Proxy Server sinnvoll?

    Gestern habe ich den Proxy Server eingerichtet, damit die Performance im Internet vielleicht doch etwas gesteigert wird.


    Nun habe ich gelesen, dass https:// Inhalte nicht gecached werden, was ja auch sinnvoll ist.


    Chrome geht jedoch immer auf https:// Inhalte, soweit verfügbar.


    Nun meine Frage, gibt dann der Einsatz eines Proxy überhaupt Sinn?


    Gruß Markus

    Was erhoffst du dir davon?


    Mehr Sicherheit?

    Dann musst du ein Man in the Middel einsetzen, der Proxy muss die Seite für dich aufrufen, in alles was übertragen wird reinschauen und das weiter leiten, wieder per TLS jedoch mit seinem eigenem Zertifikat.


    Kannst relativ einfach @home haben, mit einer Sophos UTM, jedoch hast du auch hier immer wieder Seiten die dann nicht funktionieren werden. Dann musst du den Fehler suchen und beheben.


    Wirst also zum Proxy Sitter.

    Machen zwei Kollegen von mir, die haben jeden Tag mindestens ein Ticket deswegen.



    Caching, wird auch nicht mehr so einfach, da viele Seiten dynamische Inhalte einsetzten, die kannst dann schlecht im Cache vorhalten.


    Performance bekommst du, wenn du über DNS Block, Werbung und anderen unerwünschten Scheiß aus dem Internet aussiebst.

    Dann laden die Seiten zum Teil in einem Bruchteil der Zeit.

    Zitat von MarGol

    Nun habe ich gelesen, dass https:// Inhalte nicht gecached werden, was ja auch sinnvoll ist.

    Ich persönlich kenne nur Squid als Proxy, der kann auch https zwischenspeichern.

    Auf meiner pfSense hatte ich versuchsweise Squid installiert und genutzt.

    Das brachte aber wenig, da ja oft die Seiten dynamisch sind, das war früher anders.

    Einzig bei Programmupdates bringt das Geschwindigkeit.

    Es kommt aber darauf an wie die Anbindung zum WAN ist und wie viele Leute den Zugang gleichzeitig nutzen.

    Ich habe es wieder deinstalliert.

    Danke!

    Warum überhaupt Proxy?


    Weil ich den QVPN eingerichtet habe mit einem VPN-Zugang in Deutschland mittels surfshark.com.

    Also nur einen VPN-Client auf dem NAS eingerichtet, keinen VPN-Server und als zusätzliches Gateway im Netz definiert.


    Nachrichtensendungen oder Videobeiträge auf zum Beispiel welt.de, wo ich ein Welt+ Abo habe, sind in Teilen geogeblockt, das heißt "in Ihrem Land leider, leider, leider nicht verfügbar. "

    Und von diesen Punkten gibt es noch einige.


    Letztes Jahr habe ich das auf den Notebooks eingerichtet, was auch doof war und nun auf dem NAS, was mir besser gefällt.


    Dann sehe ich, ahhh, Proxy gibt´s ja auch, wäre doch nett, wenn Teile zwischengespeichert würden. Das macht es dann schneller.


    Jetzt habt Ihr mir noch einmal gesagt, was ja eigentlich klar ist, dynamische Seiten gibt es viele.

    Und eigentlich lohnt es sich hier nicht.


    Also schaue ich mir das noch ein paar Tage an und werde es dann wieder deinstallieren.


    Danke für Euer Feedback!


    Gruß Markus

    Lässt sich der VPN Zugang nicht über eine kleine Firewall nutzen, dann kannst auch auch policy bases Routing einsetzen. Also nur gewisse Inhalte durch den VPN Tunnel jagen und den Rest nicht.

    Hi Crazyhorse ,


    pardon, habe falsch rumgelabert, ich habe keinen VPN-Server auf dem NAS eingerichtet, dann stünde das Teil ja über VPN abgesichert, jedoch zugänglich im Internet.


    Ne, ich habe nur einen VPN-Client auf dem NAS eingerichtet und in MEINEM Netz als Gateway für die Notebooks bereitgestellt.

    Dann kann ich mit deutscher IP im Internet surfen.


    Fälschlicherweise habe ich das "VPN-Zugang in Deutschland" genannt. (Weil es nun mein Zugang zum Internet mit deutscher IP ist.)

    Es ist aber ein VPN Client, also ein ausschließlich ausgehender Verkehr.


    Ich hätte zwar auch noch einen Raspi 4 rumliegen, könnte man den draufmachen, gibt aber keinen Sinn, weil, wenn ich die deutsche IP nutzen will, am Abend, ist das NAS auch aktiv, dann kann ich es einfacher mittels QVPN.


    Oder sehe ich was falsch?


    Gruß Markus

    Einmal editiert, zuletzt von MarGol ()

    Hatte dich schon verstanden.


    Wenn du das nur über das NAS laufen lassen willst, kann man machen.


    Das NAS ausgehend durch einen VPN Provider zu jagen, da fallen mir nicht so viele Einsatzzwecke für ein.

    Ja du kannst durch das GW steuern wer jetzt wo hin läuft.

    Bin da aber eher ein Freund eines zentralen Knotens.

    Dann muss ich bei Problemen auch nur hier suchen.

    Außerdem sind die Möglichkeiten mit einer Sense gigantisch.

    Einsatzzwecke gibt es schon. Zwar keine lebenswichtigen, aber für mich schon interessant.


    Bestimmte Anbieter verkaufen nicht an ausländische IP-Adressen, wg. der Notwendigkeit, dann die MwSt. auch an das Land zu erklären, wo die Bestellung herkam. Nachrichten bei welt.de, wo ich ein Abo habe, sind zum Teil geoblocking ausgesetzt.


    Und dann muss man sagen, 50 EUR für 2 Jahre VPN ist für mein Budget ok.


    Läuft bei Dir pfsense auf dem NAS?

    Kannte ich vor 2 Stunden noch nicht, klingt aber interessant, was ich in der Zeit las.


    Wenn es eine Firewall ist, sollte diese evtl. nicht auf dem NAS laufen, wenn das NAS nicht im Internet erreichbar ist, oder?


    Ich hätte da noch einen Raspi 4 mit 8 GB, der sich in einer Schublade rumlümmelt, auf dem läuft pfsense aber nicht, oder?

    Die Testinstallation ist auf dem NAS als VM.


    Die produktive läuft auf einer Netgate Appliance.

    ARM kann pfSense auch, aber nur auf der eigenen Netgate Hardware wird das unterstützt.


    Für die freie brauchst dann halt x86/x64 Hardware und am besten Intel NICs.

    Crazyhorse ,


    dann probiere ich doch mal pfsense.


    ich habe es wieder getan...

    ...mich vom NAS ausgeschlossen


    pfsense runtergeladen, in die VM importiert, nach Anleitung virtuellen Switch angelegt und dann war die Verbindung fott.


    Runterfahren ging nicht, also habe ich der USV gesagt, sie möge mal einen Testalarm machen und die Geräte zum herunterfahren "anregen".

    Brachte aber auch nichts. Nach dem erneuten Start hatte ich wieder die gleiche Situation, also... dunkler Bildschirm.


    Dann 3 Sekunden resetknopf und dann ging es weiter.

    Der Virtuelle Switch bekommt ja dann die IP vom Adapter, aber das klappt scheinbar nicht immer.


    Würde für so was raten auf DHCP zu stellen, dann bekommt die Kiste halt noch irgend eine IP.


    Mit dem Qfinder kannst du die Kiste teilweise, im gleichen L2 Netz, finden und ggf. mit einer andere IP konfigurieren.


    3 Sekunden Reset, also Admin Kennwort + Netzwerkeinstellungen weg.

    Gibt schlimmeres.


    Lege dir doch erst sauber den vSwitch an, bevor du die VM auf diesen aufsetzt.

    Hi Crazyhorse ,


    wenn man die Fakten wirken lässt, kommt manchmal was dabei heraus:


    Wenn ich einen Zugang von außen brauche, würde ich eine Appliance nutzen. Welche Netgate hast Du denn im Einsatz?


    Ja, das Thema vSwitch gehe ich gerade auch etwas systematischer an. Es fehlt halt noch "verfahrenssicherheit". Was soviel heißt, dass ich mir das Thema noch erarbeite, aber ich habe Zeit.

    SG-1100 bei meinen Eltern und hier im Rack ekn SG-3100.

    Die SG-2100 gab es damals noch nicht, die hat jetzt ein Kollege, die ist bis 500MBit Internet ideal. Weil mit dem großem RAM und der Möglichkeit eine M.2 SSD nach zu rüsten sehe viel Platz für Pakete, Blocklisten usw. vorhanden ist.

    Crazyhorse , mercí.


    Und zu welchem Resultat bin ich gekommen?


    Erst einmal habe ich die VM mit pfsense ans Laufen gebracht, das war der erste Schritt.


    Und heute habe ich ein SG-2100 bestellt. Das war der zweite Schritt.

    (Und getrennt davon ein bisschen was zu lesen als ebooks.)


    Gibt es auch deutsche Literatur zu pfsense?


    Gruß Markus

    Auf Administrator.de gibts teilweise was, oft aber veraltet.


    Ist halt eine US Firma und bei IT sollte man gewisses Zeugs besser im Original lesen.

    Die Übersetzungen sind manchmal ein wenig unklar.


    Das 2100er ist echt schick, ein managed Switch ist gleich mit drin.


    Habe hier jetzt die neue Version 21.02.2 sauber am laufen. Vor allem der Hardware crypto Support ist da direkt drin, lasse dich nicht täuschen wenn da inactive steht.


    Mein SG-1100 rennt bei 50MBit mit AES CBC 256 Bit wie bei der 2.4.5p1 mit 128Bit mit ca. 40% Last.

    Mit der 21.02 kommt auch der Support für AES GCM in Hardware.

    Das schon sehr nice für so ein low Power Teil, was nen Bruchteil dessen verbraucht was eine AVM Kiste aus der Steckdose zieht.