VPN over Tor на одном хосте

Есть openVPN сервер, к которому хочу подключатся через Tor.
+ нужно чтобы весь трафик, кроме Tor-овского заворачивался в vpn-туннэль.
ОС Windows XP. Все прибамбасы на одной машине.
Последовательность подключения такая:
1) Подключаю Tor.
2) Подключаю OpenVPN клиента через сокс-прокси 127.0.0.1:9050
3) Шлюз по умолчанию ставлю vpn-овский.

Проблемы следующие:
Если в Proxy Settings OpenVPN-а выставить Manual Configuration на SocksProxy 127.0.0.1:9050, то сразу выдает ошибку:

Thu Jul 05 12:07:39 2012 Attempting to establish TCP connection with 127.0.0.1:9050
Thu Jul 05 12:07:39 2012 TCP connection established with 127.0.0.1:9050
Thu Jul 05 12:07:39 2012 recv_socks_reply: Socks proxy returned bad reply
Thu Jul 05 12:07:39 2012 TCP/UDP: Closing socket
Thu Jul 05 12:07:39 2012 SIGTERM[soft,init_instance] received, process exiting

Далле пробую проксифицировать через Proxifier выставив для openvpn.exe соответствующее правило.
OpenVPN подключается. В проксифаере видно как он, туннэлирует траффик. Но vpn работает 10-15 сек. и потом обрубается:
В логе следующее:

Thu Jul 05 17:11:28 2012 NOTE: Release of DHCP-assigned IP address lease on TAP-Win32 adapter failed: Не удается найти указанный файл.   (code=2)
Thu Jul 05 07 17:11:28 2012 WARNING: Failed to renew DHCP IP address lease on TAP-Win32 adapter: Не удается найти указанный файл.   (code=2)
Thu Jul 05 17:11:33 2012 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Thu Jul 05 17:11:33 2012 ROUTE remote_host is LOCAL
Thu Jul 05 17:11:33 2012 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 vpn-шлюз
Thu Jul 05 17:11:33 2012 Route addition via IPAPI succeeded [adaptive]
Thu Jul 05 17:11:33 2012 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 vpn-шлюз
Thu Jul 05 17:11:33 2012 Route addition via IPAPI succeeded [adaptive]
Thu Jul 05 17:11:33 2012 Initialization Sequence Completed
Thu Jul 05 17:11:33 2012 Start net commands...
Thu Jul 05 17:11:33 2012 C:\WINDOWS\system32\net.exe stop dnscache
Thu Jul 05 17:11:33 2012 C:\WINDOWS\system32\net.exe start dnscache
Thu Jul 05 17:11:36 2012 C:\WINDOWS\system32\ipconfig.exe /flushdns

Настройка протокола IP для Windows

Успешно сброшен кэш распознавателя DNS.

Thu Jul 05 17:11:36 2012 C:\WINDOWS\system32\ipconfig.exe /registerdns
Настройка протокола IP для Windows

Начата регистрация записей ресурсов DNS для всех адаптеров этого компьютера.

Отчет о каких-либо ошибках будет записан в журнал событий в течение 15 минут.

Thu Jul 05 17:11:37 2012 End net commands...
Thu Jul 05 17:12:13 2012 [OpenVPN_Server] Inactivity timeout (--ping-restart), restarting
Thu Jul 05 17:12:13 2012 TCP/UDP: Closing socket
Thu Jul 05 17:12:13 2012 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 128.0.0.0 vpn-шлюз
Thu Jul 05 17:12:13 2012 Route deletion via IPAPI succeeded [adaptive]
Thu Jul 05 17:12:13 2012 C:\WINDOWS\system32\route.exe DELETE 128.0.0.0 MASK 128.0.0.0 vpn-шлюз
Thu Jul 05 17:12:13 2012 Closing TUN/TAP interface
Thu Jul 05 17:12:13 2012 TAP: DHCP address released
Thu Jul 05 17:12:13 2012 SIGUSR1[soft,ping-restart] received, process restarting
Thu Jul 05 17:12:13 2012 Restart pause, 1 second(s)

Если убрать опцию redirect-gateway из конфига впна, то это дела не меняет. Дефолтный шлюз все равно прописывается vpn-овский и также рвется соединение.
Я так понимаю это происходит из-за того, что tor пытается вылезти из под дэфолтного шлюза. Как сделать так, чтобы tor ходил в сеть из-под моего шлюза, а все остальное из-под дэфолтного vpn-овского, с учетом того, что destination ip (входной узел тора) часто меняется и его нельзя прописать статическим маршрутом.

Комментарии

— Гость (08/07/2012 00:26)

> ОС Windows XP. Все прибамбасы на одной машине.

Зачем такие извращения? К тому же, здесь могут быть проблемы

С внутренними timeout'ами OpenVPN (может, их можно подкрутить) — Tor не настолько быстрый транспорт.
Смена/вымирание Exit-узлов Tor.

То, что, при прочих равных, «User → Tor → VPN → сеть» менее анонимно, чем «User → Tor → сеть», вы, наверно, и сами знаете.

> Как сделать так, чтобы tor ходил в сеть из-под моего шлюза, а все остальное из-под дэфолтного vpn-овского, с учетом того, что destination ip (входной узел тора) часто меняется и его нельзя прописать статическим маршрутом.

Если бы мне надо было решить такую задачу, я бы взял два компьютера: клиент и сервер. На сервере сделал бы прозрачную торификацию (линк раз^[link1], линк два), а на клиенте бы запустил OpenVPN-клиент штатным образом. Правда, если вышеупомянутые проблемы с таймаутами действительно имеют место и фатальны, их всё равно пришлось бы решать (но это было бы проще и отлаживать легче, чем в вашей конфигурации).

— Гость (08/07/2012 23:17)

> То, что, при прочих равных, «User → Tor → VPN → сеть» менее анонимно, чем «User → Tor → сеть», вы, наверно, и сами знаете.

С чего вы взяли? Т.е. то, что на выходной ноде твой трафик могут просмотреть, считается более анонимным да?

Спасибо вам за ссылки, но к сожалению у меня одна машина на Windows и нет возможности организовать отдельный сервер. Все -таки хотелось бы запускать данную свзяку с одной машины. Что если взять для Tor хостовую ОС, а vpn запускать в виртуальной?

— unknown (08/07/2012 23:42, исправлен 08/07/2012 23:45)

TorPlusVPN^[link2].

You can very well decrease your anonymity by using VPN/SSH in addition to Tor.

If you know what you are doing you can increase anonymity, security and privacy.

— Гость (09/07/2012 13:39)

> Т.е. то, что на выходной ноде твой трафик могут просмотреть, считается более анонимным да?

Отвыкаем путать анонимность и конфиденциальность.

> С чего вы взяли?

Любая exit-нода легко выделяет вас в общем потоке, т.к. все идут на разные сайты, а вы всегда на один и тот же VPN, ну и unknown уже ответил.

> у меня одна машина на Windows

Вам нужен специалист по продвинутым сетевым возможностям в Windows. На этом форуме такие более не обитают. Почему бы не обратиться на профильный форум?

— Гость (09/07/2012 14:34)
Поднимите tor relay на машине с OpenVPN сервером. Добавьте в эксит полиси единственное разрешающее правило для публичного addr:port вашего OpenVPN сервера. И тогда получите возможность подключаться к впн не покидая сети тор. Или поднимите скрытый сервис, для этого потребуется только тор клиент на машине с впн сервером, но это увеличит латентность канала. Таким образом можно исключить самые простые способы выделить вас из толпы тор пользователей со стороны наблюдателя, впрочем останутся другие не столь очевидые способы.

— Гость (09/07/2012 14:50)

Я так понимаю это происходит из-за того, что tor пытается вылезти из под дэфолтного шлюза. Как сделать так, чтобы tor ходил в сеть из-под моего шлюза, а все остальное из-под дэфолтного vpn-овского, с учетом того, что destination ip (входной узел тора) часто меняется и его нельзя прописать статическим маршрутом.

Если только костылями подпереть, т.е. использовать бриджи или зафиксировать публичные узлы через опции EntryNodes и т.д. Тогда, зная все эти фиксированные адреса, можно будет вписать прямые маршруты для тора.

— Гость (09/07/2012 15:13)
Интересно ещё почему:

Если в Proxy Settings OpenVPN-а выставить Manual Configuration на SocksProxy 127.0.0.1:9050, то сразу выдает ошибку

recv_socks_reply: Socks proxy returned bad reply

Вы используете tcp транспорт для впн?

— Гость (09/07/2012 16:22)

> Вы используете tcp транспорт для впн?

Вы считаете, что на его глобусе другой Tor — поддерживающий UDP?

— Гость (09/07/2012 16:41)
Не знаю про глобус, но udp по умолчанию в openvpn. Конфига не продемонстрировали, поэтому потребовались уточнения после такой ошибки как "returned bad reply".

— Гость (09/07/2012 17:07)
Топикстартер хочет «User → Tor → VPN → сеть». Как он, по-вашему, получит UDP на выходе из Tor-сети?

— Гость (09/07/2012 17:41)
Может у него свой глобус.

— Гость (10/07/2012 02:54)

> If you know what you are doing you can increase anonymity, security and privacy.

I know what I do.

> Любая exit-нода легко выделяет вас в общем потоке

Ну и что, что выделяет? На любой exit-ноде неизвестно откуда именно пришел запрос.

>Поднимите tor relay на машине с OpenVPN сервером. Добавьте в эксит полиси единственное разрешающее правило для публичного addr:port вашего OpenVPN сервера.

1. Я не могу ничего править на сервере (нет административного доступа);
2. Тогда это должен быть tor exit relay, верно? Подключатся к которому будут все кому не лень. Канал же забьют.

>Вы используете tcp транспорт для впн?

Да. А по логам выше не видно?

— unknown (10/07/2012 09:48)

>tor exit relay, верно? Подключатся к которому будут все кому не лень.

Вам предложили написать правило, по которому этот эксит будет экситом только для вашего VPN, так что обычные пользователи не будут выбирать его для своих запросов. Хотя это правило будет общедоступным в общей статистике и в отдалённой перспективе поможет некоему любопытному наблюдателю вычислять, кто же это пользуется узлом с таким странным правилом.

— Гость (10/07/2012 11:21)

А по логам выше не видно?

Нет, не видно.

Если вы такой хам, решайте свои проблемы сами, без форумов.

— Гость (10/07/2012 19:37)

> Ну и что, что выделяет? На любой exit-ноде неизвестно откуда именно пришел запрос.

Это наивность. Конечно, профилирование не приводит к моментальному раскрытию анонимности, но существенно её ухудшает, иногда — вплоть до раскрытия.

— Гость (10/07/2012 22:22)

>> Поднимите tor relay на машине с OpenVPN сервером. Добавьте в эксит полиси единственное разрешающее правило для публичного addr:port вашего OpenVPN сервера.

> 1. Я не могу ничего править на сервере (нет административного доступа);

> 2. Тогда это должен быть tor exit relay, верно? Подключатся к которому будут все кому не лень. Канал же забьют.

1. Можете, т.к. вам предлагают создать свой собственный и вам полностью подконтрольный Tor-сервер.
2. Unknown выше ответил.

Ссылки

^[link1] https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy

^[link2] https://trac.torproject.org/projects/tor/wiki/doc/TorPlusVPN

openPGP в России

VPN over Tor на одном хосте