PSI-Mitarbeiter mit einem Account können das System standardmässig nutzen. Nicht-PSI-Mitarbeiter müssen über ihre verantwortliche Kontaktperson einen Account für externe Benutzer beantragen.
Das System steht ausschliesslich als Tunneling-/Proxy-System zur Verfügung. Dies bedeutet, dass nach dem erfolgreichen Login in das System KEINE aktive, nutzbare Shell zur Verfügung steht, die für eine weitere Verbindung ins PSI Lan genutzt werden kann.
Zu Beginn der Nutzung muss eine "Setup-Verbindung" zu hopx.psi.ch aufgebaut werden. Diese Verbindung richtet auf hopx.psi.ch den Zugang für den Benutzer ein. Sie muss interaktiv sein und offen gehalten werden. Ohne diese "Setup-Verbindung" sind keinerlei Verbindungen über hopx.psi.ch ins PSI-Lan möglich!
- Pro Benutzer ist nur eine aktive "Setup-Verbindung" zu
hopx.psi.chmöglich. (weitere Infos dazu sind unten zu finden) - die "Setup-Verbindung" kann mit einer oder mehreren Port-Weiterleitungen kombiniert werden (siehe unten)
- SSH-Clients (Putty, OpenSSH etc.) können so konfiguriert werden, dass SSH-Verbindungen ins PSI-Lan über die "Setup-Verbindung" erfolgen. (Stichwort: SSH-Multiplexing, ProxyJump, Connection Sharing)
Hinweis zu OpenSSH:
Das Kommando
ssh -J <user>@hopx.psi.ch <user>@beispiel-ssh-srv.psi.ch
funktioniert ohne vorherige "Setup-Verbindung" nicht, auch wenn das für gewöhnlich mit OpenSSH möglich ist!!!
Die nachfolgende Abbildung zeigt die Ausgabe nach dem erfolgreichen Login.
Die Ausgabe nach dem Login enthält die folgenden wichtigen Informationen:
- Die IP-Adresse des Clients mit der die Verbindung zu
hopx.psi.chaufgebaut wurde. - Der Benutzername, mit der die Verbindung aufgebaut wurde.
- Die NAT-IP-Adresse, mit der die vom Benutzer durch
hopx.psi.chaufgebauten Verbindungen zu Systemen innerhalb des PSI-Netzwerkes erscheinen. - Das Datum und die Uhrzeit wann die Verbindung zu
hopx.psi.chgestartet wurde - Das Datum und die Uhrzeit bis wann die Verbindung zu
hopx.psi.chmaximal bestehen bleiben kann. Zu dieser Uhrzeit (nach Ablauf der maximalen Sessiondauer von 12h) wird die Verbindung zuhopx.psi.chautomatisch getrennt. Alle durch hopx.psi.ch aufgebauten Verbindungen ins PSI-Netzwerk werden ebenfalls unterbrochen.
Die Verbindung zu hopx.psi.ch kann mit "ctrl-c". beendet werden. Es stehen keine weiteren Kommandos zur Verfügung!
********* Achtung ****************
Wird die "Setup-Verbindung" zu hopx.psi.ch beendet, während die Verbindung(en) zu einem internen System noch aktiv/offen sind, dann werden diese ebenfalls beendet!!!
***********************************
Verhalten beim Aufbau von mehr als einer "Setup-Verbindung"
Erfolgt der Aufbau einer zweiten "Setup-Verbindung" zu hopx.psi.ch unter der Verwendung des gleichen Benutzernamens und der gleichen Source-IP-Adresse, dann wird diese Verbindung nach der erfolgreichen Authentisierung mit dem Hinweis auf die bereits bestehende Verbindung getrennt.
Erfolgt der Aufbau einer zweiten "Setup-Verbindung" zu hopx.psi.ch unter der Verwendung des gleichen Benutzernamens aber einer anderen Source-IP-Adresse als bei der bereits bestehenden Verbindung, dann wird der Benutzer nach der erfolgreichen Authentisierung vor die Wahl gestellt. Er kann die zweite Verbindung tatsächlich aufbauen, dann wird jedoch die erste Verbindung und alle dazugehörigen getunnelten Verbindungen ins PSI-Netzwerk getrennt. Oder er kann die zweite Verbindung beenden und mit der ersten weiterarbeiten. Die Antwort auf die Frage ist mit 'Y' , 'y' , 'N' oder 'n' zu beantworten.
Maximale Sessiondauer von 12 Stunden
Die Dauer des aktiven Zugangs ("Setup-Verbindung") zu hopx.psi.ch und allen dazugehörigen Verbindungen ins PSI-Lan wird analog zum VPN-Zugang auf maximal 12 Stunden beschränkt. Bis wann die Verbindung maximal bestehen bleiben kann, wird nach der erfolgreichen Authentisierung angezeigt (siehe oben). Im gleichen Fenster erfolgt fünf Minuten bevor die Verbindung getrennt wird ein Hinweis auf die bevorstehende Beendigung der Verbindung.
********* Achtung ****************
Wird die "Setup-Verbindung" zu hopx.psi.ch beendet, während die Verbindung(en) zu einem internen System noch aktiv/offen sind, dann werden diese ebenfalls beendet!!!
**********************************
Hinweis zu den möglichen Tunnel-Verbindungen
Bitte beachten Sie, dass nicht allen Benutzern des Systems die gleichen Möglichkeiten zur Verfügung stehen. Anhand der Art des Benutzeraccounts sind unterschiedliche Verbindungen über das System möglich.
PSI-Mitarbeiter
PSI-Mitarbeiter können über hopx.psi.ch die folgenden TCP-Verbindung ins PSI LAN tunneln:
| TCP Port Nummer | wird genutzt von |
|---|---|
| 22 | SSH |
| 80/443 | HTTP(S) |
| 445 | Windows File Server (z. B. fs00, fs01 or fs02) |
| >1023 | bspw. für RDP, VNC etc. |
Externe Benutzer
Externe Benutzer können über hopx.psi.ch die folgenden TCP-Verbindung ins PSI LAN tunneln:
- SSH-Verbindungen zu den Clustern
Merlin, RA, Login, MEGetc. - SSH-Verbindungen zu den Experiment-Sprungsystemen etc.
Diese SSH-Verbindungen sind nur möglich, wenn Sie über die entsprechenden Zugriffsrechte verfügen. Falls Sie über diese nicht verfügen, wenden Sie sich bitte an Ihre verantwortliche PSI-Kontaktperson.
Falls Sie weitere Verbindungsmöglichkeiten benötigen, müssen diese von Ihrer PSI-Kontaktperson für Sie beantragt werden.
Die bisher allgemein gültigen Zugriffsmöglichkeiten für externe Benutzer wie:
| TCP Port Nummer | wird genutzt von |
|---|---|
| 22 | SSH |
| 3389 | RDP |
| 5900 | VNC |
werden in den kommenden Wochen nach und nach deaktiviert.
Hinweis zur Verwendung von VS Code
Das Remote SSH Plugin von VS Code versucht durch die Standardeinstellungen mehrfach eine unterbrochene SSH-Verbindung wieder aufzubauen. War ein Benutzer mit mehreren Systemen von remote via SSH verbunden und die Verbindungen wurden unterbrochen, dann versucht VS Code jede Verbindung automatisch wieder herzustellen. Dieses Verhalten kann auf hopx.psi.ch zu vielen fehlgeschlagenen Loginversuchen und im Extremfall zu einer automatisierten Blockade des Benutzeraccounts oder der Client-IP-Adresse führen.
Um dies zu verhindern muss man die Anzahl der automatisieren Verbindungsversuche im VS Code deutlich reduzieren.
Hierfür muss “Max Reconnection Attempts” auf 0 gesetzt werden:
SSH, RDP etc. zu internen Systemen mit Hilfe von Port-Weiterleitung
Empfohlen für User, die schnell eine RDP oder SSH Verbindung zu einem System im PSI-Lan aufbauen möchten.
Anwendungsfall:
- Weiterleitung von einem oder mehreren Ports über
hopx.psi.chzu einem internen System für die Nutzung von RDP, SSH etc.
Vorteil:
- schneller Zugriff auf ein internes System möglich, da Einrichten von SSH-Multiplexing nicht notwendig
- nur eine Verbindung (Setup-Verbindung, siehe Grundlagen oben) mit gleichzeitigem Portforwarding zu
hopx.psi.chnotwendig
Nachteil:
- besteht bereits eine Verbindung zu
hopx.psi.chund man möchte einen weiteren lokalen Port weiterleiten, muss die Verbindung zuhopx.psi.cherst beendet und erneut aufgebaut werden.
Vorgehen:
- Setup-Verbindung mit Port-Weiterleitung zu
hopx.psi.chaufbauen - Port-Weiterleitung nutzen
(Anmerkung: ssh-srv.psi.ch + rdp-srv.psi.ch sind keine realen Systeme, lediglich Platzhalter und dienen als Beispiel. Diese Hostnamen müssen durch den Hostnamen des Ihnen bekannten und vorhandenen Systems ersetzt werden!)
Beispiel: Schritt Nr. 1, Setup-Verbindung zu hopx.psi.ch mit Port-Weiterleitung aufbauen
$ ssh -L 8000:rdp-srv.psi.ch:3389 <user>@hopx.psi.ch
tunnelt bspw. den lokalen Port 8000 zu Port 3389 (RDP) des RDP-Servers rdp-srv.psi.ch
oder bei einer mehrfachen Port-Weiterleitung
$ ssh -L 8000:rdp-srv.psi.ch:3389 -L 8222:ssh-srv.psi.ch:22 <user>@hopx.psi.ch
wird zusätzlich der lokale Port 8222 zu Port 22 von ssh-srv.psi.ch getunnelt, über den dann eine SSH-Verbindung zu dem System aufgebaut werden kann.
Beispiel: Schritt Nr. 2, Port-Weiterleitung nutzen
Wenn die Verbindung zu hopx.psi.ch besteht, kann dann über die lokal weitergeleiteten Ports die Verbindung zu den internen Systemen aufgebaut werden. Bspw. mit
einem RDP-Client verbinden zu
"localhost:8000" oder zu "127.0.0.1:8000" (für eine Verbindung zu rdp-srv.psi.ch)
und/oder mit dem SSH-Client
$ ssh -p 8222 <user>@localhost oder $ ssh -p 8222 <user>@127.0.0.1
für eine Verbindung als <user> zu ssh-srv.psi.ch
SSH zu einem oder mehreren internen Systemen mittels "ProxyJump"
Empfohlen für User, die regelmässig zu mehreren internen Systemen eine SSH-Verbindung aufbauen möchten
Anwendungsfall:
- Aufbau von einer oder mehreren SSH-Verbindungen über
hopx.psi.chzu internen Systemen.
Vorteil:
- keine Port-Weiterleitung zu den internen Systemen notwendig
- flexibler Aufbau von einer oder mehreren SSH-Verbindungen zu internen Systemen, da keine Anpassung von Port-Weiterleitungen notwendig
Nachteil:
- Setup-Verbindung (siehe Grunlagen oben) zu
hopx.psi.chmuss getrennt von den weiteren SSH-Verbindungen aufgebaut werden. - ohne zuvor aktiviertes SSH-Multiplexing ist für jede Verbindung (Setup-Verbindung und Verbindungen zu internen Systemen) eine Authentisierung an
hopx.psi.chnotwendig
Hinweis:
Für diese Variante wird empfohlen das SSH-Multiplexing auf dem Clientsystem zu aktvieren. Mit einem aktiven SSH-Multiplexing muss man sich für Verbindungen (siehe unten; Beispiel: Schritt Nr. 2) via hopx.psi.ch nicht erneut an diesem authentisieren.
Vorgehen:
- Setup-Verbindung (siehe Grundlagen oben) zu
hopx.psi.chaufbauen - SSH-Verbindung via
hopx.psi.chzum internen System aufbauen
(Anmerkung: ssh-srv1.psi.ch, ssh-srv2.psi.ch etc. sind keine realen Systeme, lediglich Platzhalter und dienen als Beispiel. Diese Hostnamen müssen durch den Hostnamen des Ihnen bekannten und vorhandenen Systems ersetzt werden!)
Beispiel: Schritt Nr. 1, Setup-Verbindung zu hopx.psi.ch aufbauen und geöffnet lassen:
$ ssh <user>@hopx.psi.ch
Dann empfiehlt es sich ein neues Terminal zu öffnen und die SSH-Verbindung für Schritt Nr. 2 zu starten
Beispiel: Schritt Nr. 2, SSH-Verbindung via hopx.psi.ch zum internen System ssh-srv1.psi.ch aufbauen
$ ssh -J <user>@hopx.psi.ch <user>@ssh-srv1.psi.ch
Mit der Option “-J <user>@hopx.psi.ch" wird dem SSH-Client mitgeteilt, dass die Verbindung zum Server "ssh-srv1.psi.ch" durch die bereits bestehende Verbindung von Schritt Nr. 1 zu hopx.psi.ch erfolgen soll (ohne aktives SSH-Multiplexing wird man erneut zur Authentisierung an hopx.psi.ch aufgefordert). Dies funktioniert nur wenn bei der Option -J der Hostname von hopx.psi.ch exakt wie bei Schritt Nr. 1 angegeben wird, also hopx.psi.ch
Hinweis:
- Schritt 1 und Schritt 2 müssen getrennt erfolgen und dürfen nicht in einem einzelnen Kommando zusammengefasst werden!
Solange die Setup-Verbindung aus Schritt Nr. 1 zu hopx.psi.ch offen ist können beliebig weitere SSH-Verbindungen zum gleichen oder zu anderen internen Systemen aufgebaut werden. Bspw. mit
Schritt Nr. 3, 4....
$ ssh -J <user>@hopx.psi.ch <user>@ssh-srv2.psi.ch
SSH mittels "ProxyJump" und gleichzeitiger Port-Weiterleitung (RDP) über ein internes System
Die oben beschriebene SSH-Verbindung zu einem internen System kann um eine oder mehrere Port-Weiterleitung erweitert werden. Dafür wird auf dem Clientsystem ein lokaler Port geöffnet. Verbindungen auf diesen Port werden durch den SSH-Tunnel zum internen System gesendet, und dann an das eigentliche Zielsystem geschickt.
Vorgehen:
- Setup-Verbindung (siehe Grundlagen oben) zu
hopx.psi.chaufbauen - SSH-Verbindung via
hopx.psi.chzum internen System aufbauen, mit Port-Weiterleitung - Nutzung der Port-Weiterleitung
(Anmerkung: ssh-srv1.psi.ch, rdp-srv.psi.ch, vnc-srv.psi.ch sind keine realen Systeme, lediglich Platzhalter und dienen als Beispiel. Diese Hostnamen müssen durch den Hostnamen des Ihnen bekannten und vorhandenen Systems ersetzt werden!)
Beispiel: Schritt Nr. 1, Setup-Verbindung zu hopx.psi.ch aufbauen und geöffnet lassen
$ ssh <user>@hopx.psi.ch
Dann empfiehlt es sich ein neues Terminal zu öffnen und die SSH-Verbindung für Schritt Nr. 2 zu starten
Beispiel: Schritt Nr. 2, SSH-Verbindung via hopx.psi.ch mit Port-Weiterleitung aufbauen
$ ssh -L 8888:rdp-srv.psi.ch:3389 -J <user>@hopx.psi.ch <user>@ssh-srv1.psi.ch
Mit der Option "-L 8888:rdp-srv.psi.ch:3389" wird auf dem SSH-Client-System lokal der Port 8888 geöffnet. (ohne aktives SSH-Multiplexing wird man erneut zur Authentisierung an hopx.psi.ch aufgefordert)
Hinweis:
Schritt 1 und Schritt 2 müssen getrennt erfolgen und dürfen nicht in einem einzelnen Kommando zusammengefasst werden!
Beispiel, Schritt Nr. 3, Nutzung der Port-Weiterleitung
RDP-Client starten und auf "localhost:8888" oder "127.0.0.1:8888" verbinden. Dadurch erreicht man das Login-Prompt von rdp-srv.psi.ch.
Falls man weitere Port-Weiterleitungen benötigt, können diese schon bei der Verbindung von Schritt Nr. 2 angegeben werden. Die Option "-L" kann mehrfach angegeben werden, bspw.:
ssh -L 8888:rdp-srv.psi.ch:3389 -L 5900:vnc-srv.psi.ch:5900 -J <user>@hopx.psi.ch <user>@ssh-srv1.psi.ch
Bei diesem Beispiel wird zusätzlich der lokale Port 5900 zum Port 5900 des Systems vnc-srv.psi.ch weitergeleitet.
SSH-Multiplexing aktivieren
Beim SSH-Multiplexing werden SSH-Verbindungen durch bereits bestehende SSH-Verbindungen gesendet, was effizienter und schneller ist. Bei der Verwendung von mehreren SSH-Verbindungen via hopx.psi.ch als ProxyJump bietet sich die Nutzung von SSH-Multiplexing an. Die Verbindungen werden dadurch über die bereits bestehende Setup-Verbindung zu hopx.psi.ch gesendet, sind dadurch schneller und die zusätzliche Authentisierung an hopx.psi.ch ohne aktives SSH-Multiplexing entfällt.
Das SSH-Multiplexing wird wie folgt aktiviert:
Falls die Datei ~/.ssh/config noch nicht existiert muss sie angelegt werden.
$ touch ~/.ssh/config$ chmod 600 ~/.ssh/configdann mit einem beliebigen Editor die Datei ~/.ssh/config editieren und mit folgendem Inhalt versehen
$ cat .ssh/config Host *.psi.ch ControlMaster auto ControlPath ~/.ssh/tmp/%h_%p_%rDann muss noch das Verzeichnis für den "ControlPath" angelegt werden (ebenfalls einmalig)
$ mkdir ~/.ssh/tmp$ chmod 700 ~/.ssh/tmpDas System ist jetzt bereit für die Nutzung von SSH-Multiplexing. Eine bereits bestehende Setup-Verbindung zu hopx.psi.ch muss vor der ersten Nutzung von SSH-Multiplexing beendet und erneut aufgebaut werden.
Weitere interessante Infos zum Thema SSH-Multiplexing sind hier zu finden:
https://www.cyberciti.biz/faq/linux-unix-reuse-openssh-connection/
SSH und die Nutzung der "config"-Datei
Wer regelmässig oft die gleichen Port-Weiterleitungen nutzen, und mehrere SSH-Verbindungen zu verschiedenen Systemen im PSI-LAN aufbauen möchte, für den ist die Nutzung der config-Datei eine erhebliche Erleichterung, und für so genannte "Poweruser" empfehlenswert.
Die Datei wurde bereits zuvor zur Aktivierung des SSH-Multiplexings editiert. Zu finden ist sie im .ssh Verzeichnis im Homeverzeichnis des jeweiligen Benutzers.
Hinweis:
Bei der Verwendung der unten beschriebenen Beispiel config-Datei löschen Sie bitte die Zeile
Host *.psi.ch
die während der Aktivierung des SSH-Multiplexings eingefügt wurde.
Der neue Inhalt der config-Datei könnte dann wie folgt aussehen:
ssh-srv.psi.ch ist kein reales System, lediglich ein Platzhalter und dient als Beispiel. Dieser Hostname muss durch den Hostname des Ihnen bekannten und vorhandenen Systems ersetzt werden!)
$ cat ~/.ssh/config ControlMaster auto ControlPath ~/.ssh/tmp/%h_%p_%r ForwardAgent yes ForwardX11 yes ForwardX11Trusted yes host hopx.psi.ch psi-outside-ssh-gw hostname hopx.psi.ch host ssh-srv.psi.ch hostname ssh-srv.psi.ch DynamicForward 9000 LocalForward 8389 rdp-srv.psi.ch:3389 LocalForward 8445 fileserver.psi.ch:445 # for use with macOS match host *.psi.ch !host hop*.psi.ch !exec "ifconfig -a inet | grep -q -E 'inet 129\.129\.'" ProxyJump psi-outside-ssh-gw # for use with Linux #match host *.psi.ch !host hop*.psi.ch !exec "ip -o -4 a | grep -v -E 'lo *inet' | grep -q -E 'inet 129\.129\.'"# ProxyJump psi-outside-ssh-gw
Auch hier müssen wieder zwei Verbindungen aufgebaut werden:
(Anmerkung: ssh-srv.psi.ch ist kein reales System, lediglich ein Platzhalter und dient als Beispiel. Dieser Hostname muss durch den Hostname des Ihnen bekannten und vorhandenen Systems ersetzt werden!)
- SSH-Verbindung zu
hopx.psi.chaufbauen und geöffnet lassen - SSH-Verbindung zu
ssh-srv.psi.chaufbauen und geöffnet lassen
ssh-srv.psi.ch werden auf dem SSH-Client drei lokale Ports geöffnet. Port 9000 für das "Dynamische Tunneling", Port 8389 zu rdp-srv.psi.ch und Port 8445 zu fileserver.psi.ch
Dynamisches Tunneling
Beim Dynamischen Tunneling wird hopx.psi.ch oder ein System im internen PSI-Netzwerk als Socks5-Proxy verwendet. Damit lassen sich bspw. mehrere unterschiedliche interne Webserver/Webseiten kontaktieren, ohne das zu jedem ein separater Tunnel bzw. eine Port-Weiterleitung aufgebaut werden muss.
Damit lokal auf dem System ein Port für das dynamische Tunneling geöffnet wird, kann man unter Unix/Linux/macOS die Kommandozeilenoption "-D" angeben.
Tunneling direkt via hopx.psi.ch
$ ssh -D 9000 <user>@hopx.psi.ch
...öffnet auf dem Clientsystem lokal den Port 9000. Verbindungen darauf werden durch die SSH-Verbindung zu hopx.psi.ch gesendet, und von dort zum internen Server.
Tunneling über ein internes im PSI Netzwerk stehendes System (Achtung: Es muss zuvor die separate Setup-Verbindung aufgebaut worden sein!)
(Anmerkung: ssh-srv.psi.ch ist kein reales System, lediglich ein Platzhalter und dient als Beispiel. Dieser Hostname muss durch den Hostname des Ihnen bekannten und vorhandenen Systems ersetzt werden!)
$ ssh -D 9000 -J <user>@hopx.psi.ch <user>@ssh-srv.psi.ch
...öffnet auf dem Clientsystem lokal den Port 9000. Verbindungen darauf werden durch den SSH-Tunnel zu "ssh-srv1.psi.ch" gesendet, und von dort zum internen Server.
Die weiter oben beschriebene Option "-L" für die Port-Weiterleitung von bspw. RDP-Verbindungen kann gleichzeitig mit der "-D" Option genutzt werden. Z. B.
$ ssh -D 9000 -L 8888:rdp-srv.psi.ch:3389 -J <user>@hopx.psi.ch <user>@ssh-srv.psi.ch
(Auch in diesem Fall muss bereits eine Setup-Verbindung zu hopx.psi.ch bestehen!)
Nutzung mit der SSH config-Datei
DynamicForward 9000" gemacht werden. Beispiel, Ausschnitt aus der Config-Datei
(Anmerkung: ssh-srv1.psi.ch ist kein reales System, lediglich ein Platzhalter und dient als Beispiel. Dieser Hostname muss durch den Hostname des Ihnen bekannten und vorhandenen Systems ersetzt werden!)
host ssh-srv.psi.ch hostname ssh-srv.psi.ch DynamicForward 9000 LocalForward 8389 rdp-srv.psi.ch:3389 LocalForward 8445 fileserver.psi.ch:445 Wenn auf dem lokalen Clientsystem der Port für das dynamische Tunneling geöffnet wurde, kann man ihn mit dem Browser nutzen.
Nutzung des Dynamischen Tunnelings
Nach dem eine SSH-Verbindung zu hopx.psi.ch oder einem System im internen PSI-Netzwerk aufgebaut wurde und lokal der Port 9000 zur Verfügung steht (siehe oben), kann dieser mit einem Browser genutzt werden.
In den Proxyeinstellungen des Firefox-Browsers (Einstellungen -> Allgemein -> Netzwerk) bei
SOCKS Host: localhost Port: 9000 eintragen.
Anstatt "localhost" kann auch "127.0.0.1" eingetragen werden.
In das Feld "No Proxy for:" sollten zusätzlich alle Domain-/Hostnamen, IP-Adressen/-Ranges eingetragen werden, die direkt, d. h. ohne den Umweg über hopx.psi.ch oder dem internen System abgerufen werden sollen, bspw. "localhost, 127.0.0.1, .ethz.ch, .com" .
Die Option "Proxy DNS when using SOCKS v5" muss mit einem Haken aktiviert werden. Die Einstellungen müssen mit einem Klick auf "OK" bestätigt werden.
Hinweis:
Über hopx.psi.ch können PSI-Mitarbeiter nur PSI-interne Webseiten, www.psi.ch und intranet.psi.ch abrufen. Der Zugriff auf ServiceNOW sollte ebenfalls funktionieren. Weitere PSI-eigene, aber extern gehostete Seiten können bei Bedarf freigegeben werden. Verbindungen zu PSI-fremden, externen Webseiten werden nicht weitergeleitet!! Wer uneingeschränkten Zugriff auf PSI-eigene Webseiten benötigt (wie wenn ein System vor Ort am PSI genutzt wird), dem empfehlen wir das dynamische Tunneling über ein PSI-internes System im PSI-Netzwerk und NICHT direkt via hopx.psi.ch.
Hinweis für macOS-Benutzer
Wenn man interne Webseiten mit Hilfe des Safari-Browsers aufrufen möchte, muss die Socks-Proxy-Nutzung über die Netzwerkeigenschaften aktiviert werden. Dazu muss man die "Systemeinstellungen -> Network -> die verwendete Netzwerkverbindung (Ethernet oder WiFi) -> Details -> (links) Proxies" und dann im rechten Feld "SOCKS proxy" aktivieren. Dann im Feld Server "127.0.0.1" und im Feld Port "9000" eintragen. Die Proxyausnahmen werden unten in der Liste eingetragen. Dann mit "OK" bestätigen.
Achtung:
Die Einstellungen sind global für alle Anwendungen des Mac-Systems, die die Netzwerkeigenschaften nutzen, gültig. Dazu zählen bspw. auch die Anwendungen Mail und Kalender. D. h. sämtliche Netzwerkverbindungen dieser Anwendungen erfolgen dann ebenfalls über den Socks-Proxy. Dies führt dann zu Verbindungsproblemen, wenn Server ausserhalb des PSI kontaktiert werden. Um das zu vermeiden, müssen die Server von der Proxynutzung mittels eines Eintrages im Feld "Bypass proxy settings for these hosts & domains:" ausgeschlossen werden.