Kastriertes Internet aus Uni über FitzBox daheim umgehen?

fred.labosch

Neuer User
Mitglied seit
21 Mrz 2006
Beiträge
75
Punkte für Reaktionen
0
Punkte
0
Hallo,

leider kann ich in der Uni das Internet nur über einen VPN-Client und Proxy-Server nur über die Ports 80 und 443 nutzen.

Nun möchte ich per Putty, oder ähnlichem, mich über Port 443 mit meiner FBF verbinden um das Internet in vollem Umfang nutzen zu können. Ausserdem möchte ich den Remotedesktop eines Win2K3 Servers hinter der Box verschlüsselt nutzen können.

Wie gehe ich vor?
Auf der Box "laufen" bereits Dropbear und OpenVPN.

Ich weiss leider nicht wie ich was konfiguriere, damit das so klappt.
Kann mir bitte jemand helfen oder einen Hinweis geben. Vielleicht denke ich ja auch in die völlig falsche Richtung.

Danke schonmal!
 
Hallo!

OpenVPN über Port 443/TCP geht ggf., wenn der Uni-Proxy nicht versucht die SSL-Verbindung zu terminieren, um sie auf Sicherheitsverstöße zu untersuchen. ;-)

Das wird komplex, aber Du solltest dich ersteinmal einlesen:

http://sarwiki.informatik.hu-berlin.de/OpenVPN_(deutsch)
http://freifunk.net/wiki/OpenVPN
http://www.online-tutorials.net/security/openvpn-tutorial/tutorials-t-69-209.html
http://www.vpnforum.de/viewforum.php?f=1&topicdays=0&start=200

Das OpenVPN-Forum finde ich recht unübersichtlich, aber vielleicht ist was für Dich dabei.
 
Hmm, ich möchte nur mal anmerken, dass du damit ein Riesiges Loch in eure Firewall reißt und das (zumindest war das in meinem damaligem Wohnheim so) auch bei Entdeckung Konsequenzen nach sich ziehen wird.
 
Konsequenzen? Mach mir keine Angst.

Was meinst du denn genau? Ich habe eh mehrere Ports offen (HTTP,SFTP,emule,SIP). Wenn ich noch 443 öffne und mich verschlüsselt verbinde, dann ist das ja wohl sicherer als die anderen.

Oder verstehe ich jetzt was falsch? Aber zum Thema Offene Ports gibt es hier ja bestimmt reichliche Diskussionen. Ich mache mir da nicht so die sorgen :)
 
Es geht nicht darum, dass die Verbindung verschlüsselt ist, sondern darum, dass du die Restriktion des Netzes umgehst.

Will sagen: wenn dein Netz so restriktiv eingestellt ist, so hat sich dabei jemand was gedacht.
Da du über OpenVPN quasi alles wieder offen und nutzbar hast, so ist die gesamte Sicherung von Ports (und evtl Content-Filter) des Uninetzes für den Hintern.
Du hast sicherlich einen Nutzungsvertrag für die Datenschnittstelle deiner Uni unterschrieben, die besagt sicherlich dass du bei Verstoß gegen die Bedinungen mit Ausschluss aus dem Netz etc. geahndet werden kannst.
 
Achso!
Na klar, irgendwas habe ich da unterschrieben. :cool:

Natürlich haben die sich was dabei gedacht. Aber das ist mir egal. Warum soll ich darunter leiden, wenn andere das nur missbraucht hatten. Klar, ich hätte das auch so gemacht. Ich gehöre aber nicht zu denen, die das Uni Netzwerk zum Filesharing usw. missbrauchen.

Und wenn die mich sperren, dann gehe ins RZ und klär das mit denen Persönlich. Wenn das nicht klappt, dann hab' ich halt pech gehabt.

Das passt schon...
 
fred.labosch schrieb:
Natürlich haben die sich was dabei gedacht. Aber das ist mir egal.
Mit genau dieser Einstellung meine ich, dass du von deinem Vorhaben Abstand nehmen solltest..

fred.labosch schrieb:
Warum soll ich darunter leiden, wenn andere das nur missbraucht hatten.
Das ist gängige Praxis. Wenn ein Mitarbeiter eines Betriebes Daten mittels eines USB Sticks nach Außen geschmuggelt hat und dann die Verwendung von USB Sticks verboten wird, dann hält man sich daran. Auch wenn nun "alle anderen leiden".
Warum sollen Arbeitslose, die Hartz4 empfangen unter Hartz4 leiden, dass ja eigentlich die Arbeitsverweigerer unter den Arbeitslosen treffen soll?

An welchen Kriterien willst du deinem Admin gegenüber denn festmachen, dass DU vertrauenswürdig bist und den Netzzugang NICHT missbrauchen würdest? Sollten erstmal allen auf Gut Glück den Zugang offengelegt werden und wenn das Netz dann angegriffen und evtl von außen virenverseucht ist, dann mal die einzelnen Lücken schließen?

Anderes beispiel: du konfigurierst doch eine Firewall auch nicht mit "alles offen" und danach sperren, sondern mit Sperren und danach öffnen...

BTW: das
fred.labosch schrieb:
Ich gehöre aber nicht zu denen, die das Uni Netzwerk zum Filesharing usw. missbrauchen.
beißt sich mit dem hier
fred.labosch schrieb:
Ich habe eh mehrere Ports offen (HTTP,SFTP,emule,SIP).
 
Ja, aber ich unterscheide zwischen Heim- und Uni-Netz. Das impliziert ja nicht, dass ich das auch über die Uni mache, obwohl ich könnte. ;)

Ich wollte das Thema eignetlich nicht so vertiefen, weil ich mich
a) gerade in die von thpf geposteten Links einlese (Danke an dieser stelle) und
b) man dafür, wenn, dann einen eigenen Thread aufmachen müsste. Ist ja eigentlich 'ne Grundsatzdiskussion.

Grundsätzlich gebe ich dir natürlich recht. Ich denke, du verstehst mich schon. ;)

Gruß
 
Also dein Eingangspost liest sich so, als ob du vorhast die Restriktionen des Uni-Netzes über einen verschlüsselten OpenVPN Zugang von Uni->Fritzbox->Internet umgehen möchtest. Dieses Vorhaben ist technisch natürlich machbar, keine Frage, aber nicht alles was machbar ist, sollte man auch so umsetzen. Und bei dem beschriebenen Szenario verstößt du mit an Sicherheit grenzender Wahrscheinlichkeit gegen die Nutzungsbedingungen deines Zuganges..
Und deshalb: nein, ich verstehe dich nicht ;)
 
fred.labosch schrieb:
Grundsätzlich gebe ich dir natürlich recht...
da fehlt noch:
...aber ich für mich definiere andere Regeln, als für andere.
Wie was das doch:
George Orwell / The Animal Farm schrieb:
Alle Tiere sind gleich, aber manche sind gleicher
Ja nee, ist klar ;)
 
OpenVPN kann verhindert werden

Hallo!

Es gibt SSL-Proxy-Lösungen am Markt, die einen untypischen SSL-Verkehr erkennen und verhindern können. Daher ist das mit OpenVPN eher unsicher, ob es geht und ob es auch nicht auffällt. Ein entdeckter Verstoß dieser Art gegen die Nutzungsbedingungen sollte drastische Folgen haben.

Es war aber schon immer einfacher von innen nach außen in einem Netz zu kommen.

Selbst über http und nicht nur https lassen sich Protokolle tunneln, die unerwünscht sind: MP3, WMA, RA, WMV, MOV etc. Ist dann weniger ein Sicherheits- als ein Bandbreitenproblem.

Gruß Thomas
 
@AndreR
Dann eben nicht.

@VoIP-Skeptiker
Da unterstellst du mir aber was. Du kennst mich doch gar nicht. So eine abfällige Anspielung würde ich mir niemals einfach so erlauben.

Ihr schweift immer weiter ab und eure persönlichen Meinungen waren nicht gefragt. Aber ich dachte mich rechtfertigen zu müssen.

@thpf
Danke für deinen Hinweis. Ich habe mittlerweile herausgefunden, dass andere es ähnlich über Windows und Linux Server auf ihren Rechnern zu hause machen. In diesem Fall wird das nicht durch das Uni-Netz geblockt.
 
fred.labosch schrieb:
Ihr schweift immer weiter ab und eure persönlichen Meinungen waren nicht gefragt.
Wenn Du später mit dieser Einstellung arbeiten solltest, kann es passieren, daß Du extrem schnell eine Kündigung bekommst, in den meisten Firmennetzen ist so was verboten, und wer dabei erwischt wird, muß mit einer fristlosen Kündigung rechnen, zumindest aber mit einer Abmahnung. :-Ö
 
Eine ähnliche Diskussion hatten wir an der Uni auch schonmal... Da ich persönlich recht gute Kontakte ins RZ hatte, hab ich einfach mal nachgefragt, aus welchen Gründen genau diese Restriktionen (bei uns!) eingesetzt werden (ich konnte nur über Port 80 und 443 raus) und ob es ein Problem ist wenn ich meinen Verkehr über OpenVPN tunnele um so POP3 und VNC nutzen zu können. Mir wurde damals geantwortet dass das natürlich nicht im Sinne des Erfinders wäre, dass ich aber solange ich nichts illegales mache oder übermäßig Traffic erzeuge, was sie aber problemlos über meine User-ID nachvollziehen könnten, zumindest erstmal keinen Ärger bekomme...

--> Bottom Line: Je nachdem wie die drauf sind schmeißen die dich entweder aus dem Netz oder merken es gar nicht...
 
Auf jeden Fall ist die Methode, zuerst mal höflich nachzufragen die Bessere.
 
Hallo!

Genau sowas möchte ich auch machen:
Habe hier leider ein restriktives Netz und möchte per Tunnel und Fritz7170 zu Hause auch bei der Arbeit POP3 und SMTP nutzen können. Kein emule oder sowas.

Was muß ich auf der Fritz haben (wie bekomme ich das) und wie muß ich was an der Fritz und an meinem Rechner einstellen?

Gibt es da schon was "fertiges" oder eine anleitung für Dummies?

Grüße...

Nelix123
 
Die Diskussion bleibt dabei auch die gleiche, wobei ich ein Firmennetz noch viel viel schlimmer sehe als ein Uninetz. Es geht nicht um das Protokoll, es geht darum, dass du die Sicherheit des Netzes massiv gefährdest.
Frag doch deinen Admin, ob er die Ports aufmacht. Wenn keine Bedenken sind, wird er es machen. Wenn er es nicht macht, solltest du es lassen

Sollte hier bei mir im Betrieb das jemand versuchen, würde ich ihn sofort fristlos kündigen lassen. Mein Chef läuft mit dieser Meinung übrigens konform.
 
@andreR:

ja sollte man meinen, dass es die DV leute besser wissen. in meinem UN isses so, dass die komplette DV leitungen nach draussen haben, teils getunnelt, teils ueber DSL test leitungen. hoffen wir, dass die DVler wissen was sie tun. prinzipiell muss ich sagen, gleiches Recht fuer alle.
Auf der Arbeit soll gearbeitet werden und nicht getroedelt.....

gruessle :)
 
Hi

@Fred: Du tust mir langsam leid.

@Alle: jetzt lasst doch den Armen Kerl leben. Ist ja ok, wenn auf mögliche Risiken hingewiesen wird, aber einmal reicht doch auch.

In diesem Forum verkehren (zum Glück) meist Leute mit, sagen wir mal, einer gewissen Vorbildung. Von daher geht es hier um den techischen Aspekt des Problems (das andere war eh klar und wurde auch genug erwähnt).

Ich bin ja hier schon eine ganze Weile unterwegs und das ist wirklich ein tolles und hilfreiches Forum.

Nur manchmal habe ich das Gefühl, dass hier Leute sind die auf der Autobahn 10km/h unter der Höchsteschwindigkeit auf der linken Spur fahren um zu verhindern das jemand was illegales tut...

Ok, sorry für OT.

Zum Thema: Für einfache Sachen gäbe es da noch Mail-Web Gateways. Du schickst die gewünschte Adresse an deinen Rechner zu Hause und der schickt die Seite per Mail zu Dir, evtl. noch einen HTML zu GIF konverter dazwischen, das geht dann auch in China...

Grüsse

Psychodad
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.