vpn durch ssh etc

Hi Leute,

ich hab da n ganz komisches Problem und ich hoffe ihr könnt mir weiterhelfen.

Erstmal zum Grundlegenden:

Ich bin in einem Uni-wohnheim. Dort haben wir auch Zugang zum Campus-netz.
Dieser wird über VPN realisiert (cisco vpn software). Ohne den login über den Vpn ist kein Zugriff möglich.

Nur um ins internet zu kommen muss noch zusätzlich ein Proxyserver angegeben werden.

Damit gibt es leider ein paar probleme:

1. Nicht jedes programm bietet eine Proxy Einstellung
2. Funktionieren selbst Programme, welche eigentlich eineMöglichkeit zur eintragung eines Proxys haben, nur bedingt oder gar nicht.
z.b. ist es aus unerfindlichen Gründen nicht möglich per Thunderbird über diesen Proxy meine E-Mails ab zu rufen.

Glücklicherweise besteht jedoch die Möglichkeit sich per ssh auf die Unix Rechner der Informatik Fakultät zu verbinden.
Diese wiederrum verfügen über freien uneingeschränkten zugang zum Internet.

Sprich, sitze ich im Rechnerpool kann ich nach belieben sämtliche Internet dienste nutzen.
Vom Wohnheim aus nicht, jedoch kann ich auf die unix´s per ssh.


Da es etwas lahm ist sämtliche Anwendungen auf den unixRechnern zu starten und dann per x-forwarding auf meinem laptop anzuzeigen würde ich gerne den gesammten
Verkehr über ssh an die unix rechner weiterleiten.

Jetzt ist die Frage: wie soll ich das am besten anstellen?


Kurz fogende situation ist gegeben:

Client(ich) -> ssh über vpn -> unix rechner -> i-net?

Wie tunnel ich jetzt meinen gesammten Netzverkehr dann über den bestehenden SSH Tunnel? (z.b. dynamischerTunnel auf port 8000)

Was mir so als Idee bisher kam währe open vpn gewesen, was ja die Möglichkeit besitzt einen vpnTunnel über einenProxy aufzubauen (also auch über meinen dynamischen ssh port auf 127.0.0.1:8000)

Währe es z.b. möglich open vpn so um zu konfigurieren dass es mir einfach einen virtuellen Netzwerkadapter zur Verfügung stellt der sämtlichenTrafic dann an 127.0.0.1:8000 weiterleitet? (...von da aus dann an den unix rechner und dann ins i-net, aber das funktioniert ja schon)
also sozusagen auf die vpn verbindung zu verzichten und nur den virtuellen Netzwerkadapter zu missbrauchen?

bzw checken i-net anwendungen dann dass sie über diesen Adapter zugriff bekommen?



ich weis etwas verwirrend aber ich hoffe ihr könnt mir bei meinem problem helfen.
evtl denk ich auch einfach zu kompliziert und es geht um längen einfacher ;-)
 
mit einer aktuellen openssh (auf beiden seiten) version laesst sich ein tunnel welcher alle ports weiterleitet erstellen.
die manpage sollte dir da weiterhelfen
 
Was meinst du mit "auf beiden Seiten"?


Also die 1. Seite ist ja mein Laptop im Uninetz

Open vpn auf einer "2. Seite" zu installieren würde stark meine Unabhängigkeit einschränken
(z.b. 2.Seite = mein rechner daheim mit dsl Anschluss, der dann ja ständig laufen müsste um den vpn Server bereit zu stellen?)

Auf den unix´s kann ich leider nichts installieren da ich keine root Rechte besitze.Ich kann sie, wie gesagt, nur dazu missbrauchen um per ssh ungefilterten Zugriff aufs i-net zu bekomen.


Daher war die frage ja, ob ich openssh so konfigurieren kann dass er "nur" den virtuellen Netzwerkadapter nuzt/installiert und allen dort ankommenden Traffic weiterleitet.
Das ganze unverschlüsselt und ohne 2. seite.
Also den ganze verkehr über den virtuellen adapter durch den ssh tunnel auf die unix´s weiter zu leiten und fertig.


Oder ist die "2.Seite" zwingend erforderlich um die getunnelten packete wieder, wie soll man sagen, zu entpacken und dann weiter zu leiten?

Es währe mir lieber wenn die variante ohne 2.Seite funktionieren würde.

Wenns wirklich nicht geht muss ich halt meinen Rechner zu hause ständig laufen lassen.
 
mit "auf beiden seiten" meinte ich, dass sowohl zu hause als auch in der uni eine aktuelle openssh version installiert sein muss.
da du aber keine root rechte hast, bezweifle ich, dass das ueberhaupt geht.

wenn nicht nur spezielle ports sondern alles weitergeleitet wird, geschieht das mit hilfe eines virtuellen netzwerkinterfaces. ich bezweifle, dass du dies als nicht root konfigurieren darfst.

bezueglich deinem problem mit dem proxy....ich denke, dass das ein web-proxy ist. mit anderen worten, der "kann" nur http und ftp. um andere programme wie ein mailprogramm via proxy zu benutzen, musst du einen sogenannten "socks proxy" irgendwo laufen haben.
einen solchen solltest du ohne probleme auf diesen uni rechnern starten koennen.
weiterhin kann ich mich recht dunkel erinnern, dass es programme gibt, welche programmen ohne proxy unterstuetzung diese funktionalitaet "beibringen". wie das genau funktioniert bzw wie die sich nennen kann ich dir nicht sagen.
 
danke für die bemühungen bisher. Wie ich sehe schreibe ich zum teil jedoch schwer verständlichen kauderwelsch *G

Also, PC nummer 1 ist mein persönlicher windoof laptop auf dem ich tun und lassen kann was ich will. Mit jenem sitz ich im wohnheim.

Von dort gehts per vpn ins campus netz

vom campus netz kann ich per ssh auf die unix rechner zugreifen und so den proxy umgehen, welcher ja nur http und ftp kann.

Deiner Aussage entnehme ich dass es wohl nicht möglich ist OpenVpn zu konfigurieren dass es ohne server/client kombination läuft.

Dies wiederrum bedeutet für mich dass ich dann einen 2. Rechner im internet als ende des VPN tunnels benötig (also meinen Desktop Pc zuhause der an ner normalen DSL Leitung hängt)


zum Thema Mailprogramme und proxy: (für andere interessierte leser)

Die Mailprogramme können mit dem normalen http proxy nichts anfangen.
Somit benötigt man einen besseren proxy der mehr kann. Also wie von soox bereits gesagt einen Socks Proxy.
Dieser Proxy kann auf einem anderen Rechner laufen, falls man sowas für sein Heimnetz einrichten will.
Ein Programm hierzu währe wohl Jana

Desweiteren ist es aber auch möglich eine Ssh verbindung als socks proxy zu missbrauchen!
Hat man, wie in meinem Fall, nur per SSH zugriff auf einen Rechner der sozusagen als Gateway ins internet fungiert dann ist es möglich durch diesen einen Tunnel auf zu bauen.

Nimmt man keinen normalen Tunnel mit festem Endepunkt sondern einen Dynamischen ist dies möglich

ssh -D <localport> <remotehost>

bsp: ssh -D 1080 hans@192.168.0.1

sprich aller traffic der auf dem eigenen rechner auf port 1080 ankommt wird über den rechner 192.168.0.1 in das dahinterliegende netzwerk gebroadcastet (z.b. das internet)

somit muss man nur noch in den Proxy Einstellungen z.b. von Thunderird unter "Socks-Host" dann "localhost" oder "127.0.0.1" eintragen und bei Port "1080"

Für Programme ohne Proxy unterstützungen existieren programme wie FreeCap oder SocksCap

Funktiosweise: in Freecap/Sockscap in den einstellungen den gewünschten proxy über den die verbindung dann laufen soll eintragen (z.b. unser dynamischer ssh tunnel )
Dann ein beliebiges Programm über Freecap starten.
z.b. Norton Live update


Halt! bevor hier gleich kommt "Hey du kennst die lösung doch eh schon! Damit kannst du ja eh alle programme raus bringen. Also was soll das hier!"
Dies funktioniert nicht für alle Programme!!!
einige weigern sich strikt zu funktionieren.
Vorallem wenn Programme nochmal selbst andere unterprogramme aufrufen.

Ein gutes Beispiel ist Steam welches man über die STEAM.exe starten muss. Um jedoch zu spielen startet die Steam.exe die HL2.exe
Letzere läuft aber nicht ohne die erstere.
Leider ist jetzt aber nur die Steam.exe via FreeCap über den Proxy online.
Hl2.exe jedoch nicht.
Sprich, man kann updaten aber nicht spielen.

Zumal es auch umständlich ist alles einzeln über Free cap zu starten.

Fazit:

Für einzel Programme mit Proxy support -> dynamischer ssh tunnel

Für spezielle einzel Progis ohne Proxy support -> free cap und dynamisch ssh tunnel

All in one Lösung -> openvpn, wobei man jedoch einen Endpunkt im i-net benötigt der ebenfalls openvpn installiert hat.

Damit währe dieser Thread wohl abgeschlossen außer jemanden fällt noch was gutes ein oder will noch was wissen :)

Danke an soox, der sich als einziger dazu erbarmt hat mit mir zu diskutieren ;)
 
Original von soox
wenn nicht nur spezielle ports sondern alles weitergeleitet wird, geschieht das mit hilfe eines virtuellen netzwerkinterfaces. ich bezweifle, dass du dies als nicht root konfigurieren darfst.

kleine erweiterung: das routing muesstes du natuerlich auch aktivieren. ansonsten wird das packet nicht wietergeleitet. auch dies kann man normalerweise nur als root einschalten.
 
Zurück
Oben