id: Гость   вход   регистрация
текущее время 16:38 23/03/2019
Автор темы: Piano, тема открыта 14/04/2016 22:30 Печать
Категории: анонимность
https://www.pgpru.com/Форум/АнонимностьВИнтернет/SSH-туннель-ЭтоВовсеНеТуннель
создать
просмотр
ссылки

В свое время, начитавшись подобных статеек о "VPN-туннеле для бедных"
http://www.opennet.ru/tips/info/1691.shtml обзавелся таким, и наделся, что надежно спрятался от длинных местных ушей.
Но недавно, забредя на сайт https://2ip.ru и нажав ссылку "Проверка анонимности", так внутри просто таки похолодело :((
Оказывается этот "туннель" хотя и подствляет другой IP, но выдает с головой по параметру "Утечка DNS", подставляя в нем моего местного провайдера :(
Как пофиксить эту утечку??


 
На страницу: 1, 2 След.
Комментарии
— SATtva (15/04/2016 09:38)   профиль/связь   <#>
комментариев: 11538   документов: 1036   редакций: 4088
Задача VPN — только защита трафика; резолвинг DNS — ортогональная операция, а обеспечение анонимности — вообще не то, ради чего VPN был придуман. Ваша проблема в том, что задачу обеспечения анонимности Вы решаете негодными методами.
— Гость_ (15/04/2016 14:20, исправлен 15/04/2016 14:21)   профиль/связь   <#>
комментариев: 445   документов: 9   редакций: 13

В настройках firefox (about:config) есть опция network.proxy.socks_remote_dns, которая должна быть true, а по умолчанию false. Умолчания таковы, потому что... [мат вырезан цензурой]. Короче, в противном случае DNS-резволинг был бы через прокси. Однако, как уже сказал SATtva, эти крохи глобально всё равно ничего не меняют, ещё тысячи дыр и утечек останутся. Используйте специализированные для анонимности средства, такие как Tor Browser Bundle.

— Piano (15/04/2016 16:01)   профиль/связь   <#>
комментариев: 107   документов: 14   редакций: 13
обеспечение анонимности — вообще не то, ради чего VPN был придуман.
Т.е. если бы я даже использовал полноценный OpenVPN эта проблема тоже могла возникнуть?

Используйте специализированные для анонимности средства, такие как Tor Browser Bundle.

Да если бы! Проблема в том что эти скромные 1000 серверов Тор забиты в черные списки многих сайтов, и они не пускают. Приходится заказывать мини-сервера и туннелиовать через них.

Однако, как уже сказал SATtva, эти крохи глобально всё равно ничего не меняют, ещё тысячи дыр и утечек останутся.

А что, если в VPN исползовать не ФФ, а Tor Browser Bundle, в котором этих дыр меньше? Он позволяет такое нестандартное использование?
— sentaus (15/04/2016 17:32)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
Т.е. если бы я даже использовал полноценный OpenVPN эта проблема тоже могла возникнуть?

Да, вполне может возникнуть.
— Гость_ (15/04/2016 23:34)   профиль/связь   <#>
комментариев: 445   документов: 9   редакций: 13

В простых случаях помогают web-прокси типа https://filterbypass.me.


Если TBB запускается после OpenVPN с дефолтной конфигурацией, то Tor-трафик пойдёт через VPN: юзер → VPN-сервер → Tor-сеть → Интернет. Однако, без понимания все эти примочки мало что дадут — нужно iptables настраивать, чтобы левый трафик в обход проксей и VPN блокировался. Был бы у вас настроен iptables — проблема с утечкой DNS не возникла бы.
— Piano (16/04/2016 18:01)   профиль/связь   <#>
комментариев: 107   документов: 14   редакций: 13
Но если настроен VPN, например, в Виндовс PPTP или L2TP, то возникает новое сетевое соединение, через которое канализируется ВЕСЬ трафик, включая DNS, а обычное соединение, которое было это этого, блокируется для всех соединений – разве не так?

PS. TBB/TOR еще имеет тот недостаток, что работает только с http, а этого явно маловато.
— гыук (16/04/2016 18:07, исправлен 16/04/2016 18:14)   профиль/связь   <#>
комментариев: 270   документов: 0   редакций: 0

Какая ОС и какой браузер вы используете?
Что показывает whoer.net/ext (ext – расширенная)?


Самое простое, вне зависимости от ОС, изменить/установить DNS в настройках соединения. Например, 8.8.8.8 или нортоновские или opendns.
Google вам поможет в выборе.
Более сложный вариант – установка dnscrypt.
Что касается openvpn, то в конфиге иногда прописывается dns.
В любом случае, как уже советовалось, нужно в дополнение настраивать firewall/iptables.



В настоящее время использование PPTP не рекомендуется. Здесь на форуме есть информация на эту тему в том числе.



При условии правильного роутинга.


Делайте прозрачное проксирование. Если Win, то можно использовать proxifier, в нем же есть принудительный DNS-резволинг.



Недостатков везде хватает. А чего вас не беспокоит выходная нод? ))

— Piano (16/04/2016 19:55)   профиль/связь   <#>
комментариев: 107   документов: 14   редакций: 13

Пробовл линукс и ФФ, но думаю в винде будет такая же утечка
То и показывал, что утечка в DNS, ip местного прова. Кстати, этот whoer явяется полной гарантией, что утечек если они им не обнаружены, в самом деле нет?

Прозрачное прокси через HTTP-прокси? Это надо еще его заиметь. Но допустим, обзавелся – чем он поможет? Ведь этот прокси будет использовать dns сервера, на котором установлен.

В двух словах что-там – недостаточная крипто стойкость?

А почему она меня должна беспокоить? :)
— гыук (16/04/2016 21:10, исправлен 16/04/2016 21:12)   профиль/связь   <#>
комментариев: 270   документов: 0   редакций: 0

Проблема, которую вы описали, в какой системе?



Ну так сделайте, как минимум, изменение в настройках соединения. А потом будете размышлять в каком направлении двигаться.



Что заиметь? Проксификатор? Назовите свою операционную систему и вам подскажут инструмент.



Вот например Почитайте.



Восполняйте пробелы в знаниях.


Поверхностные знания не позволяют вам сформулировать что вы хотите.

— Piano (16/04/2016 22:27, исправлен 16/04/2016 22:28)   профиль/связь   <#>
комментариев: 107   документов: 14   редакций: 13

Вы имеете в виду выставить 8.8.8.8 или что-то подобное? Если да, тогда владельцы этих dns будут знать, по каким сайтам ходит мой локальный комп, разве нет?


Систем две: XP и Debian.


Знания конечно надо обновлять, но когда это еще будет ;) Поэтому просьба ответить на тот же вопрос:


Потому что как бы я не старался настроить VPN, но допуущу где-то ошибку. И чтобы выявить ее нужен независимый внешний тест-контроль.
Whoer надежен в этотм отношении или надо что-то другое?

— гыук (16/04/2016 22:49, исправлен 16/04/2016 22:55)   профиль/связь   <#>
комментариев: 270   документов: 0   редакций: 0

Тогда вам нужен свой интернет. Там точно никто ничего знать не будет кроме вас.
https://yandex.ru/search/?text=безопасный%20dns%20сервер
http://www.comss.ru/list.php?c=securedns
Или ставьте Dnscrypt


Еще раз: Сформулируйте четко вопрос. Что вы хотите?



Да кто вам даст полные гарантии? Сервис предложен как более глубокая альтернатива 2ip.ru.
Может еще наглядите что у вас там не в порядке.
Например здесь: Javascript, Flash, Java, ActiveX, WebRTC.

— Piano (16/04/2016 23:31)   профиль/связь   <#>
комментариев: 107   документов: 14   редакций: 13
Что хочу? Да вроде бы самую малость: чтобы в "ближней миле" не знали, куда я хожу и что делаю на том конце "трубы".
До этого считал, что любой VPN обеспечивает эту задачу автоматически, но судя по тому, что сегодня здесь узнал, утечка DNS в "ближней миле" имеет место быть, и вопрос с ее нейтрализацией является отдельной задачей.
Хотя может быть, я вас неправильно понял.
— Гость_ (17/04/2016 00:34, исправлен 17/04/2016 00:35)   профиль/связь   <#>
комментариев: 445   документов: 9   редакций: 13

Настройки по умолчанию обычно таковы, верно, но если тунель внезапно оборвётся, весь этот трафик пойдёт напрямую. И есть тысячи мелочей, когда надежда на тунель всё равно не спасёт, поэтому нужен firewall. Виндовс здесь оффтопик.



А мужики-то не знают! Tor работает с любым TCP-трафиком, причём проблема с DNS решается сама собой автоматически: DNS-резолвинг делает exit-нода Tor-а. К Tor-у можно прицеплять не только TBB, но и другие сетевые программы. Разговор о DNS имеет смысл вести только для того трафика, который не идёт в Tor.

— Piano (17/04/2016 01:02, исправлен 17/04/2016 01:04)   профиль/связь   <#>
комментариев: 107   документов: 14   редакций: 13

Что, и SSH можно пропустить по Тору?? Подозреваю что он будет постоянно рваться, это же не http, котрый на это рассситан.


Но все равно, даже если и не будет рваться, TOR не панацея: как-то попробовал с его помощью зарегиться на яндекс-деньгах. На его почте зарегился без проблем, но когда сунулся на money, то сходу получил облом: с вашего айпи шибко много сооединений!
Как не перебирал выходные ноды ,ничего не помогло. Потом понял, что яндекс тупо вбил все торовские айпишники и тупо блокирует с них доступ. Центробанк желает знать, кто конкрентно держит денежки на яндексе :))
После этого пришлось обратить внимание на впн.

— Гость_ (17/04/2016 15:58)   профиль/связь   <#>
комментариев: 445   документов: 9   редакций: 13

Любой TCP, включая SSH и всё остальное.


Не будет, просто конкретная цепочка не будет обновляться, пока активно соединение.


По HTTP часами качают гигабайтные файлы. Как, по-вашему, это происходит?


Это не проблемы Tor-а, любой сайт может его блочить. Ищите дополнительные чистые прокси, которые можно поставить между Tor-ом и сайтом (любой SSH-сервер сойдёт, он поддерживает режим SOCKS-прокси). VPN после Tor-а – неудобство и перебор.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3