暗号化のみのプロキシサーバーを設定するにはどうすればいいですか? *

Question 1

pjz さんの意見に同意します。VPN を探しているようですね。

OpenVPN は、VPN を始めるのに費用がかからない優れた方法です。安定しており、実稼働での使用にも対応していますが、最終的に使用しなくても、VPN に慣れるための優れたツールです。静的キーを使用して設定するのは非常に簡単です (試用用)。証明書を使用して設定するのは、(実稼働用) ほんの少し難しいだけです。

静的- 静的キーのミニ HOWTO。セキュリティ上は推奨されませんが、シンプルな PKI に進む前に OpenVPN がどのように動作するかを把握するのに最適な方法です。
参考文献

質問の中で「インターネットトラフィック」とおっしゃっていますが、それが単に Web サイトの閲覧を意味するのか、文字通りインターネットへのすべての IP トラフィックを意味するのかは不明です。OpenVPN では、クライアントに「デフォルトゲートウェイ」ルートを渡すことができ、インターネットへのトラフィックは OpenVPN「パイプ」を経由してサーバーにルーティングされ、そこからインターネットに送信されます。

HTTP/HTTPS のみを OpenVPN 経由でルーティングしたい場合 (つまり、PING や Skype の実行などを行った場合、そのトラフィックは直接インターネットに送られる)、Squid Cache のようなものも導入することを検討し、そのプロキシサーバーを使用するようにクライアントブラウザーを構成して、プロキシへのトラフィックが OpenVPN の「パイプ」経由でのみルーティングされるようにします (つまり、プロキシを VPN アクセス可能な IP アドレスに配置し、クライアントのデフォルトゲートウェイはそのままにします)。(「push “dhcp-option 252 ...”」を実行して、プロキシ自動構成 URL を OpenVPN 経由でクライアントにプッシュすることもできると思います。)

何をしたいかに応じて、いくつかのオプションがあります。

イントラネットサイトへのアクセスに関するpjzへのコメントについて

何らかの形で、この件について「代償を払わなければならない」ことになるでしょう。

デフォルトゲートウェイの変更を介して、インターネットへのすべてのトラフィックを VPN にルーティングしているだけの場合、そのサブネット上の Web サーバーへのトラフィックは依然として「直接」送信されます。ただし、イントラネット Web サーバーが別のサブネット上にある場合、そのサブネットへのトラフィックは、オンサイトルーターではなく OpenVPN パイプに送信されます。これは好ましくありません。

上記の私の提案に従って、OpenVPN (または他の手段) 経由でプロキシ自動構成スクリプトをクライアントにプッシュダウンした場合、そのファイルに「例外」を追加して、クライアントが「直接」アクセスするようにすることができます。私は通常、プロキシ自動構成ファイルで次のように実行します。

if ( isPlainHostName(host) ) { return "DIRECT"; }

これにより、ドットを含まないホスト名に直接アクセスできるようになります。

直接アクセスする必要がある特定のホスト (またはワイルドカード一致パターン) がわかっている場合:

if ( shExpMatch(url,"http://*.customer.com")) { return "DIRECT"; }
if ( shExpMatch(url,"http://known-intranet-server.customer.com")) { return "DIRECT"; }

ユーザーがどこで作業するかがわかっている場合は、事前に proxy-autoconfiguraiion ファイルに例外を追加できます。ただし、そうでない場合は、そのような問題に事後対応する必要があります。ただし、事前にわからない場合は、自動的に「正しいことを行う」ソリューションを求めていることになります。残念ながら、コンピューターはそれをうまく処理できません。>smile<

何をデプロイするにしても、プロキシ自動構成ファイルを使用するために余分な時間をかけることをお勧めします。これにより、HTTP トラフィックをプロキシサーバーに転送するか、インターネットに直接送信するかを制御するための集中管理された方法 (クライアントコンピューターに触れることなく「オンザフライ」で更新可能) が提供されます。この種類のアプリケーションでは、プロキシ自動構成ファイルは驚くほど便利です。

Answer

pjz さんの意見に同意します。VPN を探しているようですね。

OpenVPN は、VPN を始めるのに費用がかからない優れた方法です。安定しており、実稼働での使用にも対応していますが、最終的に使用しなくても、VPN に慣れるための優れたツールです。静的キーを使用して設定するのは非常に簡単です (試用用)。証明書を使用して設定するのは、(実稼働用) ほんの少し難しいだけです。

静的- 静的キーのミニ HOWTO。セキュリティ上は推奨されませんが、シンプルな PKI に進む前に OpenVPN がどのように動作するかを把握するのに最適な方法です。
参考文献

質問の中で「インターネットトラフィック」とおっしゃっていますが、それが単に Web サイトの閲覧を意味するのか、文字通りインターネットへのすべての IP トラフィックを意味するのかは不明です。OpenVPN では、クライアントに「デフォルトゲートウェイ」ルートを渡すことができ、インターネットへのトラフィックは OpenVPN「パイプ」を経由してサーバーにルーティングされ、そこからインターネットに送信されます。

HTTP/HTTPS のみを OpenVPN 経由でルーティングしたい場合 (つまり、PING や Skype の実行などを行った場合、そのトラフィックは直接インターネットに送られる)、Squid Cache のようなものも導入することを検討し、そのプロキシサーバーを使用するようにクライアントブラウザーを構成して、プロキシへのトラフィックが OpenVPN の「パイプ」経由でのみルーティングされるようにします (つまり、プロキシを VPN アクセス可能な IP アドレスに配置し、クライアントのデフォルトゲートウェイはそのままにします)。(「push “dhcp-option 252 ...”」を実行して、プロキシ自動構成 URL を OpenVPN 経由でクライアントにプッシュすることもできると思います。)

何をしたいかに応じて、いくつかのオプションがあります。

イントラネットサイトへのアクセスに関するpjzへのコメントについて

何らかの形で、この件について「代償を払わなければならない」ことになるでしょう。

デフォルトゲートウェイの変更を介して、インターネットへのすべてのトラフィックを VPN にルーティングしているだけの場合、そのサブネット上の Web サーバーへのトラフィックは依然として「直接」送信されます。ただし、イントラネット Web サーバーが別のサブネット上にある場合、そのサブネットへのトラフィックは、オンサイトルーターではなく OpenVPN パイプに送信されます。これは好ましくありません。

上記の私の提案に従って、OpenVPN (または他の手段) 経由でプロキシ自動構成スクリプトをクライアントにプッシュダウンした場合、そのファイルに「例外」を追加して、クライアントが「直接」アクセスするようにすることができます。私は通常、プロキシ自動構成ファイルで次のように実行します。

if ( isPlainHostName(host) ) { return "DIRECT"; }

これにより、ドットを含まないホスト名に直接アクセスできるようになります。

直接アクセスする必要がある特定のホスト (またはワイルドカード一致パターン) がわかっている場合:

if ( shExpMatch(url,"http://*.customer.com")) { return "DIRECT"; }
if ( shExpMatch(url,"http://known-intranet-server.customer.com")) { return "DIRECT"; }

ユーザーがどこで作業するかがわかっている場合は、事前に proxy-autoconfiguraiion ファイルに例外を追加できます。ただし、そうでない場合は、そのような問題に事後対応する必要があります。ただし、事前にわからない場合は、自動的に「正しいことを行う」ソリューションを求めていることになります。残念ながら、コンピューターはそれをうまく処理できません。>smile<

何をデプロイするにしても、プロキシ自動構成ファイルを使用するために余分な時間をかけることをお勧めします。これにより、HTTP トラフィックをプロキシサーバーに転送するか、インターネットに直接送信するかを制御するための集中管理された方法 (クライアントコンピューターに触れることなく「オンザフライ」で更新可能) が提供されます。この種類のアプリケーションでは、プロキシ自動構成ファイルは驚くほど便利です。

Question 2

プロキシサーバーよりも VPN が必要なようですね。少なくとも、必要なことは、すべてのラップトップが接続する VPN サーバーで最も簡単に実現できます。プロキシサーバーは (一部の特定のアプリケーションサーバーを除いて) クライアントとプロキシサーバー自体の間のトラフィックを暗号化しませんが、それが VPN サーバーの存在意義です。

VPNサーバー自体に関しては、私はうまく運用してきましたオープンVPNLinux、Windows、Mac クライアント付き。

Answer

プロキシサーバーよりも VPN が必要なようですね。少なくとも、必要なことは、すべてのラップトップが接続する VPN サーバーで最も簡単に実現できます。プロキシサーバーは (一部の特定のアプリケーションサーバーを除いて) クライアントとプロキシサーバー自体の間のトラフィックを暗号化しませんが、それが VPN サーバーの存在意義です。

VPNサーバー自体に関しては、私はうまく運用してきましたオープンVPNLinux、Windows、Mac クライアント付き。

Question 3

「会社のラップトップのインターネットトラフィックをすべて暗号化し、この単一のサーバー経由でルーティングしたいと考えています。」

「接続の主なユーザーはブラウザになりますが、IM や電子メールクライアントもサポートされると便利です。」

あなたが説明したサービスと機能は VPN ですが、VPN をネットワークレベルのサービスを提供するネットワークハードウェアと考え、「サーバー」とは呼ばない人もいます。

すべてのトラフィックをネットワークレベルで保護し、単一のサービス提供ホストにリダイレクトすることになるため、VPN が最適な方法です。

VPN は、そのネットワークがパブリックネットワークへのアクセスを許可している限り (VPN ホストの IP アドレスへのアクセスをブロックしていない限り)、企業のサイトにアクセスしたときにプライベート企業ネットワークでも機能します。

唯一の制限は、ほとんどの VPN クライアントソフトウェアが「オールオアナッシング」であり、システムからのすべてのトラフィックをラップすることです (基本的に、他のユーザーのローカルネットワークサービスを信頼しません)。ローカルネットワークと自分のネットワークで作業する必要がある場合、最新かつ簡単な回避策は、小さな仮想化システム (VMWare など) で VPN 接続を実行し、メイン/ホスト OS でローカルアクセスに通常どおりアクセスすることです。

(Web)プロキシについて:

昔は、アプリケーションプロキシにはいくつかの種類がありましたが、インターネットでは「プロキシ」は「Web プロキシ」として一般的に使用されるようになりました。これらのプロキシは、暗号化を使用することはできますが、通常は使用しません。ただし、これらは「Web/インターネット」に重点が置かれており、通常は HTTP、HTTPS、FTP、および Gopher をプロキシします。電子メールや IM は実行できません。

Answer