TOR over VPN
Возможно, данный вопрос уже обсуждался и ответы на него есть, но я не нашел и у самого не хватает ума как правильно впнировать (openvpn) TOR чтобы на выходе в сеть был тор, а не впн?
клиент(я) – ВПН – ТОР – инет
судя по тому какой видят IP у меня получается: клиент – ТОР (если он вообще работает) – ВПН – инет :(
комментариев: 17 документов: 0 редакций: 0
Да, проблема решена:
1. VPN работает через Tor, приложение работает через VPN
2. познакомился с вопросом глубже, чем представлял себе
3. узнал о существенных особенностях схемы
Очень благодарю всех за неоценимую помощь в решении проблемы и желание помочь.
1. Tor через VPN – что по-вашему видит провайдер?
2. VPN через Tor – а в этом случае?
если честно, последний вариант мне вообще не понятен. зачем? ну да ладно..
Зы: сокр. ISP от англ. internet service provider.
в "японском проекте" рекомендуется использование TCP. это их особенность построения сети?
В первом случае видит факт использования Tor, во втором – VPN, очевидно. В обоих случаях фиксируется дата, время, направление объем переданных данных.
Как было сказано, UDP работает хорошо если ему не создают искусственных трудностей, TCP работает всегда. Бывают говнопровайдеры режущие длинные UDP пакеты или выделяющие под них самый низкий приоритет в целях борьбы с торрентами, они конечно пидорасы, но не всегда есть альтернатива. VPN по TCP часто вешают на портах 80 и 443 чтобы наебать слишком хитрых провайдеров, как правило помогает.
Если бы файерволл был отключен, он бы у всех так шёл, да, но файерволл (iptables) настроен так, чтобы не пускать напрямую в сеть никого (в том числе, root'а), кроме пользователя clearnet. Раз вы всё равно не пользуетесь подстраховкой от файерволла, его с таким же успехом можно не обходить через «Unsafe Web Browser», а вообще отключить.
Вы от Tails почти ничего не используете сейчас. С тем же успехом можно было бы взять почти любой Linux LiveCD и работать с него. Просто в Tails, если доводить до ума, надо сначала выполнять кучу команд с отключением того, что встроено, а потом дополнять новыми командами, которых не хватает, а в стандартном LiveCD отключать ничего не пришлось бы. Это, конечно, мелочи, но это так, на уровне общих замечаний. Есть ещё такой момент, как подборка «правильного для анонимности» софта. С этим на Tails, наверно, лучше, чем на других LiveCD.
В схеме «VPN-сервер → Tor-сеть → сайт» ISP тоже не узнает, причём VPN-сервер будет служить транзитом шифрованного трафика, поскольку Tor-клиент будет запущен у вас, а не на VPN-сервере. Если хочется избежать снифа на exit-нодах ценой лучшего профилирования, есть замечательная вещь, называется ssh. Запускаем proxychains ssh -D ПОРТ name@server, прописываем в браузере ПОРТ в качестве сокса и вперёд. Т.е. просто добавляем ещё один сокс с шифрованием на выходе из Tor-сети. Всё будет идти по ssh-протоколу, потому надёжно шифруется.
Есть куча сервисов, раздающих ssh даром, но потерпят ли они транзитный трафик в интернет, не знаю. Если есть собственный купленный VPS, то всё проще: ssh там будет включен по умолчанию, пароль на рута написан в личном кабинете.
Всегда пожалуйста.
Не забывайте, что в той схеме, которую используете, подстраховок никаких нет. В Tails настроено так, что анонимный пользователь (я так понимаю, amnesia) не может послать пакеты никуда, кроме как на локальные IP:порт, на которых слушает Tor-клиент. Все остальные попытки будут зарезаны. В вашем же случае настройкой iptables надо сделать так, чтобы amnesia (или какой другой пользователь, которым пользуетесь для серфинга по интернету), не мог послать ничего в обход VPN. В том, как у вас сейчас работает, этого не сделано. Т.е., amnesia страхуется, но вы пользуетесь не ей, а, по ходу, clearnet. Соответственно, любая опечатка в командной строке (забыли написать proxychains перед openvpn или ещё что) или ошибка в ваших действиях, или уязвимость в софте элементарно обеспечивают полный деанон. Т.е. риск таков, что трафик в случе ошибки пойдёт не как Tor-сеть → VPN-сервер, а просто напрямую на целевой сайт с вашего же IP.
Если цепочка не будет рваться длительный срок, анонимности вообще кирдык может прийти. Это одна из причин, по которой не рекомендуют качать большие файлы и даже запускать софт, который постоянно держит соединение:
Если вдруг цепочка всё же оборвётся по каким-то причинам, OpenVPN-клиент должен попытаться пересоединиться с VPN-сервером снова. Так оно по умолчанию работает.
Капитан очевидность хочет напомнить, что VPN делает универсальный ethernet-туннель и виртуальный сетевой инфтерфейс (обычно tap, но иногда tun) независимо от того, поверх чего этот VPN положили (UDP или TCP). Собственно, поэтому VPN и есть универсальный способ перенаправления всего трафика через хост.
комментариев: 17 документов: 0 редакций: 0
1. VPN-трафик (и адрес получателя?)
2. Tor-трафик и ничего более (DNS, NTP опускаем)
Здесь смысл в попытке использовать готовое решение, которому я доверяю с позиции своих скудных знаний. Я не смогу засунуть Tails в VPN. Самостоятельно поднять "самодельный Tails" не хватит знаний. Показалось, что проще засунуть VPN в Tor.
Не фиксировал ее, все должно быть по дефолтным настройкам Tails.
Кажется, при смене выходной ноды VPN не обрывается. Раз в час выполняется
ну вот, значит и здесь провайдер не видит. только в этот канал вы еще и Тор запускаете. имхо, дополнительной шифрование, если vpn шифрует конечно.
а вот это как раз и не лучше. к vpn, по моему мнению, провайдер отнесется мнее подозрительно, чем к Тор, вокгруг которого последнее время столько возни.
комментариев: 17 документов: 0 редакций: 0
Обходить ФВ это не цель. Выше предложили отключить сетевые настройки в браузере. Ковыряясь, нашел «Unsafe Web Browser» и попробовал, не зная, что творю. Вообще-то хотелось бы, чтобы браузер пошел в сеть не обходя ФВ. Не пойму, где долблюсь головой о стену:
– Vidalia заворачивает траф на 127.0.0.1 9050
– sudo proxychains заворачивает openvpn на Socks4 127.0.0.1 9050
– в браузере стоит Socks5 127.0.0.1 9063
По какой причине браузер нормально не проходит в VPN? Это же не в обход ФВ, кажется. Или ФВ "считает", что траф, предназначенный для VPN – это не тот, который предназначен для сокета Tor/Vidalia? Но, оба эти трафа, ведь, на одном сокете.
Извините, Вам, наверное, смешно такое читать.
так по умолчанию.
это iceweasel просто настроен не сохрянять куки, историю и т.д. без настроек proxy\socks поэтому то он у вас и проскакивает в VPN, ну теперь в proxychains -> тор
iptables-save видите? Трафик от amnesia разрешается только на порты Tor. Попытка прямой отсылки пакета в сеть (это надо для VPN) режется, поскольку ни одно правило под этот случай не подходит.
Адрес — нет. Только адрес VPN-сервера.
Это как?
Да, смена ключа в VPN должна происходить время от времени согласно протоколу OpenVPN. Сам канал при этом, естественно, не обрывается.
Тред не читай, сразу отвечай. Что сказать-то хотел, собственно? Всяко не хуже, чем VPN-сервак после Tor'а.
FUD, ни чуть не менее, особенно, если это не местный VPN-сервер, а IP какого-то сервиса за бугром для всех (VPN организации, который нужен бывает по работе, легко отличить от таковых). К тому же, если кто-то что-то натворит из клиентов VPN-провайдера, провести перебор всех его клиентов будет намного проще, чем перебрать всех пользователей Tor.
Обходить — значит, пускать трафик под тем юзером, к которому не применены блокирующие и страховочные политики. Для простоты считайте, что при использовании «Unsafe Web Browser» никакого файерволла нет. Советовал вам я.
Почему вы решили, что браузер должен идти в VPN? Его трафик видалия заворачивает на порт Tor'а, вы же сами это и пишете. Если же вы включаете соединение напрямую, его трафик будет заблокирован файерволлом, потому что там, по умолчанию, в Tails, такие правила iptables.
Да, не тот. Файерволл фильтрует по портам и IP. Для работы в VPN надо иметь право посылать пакеты на какой угодно IP:порт с сетевого интерфейса tun1 и IP=10.9.1.146. Для работы же с Tor надо иметь право посылать что угодно с интерфейса lo и IP=127.0.0.1 на всё тот же IP=127.0.0.1 и порт=9050. Разницу чувствуете?
Сокеты тут ни при чём.
Это не смешно, это скорее annoying. Человек ещё не научился ходить, но просит объяснить, как ему подготовиться к полёту в космос. Или человек, которые не представляет, что находится под капотом машины и никогда не работал руками, но хочет чтобы другие люди его руками поменяли ему движок и затюнинговали тачку, да ещё так, чтобы и безопасно было, и ездила она хорошо.
Я бы посоветовал изучить, как работает iptables, причём не браться сразу за амбициозные задачи, а порешать для начала простые примеры, чтобы понять, как он работает, научиться фиксить проблемы и искать ошибки. Ну, и заодного базовые понятия работы с сетью уяснить: что такое сетевой пакет, какие у него параметры, как по ним фильтрует файерволл. Что такое параметры пакета (src IP, dst IP, src порт, dst порт), сетевой интерфейс, как задаётся (хотя бы простейший) роутинг в сети. Ну, т.е. самые-самые основы компьютерной грамотности, иначе без этого вам не будет понятно, что такое файерволл вообще. На самом деле файерволл — это такая машинка, которая пропускает пакет или не пропускает в зависимости от вышеприведённых параметров пакета и сетевого интерфейса либо ещё, помимо того, модифицирует указанные поля в сетевом пакете. Математически iptables — конечный автомат.
Кстати, вам никто не мешает отключить iptables совсем, всё равно файерволлом не пользуетесь сейчас. В /comment50392 в конце написано, что для этого надо выполнить. Если так сделаете, под стандартным браузером всё тоже будет идти в VPN, только сокс-прокси в настройках сети там отключите, т.е., чтоб был direct connection.