Hallo Ich möchte in meinem Router einen Cachin Proxy installieren. Leider funktioniert das Cachen bei SSL Verbindungen ohne Weiteres bekanntlich ja schlecht. Man könnte nun die SSL Verbindung im Proxy entschlüsseln und richtung Client neu verschlüsseln - mit einem eigenen Zertifikat. Leider kommt dann auf dem Client auch eine entsprechende Sicherheiswarunung, wenn man den Proxy nicht dauerhaft als Vertrauenswürdig hinzufügt. Ich hätte es aber gerne so, dass man den Proxy gar nicht bemerkt, auch wenn man nichts am System gemacht hat. Möglicherweise ist es möglich, die Kommunikation zwischen Proxy und Client unverschlüsselt laufen zu lasssen, und so die Warnmeldung zu umgehen? Oder wäre es möglich, die Zertifikate von Google, Youtube und Facebook zu kopieren und diese auf dem eigenen Proxyserver für diese Domains zu hinterlegen, so dass bei der erneuten Verschlüssung nochmals das originalzertifikat benutzt wird, und dann auch keine Warnmeldung entsteht? Es würde auch reichen, die entsprechenden Content Delivery Networks irgendwie hinzufzufügen, um gerade das was ordentlich Traffic macht, zu cachen, ohne dass eine Warnmeldung entsteht. Das Problem ist folgendes: Der Router wird per LTE angebunden, was ja bekanntlich stark Trafficbegrenzt ist. Jedes MB gesparter Traffic ist gut. Allerings will ich mir bei den Events nicht durch Warnmeldungen in den Clients irgendwelche Nachfragen aufhalsen. Grüße
Das was du vor hast ist eine "Man in the Middle" Attacke. Der Mittlere kann mithören, weil er die Pakete entschlüsselt und dann neu verschlüsselt weiter schickt. So etwas geht glücklicherweise im Normalfall nicht. Kannst ja mal bei Google etc anfragen, ob die dir die Schlüssel zu den Zertifikaten schicken. Wenn ja könnest du das hinbekommen.
Nerd schrieb: > Oder wäre es möglich, die Zertifikate von Google, Youtube und Facebook > zu kopieren und diese auf dem eigenen Proxyserver für diese Domains zu > hinterlegen, Wenn man von NSA oder GCHQ ist, dann gibts da bestimmt Möglichkeiten. Ziemlich widersinnig wärs aber, wenn Du das könntest.
:
Bearbeitet durch User
Ok, also das Zertifikat, was normalerweise vom Webserver an den Browser gesendet wird, irgendwie zu nutzen wäre nicht möglich? Das Problem ist, dass heute immer mehr Seiten auf SSL gehen, sogar für die Trafficlastigen Sachen, und man immer weniger cachen kann. Mir würde es aber auch reichen, wenn im Proxy die SSL Verbindung terminiert wird, und Netzintern alles unverschlüsselt läuft. Hauptsache es kommt keine Warnmeldung. Ansonsten bleibt nur der Weg, anderweitig zu tricksen und schnelles Internet vorzutäuschen, bzw die Drosselung beim Provider möglichst lange hinauszuzögern. Eine Lösung wäre hier z.B. QOS, so dass nach 200 Kbyte am stück empfangenen Daten oder so eine Drossel reinhaut. Das heißt, die Seite baut zwar schnell auf, aber die Bilder werden dann im Schneckentempo nachgeladen.
Das Problem ist, dass wir ca 30 Leute mit Laptops sein werden und mein LTE Vertrag nur 5 GB im Monat zulässt. Danach ist Schneckentempo angesagt. Und mir gehts drum, gefühlt ein möglichst schnelles Internet zu gewährleisten, auch wenn die Mobilfunk Drossel reinhaut. Das ist meiner Meinung nach nur durch Caching und/oder geschicktes QOS zu erreichen. Die Browser Warnmeldung würde allerdings die Gäste verunsichern.
Lässt dein LTE Vertrag eine solche Betriebsart überhaupt zu?
Nerd schrieb: > Ok, also das Zertifikat, was normalerweise vom Webserver an den Browser > gesendet wird, irgendwie zu nutzen wäre nicht möglich? du musst dafür nur eine mail an Google & Co schreiben, mit der Bitte um den Privatekey - dann geht es. > Mir würde es aber auch reichen, wenn im Proxy die SSL Verbindung > terminiert wird, und Netzintern alles unverschlüsselt läuft. > Hauptsache es kommt keine Warnmeldung. dann könnte eventuell gehen, aber woher soll der Proxy wissen ob er https machen soll? Außerdem gibt es mittlerweile im htttp Header wo drin steht, das die Seite zwingend über https gehen soll, diese müsste man dann auch manipulieren. > Eine Lösung wäre hier z.B. QOS, so dass nach 200 Kbyte am stück > empfangenen Daten oder so eine Drossel reinhaut. Das heißt, die Seite > baut zwar schnell auf, aber die Bilder werden dann im Schneckentempo > nachgeladen. hilft aber wenig, wenn man auf einer Seite Text liest, werden die Daten im Hintergrund geladen. Was hast du überhaupt für ein Tarif? Es das kleinste bei der Telekom ist doch schon 10GB - wenn du das überschreitest, dann bestimm nicht mit Irgendwelchen Webseiten sondern mit Video und Downloads. Das sollte man eventuell mal sein verhalten ändern, statt eine technische Lösung zu suchen.
Nerd schrieb: > Das Problem ist, dass wir ca 30 Leute mit Laptops sein werden und mein > LTE Vertrag nur 5 GB im Monat zulässt. Danach ist Schneckentempo > angesagt. wenn du 5GB überschreitest, dann nicht mit ein paar Webseiten! Denn werden wohl Downloads und Videos übertragen - da hilft auch kein Cache.
Naja, ich kann mit einem Rechner, der als Proxy und Router arbeitet, die LTE Verbindung auch für andere freigeben. Allerdings wird es nach Verbrauch der 5 GB extrem langsam. Diesen Zeitpunkt gilt es hinauszuzögern, und wenn es eintritt, noch eine gute gefphlte Internetgeschwindigkeit zu erreichen. Natürlich könnte man auch knallhart hingehen, alles dicht machen ausser HTTP uns HTTPS und dann knallhart sagen, wem das mit dem Proxy samt Sicherheitswarnung im Browser nicht passt, der darf gerne sein eigenes Smartphone für den Webzugang nutzen.
Nerd schrieb: > Naja, ich kann mit einem Rechner, der als Proxy und Router arbeitet, die > LTE Verbindung auch für andere freigeben. Technisch geht das. Vertraglich auch?
Peter II schrieb: > wenn du 5GB überschreitest, dann nicht mit ein paar Webseiten! > > Denn werden wohl Downloads und Videos übertragen - da hilft auch kein > Cache. Youtube Caching habe ich. Ein paar Youtube Videos gehören zu dem Treffen allerdings auch hinzu, da die da auch Topic sind. Genauso wie einige Seiten bei Facebook natürlich dazu gehören. Grade da würde es sich lohnen, die zu cachen. Am Besten noch zuhause vorab mal aufgebrufen, damit sie im Proxy sind. Und den Rest einfach durch rabiates QOS unbenutzbar machen.
Nerd schrieb: > Youtube Caching habe ich. > > Ein paar Youtube Videos gehören zu dem Treffen allerdings auch hinzu, da > die da auch Topic sind. > > Genauso wie einige Seiten bei Facebook natürlich dazu gehören. > > Grade da würde es sich lohnen, die zu cachen. Am Besten noch zuhause > vorab mal aufgebrufen, damit sie im Proxy sind. ich kann mir nicht vorstellen, das es am ende etwas bringt. Die Wahrscheinlichkeit das die gleichen Daten von mehre Personen aufgerufen werden ist bei der menge an Video und Webseiten einfach viel zu gering. Und bei 30Leuten kann man nicht einen andere Tarif nehmen? 30GB für 50€ sollte wohl kein Problem sein.
Peter II schrieb: > Nerd schrieb: >> Youtube Caching habe ich. >> >> Ein paar Youtube Videos gehören zu dem Treffen allerdings auch hinzu, da >> die da auch Topic sind. >> >> Genauso wie einige Seiten bei Facebook natürlich dazu gehören. >> >> Grade da würde es sich lohnen, die zu cachen. Am Besten noch zuhause >> vorab mal aufgebrufen, damit sie im Proxy sind. > > ich kann mir nicht vorstellen, das es am ende etwas bringt. Die > Wahrscheinlichkeit das die gleichen Daten von mehre Personen aufgerufen > werden ist bei der menge an Video und Webseiten einfach viel zu gering. > > Und bei 30Leuten kann man nicht einen andere Tarif nehmen? 30GB für 50€ > sollte wohl kein Problem sein. Ja, wenn die Vertragslaufzeit nicht wäre. 50 GB per Prepaidstick hab ich noch nicht gesehen. Ideal wäre natürlich, das was die Leute sehen sollen, am Hauptrechner abzurufen, und die ganzen Gäste schauen es nur noch per Proxycache. Der Hauptrechner darf dann also ungedrosselt ins Netz, um die Inhalte erst mal ranzuholen, die Gäste haben alle ne starke Drosselung und können nur die Sachen im Proxy schnell abrufen. (So stark dass sinnloses Videos schauen und Downloaden quasi nicht geht/keinen Spaß macht, aber normales Websurfen schon noch, das soll ja als "Serviceleistung" mit bereit gestellt werden) Vorab alles offline verfügbar machen geht allerdings auch nur begrenzt, da viele Videos erst auf dem Treffen vorgestellt bzw in der Gruppe bekannt gemacht werden.
Hitrate eines Firmenproxies, bei deutlich mehr Mitarbeitern als hier: um die 10%, bezogen auf die Bytes. Eher wenig Videos.
Moderne Browser pinnen Zertifikate für einige wichtige Webseiten, google und co gibt also immer eine Warnung, auch wenn du die Leute dein Zertifikat importieren lässt. Im Zweifel begrenze doch einfach das Volumen pro Teilnehmer -> wenn einer dann meint Videos gucken zu müssen muss er halt den Rest der Zeit mit minimal-Bandbreite leben. Je nach Zielgruppe ließe es sich evt einrichten für Youtube-Videos etc die gebraucht werden einen Mirror einzurichten (d.h. man kann auf einer webseite eine youtube-URL einreichen, die dann gecached und lokal angeboten wird). Das hängt aber halt davon ab um was für Events es genau geht.
Youtube Mirror / FB Mirror wäre natürlich das Beste. So dass man über eine interne Webseite auf dem Hauptrechner den Download anstößt und man den Kram dann quasi Offline schaut. Fake Account bei Youtube und FB, unter dem dann nur abgerufen wird (vieles davon ist halt auch nicht ohne account zu sehen) ließe sich ja machen. Dann kann man das auch ganz anders angehen: Unser eigenes Forum sowie einige andere große Foren/Webseiten aus dem Themenbereich werden freigeschaltet, außerdem Seiten wie Bahn.de, Seiten der lokalen Verkehrsverbünde, Pizzadienst, Telefonbuch usw. Der Rest wird auf 16 Kb/s runter gedrosselt (Aber nicht hart gesperrt). 16 kbit/s könnte sogar für Facebook Messenger reichen. Aber dieses Trafficfressende Bildergeposte und geschaue über das Gemeinschaftsinternet würde dann wohl wegfallen.
Es handelt sich um ein Forentreffen / Gamertreffen von einem Broswergame bei dem ich als GM mitarbeite. Das Browsergame und das Form ansich ist als Trafficfresser kein Problem, das lassen wir für die Zeit einfach als Kopie lokal laufen, nur die Datenbank Anbindung ist dann extern auf den richtigen Server. Sicherlich werden viele auch ihren eigenen Surfstick oder Smartphone haben. Aber bei einem solchen Treffen möchte ich als Eventmanger auch ein Internetcafe und einen allgemeinen Internetzugang via WLAN anbieten.
Nerd schrieb: > Aber bei einem solchen Treffen möchte ich als Eventmanger auch ein > Internetcafe und einen allgemeinen Internetzugang via WLAN anbieten. wenn du sagst das Geld nicht das Problem ist, sondern nur die Vertragslaufzeit - was springt denn gegen mehrere Prepait karten?
Nerd schrieb: > Die Browser Warnmeldung würde allerdings die Gäste verunsichern. Das Entschlüsseln von deren privater Kommunikation (was Du ihnen übrigens vorab mitteilen müsstest) und rechtliche Implikationen des Fernmeldegeheimnisses gegen die Du Dich wahrscheinlich irgendwie mit deren schriftlicher Einwilligungen absichern müsstest) würde nicht nur Deine Gäste sondern Dich ebenfalls verunsichern. Tipp: Lass es bleiben. Reiche das Netz 1:1 durch vermeide es tunlichst Dich in die private Kommunikation Deiner Gäste einzuklinken oder gar sie zu manipulieren. Zieh Dir diesen Schuh nicht an.
Für diese Klientel würde ich dann wirklich einfach das Volumen pro Gast limitieren/ab einer gewissen Grenze drosseln.
Peter II schrieb: > Nerd schrieb: >> Aber bei einem solchen Treffen möchte ich als Eventmanger auch ein >> Internetcafe und einen allgemeinen Internetzugang via WLAN anbieten. > > wenn du sagst das Geld nicht das Problem ist, sondern nur die > Vertragslaufzeit - was springt denn gegen mehrere Prepait karten? Falls DSL verfügbar ist könnte man auch bei der Telekom nach einem Kurzzeitanschluss fragen. Wird dann sicher nicht völlig günstig und auch nicht über die normale Hotline gehen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.