id: Гость   вход   регистрация
текущее время 10:52 29/03/2024
создать
просмотр
ссылки

TOR over VPN


Возможно, данный вопрос уже обсуждался и ответы на него есть, но я не нашел и у самого не хватает ума как правильно впнировать (openvpn) TOR чтобы на выходе в сеть был тор, а не впн?
клиент(я) – ВПН – ТОР – инет
судя по тому какой видят IP у меня получается: клиент – ТОР (если он вообще работает) – ВПН – инет :(


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Serpentador (02/06/2013 21:22)   профиль/связь   <#>
комментариев: 17   документов: 0   редакций: 0
Значит, проблема решена?


Да, проблема решена:

1. VPN работает через Tor, приложение работает через VPN
2. познакомился с вопросом глубже, чем представлял себе
3. узнал о существенных особенностях схемы

Очень благодарю всех за неоценимую помощь в решении проблемы и желание помочь.
— Гость (02/06/2013 23:06)   <#>
Схема VPN сквозь Tor мне теоретически интересна потому, что IPS никак не узнает
как то все перевернуто. вы уверены в своих утверждениях?

1. Tor через VPN – что по-вашему видит провайдер?
2. VPN через Tor – а в этом случае?

если честно, последний вариант мне вообще не понятен. зачем? ну да ладно..

Зы: сокр. ISP от англ. internet service provider.
— Гость (02/06/2013 23:11)   <#>
1. VPN работает через Tor, приложение работает через VPN
хотелось бы уточнить следующее: у вас цепочка фиксированная? в заданный промежуток времени не меняет узлы? если меняет, то каким образом канал VPN не обрывается? или он каждый раз реконнектится, как только меняется выходная нода?
— Гость (03/06/2013 10:28)   <#>
сначала VPN через UDP, потом Tor
вот этот вопрос меня интересовал. а как быть с тем что Тор работает через ТСР? Тср через Udp?

а VPN через TCP вообще не рекомендуется
в "японском проекте" рекомендуется использование TCP. это их особенность построения сети?
— Гость (03/06/2013 10:33)   <#>
1. Tor через VPN – что по-вашему видит провайдер?
2. VPN через Tor – а в этом случае?

В первом случае видит факт использования Tor, во втором – VPN, очевидно. В обоих случаях фиксируется дата, время, направление объем переданных данных.
— Гость (03/06/2013 10:44)   <#>
вот этот вопрос меня интересовал. а как быть с тем что Тор работает через ТСР? Тср через Udp?
Tor работает через VPN. VPN это такая виртуальная сетевушка которая как-бы виртуально подключена к проводу где-нибудь в Амстердаме. Соответственно через VPN идет всё что может идти через сетевуху, а какой там ниже транспорт – скрыто от конечного приложения. UDP лучший транспорт для VPN с точки зрения качества связи.

в "японском проекте" рекомендуется использование TCP. это их особенность построения сети?
Как было сказано, UDP работает хорошо если ему не создают искусственных трудностей, TCP работает всегда. Бывают говнопровайдеры режущие длинные UDP пакеты или выделяющие под них самый низкий приоритет в целях борьбы с торрентами, они конечно пидорасы, но не всегда есть альтернатива. VPN по TCP часто вешают на портах 80 и 443 чтобы наебать слишком хитрых провайдеров, как правило помогает.
— Гость (03/06/2013 11:30)   <#>
да вижу )) 443, 995 и 465 (почтовые ssl\tls)
— Гость (03/06/2013 11:47)   <#>

Если бы файерволл был отключен, он бы у всех так шёл, да, но файерволл (iptables) настроен так, чтобы не пускать напрямую в сеть никого (в том числе, root'а), кроме пользователя clearnet. Раз вы всё равно не пользуетесь подстраховкой от файерволла, его с таким же успехом можно не обходить через «Unsafe Web Browser», а вообще отключить.


Вы от Tails почти ничего не используете сейчас. С тем же успехом можно было бы взять почти любой Linux LiveCD и работать с него. Просто в Tails, если доводить до ума, надо сначала выполнять кучу команд с отключением того, что встроено, а потом дополнять новыми командами, которых не хватает, а в стандартном LiveCD отключать ничего не пришлось бы. Это, конечно, мелочи, но это так, на уровне общих замечаний. Есть ещё такой момент, как подборка «правильного для анонимности» софта. С этим на Tails, наверно, лучше, чем на других LiveCD.


В схеме «VPN-сервер → Tor-сеть → сайт» ISP тоже не узнает, причём VPN-сервер будет служить транзитом шифрованного трафика, поскольку Tor-клиент будет запущен у вас, а не на VPN-сервере. Если хочется избежать снифа на exit-нодах ценой лучшего профилирования, есть замечательная вещь, называется ssh. Запускаем proxychains ssh -D ПОРТ name@server, прописываем в браузере ПОРТ в качестве сокса и вперёд. Т.е. просто добавляем ещё один сокс с шифрованием на выходе из Tor-сети. Всё будет идти по ssh-протоколу, потому надёжно шифруется.

Есть куча сервисов, раздающих ssh даром, но потерпят ли они транзитный трафик в интернет, не знаю. Если есть собственный купленный VPS, то всё проще: ssh там будет включен по умолчанию, пароль на рута написан в личном кабинете.


Всегда пожалуйста.

Не забывайте, что в той схеме, которую используете, подстраховок никаких нет. В Tails настроено так, что анонимный пользователь (я так понимаю, amnesia) не может послать пакеты никуда, кроме как на локальные IP:порт, на которых слушает Tor-клиент. Все остальные попытки будут зарезаны. В вашем же случае настройкой iptables надо сделать так, чтобы amnesia (или какой другой пользователь, которым пользуетесь для серфинга по интернету), не мог послать ничего в обход VPN. В том, как у вас сейчас работает, этого не сделано. Т.е., amnesia страхуется, но вы пользуетесь не ей, а, по ходу, clearnet. Соответственно, любая опечатка в командной строке (забыли написать proxychains перед openvpn или ещё что) или ошибка в ваших действиях, или уязвимость в софте элементарно обеспечивают полный деанон. Т.е. риск таков, что трафик в случе ошибки пойдёт не как Tor-сеть → VPN-сервер, а просто напрямую на целевой сайт с вашего же IP.


/comment48431: Если соединение установлено, оно идёт по той же цепочке. Цепочка не рвётся до тех пор, пока юзается какой-то программой.

Если цепочка не будет рваться длительный срок, анонимности вообще кирдык может прийти. Это одна из причин, по которой не рекомендуют качать большие файлы и даже запускать софт, который постоянно держит соединение:

Также нежелательно прогонять через Tor подписки новостей RSS, погодные информеры и всё то, что имеет свойство долго или постоянно держать соединение

Если вдруг цепочка всё же оборвётся по каким-то причинам, OpenVPN-клиент должен попытаться пересоединиться с VPN-сервером снова. Так оно по умолчанию работает.


Капитан очевидность хочет напомнить, что VPN делает универсальный ethernet-туннель и виртуальный сетевой инфтерфейс (обычно tap, но иногда tun) независимо от того, поверх чего этот VPN положили (UDP или TCP). Собственно, поэтому VPN и есть универсальный способ перенаправления всего трафика через хост.
— Serpentador (03/06/2013 11:57)   профиль/связь   <#>
комментариев: 17   документов: 0   редакций: 0
вы уверены в своих утверждениях?
Нет, это предположения.

1.
Tor через VPN – что по-вашему видит провайдер?
VPN-трафик (и адрес получателя?)

2.
VPN через Tor – а в этом случае?
Tor-трафик и ничего более (DNS, NTP опускаем)

если честно, последний вариант мне вообще не понятен. зачем?


Здесь смысл в попытке использовать готовое решение, которому я доверяю с позиции своих скудных знаний. Я не смогу засунуть Tails в VPN. Самостоятельно поднять "самодельный Tails" не хватит знаний. Показалось, что проще засунуть VPN в Tor.

у вас цепочка фиксированная?

Не фиксировал ее, все должно быть по дефолтным настройкам Tails.

в заданный промежуток времени не меняет узлы? если меняет, то каким образом канал VPN не обрывается? или он каждый раз реконнектится, как только меняется выходная нода?

Кажется, при смене выходной ноды VPN не обрывается. Раз в час выполняется
— Гость (03/06/2013 12:35)   <#>
есть замечательная вещь, называется ssh
не слишком ли шоколадно получится vpn – tor – ssh ) ping не менее 500 ms? где-нибудь что-нибудь затеряется в передачи данных.

VPN-трафик (и адрес получателя?)
ну вот, значит и здесь провайдер не видит. только в этот канал вы еще и Тор запускаете. имхо, дополнительной шифрование, если vpn шифрует конечно.

Tor-трафик и ничего более
а вот это как раз и не лучше. к vpn, по моему мнению, провайдер отнесется мнее подозрительно, чем к Тор, вокгруг которого последнее время столько возни.
— Serpentador (03/06/2013 12:46, исправлен 03/06/2013 12:48)   профиль/связь   <#>
комментариев: 17   документов: 0   редакций: 0
Если бы файерволл был отключен, он бы у всех так шёл, да, но файерволл (iptables) настроен так, чтобы не пускать напрямую в сеть никого (в том числе, root'а), кроме пользователя clearnet. Раз вы всё равно не пользуетесь подстраховкой от файерволла, его с таким же успехом можно не обходить через «Unsafe Web Browser», а вообще отключить.

Обходить ФВ это не цель. Выше предложили отключить сетевые настройки в браузере. Ковыряясь, нашел «Unsafe Web Browser» и попробовал, не зная, что творю. Вообще-то хотелось бы, чтобы браузер пошел в сеть не обходя ФВ. Не пойму, где долблюсь головой о стену:


– Vidalia заворачивает траф на 127.0.0.1 9050
– sudo proxychains заворачивает openvpn на Socks4 127.0.0.1 9050
– в браузере стоит Socks5 127.0.0.1 9063


По какой причине браузер нормально не проходит в VPN? Это же не в обход ФВ, кажется. Или ФВ "считает", что траф, предназначенный для VPN – это не тот, который предназначен для сокета Tor/Vidalia? Но, оба эти трафа, ведь, на одном сокете.


Извините, Вам, наверное, смешно такое читать.

— Гость (03/06/2013 13:08)   <#>
Vidalia заворачивает траф на 127.0.0.1 9050
Advanced – Tor Control: Use Unix domain socket (ControlSocket) – Path: /var/run/tor/control
так по умолчанию.
— Гость (03/06/2013 13:15)   <#>
По какой причине браузер нормально не проходит в VPN?
наверно потому, что ему явно указано идти на сокс5 127.0.0.1 9063

«Unsafe Web Browser»
это iceweasel просто настроен не сохрянять куки, историю и т.д. без настроек proxy\socks поэтому то он у вас и проскакивает в VPN, ну теперь в proxychains -> тор
— Гость (03/06/2013 14:40)   <#>
По какой причине браузер нормально не проходит в VPN?

iptables-save видите? Трафик от amnesia разрешается только на порты Tor. Попытка прямой отсылки пакета в сеть (это надо для VPN) режется, поскольку ни одно правило под этот случай не подходит.
— Гость (03/06/2013 17:35)   <#>
Tor через VPN – что по-вашему видит провайдер?
VPN-трафик (и адрес получателя?)

Адрес — нет. Только адрес VPN-сервера.

засунуть Tails в VPN.

Это как?

Раз в час выполняется

Да, смена ключа в VPN должна происходить время от времени согласно протоколу OpenVPN. Сам канал при этом, естественно, не обрывается.

не слишком ли шоколадно получится vpn – tor – ssh ) ping не менее 500 ms? где-нибудь что-нибудь затеряется в передачи данных.

Тред не читай, сразу отвечай. Что сказать-то хотел, собственно? Всяко не хуже, чем VPN-сервак после Tor'а.

к vpn, по моему мнению, провайдер отнесется мнее подозрительно, чем к Тор, вокгруг которого последнее время столько возни.

FUD, ни чуть не менее, особенно, если это не местный VPN-сервер, а IP какого-то сервиса за бугром для всех (VPN организации, который нужен бывает по работе, легко отличить от таковых). К тому же, если кто-то что-то натворит из клиентов VPN-провайдера, провести перебор всех его клиентов будет намного проще, чем перебрать всех пользователей Tor.

Обходить ФВ это не цель. Выше предложили отключить сетевые настройки в браузере. Ковыряясь, нашел «Unsafe Web Browser» и попробовал, не зная, что творю.

Обходить — значит, пускать трафик под тем юзером, к которому не применены блокирующие и страховочные политики. Для простоты считайте, что при использовании «Unsafe Web Browser» никакого файерволла нет. Советовал вам я.

– Vidalia заворачивает траф на 127.0.0.1 9050
– sudo proxychains заворачивает openvpn на Socks4 127.0.0.1 9050
– в браузере стоит Socks5 127.0.0.1 9063
По какой причине браузер нормально не проходит в VPN?

Почему вы решили, что браузер должен идти в VPN? Его трафик видалия заворачивает на порт Tor'а, вы же сами это и пишете. Если же вы включаете соединение напрямую, его трафик будет заблокирован файерволлом, потому что там, по умолчанию, в Tails, такие правила iptables.

ФВ "считает", что траф, предназначенный для VPN – это не тот, который предназначен для сокета Tor/Vidalia?

Да, не тот. Файерволл фильтрует по портам и IP. Для работы в VPN надо иметь право посылать пакеты на какой угодно IP:порт с сетевого интерфейса tun1 и IP=10.9.1.146. Для работы же с Tor надо иметь право посылать что угодно с интерфейса lo и IP=127.0.0.1 на всё тот же IP=127.0.0.1 и порт=9050. Разницу чувствуете?

Но, оба эти трафа, ведь, на одном сокете.

Сокеты тут ни при чём.

Извините, Вам, наверное, смешно такое читать.

Это не смешно, это скорее annoying. Человек ещё не научился ходить, но просит объяснить, как ему подготовиться к полёту в космос. Или человек, которые не представляет, что находится под капотом машины и никогда не работал руками, но хочет чтобы другие люди его руками поменяли ему движок и затюнинговали тачку, да ещё так, чтобы и безопасно было, и ездила она хорошо.

Я бы посоветовал изучить, как работает iptables, причём не браться сразу за амбициозные задачи, а порешать для начала простые примеры, чтобы понять, как он работает, научиться фиксить проблемы и искать ошибки. Ну, и заодного базовые понятия работы с сетью уяснить: что такое сетевой пакет, какие у него параметры, как по ним фильтрует файерволл. Что такое параметры пакета (src IP, dst IP, src порт, dst порт), сетевой интерфейс, как задаётся (хотя бы простейший) роутинг в сети. Ну, т.е. самые-самые основы компьютерной грамотности, иначе без этого вам не будет понятно, что такое файерволл вообще. На самом деле файерволл — это такая машинка, которая пропускает пакет или не пропускает в зависимости от вышеприведённых параметров пакета и сетевого интерфейса либо ещё, помимо того, модифицирует указанные поля в сетевом пакете. Математически iptables — конечный автомат.

Кстати, вам никто не мешает отключить iptables совсем, всё равно файерволлом не пользуетесь сейчас. В /comment50392 в конце написано, что для этого надо выполнить. Если так сделаете, под стандартным браузером всё тоже будет идти в VPN, только сокс-прокси в настройках сети там отключите, т.е., чтоб был direct connection.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3