Beantwortet: VPN Dienst in Firmennetz

pp3k

Junior Member
Hallo,

ich würde gern PP auf meinem Arbeitsrechner einrichten damit die Administratoren hier nicht mehr verfolgen können wo ich so rumsurfe ;-) Wir gehen über ein Proxy (HTTP) ins Internet der auf Port 80 läuft.

Ich habe den VPN Manager installiert und im Reiter Proxy HTTP/Host & Port angegeben. Eine Verbindung
wird dann auch aufgebaut aber sie bricht meist schnell wieder zusammen. Woran kann das liegen?

Auf unseren Rechnern ist in der Systemeinstellung -> Internetoptionen dieser Proxy standardmässig eingestellt. Muss ich diesen dann dort entfernen und nur im VPN Manager angeben ?

Reicht dieses Setup überhaupt um anonym gegenüber der IT hier zu surfen? Weil ja alle Daten erstmal über den Firmenproxy gehen oder ? Und das sicher unverschlüsselt.

Vielen Dank schonmal :)
 
Solution
Euer Admin sieht in jedem Fall, dass du ne VPN Verbindung zu PP aufbaust. Da würde ich erstmal abklären ob das erlaubt ist. Alles weitere was dann zu PP über den Tunnel geht sieht der Proxy nicht mehr, da diese verschlüsselt drüber laufen. An deinem PC selbst hinterlässt du allerdings auch Spuren, zb in Browser-Verläufen etc, die man als Admin natürlich einsehen kann, sofern du die nicht löschen kannst. Desweiteren können sich Admins auch über remote Tools auf Rechner einloggen und könnten dann auch mitverfolgen was du da tust.

Kommt also ganz drauf an, wie eure Admins euch überwachen und ob du lokale Spuren am PC löschen kannst.
Euer Admin sieht in jedem Fall, dass du ne VPN Verbindung zu PP aufbaust. Da würde ich erstmal abklären ob das erlaubt ist. Alles weitere was dann zu PP über den Tunnel geht sieht der Proxy nicht mehr, da diese verschlüsselt drüber laufen. An deinem PC selbst hinterlässt du allerdings auch Spuren, zb in Browser-Verläufen etc, die man als Admin natürlich einsehen kann, sofern du die nicht löschen kannst. Desweiteren können sich Admins auch über remote Tools auf Rechner einloggen und könnten dann auch mitverfolgen was du da tust.

Kommt also ganz drauf an, wie eure Admins euch überwachen und ob du lokale Spuren am PC löschen kannst.
 
Solution
Danke Jack, ja das ist kein Problem hier... alles sehr locker. Admin Zugriff haben hier auch alle Entwickler auf ihren Rechnern, somit ist ein Löschen der Verläufe etc. auch problemlos möglich. Möchte ja nur erreichen das die nicht mehr einfach einsehen können auf welchen Webseiten man war. Einzelne Mitarbeiter gezielt überwachen ist meines Wissens nach sowieso lt. geltendem Recht sowieso illegal.

Aber zurück zum Thema. Meist kann ich nach dem Verbinden noch eine Seite aufrufen, und bei der nächsten wird das PP Symbol dann wieder Gelb und es findet ein Reconnect
statt. IP wird auf diversen Seiten (sofern ich es noch schaffe sie vor dem reconnect zu erreichen) korrekt angezeigt (IP vom VPN Server).
 
Den Proxy selber musst du im Manager angeben. Die Internetoptionen betreffen bei Win, soweit ich das weiß, nur den/die Browser. Andere Programme sind davon nicht betroffen. Ist aber als, seit langem ex Win User, nur ne Vermutung.

Ich vermute, dass euer Proxy irgendwie den VPN Datenstrom stört, so dass dieser nach kurzer Zeit wieder zusammenbricht. Was sagen denn die Logs von OpenVPN?
 
05.02.2016 09:55:49 State CONNECTED
05.02.2016 09:56:52 Log read TCPv4_CLIENT: Connection timed out (WSAETIMEDOUT) (code=10060)
05.02.2016 09:56:52 Log Connection reset, restarting [-1]
05.02.2016 09:56:52 Log TCP/UDP: Closing socket
05.02.2016 09:56:52 Log updown.bat LAN-Verbindung 5 1500 1604 10.29.14.17 255.255.255.0 restart
05.02.2016 09:56:52 Log env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
05.02.2016 09:56:53 Log SIGUSR1[soft,connection-reset] received, process restarting
05.02.2016 09:56:53 Log MANAGEMENT: >STATE:1454662613,RECONNECTING,connection-reset,,
05.02.2016 09:56:53 Log State Change Event - Initializing
05.02.2016 09:56:53 Log hangtimer reset calling in statechange to init
05.02.2016 09:56:54 State RECONNECTING
05.02.2016 09:56:54 Log MANAGEMENT: CMD 'log on'
...
irgend ein Timeout führt zu diesem Reconnect
 
Müßte prinzipiell gehen, wenn der proxy ein "connect" macht, weil Du auf port 443 verbindest.
Ich würde es mal händisch konfigurieren und ggf sehen, was dann in den logs steht:

https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage

Here is an example of connection profile usage:
client
dev tun

<connection>
remote 198.19.34.56 1194 udp
</connection>

<connection>
remote 198.19.34.56 443 tcp
</connection>

<connection>
remote 198.19.34.56 443 tcp
http-proxy 192.168.0.8 8080
http-proxy-retry
</connection>

<connection>
remote 198.19.36.99 443 tcp
http-proxy 192.168.0.8 8080
http-proxy-retry
</connection>

persist-key
persist-tun
pkcs12 client.p12
ns-cert-type server
verb 3

First we try to connect to a server at 198.19.34.56:1194 using UDP. If that fails, we then try to connect to 198.19.34.56:443 using TCP. If that also fails, then try connecting through an HTTP proxy at 192.168.0.8:8080 to 198.19.34.56:443 using TCP. Finally, try to connect through the same proxy to a server at 198.19.36.99:443 using TCP.
The following OpenVPN options may be used inside of a <connection> block:
bind, connect-retry, connect-retry-max, connect-timeout, explicit-exit-notify, float, fragment, http-proxy, http-proxy-option, http-proxy-retry, http-proxy-timeout, link-mtu, local, lport, mssfix, mtu-disc, nobind, port, proto, remote, rport,socks-proxy, socks-proxy-retry, tun-mtu and tun-mtu-extra.
 
Das sollte der Manager schon richtig einstellen, dazu hat er ja die Proxy Option. Da die Verbindung erstmal klappt, seh ich auch kein Problem daran, aber euer Proxy pfuscht evtl in den Datenstrom mit rein, so dass der Tunnelnach kurzer Zeit wieder zusammenbricht.
 
Hast Du denn mal ausprobiert, ob Du ggf. direkt durch eure Firewall kommst? Bei uns ist allerlei freigeschaltet (allerdings nicht 1149). Ansonsten habt ihr vielleicht einen Socks-proxy?
 
Hab schon einiges an extra Parametern in den ovpn Dateien versucht. Timeouts erhöht etc. aber nichts davon hat geholfen leider.

Einen Socks haben wir soweit ich weiß nicht. Nur diesen einen Proxy der auf Port 80 läuft. Socks5 Typ hab ich schon getestet, aber da kam gar keine Verbindung zustande.
Hab irgendwo gelesen das man OpenVPN auch über Port 443 laufen lassen kann, aber ich denke damit meinen die eher den Server oder ? (hab ich von hier : http://www.sima-plus.ch/informatik/security/netzwerk/51-openvpn-am-proxy-vorbei-port-443-verwenden )
Wie kann ich denn testen ob ich an der Firewall vorbeikomme (Portsniffer oder sowas um zu schauen was überhaupt offen ist?)? Nutze ich den Proxy nicht krieg ich keine Verbindung mehr zu den Webseiten.

In den ovpn Dateien steht ja immer sowas am Anfang (Beispiel Moscow):

remote 67.205.89.142 1152
remote 67.205.89.142 152

und ohne Proxyeinstellung sieht man dann im Log des VPN Managers das er beim Connect auf diese Ports hängt die ja denk ich logischerweise nicht von der Firewall freigegeben sind.
 
Hmm - da muß eigentlich nicht 1152 oder 152 sondern 443 und tcp stehen - ich kenne keinen web-proxy, der udp kann. Und was der tunnelt muß in der config stehen.
Bei mir steht z.B.:

acl SSL_ports port 443
http_access deny CONNECT !SSL_ports
 
nene, ... mit den 2 "remote...." zeilen meinte ich die ovpn Dateien von den PP configs. Was in "unserer" proxy config drin steht weiß ich nicht, bzw. ob ich da überhaupt dran komme.
Wir haben ein pac Skript was je nach URL der Anfrage entweder "DIRECT" zurückliefert bzw. für ganz normale Webseiten wird die IP vom Proxy zurückgegeben mit Port 80
 
Du kannst auf 443 TCP nen OpenVPN Server laufen lassen. Das hat dann nix mit nem Proxy zu tun. Den Proxy trägst du dann im PP Manager ein, das ist schon richtig so. Wenn das dann nicht klappt, vermute ich dass der Proxy da zwischenpfuscht
 
Auf der gleichen Maschine? geht der Traffic dann überhaupt durch den Proxy wenn ich lokal den VPN Client & Server laufen hab?
Bzw. was bringt es mir wenn diese Konstellation laufen würde ? Ich will ja mit dem Client zu den PP Servern verbinden (und eine stabile Verbindung haben)
 
Du sollst keinen Server starten, das war nur ein Beispiel. Da die initiale Verbundung klappt, dann der Stream abbricht, scheint da euer Proxy Probleme zu haben oder er unterbricht das ganze, wenn er das nicht lesen kann
 
nene, ... mit den 2 "remote...." zeilen meinte ich die ovpn Dateien von den PP configs. Was in "unserer" proxy config drin steht weiß ich nicht, bzw. ob ich da überhaupt dran komme.
Wir haben ein pac Skript was je nach URL der Anfrage entweder "DIRECT" zurückliefert bzw. für ganz normale Webseiten wird die IP vom Proxy zurückgegeben mit Port 80
Schon klar, aber wenn dort port 1149, 1150,1151 .. und udp drin steht, kann das über den proxy nicht gehen - der manager setzt das vermutlich richtig, aber Kontrolle ist besser...
Wie gesagt, die meisten proxies lassen die Methode connect nur für 443 zu, also mußt Du auch auf 443 verbinden und nicht auf 1151...
 
Auf den VPN Server musst du natürlich über einen VPN Port verbinden, wie soll das auch anders gehen? Port 443 kannst du für den Proxy nutzen, aber danach muss die Verbindung an nen VPN Port gehen und wenn 443 kein VPN Port ist, gibts auch keine Verbindung.

Über nen HTTP Proxy kannst du ausserdem nicht über UDP gehen, es muss TCP als Serverprotokoll gewählt werden.

Passende Kombinationen wären also:

Protokoll TCP, Port 1152 oder 152 für den VPN Server
Port 80 für den HTTP Proxy, da der ja laut Angabe auf 80 lauscht.
 
Genau so ist es auch eingestellt. VPN Manager über Proxy xxx.xxx.xxx.xxx:80. Im Log steht dann auch das er ein "connect" über den Proxy macht, was ja auch gelingt.
Nur bricht der Tunnel halt nach 2-3 aufgerufenen Seiten zusammen.
 
Hatte mal 5min nichts gemacht, da hielt alles stand. Aber ich teste das Montag nochmal genau. Es schien jedoch ganz danach als ob es nur bei aktiver Nutzung Probleme gibt.
 
Back
Top