Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.
Merkwürdiges WLAN phänomen
Jeder der seinen laptop in der uni nutzen will, kennt das problem mit der wlan authentifizierung, die schonmal 10 minuten dauern kann weil der server einfach keine anmeldeseite liefert oder auf die anforderung nicht reagiert.
ich habe gerade ein bild (preisverlauf einer kamera die ich mirkaufen will) als startseite und dabei festgestellt, daß sich bilder aus dem internet laden lassen, bevor man sich authentifiziert hat. bei größeren bildern geht das nur teilen, dh man muss öfters refreshen, bis sich das bild komplett in den cache des browsers geladen hat. da stellt sich doch die frage: warum lassen sich bilder anzeigen, web-seiten dagegen nicht? beides sind doch ein http-get request (unterschied text-mode/bin-mode?) und wie liesse sich das ausnutzen, wenn man nicht stunden auf die auth. warten will? vielleicht kann man durch einen trick einen proxy aufsetzen, der web-seiten als bilder verpackt die der browser aber trotzdem erkennt, oder ein tool schreiben, daß diese wieder entpackt? vielleicht ssh über http bin mode tunneln?
discuss.
Klingt jetzt “neuklug”, ich weiß, ist aber nicht so gemeint: Bist du dir sicher, dass das Bild nicht im Browsercache ist?!
Mir ist auch schon aufgefallen, dass die eBay-Seite (“Mein eBay”, wenn direkt gebookmarkt), teilweise “durchkommt”. Zumindestens zeigt der Browser dann die Headline an. Habs aber nie genauer angeschaut, auch den Browsercache nicht geleert.
Das WLAN funzt schonmal gar nicht, wenn du eine 196.xxx.xxx.xxx-er IP bekommst. Du musst eine 10.x.x.xxx-er haben. Aber auch dann geht der Anmeldeserver nicht. DoS-Attacken? Halte ich garnicht mal für unmöglich!
ich bin mir absolut sicher.
wir haben urls ausprobiert, dioe ich mit sicherheit nicht im cache hatte.
und wie will man sonst das aufbauen eines bildes erklären mit mehrmaligen refreshes, außer daß der browser immer einen kleinen teil downloaden kann und ihn an die datei anhängt
Jo, mit dem browsercache hat das nichts zu tun. Haben ja auch die Pakete mal angeschaut die gesendet werden. Sind immer so 1514 bytes max, und wenn du erneut anfordert kommt der nächste Teil des Bildes
Der Nomadix macht so einiges, was nicht dem Standard entspricht. Ich vermute der analysiert nur die durchgehenden Pakete bzw. eine Auswahl davon und manipuliert diese in der Art, dass eben normale html Seiten mit dem Anmeldeformular ersetzt werden und ansonsten die Verbindung beendet wird. Scheinbar ist das live analysieren zu langsam.
Am Anfang gab es eine konzeptionell gute Loesung mit IPsec, die jedoch recht kompliziert einzurichten war.
Ich frag mich, ob das so tragisch waer, das gedrosselt aufzumachen und eine darauf basierende VPN Loesung zu machen. Mag sein, dass sich da jemand auf Kosten der Uni Daten runterlaed ohne Student zu sein, aber ds sind doch vermutlich Einzelfaelle.
Laut RRZE ist der Anmeldeserver derzeit völlig überlastet, wegen Netzwerk-Traffic. Die suchen derzeit noch die Ursache. Mir wurde das Argument entgegen gehalten, dass so ein 11Mbit-WLAN schnell dicht ist, wenn da ein paar Leute was runterladen. Aber meistens seh ich da niemanden in der Nähe des AP sitzen und trotzdem geht’s fast nie. Keine Ahnung, was da in dem Netzwerk los ist. Wie in diesem Thread besprochen, fänd ich eine IPSec-VPN-Lösung (ohne vorherige Anmeldung, um überhaupt den VPN-Server erreichen zu können) praktisch - Verschlüsselung inklusive.
Das das Wlan überlastet ist, ist völliger humbug, weil du ja problemlos auf die RRZE-Seiten zugreifen kannst. (Für die brauchst du kein Login). IMHO haben die Scheiße gebaut, keine Zeit und Lust sich drum zu kümmern, weil das Wlan ja eh nur von Studenten benutzt wird die Gameserver betreiben wollen.
Ihr könnt aber während ihr darauf wartet mal bis zum USG durchzukommen eine Störungsmeldung aufgeben. Wenn sich die anhäufen tut sich ja evtl mal was.
Oder ihr schreibt einfach mal eine mail an wlan@rrze.de
Hab da ja auch mal ne Mail hingeschrieben und hab folgende ironische Antwort bekommen:
[quote]> Ach ja: Nachdem das USG-Login ja leider zur Zeit sehr überlastet ist:
Wäre es vielleicht möglich den Zugriff auf die VPN-Server auch ohne den
USG-Longin zu gewähren. Dort findet ja eine eindeutige Authentifizierung
statt.
Ja. Das ist die Idee. Direkter Zugang auf die VPN-Server des RRZE und
der Informatik. [/quote]
Hi,
nein, ich glaub nicht, dass das ironisch gemeint war. Das Rechenzentrum arbeitet momentan einer neuen WLAN Loesung.
Wie erfolgreich das wird werden wir sehen.
mfg
Raptor
Das stimmt so nicht ganz. Das ist eigentlich sehr einfach. Du schaust ob die IP freigeschlatet ist. Dies ist mit iptables/ipchains sehr einfach. Pakete von IPs die nicht freigeschaltet sind und auf port 80 verbinden leitest du auf einen lokalen daemon weiter, der die Anfrage umformt und dich über ein http-forward an den Login-daemon weiterleitet (Stichwort transparenter Proxy). Sobald du da angemeldet bist wird deine IP freigeschaltet.
Ob es genau so funktioniert weiß ich nicht, aber es gibt vieles was darauf hinweist. War aber bisher zu faul das zu verifizieren.
Zwei sachen lassen mich darauf schließen, dass es nur Ironie sein kann: Der Rest der Mail und die Tatsache, dass man da auch hätte selber drauf kommen können und es nicht geschehen ist.
Ich glaube, dass einzelne sicher daran interessiert sind eine ordentliche Lösung auf die Beine zu stellen, aber bevor es das VPN gab hab ich mal zwei Stunden im RRZE verbracht und bin von a nach b getiegert um herauszufinden ob es eine Möglichkeit für meine Mutter gibt von Daheim auf die verschiedenen Journale zuzugreifen - da wird man über die IP authentifiziert. Ich hab jede Menge inkompetente Vorschläge bekommen. Die Besten waren noch, sie soll sich per Modem oder ISDN über die RRZE Wahlkaskaden einwählen und sie soll sich einen Login für die Journale kaufen (und der Uni in Rechnung stellen :vogel: ). Auf meine Frage warum man dann nich einfach eine Autentifizierung über den Proxy machen könnte kamen nur unqualifizierte Antworten von wegen sicherheit und so’n unfug. Und Hintertüren gibt es natürlich keine. Habs dann letztendlich über eine der vielen Hintertüren gelöst. 
Auf meine Reise durchs RRZE bin ich aber auch einem frustriertem Mitarbeiter begegnet, der mir erzählt hat, dass er mich versteht, dass er es ähnlich sieht, aber leider gewisse wichtigere Leute, eine VPN-Lösung für überflüssig halten. Unter anderem mit dem Grund, dass das VPN viel zu kompliziert sei und es ja denen gegenüber unfair wäre die nicht in der lage sind das ordentlich zu konfigurieren und all so’n scheiß.
Ne tut mir leid. Das Webteam sind bis jetzt die einzigen mit denen ich eine halbwegs Positive erfahrung gemacht hab:
-Das Mailteam hat schlicht ignoriert, dass die Last der Server steigt - bis es zum Zusammenbruch kam. Und auf telefonische Nachfrage, was los ist, bekommt man die Antwort, dass man schneller arbeiten könnte, wenn niemand anrufen würde. (IMO würde da keiner anrufen wenn sie ordentlich arbeiten würden und wenn keiner Anruft arbeiten die auch nicht.)
- Das Wlan funktioniert auch nicht richtig. Es gibt genug andere Unis bei denen das mit mehr Studenten einwandfrei funktioniert. Es gibt im Netz scripte, die für QoS so umsetzten, dass vielsauger automatisch gedrosselt werden. (Wird auch an Unis eingesetzt) (Der DHCP läuft ja zur Zeit ausnahmsweise mal stabil.)
- Mit den Novell-Jungs hat ich auch ein recht frustierendes Gespräch
- Das OpenVPN funktioniert im auch besser als das Offizielle…
…was soll man da noch sagen…
P.s: Hab mir gedacht ich probiers mal aus und hab versucht die Mail ersthaft zu beantworten und dann kommt sowas zurück:
[quote]
…war ja ne mail von nem nervigen Studenten, der der Meinung war, dass irgendwas nicht ganz optimal ist…