von Pascal Winterhalter
Wir leiden im Internat unter diesem “Proxy” genannten Monstrum, aber man findet durchaus auch bei sich zu Hause solche Proxies.
Im Allgemeinen ist ein Proxy bloß ein Vermittler zwischen dem weltweiten Netz und dem Rechner den man bei sich zu Hause stehen hat. Von einem Proxy gibt es grob drei unterschiedliche Arten.
Zu Hause findet man einen Proxy als Teil des Netzwerkes beispielsweise der Telekom, welches man für ein monatliches Entgelt mitbenutzen darf. Dieser Proxy ist ein transparenter Proxy, er ist für den Nutzer und die aufgerufene Webseite unsichtbar. Über diesen Proxy wird der gesamte Datenverkehr geleitet, ohne dass man das beeinflussen kann. Möchte man eine Webseite aufrufen, ruft der Proxy die Webseite stellvertretend auf. Dabei lädt er die Seite in seinen Speicher, damit der Nachbar die Seite schneller geladen bekommen kann. Sinnvoll ist dies bei häufig genutzten Seiten, wie Google.
Der dedizierte Proxy funktioniert ähnlich, kann aber auch filtern. So lässt er beispielsweise keine Emails durch, sondern nur Webseiten.
Im Internat haben wir einen generischen Proxy. Dieser ist nicht transparent, wir müssen die Adresse 192.168.1.1 und den Port 3128 in unserem PC eintragen, sonst funktioniert gar nichts. Dieser Proxy verlangt eine Authentifizierung von uns und lässt auch nur Webseiten hindurch. Und hier wiederum nur Webseiten, die ropa in ihrem Content-Filter hegt und pflegt. Eben auch keine Tagesschau.
Ein Proxy an sich ist also keine sonderlich komplizierte Angelegenheit.
Wo liegen jetzt die Unterschiede zu unserem alten Proxy und warum brauchen wir einen neuen?
Die Frage nach dem neuen Proxy ist schnell geklärt: Der alte Proxy erfüllt die vorgegebenen Auflagen nicht mehr.
Ropa antwortete mir leicht gereizt in einer Email, in der mir die bahnbrechenden Neuerungen angepriesen wurden:
Das „alte“ System lieferte nicht immer die optimale Stabilität für den Zugang. Diese wird mit dem neuen System definitiv höher sein.
Das Einzige das höher ist, ist die Wartezeit.
So haben wir jetzt die Möglichkeit, das Internet mit funktionierenden Zeitprofilen zu koppeln.
In der Unter- und Mittelstufe bis 23.00 Uhr, für die Oberstufe bis 1.00 Uhr und für alle wieder ab 6.00 Uhr morgens.
Wir haben einen „großen“ redaktionell gepflegten Content Filter drin und müssten den Großteil der Seiten nicht mehr selbst pflegen.
Nicht nur die Google-Startseite ist ab und an wegen “gesperrten Inhalten” nicht erreichbar, sondern auch diverse Mailprogramme und neben vielen anderen die Homepage eines badischen Weinguts – die dafür dauerhaft. Was könnten die da wohl neben Wein noch anpreisen?!
Wir haben die Möglichkeit, den Nutzern ein Volumen zuzuordnen. Nach dessen Ablauf können wir die Geschwindigkeit massiv drosseln.
Vor diesem “massiv” habe ich jetzt schon Angst – was bleibt übrig, wenn die “Geschwindigkeit” auch noch gedrosselt wird…
Zudem können die Schüler nun ihr Kennwort selbst ändern, wenn sie dies möchten.
Unter https://192.168.1.1:4111
Des Weiteren gibt ropa zu, dass man den Tuxguard so konfigurieren könnte, dass bestimmte Ports freigeschaltet werden können. Ob man in Zukunft über Steam zocken kann bleibt abzusehen, schön wäre es allerdings schon, wenn man seinen Virenscanner aktualisieren könnte. Aber das „sollten wir zu einem späteren Zeitpunkt tun, wenn die “Startprobleme” behoben sind.“
Fazit
Im Grunde war der alte Proxy – richtig konfiguriert – ein sehr leistungsfähiger Proxy, wie er auch von Experten in Höchstleistungsnetzen wie Michinet verwendet wird. Der neue Proxy kann anscheinend auch eine feine Sache sein, nur ist er zur Zeit eher eine Zumutung.
In einer Mail vom Donnerstag meldete ropa, es herrsche eigentlich kein Geschwindigkeitsproblem. Es sei bloß so, dass der erste Schüler die gesamte Bandbreite bekam und alle, die danach erst kamen, den Rest.
Dieses Problem sei jetzt anscheinend auch behoben. Nach 10 MB an Daten wird die Geschwindigkeit des Nutzers auf 1MBIT gedrosselt. Bei einer neuen Anfrage bekommt er diese allerdings wieder neu zugestanden.
Schöner wäre allerdings ein Captive Portal System gewesen, das die Zugänge regelt wie in den Hotel-WLANs oder am Flughafen. So ein System ist zwar relativ leicht zu umgehen, aber unser neuer Proxy steht dem in nichts nach.
Es bleibt nun abzuwarten, ob man sich einen Surfstick zulegen oder gleich einen VPN-Server in der Schweiz mieten sollte. Zurück zum Alten geht es leider nicht mehr.
Bild: Pascal Winterhalter
Nunja, technisch ist diese Lösung ja nicht so ganz sauber. Dennoch möchte ich mal einen Alternativvorschlag machen, der auch gescheit funktionieren würde. An so einer Zimmerbuchse befinden sich ja wohl immer Rechner des selben Bewohners, maximal noch des Zimmernachbarn. Da könnte man jetzt natürlich auf jeden Port am Switch ein eigenes VLAN legen, damit haben sich dann auch gleich sämtliche Probleme mit rogue DHCP und IP-Konflikten erledigt. Über die VLANs kann man dann auch die Zeitbeschränkungen regeln. Authentifikationsportale kann man sich damit für die Buchsen im Zimmer sparen, das braucht man dann nur noch im Wohnzimmer (da gibt es doch auch Buchsen, wenn ich mich recht erinnere? Kann man über 802.1x authentifizieren). Man könnte auch eine gescheite WLAN-Infrastruktur ausrollen, mit Authentifikation gegen einen radius-Server (WPA2-Enterprise), dann ist das sowohl sicher als auch nachvollziehbar.
Die beschriebene Drossel überrascht mich aber am meisten, denn das ist ja eine überaus merkwürdige Idee. Das Stichwort dazu lautet QoS (Quality of Service), und das kann man deutlich geschickter lösen. Wenn Kapazität frei ist, gibt es z.B. keinen Grund, irgendwas zu beschränken. Und wenn das gesamte Internat nach wie vor an 100MBit/s hängt, dann herrscht wohl doch ein Geschwindigkeitsproblem. Bei über 200 Schülern muss man nicht hochbegabt sein, um festzustellen, dass das eng wird. Bei 16:1 Contention Ratio und einer Leistung vergleichbar zu DSL 16000 müsste das Doppelte her.
Was ist eigentlich dieses “Michinet”? Davon habe ich noch nie gehört, ist das was neues? Ein “Höchstleistungsnetz”, wie ihr das nennt, kann ich mir im Internat aber nur schwer vorstellen…
Zu meiner Zeit gab es übrigens noch sog. “freie Buchsen”, die ohne Proxy und Filter funktionierten ;)
Grüße
Lorenz