Kleiner Router für Proxy

[datapoint]

Liebe Community,

hier mein Problem:

Ich habe ein Raspberry Pi 2 mit WLAN Adapter. Der LAN Anschluss ist an ein Windowsnetzwerk mit Proxy mit NTLM-Authetifikation angeschlossen. Nun brauche ich um dieses Netzwerk zu durchbrechen einen CNTLM Proxy, der die Authentifikation regelt und dann einen normalen Proxy ohne Authentifikation auf dem Pi einrichtet. Das funktioniert alles einwandfrei und ich komme so mit jedem Programm auf dem Pi, was Proxy's unterstützt ins Internet. Nun möchte ich gerne mit dem WLAN Adapter ein Hotspot einrichten, sodass man auch über WLAN das Internet erreichen kann. Ich habe schon Bridging versucht aber dann kann ich ja nicht den Pi-Proxy ansprechen. Oder doch? Ich bräuchte ja nur einen Hotspot, der das interne Netz des Pi's shared und mit dem ich dann auf dem Pi-Proxy zugreifen kann, aber ich weiß nicht, wie ich das anstellen kann.

Ich hoffe ihr könnt mir helfen

Beste Grüße

[MSfree]

Ich habe schon Bridging versucht aber dann kann ich ja nicht den Pi-Proxy ansprechen. Oder doch?

doch

[uname]

Routing könnte sinnvoller sein, um die Netze sicher voneinander zu trennen. Dafür musst du aber z.B. Masquerading einsetzen. Lese z.B. https://wiki.ubuntuusers.de/Router

Wenn du sowieso die Sinnhaftigkeit der NTLM-Authentifikation in Frage stellt, kannst du nicht den Umweg über den Proxy gleich eleminieren? Oder hat sich der Betreiber des Proxies irgendwas sinnvolles dabei gedacht? Ich gehe davon aus, dass der Betreiber des Proxies mit deinen Machenschaften einverstanden ist. Im übrigen kannst du über ein Proxy-System sofern du im Internet irgendwelche Server hast alles tunneln. Z.B. einen Proxy oder ein ganzes VPN durch einen HTTP-Proxy. Könnte ja sein, dass du nicht auf proxy-fähige Anwendungen beschränkt bleiben möchtest.

[eggy]

Da gestern ja noch von "Schulnetz" die Rede war, geh ich mal davon aus, dass der Betreiber des Netzes damit nicht einverstanden ist*.
Und auf dieser Annahme aufbauend mal meine Meinung dazu:

So ein "ICH will aber. Scheiss was auf die Anderen!"-Verhalten ist -gelinde gesagt- großer Mist.

- Aus Sicht des Admins betrachtet: der wird sich nämlich was dabei gedacht haben (auch wenn Dir das nicht passt).
- Aus Deiner Sicht: was glaubst Du wieviel Spass Du haben wirst, falls das rauskommt (und das wird es).
- Aus der Sicht Deiner Mitschüler (aktuelle und nachfolgende Generationen): die logische Konsequenz aus solchen Verhalten ist nämlich das Netz komplett zuzutackern. Raus nur noch auf vorher freigegebene Seiten und zur Kontrolle wird Crypto gleich mit verboten.


*: Sollte ich mich mit meiner Vermutung geirrt haben: geh zu Deinem Admin/Informatiklehrer, rede mit denen, erklär was Du vorhast, lass Dir vor Ort helfen das Zeug einzurichten. Im Besten Fall kommt ne Informatik-AG bei raus (falls ihr noch keine habt).

[MSfree]

Da gestern ja noch von "Schulnetz" die Rede war,...

Jetzt bin ich aber neugierig.

Der OP hat bisher einen einzigen Post abgesetzt und diesen nicht editiert. Wie kann da "gestern ja noch von Schulnetz" die Rede sein?

Aber, du hast natürlich völlig recht, daß das Umgehen von irgendwelchen Sicherheitsmaßnahmen keine gute Idee ist. Wobei in diesem Fall sich der Proxy gegenüber NTLM authentifizieren müßte, also irgendwelche Login-Daten benötigt. Anonym wird der OP dadurch also nicht.

[uname]

Falls jemand da draußen Proxy-Systeme z.B. für Schulen usw. betreibt hier nun mein Vorschlag:

1.) Benutzerverwaltungen für "interne" Systeme z.B. mit NTLM vorschreiben und kommunizieren, dass
1a.) "interne" Systeme darüber immer zu nutzen sind (alternativ maximal VPN)
1b.) alle anderen Geräte verboten sind (wie z.B. der oben genannte Pi)

aber zusätzlich für alle privaten Geräte:
2.) Anbieten eines öffentlichen WLAN-Hotspots (Störerhaftung ist ja scheinbar gefallen)
2a.) "interne" Systeme haben in dem Netz nichts zu suchen, muss man irgendwie verhindern (evtl. MAC-Listen oder WLAN deaktivieren)
2b.) alle anderen mobilen Geräte sind erlaubt (evtl. Bandbreitenbeschränkung je Gerät, Benutzeranmeldung, ...)

und das Ganze aus folgendem Grund:
- private Geräte können heute schon Mobilfunknetze und damit das Internet nutzen (wer schlau ist nutzt schon heute eine mobile Flat anstatt sich überwachen zu lassen)
- Entlastung der Mobilfunknetze in der Nähe von z.B. Schulen

Eigentlich müssten die Mobilfunkbetreiber Interesse daran haben und die WLAN-Netze mitfinanzieren

[datapoint]

Da gestern ja noch von "Schulnetz" die Rede war, geh ich mal davon aus, dass der Betreiber des Netzes damit nicht einverstanden ist*.
Und auf dieser Annahme aufbauend mal meine Meinung dazu:

So ein "ICH will aber. Scheiss was auf die Anderen!"-Verhalten ist -gelinde gesagt- großer Mist.

- Aus Sicht des Admins betrachtet: der wird sich nämlich was dabei gedacht haben (auch wenn Dir das nicht passt).
- Aus Deiner Sicht: was glaubst Du wieviel Spass Du haben wirst, falls das rauskommt (und das wird es).
- Aus der Sicht Deiner Mitschüler (aktuelle und nachfolgende Generationen): die logische Konsequenz aus solchen Verhalten ist nämlich das Netz komplett zuzutackern. Raus nur noch auf vorher freigegebene Seiten und zur Kontrolle wird Crypto gleich mit verboten.


*: Sollte ich mich mit meiner Vermutung geirrt haben: geh zu Deinem Admin/Informatiklehrer, rede mit denen, erklär was Du vorhast, lass Dir vor Ort helfen das Zeug einzurichten. Im Besten Fall kommt ne Informatik-AG bei raus (falls ihr noch keine habt).

1. Es ist erlaubt!
2. Das Problem ist, dass eine externe Firma das managed und nur port 80 und 443 offen sind, was die Sache so schwierig macht.
3. Ich bin in der Informatik-AG und wir versuche ja das zu machen

Wenn das nicht erlaubt wäre würde ich es nicht machen, denn das ist es nicht wert.

[datapoint]

Da gestern ja noch von "Schulnetz" die Rede war,...

Jetzt bin ich aber neugierig.

Der OP hat bisher einen einzigen Post abgesetzt und diesen nicht editiert. Wie kann da "gestern ja noch von Schulnetz" die Rede sein?

Aber, du hast natürlich völlig recht, daß das Umgehen von irgendwelchen Sicherheitsmaßnahmen keine gute Idee ist. Wobei in diesem Fall sich der Proxy gegenüber NTLM authentifizieren müßte, also irgendwelche Login-Daten benötigt. Anonym wird der OP dadurch also nicht.

Wir wollen ja nur erreichen, dass es WLAN für uns gibt, da es aktuell nur die LAN-Möglichkeit gibt, welche für Handys halt Suboptimal ist.

Es werden die globalen schueler-login daten benutzt, womit illegale Seiten ausgeschlossen werden.

[MSfree]

Wir wollen ja nur erreichen, dass es WLAN für uns gibt

Und was hindert euch daran, einen ganz normale WLAN-Accesspoint ans LAN anzuschließen?

Einen WLAN-AP kann man natürlich mit einem Raspi aufbauen. Die Notwendigkeit für einen Proxy sehe ich jedeoch nicht.

[datapoint]

Wir wollen ja nur erreichen, dass es WLAN für uns gibt

Und was hindert euch daran, einen ganz normale WLAN-Accesspoint ans LAN anzuschließen?

Einen WLAN-AP kann man natürlich mit einem Raspi aufbauen. Die Notwendigkeit für einen Proxy sehe ich jedeoch nicht.

Als ob wir das noch nicht versucht hätten Die Authentifikation per NTLM hindert uns daran. Versuch dich mal mit deinem Android Handy oder IPhone mit einem NTLM-Proxy zu verbinden.

[BenutzerGa4gooPh]

Das Problem ist, dass eine externe Firma das managed und nur port 80 und 443 offen sind, was die Sache so schwierig macht.

DNS-Tunnel. Port 53 wird ja wohl offen sein. Der AP kann bei Bedarf selbst bzw. auch authentifizieren.
http://www.admin-magazin.de/Das-Heft/20 ... ausbrechen
Ist mit Admin abzusprechen, sonst gibt es Ärger.

Wobei in diesem Fall sich der Proxy gegenüber NTLM authentifizieren müßte, also irgendwelche Login-Daten benötigt.

Eine Authentifizierung eines (professionellen) WLAN-Access-Points oder -Routers (*) als Proxy-Client gegenüber NTLM sollte auch funktionieren. Der AP/Router authentifiziert wiederum eigene WLAN-Clients (Tablets, Smartphones) per WPA2-PSK (AES).

(*) Einen Plastikrouter mit OpenWrt/DDWRT mal testen. Oder deinen Raspi an eine PFSense anschließen, diese an's LAN.
Weiss nicht genau, ob das funktioniert, probiert es aus, dümmer wird man nicht - dafür ist eine AG wohl da.

[eggy]

Dann sieht die Sache ja ganz anders aus und ich bitte die "Unterstellung" zu entschuldigen

Einen Punkt den ihr im Auge behalten solltet: habt ihr getrennte Netze für Verwaltung und "Schüler"? Nicht, dass durch das Basteln nachher die ungesicherten Freigaben des Sekretariatsrechners per WLAN verfügbar sind etc.

Daher auch hier wieder: redet miteinander, sprecht mal den Dienstleister an, auch wenn der sicherlich seine "Vorgaben" hat, kann ich mir denken, dass es ihm lieber ist, Euch zu sagen, wo der AP hinmuss, als wenn Ihr versucht durch sein Sicherheitskonzept zu tunneln. Mit nem "Der Rektor hats abgesegnet, und der Infolehrer passt auf, dass ihr keinen Blödsinn baut"-Zettel sollte da von seiner Seite auch nichts dagegen sprechen. Ihr könnt die Menschen (sowas vergisst man gerne, Dienstleister beschäftigen Menschen ) ja einfach mal in Eure AG einladen...

Ich würds jedenfalls so machen: komplett eigenes Netz für Schüler-WLAN-Geräte (per eigenem AP) und alles schön weit weg vom "Verwaltungsnetz", denn dass sich auf den Geräten nen halber Viren- und Würmerzoo tummeln wird, sollte nicht unterschätzt werden.

PS: im weiteren Verlauf wäre dann vielleicht auch mal die Kontaktaufnahme mit der örtlichen Freifunkgruppe ne Idee

[uname]

Sehe ich ähnlich. Nur wenn ihr die über WLAN-Pi angeschlossenen Geräte auch direkt im WLAN betreiben dürftet, ist eine über Pi gebridgte oder geroutete Lösung ins LAN sinnvoll bzw. erlaubt. Wenn nicht muss die Trennung vorher passieren. Um Geld zu sparen kann man natürlich direkt am Internet-Knoten (DSL-Router) das Netzwerk aufteilen. Am Ende würde es reichen den WLAN-Pi direkt am DSL-Router per LAN anzukabeln und über WLAN-Pi einen eigenen Hotspot (direkter Zugriff zum Internet ohne Proxy) bereitzustellen. Auf dem DSL-Router müssen getrennte VLANs möglich sein (Trennung Pi und LAN). Nur die LAN-Geräte werden in dem anderen VLAN zusätzlich über den genannten Proxy abgesichert. Vielleicht kannst du auch gleich den Pi wegwerfen und den Fritzbox-Gastmodus verwenden. Hat wahrscheinlich den selben Effekt, wobei ich keine Fritzbox habe und es nicht selbst ausprobiert habe.