id: Гость   вход   регистрация
текущее время 15:01 28/03/2024
Автор темы: Гость, тема открыта 07/07/2012 18:13 Печать
Категории: софт, анонимность, tor
создать
просмотр
ссылки

VPN over Tor на одном хосте

Есть openVPN сервер, к которому хочу подключатся через Tor.
+ нужно чтобы весь трафик, кроме Tor-овского заворачивался в vpn-туннэль.
ОС Windows XP. Все прибамбасы на одной машине.
Последовательность подключения такая:
1) Подключаю Tor.
2) Подключаю OpenVPN клиента через сокс-прокси 127.0.0.1:9050
3) Шлюз по умолчанию ставлю vpn-овский.


Проблемы следующие:
Если в Proxy Settings OpenVPN-а выставить Manual Configuration на SocksProxy 127.0.0.1:9050, то сразу выдает ошибку:


Далле пробую проксифицировать через Proxifier выставив для openvpn.exe соответствующее правило.
OpenVPN подключается. В проксифаере видно как он, туннэлирует траффик. Но vpn работает 10-15 сек. и потом обрубается:
В логе следующее:


Если убрать опцию redirect-gateway из конфига впна, то это дела не меняет. Дефолтный шлюз все равно прописывается vpn-овский и также рвется соединение.
Я так понимаю это происходит из-за того, что tor пытается вылезти из под дэфолтного шлюза. Как сделать так, чтобы tor ходил в сеть из-под моего шлюза, а все остальное из-под дэфолтного vpn-овского, с учетом того, что destination ip (входной узел тора) часто меняется и его нельзя прописать статическим маршрутом.


 
На страницу: 1, 2 След.
Комментарии
— Гость (08/07/2012 00:26)   <#>

Зачем такие извращения? К тому же, здесь могут быть проблемы
  1. С внутренними timeout'ами OpenVPN (может, их можно подкрутить) — Tor не настолько быстрый транспорт.
  2. Смена/вымирание Exit-узлов Tor.
То, что, при прочих равных, «User → Tor → VPN → сеть» менее анонимно, чем «User → Tor → сеть», вы, наверно, и сами знаете.


Если бы мне надо было решить такую задачу, я бы взял два компьютера: клиент и сервер. На сервере сделал бы прозрачную торификацию (линк раз, линк два[создать]), а на клиенте бы запустил OpenVPN-клиент штатным образом. Правда, если вышеупомянутые проблемы с таймаутами действительно имеют место и фатальны, их всё равно пришлось бы решать (но это было бы проще и отлаживать легче, чем в вашей конфигурации).
— Гость (08/07/2012 23:17)   <#>

С чего вы взяли? Т.е. то, что на выходной ноде твой трафик могут просмотреть, считается более анонимным да?

Спасибо вам за ссылки, но к сожалению у меня одна машина на Windows и нет возможности организовать отдельный сервер. Все -таки хотелось бы запускать данную свзяку с одной машины. Что если взять для Tor хостовую ОС, а vpn запускать в виртуальной?
— unknown (08/07/2012 23:42, исправлен 08/07/2012 23:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

TorPlusVPN.

You can very well decrease your anonymity by using VPN/SSH in addition to Tor.

If you know what you are doing you can increase anonymity, security and privacy.
— Гость (09/07/2012 13:39)   <#>

Отвыкаем путать анонимность и конфиденциальность.


Любая exit-нода легко выделяет вас в общем потоке, т.к. все идут на разные сайты, а вы всегда на один и тот же VPN, ну и unknown уже ответил.


Вам нужен специалист по продвинутым сетевым возможностям в Windows. На этом форуме такие более не обитают. Почему бы не обратиться на профильный форум?
— Гость (09/07/2012 14:34)   <#>
Поднимите tor relay на машине с OpenVPN сервером. Добавьте в эксит полиси единственное разрешающее правило для публичного addr:port вашего OpenVPN сервера. И тогда получите возможность подключаться к впн не покидая сети тор. Или поднимите скрытый сервис, для этого потребуется только тор клиент на машине с впн сервером, но это увеличит латентность канала. Таким образом можно исключить самые простые способы выделить вас из толпы тор пользователей со стороны наблюдателя, впрочем останутся другие не столь очевидые способы.
— Гость (09/07/2012 14:50)   <#>
Я так понимаю это происходит из-за того, что tor пытается вылезти из под дэфолтного шлюза. Как сделать так, чтобы tor ходил в сеть из-под моего шлюза, а все остальное из-под дэфолтного vpn-овского, с учетом того, что destination ip (входной узел тора) часто меняется и его нельзя прописать статическим маршрутом.
Если только костылями подпереть, т.е. использовать бриджи или зафиксировать публичные узлы через опции EntryNodes и т.д. Тогда, зная все эти фиксированные адреса, можно будет вписать прямые маршруты для тора.
— Гость (09/07/2012 15:13)   <#>
Интересно ещё почему:
Если в Proxy Settings OpenVPN-а выставить Manual Configuration на SocksProxy 127.0.0.1:9050, то сразу выдает ошибку

recv_socks_reply: Socks proxy returned bad reply

Вы используете tcp транспорт для впн?
— Гость (09/07/2012 16:22)   <#>

Вы считаете, что на его глобусе другой Tor — поддерживающий UDP?
— Гость (09/07/2012 16:41)   <#>
Не знаю про глобус, но udp по умолчанию в openvpn. Конфига не продемонстрировали, поэтому потребовались уточнения после такой ошибки как "returned bad reply".
— Гость (09/07/2012 17:07)   <#>
Топикстартер хочет «User → Tor → VPN → сеть». Как он, по-вашему, получит UDP на выходе из Tor-сети?
— Гость (09/07/2012 17:41)   <#>
Может у него свой глобус.
— Гость (10/07/2012 02:54)   <#>

I know what I do.

Ну и что, что выделяет? На любой exit-ноде неизвестно откуда именно пришел запрос.

1. Я не могу ничего править на сервере (нет административного доступа);
2. Тогда это должен быть tor exit relay, верно? Подключатся к которому будут все кому не лень. Канал же забьют.


Да. А по логам выше не видно?
— unknown (10/07/2012 09:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Вам предложили написать правило, по которому этот эксит будет экситом только для вашего VPN, так что обычные пользователи не будут выбирать его для своих запросов. Хотя это правило будет общедоступным в общей статистике и в отдалённой перспективе поможет некоему любопытному наблюдателю вычислять, кто же это пользуется узлом с таким странным правилом.
— Гость (10/07/2012 11:21)   <#>
А по логам выше не видно?
Нет, не видно.

Если вы такой хам, решайте свои проблемы сами, без форумов.
— Гость (10/07/2012 19:37)   <#>

Это наивность. Конечно, профилирование не приводит к моментальному раскрытию анонимности, но существенно её ухудшает, иногда — вплоть до раскрытия.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3