem Fall, dass du ne VPN Verbindung zu PP aufbaust. Da würde ich erstmal abklären ob das erlaubt ist. Alles weitere was dann zu PP über den Tunnel geht sieht der Proxy nicht mehr, da diese verschlüsselt drüber laufen. An...

theoth

Active Member
Auf den VPN Server musst du natürlich über einen VPN Port verbinden, wie soll das auch anders gehen? Port 443 kannst du für den Proxy nutzen, aber danach muss die Verbindung an nen VPN Port gehen und wenn 443 kein VPN Port ist, gibts auch keine Verbindung.

Über nen HTTP Proxy kannst du ausserdem nicht über UDP gehen, es muss TCP als Serverprotokoll gewählt werden.

Passende Kombinationen wären also:

Protokoll TCP, Port 1152 oder 152 für den VPN Server
Port 80 für den HTTP Proxy, da der ja laut Angabe auf 80 lauscht.

Nein Jack - das ist so nur richtig, wenn der Proxy admin die ports 1152 als SSL-ports betrachtet und einen "connect" darauf akzeptiert. Das ist normal nur bei gängigen ssl ports der Fall (443, 8443 usw).
PP hat doch port 443 als vpn-Zugang (oder ist das jetzt anders?) - kann man also durchaus dort eintragen
 

pp3k

Junior Member
in den ovpn Konfigurationsdateien von PP ist dieser Port nirgends bei remote xxx.xxx.xxx.xxx yyyy eingetragen.
Ich kanns ja höchstens versuchen einen Eintrag auf Port 443 zu ergänzen ?
 

theoth

Active Member
Also nochmal langsam zum Mitschreiben: die Verbindung per Proxy läuft so ab, daß openvpn den proxy auf dem proxy-port (also hier port 80) kontaktiert und anfragt, ob der proxy bitte ein connect zu blah.perfect-privacy.com:$OVPNPORT machen könnte.
Wenn der proxy $OVPNPORT akzeptiert, wird er das machen. Es kann aber sein, daß 1152 nicht in der Liste der akzeptierten ports steht.
Wenn PP aber port 443 als eines der Ports für openvpn konfiguriert hat, kann man durchaus mal $OVPNPORT=443 versuchen. Das hat mit dem port 80 des Proxies nix zu tun

Daß 1152 überhaupt durchgeht ist schon komisch - wer weiß, was der proxy damit anstellt.

Bist Du sicher, daß es 443 nicht als vpn-port gibt? Ist zwar schon länger her, daß das ging - aber gerade wegen dieser Proxy-Sache ist das ein Port, das sehr viel Sinn macht.
Ich erinnere mich jedenfalls, daß das damals (>1 Jahr) so diskutiert wurde.
 

pp3k

Junior Member
Das kann nur ein Staff Member von PP beantworten. Ich hab wie gesagt nur eine regex Suche in den ovpn Dateien von PP gemacht und dort wird nirgends ein remote Eintrag mit Port 443 gelistet.
Klingt aber logisch was du schreibst theoth und so seh ich das auch im VPN Manager / OpenVPN Log. Es wird beim Proxy nach einem Connect auf den Port 1152 angefragt und auch erfolgreich ausgeführt.
 

theoth

Active Member
Gerade mal bei Düsseldorf ausprobiert:
Code:
telnet 10.8.12.1 443
Trying 10.8.12.1...
Connected to 10.8.12.1.
Escape character is '^]'.
get http://www.google.com
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=UTF-8
Location: http://www.google.de/?gfe_rd=cr&ei=SOi1VrPVLMv3-Aa-0J-wBw
Content-Length: 258
Date: Sat, 06 Feb 2016 12:34:16 GMT
Server: GFE/2.0
X-Cache: MISS from Duesseldorf.perfect-privacy.com
X-Cache-Lookup: MISS from Duesseldorf.perfect-privacy.com:8080
Connection: close

<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>302 Moved</TITLE></HEAD><BODY>
<H1>302 Moved</H1>
The document has moved
<A HREF="http://www.google.de/?gfe_rd=cr&amp;ei=SOi1VrPVLMv3-Aa-0J-wBw">here</A>.
</BODY></HTML>
Connection closed by foreign host.

Hmm - wobei mir schwant gerade was - das ist ja der squid proxy - möglicherweise habe ich die zwei in einen Topf geworfen - ich glaube die Diskussion damals ging darum, den squid-proxy auf 443 wegzunehmen und dfür lieber den ovpn dort lauschen zu lassen - naja, in dem Fall hast Du wohl kein Glück gehabt...
 

theoth

Active Member
Es gibt noch eine etwas aufwändigere Methode, wenn Du daheim einen Server (und sei es ein Rpi) dauernd am Netz hast: Probier mal, ob die Ports 21/22/23-tcp durch eure firewall gehen.
Dann kanst Du zumindest auf Deinen Rpi eine ovpn-Verbindung machen, und von dort eine ausgehende ovpn-Verbindung zu PP etablieren.
Ist dann zwar nicht extrem performant, aber zum Surfen reicht es. Das ist jedenfalls meine Lösung.
 

pp3k

Junior Member
Ok, aber das wär dann etwas zuviel des Guten nur um auf Arbeit n bissl auf Mixcloud o.ä. rumzusurfen ;)
Dann wirds halt weiterhin nur ein webproxy tun um auf die gesperrten Seiten zu kommen. Auf den Luxus das niemand mehr sieht welche Seiten ich besuche muss ich dann wohl verzichten.
Sagt ja eh niemand was solang die Arbeit erledigt wird, aber wär halt schön gewesen das VPN dort nutzen zu können.
 

pp3k

Junior Member
Hab grad noch die Geschichte mit der Portweiterleitung im VPN Manager gefunden, bzw. hier im Member Bereich. Kann man da was umbiegen ?
Aber damit sind sicher nicht die Ports gemeint über die die VPN Server selbst erreichbar sind oder ?
 

JackCarver

Well-known Member
Nein, das sind Ports, die auf deinen Client geforwarded werden. Hat nix mit den VPN Ports zu tun. Das Problem bei dir ist euer Proxy. Es kann sein, dass der alle Verbindungen kappt, die er nicht lesen kann, was bei VPN der Fall ist.

Edit:
Würde dahingehend auch Sinn machen falls da ne Firewall drauf läuft, die nach Inhalten blockt.
 
Last edited:

pp3k

Junior Member
Sowas wie DPI ? https seiten werden direct geroutet ohne Umwege über den Proxy. Schade das es darüber nicht läuft.

Komischerweise haben die VPN Verbindungen zu unseren Kunden keine Probleme mit der Firewall. Aber gut, da weiß ich jetzt auch nicht so genau welche Ports die nutzen und ob es für die Kunden IP's generell Whitelists gibt.
 

pp3k

Junior Member
SSH Tunnel sollte möglich sein. Wie gesagt kann ich z.B. ohne Probleme Web Proxies auf Arbeit verwenden um die lokalen Sperren zu umgehen.
Wie wäre eine Portweiterleitung dann einzurichten ? Erst den SSH Manager installieren und einen HTTP Proxy mit diesem erzeugen und dann ?

und dann noch : vielen Dank einmal das ihr euch hier die Zeit nehmt und versucht mir bei meinen "First World" Problemen zu helfen :)
 

JackCarver

Well-known Member
Wenn du über ssh rauskommst, könntest du nen HTTP Proxy zB auf Port 8020 von localhost binden. Das machst du am besten über den ssh Manager. Dann kannst du als Webproxy localhost:8020 verwenden und die Verbindung geht ssh gesichert über PP.
 

pp3k

Junior Member
:) also Daumen drücken. Nochmal zum technischen Verständnis :

Der SSH Manager baut eine verschlüsselte Verbindung zu einem der PP Proxies auf (Port 443?) und erzeugt mir dann einen lokalen Proxy über den dann mein Traffic fließt.
Im VPN Manager stell ich jetzt diesen lokal erstellten Proxy ein um zu einen der PP VPN Server zu verbinden ?

wenn der lokale Proxy sowieso schon eine verschlüsselte Verbindung hat, kann ich dann nicht im Browser direkt diesen als Proxy angeben?

edit: wer lesen kann ... genau das hast du ja schon einen Post eher so geschrieben ;)
 
Last edited:

JackCarver

Well-known Member
Ja der Manager baut ne ssh gesicherte Verbindung zu nem PP HTTP Proxy auf einen Port deiner Wahl, zb 443, auf. Dann bindet er diesen Proxy Port an einen von dir gewählten lokalen Port, zb 8020. Somit sprichst du über localhost:8020 direkt mit dem PP HTTP Proxy auf Port 443.

Den VPN Manager benötigst du dann auch nicht mehr, das läuft ja nun über ssh und ja du kannst dann localhost:8020 direkt als HTTP Proxy im Browser verwenden. Damit läuft dein Traffic ssh gesichert zu diesem PP Proxy.

Wichtig ist nur, dass du zunächst mal die ssh Verbindung zu PP aufbauen kannst. Wenn das über euren Proxy etc möglich ist könnte diese Variante gehen.
 

pp3k

Junior Member
Danke! So langsam setzen sich die Puzzelteile zusammen ;) ... Du sagst Port meiner Wahl. Aber im SSH Manager kann ich doch nur den lokalen Port einstellen und nicht den zum PP Proxy ?
 
Top