Karl Heinz: Feste IP Adressen

Hallo,

ich habe eine Frage bezogen auf feste IP Adressen.

Muss man da immer einen ganzen Adressbereich beantragen der alle 256 IPs (.0 bis . 255) abdeckt oder kann man auch nur eine konkrete IP beantragen.

Zum Hintergrund:

In Google Analytics (ich weiß Ihr lehnt das System ab, soll aber nicht Thema der Diskussion sein) gibt es die Möglichkeit IP-Adressen vom Tracking auszuschließen. Somit kann man dann Zugriffe der eigenen Mitarbeiter (wenn denn eine fest IP verwendet wird) ausschließen. So wie ich das sehe kann dieses Ausschließen aber nur für einen ganzen Adressbereich von .0 - .255 funktionieren, weil eine IP-Adresse in Deutschland ja zuvor anonymisiert werden muss, bevor diese an das Google Analytics-System übertragen wird. Anonymisiert bedeutet, dass die letzten drei Ziffern die IP unkenntlich gemacht werden. Wenn die letzten drei Ziffern unkenntlich gemacht werden kann ich nur noch einen kompletten Adressbereich (der u.U. von mehreren Unternehmen verwendet wird) ausschließen und keine konkrete IP mehr. Ist das richtig gedacht?

Viele Grüße

--
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."

akzeptierte Antworten

  1. Hallo Karl,

    Muss man da immer einen ganzen Adressbereich beantragen der alle 256 IPs (.0 bis . 255) abdeckt oder kann man auch nur eine konkrete IP beantragen.

    Kommt drauf an. Für deinen Internet-Anschluss in der Firma/zu Hause? Da kannst du auch nur eine feste IP beantragen, das musst du bei deinem Provider tun.

    Für einen Server? Da musst du idR mindestens 4 beantragen: du benötigst eine Adresse für das Netzwerk, eine Adresse für den Router, eine Broadcast-Adresse und die IP selber. Es gibt aber auch Massen-Hoster, die dir einzelne IPs vermieten, die haben dann ein größeres Netzwerk-Segment gekauft und vermieten dir einzelne IPs daraus, dafür musst du aber in deren Netzwerk eingebunden sein, z.B. weil du einen Server bei denen gemietet hast.

    In Google Analytics (ich weiß Ihr lehnt das System ab, soll aber nicht Thema der Diskussion sein) gibt es die Möglichkeit IP-Adressen vom Tracking auszuschließen. Somit kann man dann Zugriffe der eigenen Mitarbeiter (wenn denn eine fest IP verwendet wird) ausschließen. So wie ich das sehe kann dieses Ausschließen aber nur für einen ganzen Adressbereich von .0 - .255 funktionieren, weil eine IP-Adresse in Deutschland ja zuvor anonymisiert werden muss, bevor diese an das Google Analytics-System übertragen wird. Anonymisiert bedeutet, dass die letzten drei Ziffern die IP unkenntlich gemacht werden. Wenn die letzten drei Ziffern unkenntlich gemacht werden kann ich nur noch einen kompletten Adressbereich (der u.U. von mehreren Unternehmen verwendet wird) ausschließen und keine konkrete IP mehr. Ist das richtig gedacht?

    Naja, wenn du das Einverständnis des Mitarbeiters hast, kannst du die Anonymisierung für diese eine IP vermutlich auch deaktivieren.

    LG,
    CK

    1. @@Christian,

      Kommt drauf an. Für deinen Internet-Anschluss in der Firma/zu Hause?

      Es geht nicht um mich sondern um einen Kunden, der hat an die 40 Mitarbeiter und behauptet er hätte nur eine feste IP. Demnach hat er wohl für seinen Router eine feste IP beantragt, wobei die internen Rechner immer eine 192.168.x.x verwenden. Korrekt?

      Für einen Server? Da musst du idR mindestens 4 beantragen:

      eine Adresse für den Router

      Verstanden.

      und die IP selber

      Meinst du damit die IP für den Server hinter dem Router?

      eine Adresse für das Netzwerk

      Hier verstehe ich nicht was du meinst? Ein Netzwerk kann doch keine IP haben. Eine IP kann doch nur ein konkretes Gerät in einem Netzwerk haben?

      eine Broadcast-Adresse

      Übertrage ich etwas an diese Adresse kommt die Nachricht ja bei allen im Netzwerk an. Warum ich dafür eine feste IP brauche verstehe ich nicht. Kannst du das erklären?

      Es gibt aber auch Massen-Hoster, die dir einzelne IPs vermieten, die haben dann ein größeres Netzwerk-Segment gekauft und vermieten dir einzelne IPs daraus, dafür musst du aber in deren Netzwerk eingebunden sein, z.B. weil du einen Server bei denen gemietet hast.

      Per VPN eingebunden?

      Naja, wenn du das Einverständnis des Mitarbeiters hast, kannst du die Anonymisierung für diese eine IP vermutlich auch deaktivieren.

      Das geht aber leider nicht, weil

      • Ich mich strafbar machen würde wenn ich nicht alle IPs anonymisiere
      • Der Analytics-Code zur Anonymisierung um folgende Java-Script Zeile erweitert werden muss, mit welcher entweder alle oder keine IP anonymisiert werden kann:
      ga('set', 'anonymizeIp', true)
      
      1. Hello,

        wo steht denn der Webserver, um den es geht? Steht der im Netz des Kunden, oder steht der bei einem Hoster?

        Christian meinte sicherlich, dass das kleinste einzeln zuweisbare (eigenständige) Netzwerk vier IPs verschluckt:

        1. Netzwerk
        2. Broadcast
        3. Router oder Client
        4. Router oder Client

        Da das System binär aufgebaut ist, kannst Du immer nur

        • 1 IP direkt belegen
        • 2 IPs an ein Netzwerk vergeben (das dann nicht nutzbar wäre, weil es die für sich selbst und die Broadcast-IP benötigt)
        • 4 IPs vergeben. Da bleiben dann zwei nutzbare übrig. Ob da ein Router dranhängt oder direkt ein "normaler" Client, ist egal.

        Wenn geklärt ist, wo der für Google Analytics betroffene Webserver steht, kann man auch einen oder mehrere Lösungswege aufzeigen.

        Liebe Grüße
        Tom S.

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
        1. @@TS,

          wo steht denn der Webserver, um den es geht? Steht der im Netz des Kunden, oder steht der bei einem Hoster?

          Keine Ahnung. Leider haben die keinen Admin, der Ansprechpartner hat leider wenig Ahnung vom internen Netzwerk und kein großes Interesse daran, deshalb werde ich hier nicht weiter nachboren. Trotzdem vielen Dank für die prima Erklärungen.

          1. Hello,

            wo steht denn der Webserver, um den es geht? Steht der im Netz des Kunden, oder steht der bei einem Hoster?

            Keine Ahnung. Leider haben die keinen Admin, der Ansprechpartner hat leider wenig Ahnung vom internen Netzwerk und kein großes Interesse daran, deshalb werde ich hier nicht weiter nachboren. Trotzdem vielen Dank für die prima Erklärungen.

            Das kannst Du doch von jedem Computeranwender dort überprüfen lassen. Lass ihn/sie mal "wieistmeineip.de" in die Suchleiste vom Browser eingeben und lass diese dir dann geben. Du schaust dann noch, wie die IP der Domain ist "> host example.org" im Linux-Terminal oder ein "> Ping example.org" in der CMD-Box von Windows sollten dafür schon genügen.

            Anschließend vergleichst Du noch, ob die im selben Subnetz liegen oder in unterschiedlichen. Dann bist Du schon zwei Schritte weiter.

            Liebe Grüße
            Tom S.

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
            1. Lass ihn/sie mal "wieistmeineip.de" in die Suchleiste vom Browser eingeben

              Das geht billiger (ohne „tons of spam“) und mit der Möglichkeit, mehr zu erfahren:

              https://www.fastix.org/netztools/

              Die automatisch gesetzte IP ist die (scheinbare) des Abrufenden. Die muss also bei keinem der Dienste stimmen. (Proxys, NAT,...) Mein Rechner hat z.B. die 10.11.12.100 und es geht über einen Proxy (10.11.12.1 → 192.168.1.37) und einen DSL-Router (192.168.1.1 → [z.Z.]89.12.82.43) nach draußen. Die Dienste zeigen nur die 89.12.82.43 an.

              Daneben lernst Du auch noch, WELCHE Tools man benutzen könnte um WAS zu sehen... Die gibt es nämlich auch für Windows.

            2. @@TS,

              Das kannst Du doch von jedem Computeranwender dort überprüfen lassen.

              Ich habe da jetzt endlich eine Rückmeldung erhalten 😀.

              Lass ihn/sie mal "wieistmeineip.de" in die Suchleiste vom Browser eingeben und lass diese dir dann geben.

              "wieistmeineip.de" liefert 87.138.182.70.

              Du schaust dann noch, wie die IP der Domain ist "> host example.org" im Linux-Terminal oder ein "> Ping example.org" in der CMD-Box von Windows sollten dafür schon genügen.

              ping example.org liefert folgendes:

              Ping wird ausgeführt für example.org [93.184.216.34] mit 32 Bytes Daten:
              Antwort von 93.184.216.34: Bytes=32 Zeit=104ms TTL=53
              Antwort von 93.184.216.34: Bytes=32 Zeit=103ms TTL=53
              Antwort von 93.184.216.34: Bytes=32 Zeit=103ms TTL=53
              Antwort von 93.184.216.34: Bytes=32 Zeit=103ms TTL=53
              
              Ping-Statistik für 93.184.216.34:
                  Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
                  (0% Verlust),
              Ca. Zeitangaben in Millisek.:
                  Minimum = 103ms, Maximum = 104ms, Mittelwert = 103ms
              

              Was diese Info nutzt verstehe ich nicht. Was hilft es wenn ich die IP von example.org (93.184.216.34) kenne bzw. warum musste der ping Befehl auf dem Rechner des Kunden ausgeführt werden. Der ping Befehl auf example.org würde doch überall die gleiche IP liefern.

              Anschließend vergleichst Du noch, ob die im selben Subnetz liegen oder in unterschiedlichen.

              Wie kann ich denn die Subnetze der beiden IPs herausfinden? Die Ausgaben oben haben die Subnetzte doch nicht geliefert?

              Was hilft es mir wenn ich weiß, ob die beiden IPs in gleichen oder in unterschiedlichen Subnetzten liegen?

              Dann bist Du schon zwei Schritte weiter.

              Worauf willst du hinaus?

              1. Hello,

                "wieistmeineip.de" liefert 87.138.182.70
                ping example.org liefert folgendes: 93.184.216.34

                Was hilft es mir wenn ich weiß, ob die beiden IPs in gleichen oder in unterschiedlichen Subnetzten liegen?

                Du wolltest doch feststellen, ob der Webserver inhouse steht, oder ob er beim Hoster untergebracht ist.

                Dann bist Du schon zwei Schritte weiter.

                Worauf willst du hinaus?

                Ich entnehme daraus, dass der Webserver höchstwahrscheinlich beim Hoster steht.

                Liebe Grüße
                Tom S.

                --
                Es gibt nichts Gutes, außer man tut es!
                Das Leben selbst ist der Sinn.
                1. @@TS,

                  Ich entnehme daraus, dass der Webserver höchstwahrscheinlich beim Hoster steht.

                  Kannst du mir erklären woran du das erkennst?

              2. ping example.org liefert folgendes:

                Ping wird ausgeführt für example.org [93.184.216.34] mit 32 Bytes Daten:
                

                Nicht Dein Ernst - oder?

                Worauf willst du hinaus?

                "Example.org" war hier der Platzhalter für den Hostname des eigentlich zu prüfenden Servers.

                1. @@Regina,

                  "Example.org" war hier der Platzhalter für den Hostname des eigentlich zu prüfenden Servers.

                  Ohje, das ist peinlich 😟. Ich hatte da ein Brett vorm Kopf, sorry.

                  Die IP der Domain (also "Example.org" durch die URL des Servers ersetzt wo die Webseite liegt) ist 85.13.130.115.

                  "wieistmeineip.de" liefert 87.138.182.70.

                  Woran erkenne ich jetzt ob der Webserver inhouse steht, oder ob er beim Hoster untergebracht ist?

                  1. 85.13.130.115 gehört zu Neue Medien Muennich GmbH

                    • https://www.fastix.org/netztools/?addr=85.13.130.115&action=whois
                    • https://www.fastix.org/netztools/?addr=85.13.130.115&action=traceroute

                    Sieht aus wie ein Host von "all-inkl.com". Der Server steht also in einem Rechenzentrum.

                    87.138.182.70 liegt im Netz der Telekom:

                    • https://www.fastix.org/netztools/?addr=87.138.182.70&action=whois
                    inetnum:        87.138.128.0 - 87.138.191.255 (kalkulierte CIDR: 87.138.128.0/18)
                    netname:        DTAG-STATIC08
                    descr:          Deutsche Telekom AG
                    descr:          T-DSL Business static dial-up
                    
                    • https://www.fastix.org/netztools/?addr=87.138.182.70&action=traceroute

                    Ist also wahrscheinlich eine statische IP für DSL-Firmenkunden der Telekom. Ob die Verbindung "geswicht" oder geroutet ist oder ob das Netz 87.138.128.0/18 von der Telekom nochmals kleinere Subnetze unterteilt wurde kann ich von hier aus nicht sicher fest stellen. Aber vermutlich wird der Datenverkehr (weitgehend) via Level-3-Swichtes realisiert, was das "gute alte Routen" schon seit Jahren ersetzt.

                    Schon aus den whois-Daten zu ziehender Schluss: Beide IPs sind statisch, liegen jedoch NICHT im gleichen Netz.

      2. Hallo Karl,

        Kommt drauf an. Für deinen Internet-Anschluss in der Firma/zu Hause?

        Es geht nicht um mich sondern um einen Kunden, der hat an die 40 Mitarbeiter und behauptet er hätte nur eine feste IP. Demnach hat er wohl für seinen Router eine feste IP beantragt, wobei die internen Rechner immer eine 192.168.x.x verwenden. Korrekt?

        Das kann ich dir nicht beantworten. Es wäre auch denkbar (wenn auch unwahrscheinlich), dass er ein Netz-Segment von 40 IPs gebucht hat.

        Wenn er allerdings nur die eine feste IP hat, dann ist das von dir beschriebene das wahrscheinlichste Szenario, ja.

        und die IP selber

        Meinst du damit die IP für den Server hinter dem Router?

        Ja. Wobei Router hier ein beliebiges Gateway ist.

        eine Adresse für das Netzwerk

        Hier verstehe ich nicht was du meinst? Ein Netzwerk kann doch keine IP haben. Eine IP kann doch nur ein konkretes Gerät in einem Netzwerk haben?

        Nein. Bei einem Subnetz hast du immer zwei Adressen, die nicht nutzbar sind für Endgeräte: die Netzwerk-Adresse und die Broadcast-Adresse.

        eine Broadcast-Adresse

        Übertrage ich etwas an diese Adresse kommt die Nachricht ja bei allen im Netzwerk an. Warum ich dafür eine feste IP brauche verstehe ich nicht. Kannst du das erklären?

        Jedes Subnetz hat eine Netzwerk-Adresse und eine Broadcast-Adresse. Die erste Adresse des Subnetzes ist die Netzwerk-Adresse, die letzte die Broadcast-Adresse. Das ist halt so definiert.

        Es gibt aber auch Massen-Hoster, die dir einzelne IPs vermieten, die haben dann ein größeres Netzwerk-Segment gekauft und vermieten dir einzelne IPs daraus, dafür musst du aber in deren Netzwerk eingebunden sein, z.B. weil du einen Server bei denen gemietet hast.

        Per VPN eingebunden?

        Du kannst einen Server auch per VPN einbinden, ja. Ist aber eher unüblich.

        Naja, wenn du das Einverständnis des Mitarbeiters hast, kannst du die Anonymisierung für diese eine IP vermutlich auch deaktivieren.

        Das geht aber leider nicht, weil

        • Ich mich strafbar machen würde wenn ich nicht alle IPs anonymisiere

        Sagt wer? Wenn du dir vorher den Konsent holst, dürfte das in Ordnung sein.

        • Der Analytics-Code zur Anonymisierung um folgende Java-Script Zeile erweitert werden muss, mit welcher entweder alle oder keine IP anonymisiert werden kann:
        ga('set', 'anonymizeIp', true)
        

        Ja, das weiss ich. Du kannst aber diese Zeile auch nur dann ausführen, wenn die Remote-Adresse nicht die gewünschte ist.

        Oder, ich hab den Wald vor lauter Bäumen nicht gesehen ;-), alternativ kannst du einfach das ganze einbinden des GA-Geraffels weglassen, wenn die IP die gesuchte ist. Dann brauchst du auch keinen Konsent, weil die Daten dann ja gar nicht bei Google landen.

        LG,
        CK

        1. @@Christian,

          dem ist nichts hinzuzufügen. Prima erklärt, vielen Dank!

  2. Hallo,

    In Google Analytics (ich weiß Ihr lehnt das System ab, soll aber nicht Thema der Diskussion sein) gibt es die Möglichkeit IP-Adressen vom Tracking auszuschließen. Somit kann man dann Zugriffe der eigenen Mitarbeiter (wenn denn eine fest IP verwendet wird) ausschließen. So wie ich das sehe kann dieses Ausschließen aber nur für einen ganzen Adressbereich von .0 - .255 funktionieren, weil eine IP-Adresse in Deutschland ja zuvor anonymisiert werden muss, bevor diese an das Google Analytics-System übertragen wird. Anonymisiert bedeutet, dass die letzten drei Ziffern die IP unkenntlich gemacht werden. Wenn die letzten drei Ziffern unkenntlich gemacht werden kann ich nur noch einen kompletten Adressbereich (der u.U. von mehreren Unternehmen verwendet wird) ausschließen und keine konkrete IP mehr. Ist das richtig gedacht?

    Nein. Subnetze und Anonymisierung sind zwei grundverschiedene Dinge. Wenn die letzte Oktette unkenntlich ist, heißt daß lediglich, daß es 255 Möglichkeiten gibt. Subnetze jedoch können wesentlich mehr oder auch weniger Hosts umfassen, das wird mit der Netzmaske festgelegt.

    MfG

    1. @@pl,

      Nein. Subnetze und Anonymisierung sind zwei grundverschiedene Dinge. Wenn die letzte Oktette unkenntlich ist, heißt daß lediglich, daß es 255 Möglichkeiten gibt. Subnetze jedoch können wesentlich mehr oder auch weniger Hosts umfassen, das wird mit der Netzmaske festgelegt.

      Es kann aber doch folgendes sein:

      • Firma A hat folgenden festen IP-Bereich: 87.138.182.0 - 87.138.182.87
      • Firma B hat folgenden festen IP-Bereich: 87.138.182.88 - 87.138.182.255

      Will ich nun in Google Analytics die Zugriffe von Firma A herausfiltern, so würde es nichts bringen den Bereich von 87.138.182.0 - 87.138.182.87 im Filter in Google Analytcis einzutragen, weil das letzte Oktet ja vorher anonymisiert wurde. Ich demnach nur Firma A und B herausfiltern in dem ich als Filter 87.138.182.* eintrage oder eben keine der beiden. So verstehe ich das zumindest.

      Bei diesem Beispiel spielt die Subnetzmaske doch keine Rolle.

      1. Hello,

        Es kann aber doch folgendes sein:

        • Firma A hat folgenden festen IP-Bereich: 87.138.182.0 - 87.138.182.87
        • Firma B hat folgenden festen IP-Bereich: 87.138.182.88 - 87.138.182.255

        Schwierig. Nicht als geschlossener Netzwerkblock im IP4-Classless-Interdomain-Routing.

        Da ginge nur 87.138.182.0 - 87.138.182.63
        Der Teil von ~.~.~.64 bis ~.~.~.87 müsste dann separat zugewiesen werden und es müssen Routingregeln her, damit zwischen den Einzelnetzen Verbindung besteht.

        Zum Spielen empfehle ich mal den Heise Netzwerkrechner (unterer Abschnitt).

        Liebe Grüße
        Tom S.

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
        1. @@TS,

          Da ginge nur 87.138.182.0 - 87.138.182.63

          Warum geht es aber .64 nicht mehr?

          1. Hello,

            Da ginge nur 87.138.182.0 - 87.138.182.63

            Warum geht es aber .64 nicht mehr?

            Weil 0 bis 63 genau 64 Möglichkeiten darstellt und damit per Zweierpotenz mit "111111" (sechs Stellen) darstellbar wäre. 64 würde schon "1000000" (sieben Stellen) benötgen.

            Im CLIR (Classless Inter Domain Routing) geht man i.d.R. davon aus, dass Netzwerkmasken immer vollständig aufgefüllt sind. Das bedeutet aber auch, dass der übrigbleibende Teil für den Client dann auch erst einmal vollständig leer bleibt (Inverse Darstellung). Das schließt nicht aus, dass dieser Clientanteil (also das Subnetz) weiter geteilt wird.

            Liebe Grüße
            Tom S.

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
      2. hi

        Es kann aber doch folgendes sein:

        • Firma A hat folgenden festen IP-Bereich: 87.138.182.0 - 87.138.182.87
        • Firma B hat folgenden festen IP-Bereich: 87.138.182.88 - 87.138.182.255

        Nein kann nicht sein. Das erste Netz würde lauten:

        87.138.182.0/25

        und das Nächsthöhere, also sich daran Anschließende:

        87.138.182.128/25

        Anders kann im dualen System nicht aufgeteilt werden: Entweder mal 2 oder durch 2. Wobei die Verlängerung der Subnetmask um 1 Bit das Netz durch 2 teilt.

        Wenn wir nun die Maske verkürzen würden auf 24 hätten wir auf 87.138.182.0 die Netzadresse und auf 87.138.182.255 die Broadcastadresse. Dazwischen stünden 254 mögliche Hosts.

        Bei diesem Beispiel spielt die Subnetzmaske doch keine Rolle.

        Die spielt immer eine Rolle. Selbst wenn sie nicht angegeben wurde, gibt es eine Defaultmask. Und die wäre in diesem Fall 87.0.0.0/8 was ein Netz mit schlappen 17 Millionen IP Adressen ergibt.

        Die Defaultmask bzw. Default-Class wird bestimmt durch die ersten vier Bits eine IP Adresse. Im Beispiel ist das erste Bit 0 und somit ergibt sich Default Class A mit Maskenlänge 8. Wenn ein Router classful routet, sind diese 17 Mio IP Adressen allesamt im gleichen Netz.

        MfG

  3. Hello,

    ghet es nur um HTTP/s-Zugriffe?

    Dann wird es vermutlich billiger werden, wenn die Mitarbeiter über einen Proxy zugreifen, der ei eurem Hoster im RZ steht. Und im RZ kann man auf dem Host sicherlich zusätzliche IPs haben.

    Um sicherzustellen, dass nur Zugriffe auf eure eigene Webseite über den Proxy laufen, benötigst Du im eigenen Hause auch einen. Dieser lenkt dann nur die Zugriffe auf die eigene Webseite über den externen Proxy um.

    Das klingt wie von hinten durch die Brust ins Auge und ist auch bezüglich HTTPS nicht unkritisch, aber es funktioniert.

    Vielleicht kann man sich den internen Proxy auch schenken und einfach eine Route zur Website-IP in die Fritzbox eintragen (über den externen Proxy). Darüber habe ich aber noch nicht weiter nachgedacht.

    Liebe Grüße
    Tom S.

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
    1. @@TS,

      geht es nur um HTTP/s-Zugriffe?

      Yep.

      Dann wird es vermutlich billiger werden, wenn die Mitarbeiter über einen Proxy zugreifen, der ei eurem Hoster im RZ steht. Und im RZ kann man auf dem Host sicherlich zusätzliche IPs haben.

      Wäre in der Praxis vielleicht die bessere Lösung. Der Kunde läst allerdings alles so wie es ist, mich interessiert das einfach nur 😀.

      Um sicherzustellen, dass nur Zugriffe auf eure eigene Webseite über den Proxy laufen, benötigst Du im eigenen Hause auch einen. Dieser lenkt dann nur die Zugriffe auf die eigene Webseite über den externen Proxy um.

      Wird dann aber ziemlich aufwändig und teuer zumal die keinen internen Admin haben.

      Das klingt wie von hinten durch die Brust ins Auge und ist auch bezüglich HTTPS nicht unkritisch, aber es funktioniert.

      Cooler Gedankengang auf jedenfall.

      Vielleicht kann man sich den internen Proxy auch schenken und einfach eine Route zur Website-IP in die Fritzbox eintragen (über den externen Proxy). Darüber habe ich aber noch nicht weiter nachgedacht.

      Muss man dann an alle 40 Rechner laufen und dort die Route eintragen oder geht aus automatisiert.

      PS: Wie geht es Dir eigentlich, bist du wieder fit?

      1. Hello,

        Wird dann aber ziemlich aufwändig und teuer zumal die keinen internen Admin haben.

        Das müsste nur einmal eingerichtet werden und würde keine zusätzlichen laufenden Kosten mit sich bringen, außer vielleicht den Strom für den internen Proxy. Die Energiekosten für 7/24-Rechner sind nicht zu unterschätzen. Ein Raspi wird die Aufgabe vermutlich nicht mehr stemmen können.

        Wenn der Webserver beim Hoster steht und mehrere IPs haben kann, dann könnte man das auch auf diesem Wege schon lösen.

        Oder man nimmt für die Mitarbeiterzugriffe einfach eine andere Domain:

        ma01.example.org

        und sagt Google, dass die nicht indiziert werden darf.

        Liebe Grüße
        Tom S.

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
  4. Mahlzeit, Da es eine Widerspruchsmöglichkeit gegen das Tracking geben muss (ein Klick auf einen Link setzt einen Cookie der GA sagt, dass Tracking untersagt wurde), setz doch einfach auf den betreffenden Rechnern diesen Cookie und setz sein Verfallsdatum auf 10 Jahre

    Was das schon erwähnt wurde, einfach ignorieren, hab nicht alle Beiträge gelesen.

    --
    42
    1. @@m.,

      Da es eine Widerspruchsmöglichkeit gegen das Tracking geben muss (ein Klick auf einen Link setzt einen Cookie der GA sagt, dass Tracking untersagt wurde), setz doch einfach auf den betreffenden Rechnern diesen Cookie und setz sein Verfallsdatum auf 10 Jahre

      Dann muss ich dem Kunden sagen, dass alle 40 Mitarbeiter, auf den wahrscheinlich mehr als 60 Rechnern, in allen dort installierten Browsern das Cookie setzten müssen. Irgendwann löscht dann mal einer die Cookies, installiert den Browser neu oder nutzt den IE obwohl das Cookie nur im FF und Chrome gesetzt ist. In der Praxis keine gute Lösung.

      1. Hello,

        Dann muss ich dem Kunden sagen, dass alle 40 Mitarbeiter, auf den wahrscheinlich mehr als 60 Rechnern, in allen dort installierten Browsern das Cookie setzten müssen. Irgendwann löscht dann mal einer die Cookies, installiert den Browser neu oder nutzt den IE obwohl das Cookie nur im FF und Chrome gesetzt ist. In der Praxis keine gute Lösung.

        Da könnte wiederum ein Proxy helfen, der das für alle gleichremaßen regelt. Bleibt nur die Problematik mit TLS-Verbindungen (HTTPS). Die Clients müssen das Zertifikat des Proxys akzeptieren. Das müsste einmal eingerichtet werden.

        Wie es bei HSTS aussieht, vermag ich jetzt aber nicht zu beantworten. Würde mich aber extrem interessieren. :-)

        Liebe Grüße
        Tom S.

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.