# [solved] internet traffic verschluesseln ueber root server

## krolik26

hallo leute,

wie schon aus meinem titel ersichtlich ist, 

moechte ich gerne mein http traffic (vielleicht auch einige anderen dienste, wie z.b. icq, msn und mail) 

verschluesselt über mein Gentoo root-server übertragen. sprich: mein root-server soll proxy / tunnel sein. 

ich hab mich natuerlich vorher gruendlich ueber das thema informiert, 

aber leider konnte ich mir einige fragen nicht selbst beantworten, 

weshalb ich mich auch hier an euch wende. evtl kann mich hier jemand darueber aufklaeren.

mein erster gedanke war, ein Proxy-server auf mein rooty zu installieren, 

HTTP-proxy wuerde nicht in frage kommen, weil es keine verschluesselung hat. (ausser https?)

danach viel mir noch ne loesung mit Sock's-proxy. 

nach gruendlichem lesen von RFC's & Wiki zum thema Socks, konnte ich aber leider nichts ueber verschluesselung erfahren.

frage 1: ist Socks 5 protokoll verschluesselt, oder haengt es vom proxy-server ab, 

bzw. von der methode wie man das protokoll anwendet, 

also ueber normalen proxy-server oder ssh-tunnel. (beim ssh-tunnel bin ich mir sicher dass die verbindung verschluesselt wird...)

frage2: falls ich was ueberlesen hab oder einfach das RFC nicht verstanden hab, 

und falls das SOCKS 5 verschluesselt ist, stellt sich dann die frage, welchen proxy ich nehmen soll, 

ich habe einige zur auswahl gefunden:

a) nylon klein & simple

b) dante

zu a): dieser proxy hat mir sofort gefallen, 

allerdings hab ich leider die authentifiezierung bei diesem programm vermisst. 

kann mir jemand sagen ob es sowas hat, wenn nicht, wie man dann sowas einrichten kann. 

zu b): maechtiger proxy, wahrscheinlich schon zuviel fuer meine beduerfnisse. hat dafuer eine authentifiezierung mit pam. hat jemand schon erfahrung mit?

nach einigen recherchen kam ich auch auf ein ssh-tunnel als moeglicher ansatz fuer mein vorhaben, das auch von openssh angeboten wird. 

vorteil bei diesem ansatz: ich brauche keine zusatz software auf dem server zu installieren.

problem: ich muss den ssh-tunnel von client-seite einrichten, oder doch nicht?...

frage3: gibt es eine moeglichkeit ein ssh-tunnel von der server-seite einzurichten 

(damit ich nur im Browser mein server als Socks-proxy angeben brauche), und gibt es die moeglichkeit dort eine authentifizierung einzubauen. 

naechste moeglicheit: openvpn

kann ich mir gut vortstellen. 

vorteil: vpn-verbindung auf der client-seite einzurichten ist nicht schwer (zumindest unter Win). wird verschluesselt.

nachteil: ich muss die verbindung immer zuerst aufbauen, um anonym zu surfen. 

beim verbindungs-abbruch, was manchmal zu haeufig geschieht, muss ich die verbindung dann ebenfalls neustarten, 

was man gegenueber einen eingetragenen Socks-proxy nicht braucht.

frage4: wenn ich openvpn auf meinem server einrichte, muss ich dann auch noch ein proxy auf dem server einrichten? 

den wie ich das vpn-prinzip verstanden hab, steht mir dann einfach nur ein "inerner"-netzwerk zwischen client und server zur verfuegung, 

aber den weiterleitungs-service muss ich ja dann noch auf dem server einrichten, oder nicht? 

falls ja, dann hab ich es doppelt-gemoppelt. denn wenn der proxy schon von sich aus ne verschluesselung unterstuetzt, 

wozu brauch ich dann ne vpn?

die authentifizierungs moeglichkeit ist fuer mich sehr wichtig, 

da ich mein proxy/tunnel nur privat nutzen moechte, und nicht offen haben will. 

iptables kommen leider nicht in frage, weil ich wie schon erwaehnt auch von anderen orten den zugriff brauche, und meine ip ist eh dynamisch...

am besten mit virtuellen benutzern, also keine user aus der shell, eher aus irgend einer db/config/etc...

ich habe mir natuerlich auch andere loesungen angeschaut, wie z.b. den einsatz von Tor oder JAP. 

allerdings moechte ich es aus folgenden gruenden nicht verwenden:

1. es ist nicht flexibel genug fuer mich, sprich: ich muss es jedesmal installieren. 

da ich aber von ueberall ein anonymen zugriff brauche (auch wenn ich unterwegs bin) kommt es nicht in frage, 

da einige rechner einfach nicht die privelegien dazu haben eine software zu installieren.

2. die verbindung ist langsamer als die von meinem server, weil die verbindung von jemanden "gesponsort" wird.

3. die verbindung wird mit einem "jemand" aufgebaut, sprich: zu keiner vertraunswuerdigen quelle. 

(auch wenn die verbindung verschluesselt wird, und dieser jemand kriegt nur "encrypted"-packete von mir. 

ich bleibe leider weiter bei meinem paranoiden prinzip: ich traue keinem ausser meinem rechner&server)

wie ich es mir vorgestellt habe: ich richte mir einfach im Browser oder im sonstigem programm mein server als Proxy ein, 

gebe benutzername&passwort ein, und die verbindung wird verschluesselt zu meinem server uebertragen, 

von dort aus wird es natuerlich "plain-text" an das ziel weitergeleitet, 

die antwort wird von meinem server empfangen, verschluesselt und wieder an mich gesendet. 

damit z.b. mein provider das traffic nicht mitlesen kann.

ist es machbar? hat evtl. jemand nen tip oder auch gleich ne loesung fuer mich?  :Smile: 

folgende seiten habe ich mir zu diesem thema gefunden & durchgelesen:

http://de.gentoo-wiki.com/Anonym_Surfen <- Tor

https://forums.gentoo.org/viewtopic-t-269815.html <- Tor

https://forums.gentoo.org/viewtopic-t-527493.html <- ssh-tunnel / tsocks

http://thesmithfam.org/blog/2006/07/27/setting-up-a-socks-server-with-ssh/ <- ssh-tunnel

http://ubuntu.wordpress.com/2006/12/08/ssh-tunnel-socks-proxy-forwarding-secure-browsing/ <- ssh-tunnel

http://www.linux.com/article.pl?sid=06/09/05/190250 <- ssh-tunnel

gruss

b166erLast edited by krolik26 on Sat Feb 17, 2007 10:59 pm; edited 3 times in total

----------

## think4urs11

Deinem Anforderungsprofil nach (sollte möglichst immer überall funktionieren, am besten ohne Extra Aufwand und auf Rechnern auf denen keinerlei Software nachinstalliert werden kann) würde ich zu etwas wie CGIProxy raten.

- wird auf deinem Server als https://mein.server.de/bis_hierhin_und_nicht_weiter/nph-proxy.cgi installiert

- egal wer den Traffic deines Clients mitprotokolliert er wird nur genau diesen Aufruf sehen, alles andere läuft innerhalb des SSL-Tunnels ab

(zwischen dem Client an dem du sitzt und deinem Server - von deinem Server zum eigentlichen Ziel natürlich weiterhin ganz normal)

- sollte für praktisch alles was http ist funktionieren

- Authentisierung gegen deinen Server nach Belieben - du kannst alles nutzen was apache zu bieten hat bis hin zu einem Clientzertifikat mit Ablaufdatum 48h und 40-stelliger Passphrase - nur mal so wg. der Paranoia erwähnt *g*

Wenn du aber einen richtigen Tunnel brauchst wirst du nie darum herumkommen diesen vom Client zum Server hin aufzubauen, wie soll es auch anders gehen... der Server kann ja schlecht erahnen wo du gerade bist  :Wink: 

(ja ok, Server 'anklingeln' un dieser baut dann rückwärts einen Tunnel auf ginge evtl. aber das ist mehr Krampf als sinnvoll und im Zweifelsfall funktioniert es nicht weil du z.B. gerade hinter einem NAT, einem transparentem Proxy oder weiß der ... sitzt)

Im einfachsten Fall reicht dazu putty, das muß unter Windows nicht installiert werden da nur 1 .exe

----------

## krolik26

WoW! ist echt ne klasse idee!

werde ich wahrscheinlich auch verwenden. leider aber suche ich eine transparente loesung, auch fuer andere dienste/protokolle.

natuerlich kann ich statt icq, den jabber nehmen (was ich auch demnaechst machen werde)

und bei mail, von IMAP auf IMAP-TLS umsteigen. (werd ich auch bald machen)

trotzdem wuerde ich gerne in erfahrung bringen, 

welche meiner vorschlaege am besten fuer meine anforderung passt. 

und vorallem interessieren mich die loesungen auf meine fragen  :Smile: 

trotzdem danke fuer den super tip!

gruss

b166er

----------

## schmutzfinger

Totaler Unfug! Anonym browsen kannst du mit JAP oder Tor. Alles was du vorschlägst bringt imho überhaupt garnix.

Ich würde sogar soweit gehen und sagen das du damit auf einen Schlag Anonymität verlierst. Mit deiner dynamischen IP kommst du hier im Forum jeden Tag mit ner anderen IP vorbei. Solange du kein Cookie hast wirst du nicht erkannt, man kann nur rausfinden wo du ungefähr wohnst und welchen Provider du hast. Wenn du auf einmal jeden Tag mit der selben IP kommst braucht man nichtmal Cookies/Login um dich zu erkennen.

Bei Tor und JAP kommen viele über einen Ausgang, du wolltest deinen Server allein nutzen... Ok vielleicht noch 2 Freunde oder 5. Mal ehrlich wird es schwer sein dich an deiner IP und deinem Browser zu erkennen?

Soviel zum Thema des Threads. Verschlüsselung zum Proxy ist auch fragwürdig. Sagen wir du hast nen Socks proxy für ICQ weil du nicht willst das irgendwer mitliest. Denn du vertraust ja nur deinem Server und deinem Desktop und keinem der Netze, durch die sich die Pakete bewegen. Das dumme ist nur das auch bei Verwendung von nem Proxy dein Server unverschlüsselte Pakete an andere ICQ-Kontakte und den ICQ-Server schickt. Wo ist denn jetzt der Unterschied ob es gleich der Client macht? Außer das es schwerer umzusetzen ist ... Ich würde sogar so weit gehen zu sagen das bei Verwendung eines Proxys noch mehr Leute mitlauschen könnten weil die Route nichtmehr optimal ist.

Sagen wir du chattest mit einem Freund in der gleichen Stadt über ICQ, der hat vielleicht sogar den gleichen Provider und sitzt im selben Subnetz. Jetzt kann das Gespräch nur von deinem Provider belauscht werden. Mach das über den Proxy in einer anderen Stadt/im Netz eines x-ten Providers. Jetzt haben Provider 1-x zwei Verbindungen zu routen, eine verschlüsselte und die selbe nochmal unverschlüsselt. Ok also haben wir jetzt auf einmal x Provider, die mithören könnten.

Und das beste ist das jeder an der IP sieht wer du bist. Vielleicht kann man die IP von deinem Server sogar rückwärts auf deine Domain auflösen. Dann muss man nur noch whois fragen und man kenn deinen Namen und weiß sogar wo du wohnst. Es lebe die Anonymität!

----------

## krolik26

ui, ja stimmt. hast auch vollkommen recht!

sorry, sorry sorry! 

hab mich mal wieder falsch ausgedrueckt  :Smile: 

ich moechte eigentlich nur meine verbindung von DSL verschluesselt auf/von meinen server weiterleiten. 

ja das stimmt, dass man von aussen die ip von meinem server sieht, ist aber fuer mich nicht schlimm.

mir gehts nur um die komplette verschluesselte verbindung zwischen mir und meinem server, 

dass ich dann quasie nur ueber diese verschluesselte verbindung ins internet gehe. 

mir ist schon sehr wohl bewusst, dass der server die packete danach entschluesselt (plain-text) 

an den ziel-server weiterleiten muss. das soll auch ruhig geschehen. 

nochmal sorry, falls ich es falsch erklaert hab.

gaebe zu der begriff "anonym" ist zwei deutig in dem thema.

ich meinte eigentlich "anonym" mit verschluesselten-packeten 

die zwischen meinem DSL und server stattfinden, damit sozusagen nicht gesnifft werden kann.

und das mit anderen routen & providern, dass diese dann plain-text lesen, ist mir auch bewusst, 

ist aber wiegesagt nicht das problem.

hoffe mich hat jetzt jeder verstanden, 

bzw. ich habs richtig erklaeren koennen  :Smile: 

trotzdem vielen dank fuer dein beitrag,

evtl. wird manch-anderem klar, 

wieso es nicht anonym ist (was aber auch nicht mein vorhaben ist).

ps: hab jetzt auch das thema des beitrages geaendert. 

um keine weitere verwirrung anzustiften  :Smile: 

gruss

b166er

----------

## b3cks

 *krolik26 wrote:*   

> ich meinte eigentlich "anonym" mit verschluesselten-packeten 
> 
> die zwischen meinem DSL und server stattfinden, damit sozusagen nicht gesnifft werden kann.
> 
> und das mit anderen routen & providern, dass diese dann plain-text lesen, ist mir auch bewusst, 
> ...

 

Um im RZ oder wo auch immer dein Server steht, kann nicht gesnifft werden? IMO noch einfacher, als im "DSL-Netz". Somit verstehe ich diesen Ansatz nicht ganz. Wo ist der Unterschied, ob jemand den Traffic von deinem Rechner oder von deinem Server in die Welt snifft? Dort hätte derjenige sogar eine Konstante und müsste dich nicht immer ausfindig machen. Zumal schmutzfinger in seinen Punkten vollkommen Recht hat. Wenn du schon Angst hast, dass jemand etwas mitschneidet, musst du schon sicher sein, dass die direkte Verbindung von Client zu Server bzw. Server zu Server oder Client zu Client verschlüsselt ist bzw. zumindest die enthaltenen Nutzdaten, also z.B. vom E-Mail-Client zum Mailserver, von deinem ICQ-Client zu dem Buddy-Client (diverse ICQ-Clients bieten Plugins dafür, muss der Buddy allerdings auch installiert haben), etc.

Was den web-based Proxy angeht, gibt es da auch noch die PHP-Variante PHProxy.

Diese Tools können auf jedem Webserver, der entsprechend CGI/Perl oder PHP ünterstützt, laufen.

Es muss nicht immer der fette Indianer für solche schlanken Anwendungen sein.  :Wink: 

----------

## STiGMaTa_ch

 *krolik26 wrote:*   

> [...]
> 
> dass ich dann quasie nur ueber diese verschluesselte verbindung ins internet gehe. 
> 
> mir ist schon sehr wohl bewusst, dass der server die packete danach entschluesselt (plain-text) 
> ...

 

Und wo bitte liegt dann der Sinn hinter dem ganzen?

Erklähr mir doch bitte einmal, was du dir davon erhoffst?

Lieber Gruss

STiGMaTa

----------

## think4urs11

Eine Stelle an der das ganze Sinn macht ist z.B. um auch von Kunden/Lokationen/etc. aus die sehr restriktive URL-Filter einsetzen trotzdem noch an (evtl. in dem Moment sehr wichtige) Daten/Seiten ranzukommen.

Mit anonym hat es weniger zu tun, mehr mit umgehen/unterlaufen der lokalen Security.

----------

## xraver

 *schmutzfinger wrote:*   

> Totaler Unfug! Anonym browsen kannst du mit JAP oder Tor. 
> 
> 

 

Da kann ich dir nur zustimmen.

 *schmutzfinger wrote:*   

> 
> 
>  Wenn du auf einmal jeden Tag mit der selben IP kommst braucht man nichtmal Cookies/Login um dich zu erkennen.
> 
> 

 

Öhm, ich hab hier so einen Kabelprovider an dem ich auch hänge. So wie ich das sehe, habe wir hier seid Wochen/Monaten immer die gleiche IP. 

Risiko??

 *schmutzfinger wrote:*   

> 
> 
> Es lebe die Anonymität!

 

Ja, gerade in heutigen Zeiten.

@krolik26

Es gibt da die Möglichkeit tor mit Firefox auf einen USB-Stick zu installieren. Putty passt da auch noch drauf  :Wink: .

Somit könntest du "anonym surfen" und musst nicht an jeder Kiste alles neu instalieren.

Irgentwo gibt es auch ein Projekt was Stick+Software fertig verkauft.

Aja, hier; https://www.foebud.org/datenschutz-buergerrechte/vorratsdatenspeicherung/privacydongle

Was msn/icq und co betrifft - einfach mal jabber antesten. Bietet SSl zum Server. Und bei msn/icq kann man ohne gpg Verschlüsselung eh nix machen.

----------

## schmutzfinger

 *xraver wrote:*   

> 
> 
> Öhm, ich hab hier so einen Kabelprovider an dem ich auch hänge. So wie ich das sehe, habe wir hier seid Wochen/Monaten immer die gleiche IP. 
> 
> Risiko??
> ...

 

Naja das kommt halt ganz drauf an was man für Ansprüche stellt. Ich habe selber seit 4 Jahren ne feste IP und habe kein Problem damit das mich jeder daran "erkennen" kann. Aber ich bin mir auch durchaus bewusst das ich damit noch weniger anonym unterwegs bin als ein DSL-Nutzer.

----------

## Haldir

 *Think4UrS11 wrote:*   

> Eine Stelle an der das ganze Sinn macht ist z.B. um auch von Kunden/Lokationen/etc. aus die sehr restriktive URL-Filter einsetzen trotzdem noch an (evtl. in dem Moment sehr wichtige) Daten/Seiten ranzukommen.
> 
> Mit anonym hat es weniger zu tun, mehr mit umgehen/unterlaufen der lokalen Security.

 

Ajo, nur dann ist ein VPN die bessere Lösung, nur er will ja "permanent" mit dieser Lösung surfen.

Mir fallen alles nur sehr dunkelgraue Anwendungen ein, die aber alle sehr sehr blödsinnig sind, da dein Root ja auch eine Verbindung zu deinem Namen haben wird und spätestens der Root kennt deine IP.

----------

## Carlo

 *Haldir wrote:*   

> Mir fallen alles nur sehr dunkelgraue Anwendungen ein, die aber alle sehr sehr blödsinnig sind, da dein Root ja auch eine Verbindung zu deinem Namen haben wird und spätestens der Root kennt deine IP.

 

Du sitzt beim Kunden, im Studentenwohnheim, Hotel, nutzt einen WLAN-Hotspot,... und hälst die Admins, andere Netzteilnehmer oder gar den Betreiber nicht für vertrauenswürdig, willst daher ausschließen, daß deine Surfgewohnheiten geloggt oder die Verbindung möglicherweise ganz mitgeschnitten wird. Oder du mußt (gegebenenfalls in Absprache) wegen der Firewall eh tunneln, um an benötigte Dienste zu kommen. Daß befugte Dritte die Verbindungen vom Root-Server zu dir zurückverfolgen können, ist in so einem Fall irrelevant. Auch wenn beispielsweise dein lokaler Netzanbieter dein Arbeitgeber ist, dieser wegen fragwürdiger Mitarbeiterführung aufgefallen ist, und du eine Site besuchst, auf der sich die Mitarbeiter kritisch und anonym mit dessen Vorgehen und eventuellen Gegenmaßnahmen beschäftigen, ist es wohl ratsam, diesem dies nicht auf die Nase zu binden. Manchmal gibt es gute Gründe, in die "letzte Meile" weniger Vertrauen zu haben, als in die großen Provider.

----------

## think4urs11

 *Haldir wrote:*   

> Ajo, nur dann ist ein VPN die bessere Lösung, nur er will ja "permanent" mit dieser Lösung surfen.

 D.h.?

Klar ist ein VPN die bessere - weil universellere - Lösung aber es gibt durchaus auch Örtlichkeiten wo VPNs schlicht nicht funktionieren, egal ob IPSec- oder SSL-based.

Entweder weil die nötigen Protokolle (z.B. ESP) nicht möglich sind oder weil die nötige Client-SW nicht installiert werden darf oder weil man überhaupt nur 

einen Thinclient zur Verfügung hat der außer IE exakt nichts kann/darf...

Was die 'Permanenz' angeht - wo ist der Unterschied ob ich zu einem VPN-GW verbinde oder zu einem CGI-Proxy bzgl. Verfügbarkeit?

 *Haldir wrote:*   

> Mir fallen alles nur sehr dunkelgraue Anwendungen ein

 Das liegt aber an dir  :Wink: 

Diverse durchaus legitime Zwecke siehe diesen Thread. Und wenn es nur deswegen sinnvoll ist weil der lokale Admin krank ist du den Zugriff aber *jetzt* brauchst um ein Kundenprojekt abschließen zu können - oder hättest du Bock (nur) deswegen nochmal zum Kunden in Weitwegistan am  kalten Ar... zu fahren?

Firefox auf einem USB-Stick ist zwar durchaus nett und sinnvoll aber an Clients die den Zugriff auf USB gesperrt haben bringt so ein Stick auch nicht viel.

Wie Carlo schon sagte, es gibt diverse Pro/Contra zu diesem Thema.

----------

## Haldir

 *Think4UrS11 wrote:*   

>  *Haldir wrote:*   Ajo, nur dann ist ein VPN die bessere Lösung, nur er will ja "permanent" mit dieser Lösung surfen. D.h.? 

 

Ich Zitiere oben 1. Post:

nachteil: ich muss die verbindung immer zuerst aufbauen, um anonym zu surfen. 

beim verbindungs-abbruch, was manchmal zu haeufig geschieht, muss ich die verbindung dann ebenfalls neustarten, 

was man gegenueber einen eingetragenen Socks-proxy nicht braucht. 

Das deutet für mich auf eine nahezu permantete Lösung hin, die idealerweise immer läuft, was bei einem VPN normalerweise nicht der Fall ist (sicher aber nicht ausschließt, genauso wie der automatische Verbindungsaufbau)

 *Think4UrS11 wrote:*   

> 
> 
>  *Haldir wrote:*   Mir fallen alles nur sehr dunkelgraue Anwendungen ein Das liegt aber an dir  

 

Ja definitiv, mich irritieren genaugenommen nur eins an euren "wichtigen Dateien".

OP hat einen Root im Internet stehen. Wenn seine vorher wichtigen Daten da nicht schon drauf waren, wird eine sichere Verbindung zum Root auch nichts nützen. Grundsätzlich aber richtig.

Für die Anwendung fehlt mir der Bereich Netzwerk in seinem Post, also der Zugriff auf andere Rechner, er will nur "durch" seinen Root nicht "in" seinen Root  :Wink: 

Eure Vorschläge sind alle schön und gut, mir fallen zum OP trotzdem nur dunkelgraue Anwendungen ein, den er spricht grundsätzlich nur über DSL Verbindung von daheim.

Ihr habt sicher Recht im allgemeinen Fall, in diesem Fall vom OP weiß ich nur nicht ob eure Anwendungen da zum ziehen kommen.

Wobei Carlo sicher Recht hat mit dem "weniger Vertrauen" in die letzte Meile und deren Anwendungsmöglichkeiten.

Wahrscheinlich bin ich zu sehr voreingenommen, von den üblichen ich will "anonym" surfen Posts. Vielleicht meint der OP das ja nicht so, nur sein Posting hört sich für mich nicht nach einem ernsten Versuch an, ein "ernstes" Problem zu umgehen, ansonsten hätte er wohl eine Problembeschreibung geliefert. Er wurde von anderen schon auf die fehlende Anonymität hingewiesen.

Nebenbei wär ich vorsichtig beim Posten von Vorschlägen wie man die lokale Security unterlaufen kann, insb. weil einige sich den Konsequenzen von den Klauseln in best. Arbeitsverträgen nicht bewußt sind dabei.

Aber wahrscheinlich bin ich nur überarbeitet und denke wieder nur ans Böse im Menschen  :Wink: 

----------

## think4urs11

 *Haldir wrote:*   

> Das deutet für mich auf eine nahezu permantete Lösung hin, die idealerweise immer läuft, was bei einem VPN normalerweise nicht der Fall ist (sicher aber nicht ausschließt, genauso wie der automatische Verbindungsaufbau)

 Eben, auch und gerade praktisch jede Art von VPN läßt sich transparent im Hintergrund automatisiert aufbauen ohne explizite Usertätigkeiten (/etc/init.d/meinvpn start oder was immer). In dieser Hinsicht ist ein CGI-Proxy die bei weitem unbequemere Lösung - aber manchmal eben ggf. nötig weil es anders nicht geht.

 *Haldir wrote:*   

> Ja definitiv, mich irritieren genaugenommen nur eins an euren "wichtigen Dateien".
> 
> OP hat einen Root im Internet stehen. Wenn seine vorher wichtigen Daten da nicht schon drauf waren, wird eine sichere Verbindung zum Root auch nichts nützen. Grundsätzlich aber richtig.
> 
> Für die Anwendung fehlt mir der Bereich Netzwerk in seinem Post, also der Zugriff auf andere Rechner, er will nur "durch" seinen Root nicht "in" seinen Root

 Es geht nicht darum Daten von seinem eigenen Server zu ziehen (dazu reicht ssh/https/WebDAV-SSL) sondern darum beliebige Webseiten von *irgendwo* *über* seinen Server auch zu einem Platz X zu transportieren - auch dann wenn das am jeweiligen Standort eigentlich nicht möglich ist (Weil die Zielseiten gesperrt wurden o.ä.).

Der Teil 'ab dem Rootserver zum Ziel kann aber jeder mitlesen' ist vollkommen irrelevant, darum geht es hier gar nicht (dem OP jedenfalls nicht).

 *Haldir wrote:*   

> Eure Vorschläge sind alle schön und gut, mir fallen zum OP trotzdem nur dunkelgraue Anwendungen ein, den er spricht grundsätzlich nur über DSL Verbindung von daheim.

 Abgesehen davon das es auch sehr viele SOHO/KMU gibt die auch nur DSL für die eigene Internetanbindung haben sehe ich im 1ten Post keinen Hinweis darauf, auch keinen indirekten.

Ich bin zwar auch Berufsparanoiker aber die legitimen Gründe für eine derartige Geschichte sehe ich schon, nutze sie sogar manchmal selbst (nämlich dann wenn mir meine eigene Securitypolicy im Büro im Weg steht und ich ein Problem lösen *muß*).

Auf der anderen Seite nutze ich aber auch Wireshark und Co. - und werde das auch dann noch tun wenn unsere Damen und Herren Vordenker der politischen Kaste diese verboten haben. Wenn mich das dann zum bösen Hacker stempelt bitteschön, es gibt schlimmere Bezeichnungen.

 *Haldir wrote:*   

> Nebenbei wär ich vorsichtig beim Posten von Vorschlägen wie man die lokale Security unterlaufen kann, insb. weil einige sich den Konsequenzen von den Klauseln in best. Arbeitsverträgen nicht bewußt sind dabei.

 Kann man so und so sehen.

Zum einen sind keine dedizierten, detailierten Anleitungen gepostet worden und zum anderen sind die Informationen dazu wirklich trivial mit 2 Min Google zu finden.

Ob/wann und wie man derartige Mittel einsetzen darf/kann und ob hier ggf. vertragliche Geschichten (z.B. bei Freelancern gegenüber dem jeweiligen Auftraggeber) greifen ist ein ganz anderes Thema. Wer als Freelancer arbeitet sollte seine Verträge kennen und was er alles (nicht) darf.

Und ein Unternehmen das von den Mitarbeitern (Voll/Teilzeit, Zeitarbeitskräfte, etc.) keine Unterschrift unter die Richtlinien zur Internetnutzung einfordert (bzw. keine entsprechende Einweisung erteilt) hat über kurz oder lang sowieso ein Problem, das ist grundlegendes Handwerkszeug für einen Geschäftsbetrieb, egal in welcher Branche.

----------

## krolik26

ooohh jee.   :Rolling Eyes: 

erstmal vielen dank fuer eure antworten.

ich sehe schon, ich hab bei meinem glueck ein heisses thema angestossen. 

wie man da schoen sagt: "Frag 100 Leute und Du bekommst 100 Antworten"

eigentlich waere ich schon sehr gluecklich mit, 

wenn man einfach nur kurz jemand meine fragen beantwortet haette  :Smile: 

oder wenigstens, ob SOCKS verschluesselt uebertraegt, 

dann haett ich mir einfach schnell den "nylon" aufm server aufgespielt, und ich waere gluecklich  :Smile: 

aber nun ja, wer noch ma seine meinung dazu abgeben moechte. 

dann bitte schoen. ich lese gerne zu  :Smile: 

gruss

b166er

ps: ich moechte keine hacken, ich habe auch keine boesen absichten, 

ich will auch nichts illegales mit emule/torrent & co. saugen. 

(hab zuhause eh keine kino-leinweind mit super Sound system, 

und aufm 17' Monitor mit alten kopfhoerern werd ich mir sowas nicht antuen. da gehe ich lieber ins kino.

spielen tue ich schon seit langem nicht, bin nur ein einfacher php-programmierer, und begeisterter Gentoo user. mehr nicht.)

was ich will, ist einfach nur mein traffic-in/out (nicht nur http) bis zu meinem root-server verschluesseln. und am besten so einfach wie moeglich.

danke

----------

## think4urs11

 *krolik26 wrote:*   

> ooohh jee.  
> 
> erstmal vielen dank fuer eure antworten.
> 
> ich sehe schon, ich hab bei meinem glueck ein heisses thema angestossen. 

 

*g* macht doch nichts, interessante Diskussionen sind das Salz in der Suppe. Also mal zu deinen ursprünglichen Fragen

 *krolik26 wrote:*   

> frage 1: ist Socks 5 protokoll verschluesselt

 

Nein (kann sein das es kommerzielle Socksserver gibt die es zusätzlich anbieten)

 *krolik26 wrote:*   

> frage3: gibt es eine moeglichkeit ein ssh-tunnel von der server-seite einzurichten

 

Wie schonmal erwähnt - im Prinzip ja, der Server muß nur wissen wohin er die Verbindung aufbauen soll.

Der einfachere Weg ist von deinem jeweiligen Standort aus den Tunnel zum Server aufzubauen.

Gleiches gilt für OpenVPN.

 *krolik26 wrote:*   

> frage4: wenn ich openvpn auf meinem server einrichte, muss ich dann auch noch ein proxy auf dem server einrichten?

 ja

 *krolik26 wrote:*   

> wozu brauch ich dann ne vpn?

 Das VPN zum Verschlüsseln, den Proxy zum Anfordern der Seiten vom VPN-Server aus

----------

## krolik26

vielen dank fuer die schnelle und kurze antwort.

ich werd dann wahrscheinlich ein ssh-tunnel mit putty bauen, oder eine vpn einrichten.

muss ich mir noch ueberlegen was leicht und flexibel ist.

danke

----------

