TOR over VPN
Возможно, данный вопрос уже обсуждался и ответы на него есть, но я не нашел и у самого не хватает ума как правильно впнировать (openvpn) TOR чтобы на выходе в сеть был тор, а не впн?
клиент(я) – ВПН – ТОР – инет
судя по тому какой видят IP у меня получается: клиент – ТОР (если он вообще работает) – ВПН – инет :(
По-моему, он видит VPN-соединение. А по-вашему?
В этом случае провайдер видит соединение с сетью Tor.
Так что там про фингерпринтинг сказать-то хотели?
Когда вы фигу в кармане держите, что
видит провайдервидно, карман или фигу?комментариев: 17 документов: 0 редакций: 0
Задавая вопрос, думал, что будет не сложнее, чем "включить" PGP-шифрование в мэйловый клиент (условно, конечно). Благодаря дискусси уяснил себе комплекс требуемых знаний.
Не-а. Точней, бывает, но редко, в основном пишу.
Хотели сказать, что ирония там ни к чему. Более того, часть атак по фингерпринтингу шифрованного трафика работают не только против VPN, но и против Tor. И если Tor хоть как-то затачивался на анонимность (хотя иные всё равно ругают его за padding), то openvpn — никогда. По умолчанию там пакеты разного размера, отправка идёт в слишком оптимизированные времена, поэтому самые упоротые модфиицируют OpenVPN так, чтобы размер пакетов был одинаковым, пакеты отправлялись по расписанию и т.д. Впрочем, если через OpenVPN гонится Tor-трафик, фингерпринтинг не так страшен.
Это уже радует :)
Вообще, есть много легко формулируемых задач, решение которых достаточно нетривиальны. Например: ПК подключен к двум провайдерам связи одновременно. На ПК заведено два пользователя. Надо сделать так, чтобы трафик одного пользователя шёл только через одного провайдера, а трафик другого — только через другого. И всё, ппц, без множественных таблиц маршрутизации и продвинутых фич в ядре такое не решить.
в Винде?:)
Это верно, если развивать тему и вдаваться в детали. А вопрос-то был простой, на самом деле: "что видит провайдер". И в этом комментарии был дан принципиально неверный ответ, хотя для автора того поста "очевидный". А вы пишите, что Гость правильно написал. Зачем? Для чего?
ТроллингКонтрирония?Вот. И в случае, когда что-то гонится через что-то, фингерпринт "не так страшен", не важно, тор через впн, или наоборот. Мы же рассматриваем случаи с комбинацией впн и тор, так зачем отвлекаться на фингерпринт? Можно было еще иронизировать про мосты и обфускацию, чего ж вы?
Вы имеете ввиду через две сетевухи к ПК или ПК через роутер, роутер к двум провам? Второй вариант предпочтительнее, на мой взгляд.
Я же, как правило, склоняюсь к простым решениям на практике и такие задачи, как два прова на одном ПК можно рассмотреть в теории, но на практике зачем? Как правило, стандартная схема — один пров – несколько ПК. А один ПК (не роутер) – несколько провов – это легкий изврат. Нет, у каждого свои
тараканызадачи и свои варианты их решения, но нагромождать, усложнять, на мой взгляд, не самая лучшая затея. Сюда же относится схема "впн через тор".Гость, в общем-то да. Предлагаю вынести вопрос на открытое голосование, что видит пров?)) Как видите, мнения немного разделились))
Не так много систем умеет несколько таблиц маршрутизации. Из мне известных: Linux, OpenBSD, FreeBSD. Например, NetBSD не умеет. Потом, как разруливать трафик по разным каналам в зависимости от юзера? Ну, допустим, pf в OpenBSD это умеет, но это же самое может не взлететь во FreeBSD. В Linux, конечно, работает, но там это делается чуть по-другому.
Ах, да, признаю. Я тоже ступил. Ну ответ-то правильный, за исключением того, что он случаи 1 и 2 местами перепутал (и, скорей всего, по случайности, а не по незнанию).
Да, две сетевухи в ПК.
К этой задаче элементарно своядтся куда более практические (но объяснять проще на двух сетевых, каждая к своему прову), такие как: провайдер один, ПК один, но трафик одного юзера надо пустить в интернет напрямую, а трафик другого — через VPN. Или, при таких же условиях, одного юзера через VPN, а другого через прозрачную торификацию.
Такое тоже бывает. В OpenBSD решить эту задачу даже проще, если на роутере и на ПК OpenBSD. На клиентах проставляем метки, дальше на роутере фильтруем по меткам (это так называемая «задача о раскраске трафика», если ничего не путаю), а вот когда пакет сразу рождается на роутере, присвоить ему правильный gw проблематично. Начинаются извраты (кажется, оно и в Linux так) типа тех, когда пакет рождается на одном интерфейсе с одним gw, а потом надо средствами firewall/ip/iproute2 перебросить его на другой интерфейс и сменить ему gw. Года 3 назад я с неделю мучился над этой задачей, но решить её так и не смог (OpenBSD была). Впрочем, там на тот момент это были совсем свежие опции, плохо документированные, глючные и т.д. и т.п. Сейчас, неверное, уже получилось бы. Тем не менее, разброс по разным провам для транзитного трафика я делал, всё было ОК. Интересно, что роутер может ретранслировать пакеты из одной сети в другую вообще буквально, т.е. не меняя у них ни MAC, ни src IP на свой собственный. В общем, машинерия внутренняя там не самая простая, что-то новое я понял, но явно не до конца.
«Спасибо за высокую оценку нашей работы...» ©
Адекватная оценка. Спасибо вам за ваши старания, опыт и документы с комментариями.
Спасибо всем, кто вносит свою лепту и развивает сайт, будь то комментарий, документ или топик.
Роутер можно собрать на старом ПК (0-100 баксов) да такой, что в принципе даст фору коробочным за $500 и выше.
А вообще есть SOHO-роутеры которые не монстры, но монстрики, я б так сказал. И по стоимости они сверхдемократичны. По функционалу – на уровне решения задач вплоть до ISP. По размеру – с пачку сигарет. Стоят они столько, что самое дешевое барахло, типа самых младших моделей D-link, возможно, уже снятых с производства, стоит лишь немногим дешевле, о каких 3 отдельных роутерах речь? Цена не дотягивает даже до 100 бакинских, в некоторых случаях и до 60-70.
Спасибо. Вклад других участников и гостей, которые задают продуманные и интересные вопросы, стимулируя дискуссию, не менее важен.
Помнится, какое-то время назад пиарились Soekris'ы в качестве железа под OpenBSD-роутеры. Правда, цена их на тот момент мне дешёвой не показалась.