VPN over Tor на одном хосте
Есть openVPN сервер, к которому хочу подключатся через Tor.+ нужно чтобы весь трафик, кроме Tor-овского заворачивался в vpn-туннэль.
ОС Windows XP. Все прибамбасы на одной машине.
Последовательность подключения такая:
1) Подключаю Tor.
2) Подключаю OpenVPN клиента через сокс-прокси 127.0.0.1:9050
3) Шлюз по умолчанию ставлю vpn-овский.
Проблемы следующие:
Если в Proxy Settings OpenVPN-а выставить Manual Configuration на SocksProxy 127.0.0.1:9050, то сразу выдает ошибку:
Далле пробую проксифицировать через Proxifier выставив для openvpn.exe соответствующее правило.
OpenVPN подключается. В проксифаере видно как он, туннэлирует траффик. Но vpn работает 10-15 сек. и потом обрубается:
В логе следующее:
Если убрать опцию redirect-gateway из конфига впна, то это дела не меняет. Дефолтный шлюз все равно прописывается vpn-овский и также рвется соединение.
Я так понимаю это происходит из-за того, что tor пытается вылезти из под дэфолтного шлюза. Как сделать так, чтобы tor ходил в сеть из-под моего шлюза, а все остальное из-под дэфолтного vpn-овского, с учетом того, что destination ip (входной узел тора) часто меняется и его нельзя прописать статическим маршрутом.
Зачем такие извращения? К тому же, здесь могут быть проблемы
- С внутренними timeout'ами OpenVPN (может, их можно подкрутить) — Tor не настолько быстрый транспорт.
- Смена/вымирание Exit-узлов Tor.
То, что, при прочих равных, «User → Tor → VPN → сеть» менее анонимно, чем «User → Tor → сеть», вы, наверно, и сами знаете.Если бы мне надо было решить такую задачу, я бы взял два компьютера: клиент и сервер. На сервере сделал бы прозрачную торификацию (линк раз[link1], линк два), а на клиенте бы запустил OpenVPN-клиент штатным образом. Правда, если вышеупомянутые проблемы с таймаутами действительно имеют место и фатальны, их всё равно пришлось бы решать (но это было бы проще и отлаживать легче, чем в вашей конфигурации).
С чего вы взяли? Т.е. то, что на выходной ноде твой трафик могут просмотреть, считается более анонимным да?
Спасибо вам за ссылки, но к сожалению у меня одна машина на Windows и нет возможности организовать отдельный сервер. Все -таки хотелось бы запускать данную свзяку с одной машины. Что если взять для Tor хостовую ОС, а vpn запускать в виртуальной?
TorPlusVPN[link2].
Отвыкаем путать анонимность и конфиденциальность.
Любая exit-нода легко выделяет вас в общем потоке, т.к. все идут на разные сайты, а вы всегда на один и тот же VPN, ну и unknown уже ответил.
Вам нужен специалист по продвинутым сетевым возможностям в Windows. На этом форуме такие более не обитают. Почему бы не обратиться на профильный форум?
Поднимите tor relay на машине с OpenVPN сервером. Добавьте в эксит полиси единственное разрешающее правило для публичного addr:port вашего OpenVPN сервера. И тогда получите возможность подключаться к впн не покидая сети тор. Или поднимите скрытый сервис, для этого потребуется только тор клиент на машине с впн сервером, но это увеличит латентность канала. Таким образом можно исключить самые простые способы выделить вас из толпы тор пользователей со стороны наблюдателя, впрочем останутся другие не столь очевидые способы.
Если только костылями подпереть, т.е. использовать бриджи или зафиксировать публичные узлы через опции EntryNodes и т.д. Тогда, зная все эти фиксированные адреса, можно будет вписать прямые маршруты для тора.
Интересно ещё почему:
Вы используете tcp транспорт для впн?
Вы считаете, что на его глобусе другой Tor — поддерживающий UDP?
Не знаю про глобус, но udp по умолчанию в openvpn. Конфига не продемонстрировали, поэтому потребовались уточнения после такой ошибки как "returned bad reply".
Топикстартер хочет «User → Tor → VPN → сеть». Как он, по-вашему, получит UDP на выходе из Tor-сети?
Может у него свой глобус.
I know what I do.
Ну и что, что выделяет? На любой exit-ноде неизвестно откуда именно пришел запрос.
1. Я не могу ничего править на сервере (нет административного доступа);
2. Тогда это должен быть tor exit relay, верно? Подключатся к которому будут все кому не лень. Канал же забьют.
Да. А по логам выше не видно?
Вам предложили написать правило, по которому этот эксит будет экситом только для вашего VPN, так что обычные пользователи не будут выбирать его для своих запросов. Хотя это правило будет общедоступным в общей статистике и в отдалённой перспективе поможет некоему любопытному наблюдателю вычислять, кто же это пользуется узлом с таким странным правилом.
Нет, не видно.
Если вы такой хам, решайте свои проблемы сами, без форумов.
Это наивность. Конечно, профилирование не приводит к моментальному раскрытию анонимности, но существенно её ухудшает, иногда — вплоть до раскрытия.
1. Можете, т.к. вам предлагают создать свой собственный и вам полностью подконтрольный Tor-сервер.
2. Unknown выше ответил.