Internet achter proxy server -> omzeilen

Hi Tweakers,

Ik woon en studeer momenteel in Parijs. Ik ben vorige week verhuisd van een kleine kamer naar een studio direct op de campus van Université Paris-Sud. Bij mijn huisvesting (Emilie du Chatelet) wordt het internet geregeld door “Eminet”. Dit is een stichting die gebruik maakt van een andere stichting “Aurore”.

Waar het op neer komt is dat ze internet regelen voor studenten met gunstige tarieven. Er is overigens ook geen alternatief. Maar het kost 50 euro per schooljaar. Echter.. je moet al je MAC-adressen opgeven om toegang te krijgen tot het internet. En ze proberen om al het internet over een Proxy Server te laten lopen. Ik heb het een en ander uitgezocht, en blijkbaar is dat een vereiste van de stichting Aurore. (Over de stichting: http://194.199.165.10)


Reglement:

L’utilisation des proxys d’Aurore et de l’annuaire LDAP d’Aurore pour le DHCP et DNS interne dans les associations membres est obligatoire.

The use of Aurore proxies and LDAP directory for Aurore DHCP and DNS in internal member associations is mandatory.

LDAP: Wikipedia: Lightweight Directory Access Protocol
DHCP: Wikipedia: Dynamic Host Configuration Protocol
DNS: Wikipedia: Domain Name System


Connection diagram:

Clients <---> RESIDENCE <===> Aurore VM <===> Aurore OVH <---> net

The links in <===> are secure VPN links. MV Aurora communicates with the OVH server thanks to the ADSL lines of the BDI.

Blokkade:

Here is the list, not exhaustive, of what does not work on the network:[/b]
- BitTorrent / Azureus / eMule / eDonkey / KaZaa / LimeWire / GNUtella / iMesh / etc.
- Some online games. It must be reported so that they are added to white list.
- The upload on internet files over 50MB

SSH:

You also have the ability to access to machines located outside the network. A bouncer SSH is installed on the server machine proxy Dawn, which will relay your SSH connection. To use, the method is as follows:

Connect with your SSH client to “proxy” with login as “aurore”.
Give as password “xxxxx”.
Enter the name of the host to achieve.
Enter the remote connection login.
You are now connected through the proxy, on the remote machine (though of course you have correctly filled in the name); share your password and you are connected as if the connection was direct!

(dit lijkt overigens niet te werken en na 5 wachtwoord pogingen word m’n connectie geweigerd)


Als ik het goed begrijp:
Er wordt gebruik gemaakt van Web Proxy Autodiscovery Protocol. Hierdoor vinden je devices een wpad.dat bestand waarin een check wordt gedaan op de URL. Als de URL niet whitelisted is dan wordt er gebruik gemaakt van een Proxy.

In ieder geval zijn Torrents geblokkeerd, een aantal online games, en het uploaden van bestanden groter dan 50MB. Maar dat is dus niet de volledige lijst. Volgens mij is UDP en TCP in zijn geheel geblokkeerd.

Ik heb het wpad.dat dat ze gebruiken gevonden en wat ze toestaan:

• 172.16.0.0 t/m 255.240.0.0
• 192.168.0.0 t/m 255.255.0.0
• 10.0.0.0 t/m 255.0.0.0
• Heleboel subdomeinen van u-psud.fr
• isPlainHostName(host)
• 127.0.0.1

Al met al vind ik het shady dat alles over hun Proxy Server verloopt en dat ze ook weten welk request bij welk apparaat hoort.

Ik ben niet van plan gekke dingen te doen, maar als ik artikels zoals deze lees word ik niet heel vrolijk van internet situatie. Verder is o.a. Spotify, FTP, Skype, WhatsApp calls en nog meer geblokkeerd. Deze heb ik alle vier eigenlijk nodig tijdens het developen.. Ik heb Spotify en FTP werkend gekregen door de Proxy Server uit de wpad.dat te gebruiken in FileZilla en Spotify.. Maar wat voor consequenties heeft dit verder?


Er is ook alleen een bedrade internet aansluiting. Wat ik tot nu toe heb gedaan is mijn eigen WiFi netwerk opzetten met een eigen router. Was een heel gedoe maar uiteindelijk heb ik het nu werkend.

Om een lang verhaal te beëindigen: kan ik de proxy server omzeilen? Kan dit met een VPN? Of een Raspberry Pi 3 als WiFi access point opzetten b.v.?

le-vpn.com en bestvpn.com worden ook geblokkeerd door de proxy server Als ik het zo op internet lees dan zou een VPN de oplossing zijn? Waar moet ik op letten? Wat raden jullie aan?

spone schreef op zondag 09 oktober 2016 @ 22:44:
Mogelijk kan je ergens buiten de proxy-omgeving (lees: thuis of als een vps ergens) een OpenVPN server neerzetten die zich gedraagt als een webserver (dus openvpn op tcp/443). Ik neem tenminste aan dat je wel HTTPS pagina's kan bezoeken?

Maar... als je het nodig hebt om je studie fatsoenlijk te kunnen doen (en het verzoek dus gerechtvaardigd is), waarom hop je dan niet even langs bij de servicedesk op campus en leg je het probleem voor. Misschien hebben ze al vaker dit soort verzoeken gehad en kunnen ze je een manier vertellen hoe er in deze specifieke netwerksetup mee om te gaan?

Ja ik kan wel https pagina's bezoeken (o.a. Tweakers gewoon over https). Wat ik niet snap is dat b.v. Dumpert en http://sli.mg/ geblokkeerd zijn.

Ik ga zeker even langs bij de servicedesk. Al bestaat de servicedesk uit een aantal studenten die "Eminet" runnen en het internet in het beheer hebben.

De studenten die hier wonen volgen allemaal een technische opleiding, dus ik vind het erg gek dat ze o.a. FTP blokkeren.

Maar ik wil eerst even mijn opties evalueren voordat ik (weer) naar ze toe ga. Vandaar dit topic.

[Roland] schreef op zondag 09 oktober 2016 @ 22:55:
De adressen in het wpad.dat zijn de adressen die uitgezonderd worden, die worden dus niet geproxied. Zijn ook allemaal prive adressen. Alles wat daar niet in staat (ongeveer het hele internet dus) gaat door de proxy.

Een VPN zal wellicht werken, beetje afhankelijk van de firewall en hoe DNS is ingericht (filtering op DNS).
Zoveel is er niet mis met proxy hoor, bijkans elke organisatie of school in NL doet dit ook. Alleen zal vaak een transparante proxy worden gebruikt zodat je het niet merkt. Proxy zal ook niet voorkomen dat je geen torrents kunt gebruiken, dat is een firewall die dat verkeer blokt.

Voor ongeveer elke proxy geld ook dat https verkeer lastig te controleren is, vandaar dat een proxy op poort 443 (zoals hierboven gemeld) wel zal werken mits de IP niet geblokt word in de firewall.
Je bent vast niet de eerste die de beveiliging probeert te omzeilen dus er zal vast wel het één en ander tegen gehouden worden.

Met trial en error kun je een eind komen.

Ja, dat bedoelde ik ook in mijn post. Alleen een aantal lokale websites kan je direct bereiken zonder dat het door de proxy gaat.

En ik ben vast niet de enige, zoals ik hierboven ook schreef; de meeste studenten volgen hier een opleiding in de informatica hoek. Echter zijn de meeste studenten hier Frans en hun Engels valt tegen. (en ik heb gemerkt dat Fransen gewoon liever niet Engels praten ook al kunnen ze het echt wel beter dan ze soms voordoen).


--

Ik heb nog wel een lege VPS waar ik OpenVPN op zou kunnen draaien. Ik zal er eens mee experimenteren.