# httptunnel frage

## Stone

hallo.

ich will von meiner arbeit zu mir einen tunnel machen (ja ich weiss es ist nicht erlaubt)

gut. ich hab den tunnel mal mit 

```
htc -F 22 -P x.x.x.x:80 x.x.x.x:443
```

gestartet nur das problem ist ich weiss nicht genau ob ich die richtige proxy ip hab.

bis jetzt konnt ich sie nicht rausfinden.

wenn ich jetzt versuch mit putty die connection aufzubauen wird mir das gesagt

```
Server unexpectedly closed network connection
```

jetzt frag ich mich ob ich die richtige proxy ip erwischt hab.

hat wer eine idee wie ich auf die ip vom proxy kommen könnte?

danke

----------

## Anarcho

Du kannst die IP welche "nach draussen" benutzt wird ganz einfach erfahren:

http://www.wieistmeineip.de/

Diese Seite besuchen und ablesen...

----------

## Stone

a stimmt. ich depp.

danke.

nur leider hat das zu keinen erfolg gebracht.

ich hab noch immer die gleich fehler meldung  :Sad: 

hat vielleicht wer eine idee woran da liegen könnte?

----------

## schmutzfinger

Erlaubt der Proxy https? Die IP des Proxy's sollte in deinem Browser oder so eingetragen sein. Wenn du keinen Proxy einstellen musst dann gibts entweder keinen oder er ist transparent. In beiden Fällen würde ich denken das du auch keinen angeben musst.

----------

## Stone

so viel ich weiss gibt es einen. in meinem browser kann ich leider nicht schauen da der leider so eingeschrenkt ist das ich in die einstellungen nicht rein komm.

ich hab es auch schon ohne proxy versucht aber die meldung bleibt immer die gleiche.

https ist erlaubt.

was mir auch noch aufgefallen ist, ist wenn mir der putty die fehlermeldung gibt das sich auch der "tunnel" schließt.

----------

## schachti

Vielleicht lauscht der Proxy nicht auf dem eher ungewöhnlichen Port 80, den Du angegeben hast, sondern auf einem der "Proxy-Standard-Ports" 3128 oder 8080 (oder einem anderen).

----------

## Stone

also ich hab jetzt diese ports versucht:

23, 80, 443, 8080 8081, 3128, 1080, 6588, 1180

aber keiner funkt.

ich glaub schon langsam das hier nicht mal ein proxy steht aber wenn ich den tunnel ohne proxy aufbauen will gehts es auch nicht.

woran kann das liegen und wie könnte ich noch vorgehn?

danke

----------

## schmutzfinger

Also wenn du nichtmal in der Lage bist rauszuinden wie das Netz funktioniert in dem du bist dann solltest du besser nicht versuchen jmd auf der Nase rumzutanzen. Ausser vielleicht es ist ne Schule oder sowas.  :Wink: 

Mache mal ne http Anfrage an einen Rechner der kein http anbietet. Das könnte dir vielleicht dabei helfen rauszufinden ob es nen Proxy gibt. Die IP, die man nach aussen sieht ist vielleicht nichts weiter als ein NAT Router. In dem Fall solltest du dich mal informieren ob das was du da machen willst überhaupt über NAT machbar ist. Es gibt ne Menge Möglichkeiten die Netzstruktur rauszufinden, die einfachste ist wohl zu fragen.

----------

## think4urs11

 *Anarcho wrote:*   

> Du kannst die IP welche "nach draussen" benutzt wird ganz einfach erfahren:
> 
> http://www.wieistmeineip.de/
> 
> Diese Seite besuchen und ablesen...

 

Würde dir bei uns z.b. nichts nützen da wir gestaffelte Proxies haben. Die auf die die User zugreifen haben völlig andere als die die 'nach 'draußen greifen'.

 *Stone wrote:*   

> woran kann das liegen und wie könnte ich noch vorgehn?

 

- Admin fragen

- in CMD-Fenster mal proxycfg eintippen, evtl. geht das

- eine Webseite aufmachen und parallel dazu im CMD-Fenster mittels netstat checken wohin die Verbindung aufgebaut wird; das ist evtl. der Proxy

----------

## Stone

das mit dem proxycfg hab ich mir gerade angesehn und da wird mir gesagt  *Quote:*   

> Direktzugriff (kein Proxyserver)

 

----------

## think4urs11

Schade, das heißt (leider) noch gar nichts - typisch M$ eben...

Es kann immer noch sein das im IE 'automatische Suche der Einstellungen' aktiv ist oder mit PAC-Script gearbeitet wird. Sinnigerweise zeigt proxycfg das aber als 'direkt' an.

Einen hab ich noch:

Mach mal einen ping wpad

Falls mit Autosettings gearbeitet wird müßte diese eigentlich antworten

----------

## Stone

hm

also ein ping wpad ist nicht möglich. (gibt es nicht)

----------

## Stone

so ich hab jetzt endlich die ip vom proxy gefunden. hab auch gleich mal ein paar ports versucht und der port 8081 wirkt "interessant". wenn ich einen tunnel mit diesem port mach und dann mit putty connecten will bekomm ich zwar noch immer den gleichen fehler aber der tunnel schließt sich nicht. dies hat er sonst IMMER getan.

woran könnte es jetzt noch liegen das ich nicht druch komm?

----------

## think4urs11

 *Stone wrote:*   

> 
> 
> ```
> htc -F 22 -P x.x.x.x:80 x.x.x.x:443
> ```
> ...

 

Mal ganz generell, wäre die Syntax nicht so richtig(er):

```
htc -P proxy:proxyport -F 22 server:serverport
```

Läuft auf deinem Server eigentlich das entsprechende Gegenstück zu htc sprich hts?

----------

## Stone

ja auf dem server hab ich hts laufen:

```
hts -F localhost:22 443
```

----------

## think4urs11

Du solltest vielleicht erst mal wirklich sicher sein das du überhaupt den richtigen Proxy benutzt und nicht nur 'rumraten'.

Nur mal so nebenbei, euer Proxy wird nicht zufällig in der form http://ipadresse:port/"whatever" bzw. http://name.domain:port/"whatever" angesprochen? (Was widerum ein alternativer Weg zum bereits angesprochenen wpad Mechanismus wäre)

Soll heißen wenn da mehr als nur eine IP-Adresse und ein entsprechender Port einzutragen ist dann redest du erstmal gar nicht mit einem Proxy sondern mit einem Webserver der dem Client die entsprechend 'richtigen' Proxyinformationen zur Verfügung stellt.

Weiterhin würde ich dann erstmal testen ob dein hts überhaupt sauber läuft.

----------

## Stone

nein der proxy wird so was mitbekommen nicht über http://ipadresse:port angesprochen.

hts lauft am server problemlos. dies hab ich getestet.

----------

## smg

Mh, ich habe auch nen ähnliches Problem.

Hab auf meinem Server hts laufen der redirected von 8080 auf 22 für SSH.

In der Schule läuft ein HTTP Proxy auf port 8080 also schulproxy:8080..

So, wenn ich nun in Windows bin und benutze Putty, was muss ich da alles einstellen um zu connecten?

Schulproxy ist klar, was noch? Bei den Tunnel Settings den lokalen port 22 auf meinen server port 8080 forwarden?

Bye.

----------

## gabelhonz

Hallo,

also erstmal wenn du in nem Schulnetz oder Firmennetz oder sonst wo bist, steckst du meistens hinter ner Firewall mit Proxy.

So die einzig beiden Ports die nun hast um irgendwie daraus zu kommen ist: 80 (http) und 443 (https). (normalerweise)

Alles andere sollte logischwerise ja gesperrt sein.

Was brauch man jetzt??

Ein Server der auf Port 80 oder 443 lauscht und mich dann ggf. auf meinen ssh port (22) forwardet.

Was muss ich dann tun??

Einfach Putty starten meinen Schul oder Firmenproxy eintragen, meine Server auf den ich per ssh drauf will und natürlich als Port dann nicht 22 sondern 80 oder 443. Wobei natürlich 443 zu empfehlen ist.

Fertig.

Jetzt kann ich mir praktisch durch Local Forwarding jede beliebige Ports freischalten oder sonst was über mein Server tunneln.

Unter Windows kann ich für Schüler WinSCP empfehlen, sehr geil um schnell mal paar Dokus zu syncen oder sowas....

Hoffe geholfen zu haben.

guter Link: http://www.jfranken.de/homepages/johannes/vortraege/ssh3_inhalt.de.html

Unter Linux gibts auf dem oben genannten Link nen perfektes script für nen https-tunnel!

gruß und bye

----------

## smg

 *gabelhonz wrote:*   

> Hallo,
> 
> also erstmal wenn du in nem Schulnetz oder Firmennetz oder sonst wo bist, steckst du meistens hinter ner Firewall mit Proxy.
> 
> So die einzig beiden Ports die nun hast um irgendwie daraus zu kommen ist: 80 (http) und 443 (https). (normalerweise)
> ...

 

Das heisst, ich lasse bei meinem Server auf Port 443 oder 80 lauschen, und forwarde den port auf 22 auf dem Server mittels htc?

Danach geh ich in die Schule und führe dort putty aus mit der ip von meinem server und dem port 80 also meinhost:80.

Das wars?

Muss ich nicht den lokalen putty port noch auf 80 forwarden?

P.S. auf meinem server läuft apache, der listened schon auf port 80 für http und 443 für ssl bzw. https

Bye.

----------

## gabelhonz

 *Quote:*   

> Das heisst, ich lasse bei meinem Server auf Port 443 oder 80 lauschen, und forwarde den port auf 22 auf dem Server mittels htc? 

 

Ja per htc oder hts oder redir oder was auch immer ....

 *Quote:*   

> Danach geh ich in die Schule und führe dort putty aus mit der ip von meinem server und dem port 80 also meinhost:80.
> 
> Das wars? 

 

Genau ! (natürlich proxy eintrag nicht vergessen)

 *Quote:*   

> Muss ich nicht den lokalen putty port noch auf 80 forwarden? 

 

bloß nicht sonst drehste dich ja im kreis  :Wink: 

 *Quote:*   

> P.S. auf meinem server läuft apache, der listened schon auf port 80 für http und 443 für ssl bzw. https 

 

Ja ein wirst du wohl frei machen müssen ...

EDIT: Achso du kannst dein SSH Server ja gleich direkt auf Port 443 lauschen lassen, du brauchst dieses ganze forwarding zeugs dann nicht.

So machs ich jedenfalls. Und wenn du unbedingt dann noch 22 öffnen willst machste ganz einfach per redir. Hatte damals mit dem htc hts zeug nur probleme und war völlig verwirrend. Vergiss das einfach  :Wink: 

gruß

----------

## smg

Mh, dann nehm ich 443 für die ssh und 8080 für https :/

Thanks in advance.

----------

## schachti

Du sollstest auf jeden Fall den https-Port anstatt des http-Ports verwenden. Bei http könnte man auf einem Proxy/Router versuchen, die Anfragen semantisch zu filtern - bei https ist das prinzipbedingt nicht möglich, weil ja nur verschlüsselte Daten fließen.

----------

## think4urs11

 *schachti wrote:*   

> Du sollstest auf jeden Fall den https-Port anstatt des http-Ports verwenden. Bei http könnte man auf einem Proxy/Router versuchen, die Anfragen semantisch zu filtern - bei https ist das prinzipbedingt nicht möglich, weil ja nur verschlüsselte Daten fließen.

 

Sorry aber so wie du es schreibst ist es Quark.

Sofern ein blanker http-Tunnel genutzt wird ist es erstmal wurscht über welchen Port das läuft. Der Traffic wird in http verpackt damit der Proxy etwas damit anfangen kann und das wars. Entweder der Proxy läßt es durch oder eben nicht aber das ist erstmal unabhängig vom Zielport. (Soll auch Webserver geben die auf 443 http und kein https fahren z.B.)

Auf der Zielseite lauscht dann erst ein passendes Gegenstück das den HTTP-Mantel abnimmt und den Inhalt weiterschiebt an den 'richtigen' Zieldienst wie beispielsweise ssh.

https-Tunnel sind eine *ganz* andere Baustelle. Da wird dem Proxy lediglich gesagt (via CONNECT) 'hey Meister mach mir mal ne Verbindung zu ziel:port'. Sobald diese Verbindung hergestellt ist läuft der eigentliche Traffic *nativ* soll heißen was dann vom Client über den Proxy zum Server im Internet läuft ist z.B. blanker SSH-Traffic.

Oder anders ausgedrückt - nur weils 'der https-Port' ist heißt das noch lange nicht das der Traffic der dort fließt in irgendeiner Art und Weise verschlüsselt ist, es kann genausogut simples Telnet sein das da über einen https-proxy geleitet wird.

----------

## smg

 *Think4UrS11 wrote:*   

>  *schachti wrote:*   Du sollstest auf jeden Fall den https-Port anstatt des http-Ports verwenden. Bei http könnte man auf einem Proxy/Router versuchen, die Anfragen semantisch zu filtern - bei https ist das prinzipbedingt nicht möglich, weil ja nur verschlüsselte Daten fließen. 
> 
> Sorry aber so wie du es schreibst ist es Quark.
> 
> Sofern ein blanker http-Tunnel genutzt wird ist es erstmal wurscht über welchen Port das läuft. Der Traffic wird in http verpackt damit der Proxy etwas damit anfangen kann und das wars. Entweder der Proxy läßt es durch oder eben nicht aber das ist erstmal unabhängig vom Zielport. (Soll auch Webserver geben die auf 443 http und kein https fahren z.B.)
> ...

 

Full ack.  :Wink: 

Bye.

----------

## Qubit

hi,

ist sicherlich nicht das beste "how-to". Evtl. hilft es ja doch dem ein o. anderen...

https://forums.gentoo.org/viewtopic-t-398630-highlight-httptunnel.html

Gruß Qubit.

----------

## smg

 *Qubit wrote:*   

> hi,
> 
> ist sicherlich nicht das beste "how-to". Evtl. hilft es ja doch dem ein o. anderen...
> 
> https://forums.gentoo.org/viewtopic-t-398630-highlight-httptunnel.html
> ...

 

Besser als garnichts!

Btw.:

```
http://www.nocrew.org/software/httptunnel/faq.html
```

&&

```
http://www.jfranken.de/homepages/johannes/vortraege/ssh3_inhalt.de.html
```

Bye.

----------

## schachti

 *Think4UrS11 wrote:*   

>  *schachti wrote:*   Du sollstest auf jeden Fall den https-Port anstatt des http-Ports verwenden. Bei http könnte man auf einem Proxy/Router versuchen, die Anfragen semantisch zu filtern - bei https ist das prinzipbedingt nicht möglich, weil ja nur verschlüsselte Daten fließen. 
> 
> Sorry aber so wie du es schreibst ist es Quark.
> 
> Oder anders ausgedrückt - nur weils 'der https-Port' ist heißt das noch lange nicht das der Traffic der dort fließt in irgendeiner Art und Weise verschlüsselt ist, es kann genausogut simples Telnet sein das da über einen https-proxy geleitet wird.

 

ok, ich habe es vielleicht unglücklich formuliert: http-Anfragen kann man, da sie im Klartext erfolgen, inhaltlich überwachen/filtern, https-Anfragen aufgrund der Verschlüsselung nicht. Das hat zur Folge, daß viele Admins Traffic an den Standard-https-Port ungefiltert/ungeprüft rauslassen (und nicht etwa prüfen, ob über die Verbindung telnet oder sonstwas kommuniziert), während alles, was über Port 80 läuft, entweder inhaltlich geprüft/gefiltert bzw. über einen lokalen transparenten Proxy weitergeleitet wird.

----------

## think4urs11

 *schachti wrote:*   

> ok, ich habe es vielleicht unglücklich formuliert: http-Anfragen kann man, da sie im Klartext erfolgen, inhaltlich überwachen/filtern, https-Anfragen aufgrund der Verschlüsselung nicht. Das hat zur Folge, daß viele Admins Traffic an den Standard-https-Port ungefiltert/ungeprüft rauslassen (und nicht etwa prüfen, ob über die Verbindung telnet oder sonstwas kommuniziert), während alles, was über Port 80 läuft, entweder inhaltlich geprüft/gefiltert bzw. über einen lokalen transparenten Proxy weitergeleitet wird.

 

Selbstverständlich kann man, jedenfalls den Verbindungsaufbau. Da wird (im Klartext) an den Proxy ein 'CONNECT mei.home.is.my.castle' übertragen.

Erst was danach übertragen wird kann nicht mehr (so einfach) gefiltert werden.

Am ehesten tauchen solche Tunnel auch nicht in den Proxylogs auf sondern eher im Verkehrsverhalten. 'Normales' Surfen erzeugt viel down- aber sehr wenig upstream. Bei covered channels ist es ausgeglichener. Zum Beispiel weil jeder Tastendruck im ssh als http-post oder was auch immer nach draußen getunnelt werden muß.

Das auseinanderzuhalten ist aber zugegebenermaßen nicht einfach... überträgt der User da gerade nur ein Attachment zu seinem Webmailer oder läuft da ein SCP durch einen Tunnel (nur so als Beispiel).

Bei einem hohen Anteil an upstream bzw. sehr häufigen http-post oder was auch immer werde ich als Admin neugierig und schaue *etwas* genauer hin - vorausgesetzt ich habe schlicht die Zeit dazu.

Die einzige Möglichkeit um Tunnel (durch einen Proxy) wirklich abzuklemmen sind sehr restriktive whitelists - die aber auch wieder gepflegt werden wollen.

----------

