LINUX.ORG.RU
ФорумAdmin

Проблема подключения к сети TOR на линукс

 ,


0

1

Всё началось еще вчера утром, когда по этому мануалу https://cryptopunks.org/article/forward all the traffic to tor/ всё выполнилось, на удивление, без внезапных ошибок из-за занятых портов / цензуры от провайдера / неизвестных терминалу команд и прочих разочарований в жизни. И не было их аж целых полдня, пока там без объявления бойкота не упал интернет. Нет, обычный инет от провайдера остался, а с внесенными изменениями в iptables уже сайты по полчаса пытались загрузиться и потом выдавали ошибку, мол, server not found. Линукс запущена в VMware, сетевой адаптер типа Мост (при выборе NAT инета и вовсе нет, хотя основная система за натом), айпишник в локалке 192.168.100.4, время в настройках синхронизировано, вчера утром когда все прекрасно работало мосты в torrc прописаны не были, за эти полтора дня я успел и с дефолтными пробовать подключаться и с офсайта брать, в iptables_setup.sh пробовал вставлять адреса 192.168.100.0 вместо 192.168.1.0 и даже не поленился скачать и поставить рядом еще одну систему и на чистой все эти дела повторить. И там разочарование. Скачал отдельно TOR браузер, поставил, запустил, запустился он далеко не с первого раза, с дефолтными obsf4 причем в большинстве случаев прогрессбар просто повисал то на нуле, то на процентах двадцати, то на восьмидесяти.
На основной системе TOR браузер работает с мостами obfs4 взятыми на офсайте, так как провайдер не дает подключаться к нодам напрямую, ну или кривые руки не дают, но с мостами вродь проблем не возникает. Едем дальше, на одной из линуксов сейчас получилось запустить тор браузер, копирнул торрк в другую - висит на нуле при подключении. Тор как сервис на обеих не дает выйти в сеть.
А вот и логи из var/log/tor/log подъехали:

Oct 08 15:19:07.000 [notice] Interrupt: exiting cleanly.
Oct 08 15:19:08.000 [notice] Tor 0.2.8.8 (git-8d8a099454d994bd) opening log file.
Oct 08 15:19:08.230 [warn] OpenSSL version from headers does not match the version we're running with. If you get weird crashes, that might be why. (Compiled with 1000209f: OpenSSL 1.0.2i 22 Sep 2016; running with 100020af: OpenSSL 1.0.2j 26 Sep 2016).
Oct 08 15:19:08.243 [notice] Tor v0.2.8.8 (git-8d8a099454d994bd) running on Linux with Libevent 2.0.21-stable, OpenSSL 1.0.2j and Zlib 1.2.8.
Oct 08 15:19:08.243 [notice] Tor can't help you if you use it wrong! Learn how to be safe at https://www.torproject.org/download/download#warning
Oct 08 15:19:08.243 [notice] Read configuration file «/usr/share/tor/tor-service-defaults-torrc».
Oct 08 15:19:08.243 [notice] Read configuration file «/etc/tor/torrc».
Oct 08 15:19:08.245 [notice] Opening Socks listener on 127.0.0.1:9050
Oct 08 15:19:08.245 [notice] Opening DNS listener on 127.0.0.1:53
Oct 08 15:19:08.245 [notice] Opening Transparent pf/netfilter listener on 127.0.0.1:9040
Oct 08 15:19:08.000 [notice] Parsing GEOIP IPv4 file /usr/share/tor/geoip.
Oct 08 15:19:08.000 [notice] Parsing GEOIP IPv6 file /usr/share/tor/geoip6.
Oct 08 15:19:08.000 [notice] Bootstrapped 0%: Starting
Oct 08 15:19:08.000 [notice] Delaying directory fetches: No running bridges
Oct 08 15:19:08.000 [notice] Signaled readiness to systemd
Oct 08 15:19:09.000 [notice] Opening Socks listener on /var/run/tor/socks
Oct 08 15:19:09.000 [notice] Opening Control listener on /var/run/tor/control
Oct 08 15:19:09.000 [notice] Bootstrapped 5%: Connecting to directory server
Oct 08 15:19:09.000 [notice] Bootstrapped 10%: Finishing handshake with directory server
Oct 08 15:19:09.000 [warn] Problem bootstrapping. Stuck at 10%: Finishing handshake with directory server. (No route to host; NOROUTE; count 1; recommendation warn; host 722EF1F0939E2F1*** at 69.*62.***:18425)
Oct 08 15:20:32.000 [warn] Problem bootstrapping. Stuck at 10%: Finishing handshake with directory server. (DONE; DONE; count 3; recommendation warn; host DBCFD46E48B9266*** at 37.*18.***:41904)
Oct 08 15:20:32.000 [warn] 3 connections have failed:
Oct 08 15:20:32.000 [warn] 2 connections died in state handshaking (TLS) with SSL state SSLv2/v3 read server hello A in HANDSHAKE
Oct 08 15:20:32.000 [warn] 1 connections died in state connect()ing with SSL state (No SSL object)
Oct 08 15:21:08.000 [notice] Tried for 120 seconds to get a connection to [scrubbed]:0. Giving up. (waiting for circuit)
Oct 08 15:21:08.000 [notice] Tried for 120 seconds to get a connection to [scrubbed]:0. Giving up. (waiting for circuit)
Oct 08 15:21:09.000 [notice] Tried for 120 seconds to get a connection to [scrubbed]:0. Giving up. (waiting for circuit)

Еще раз подмечу, что полтора дня назад всё исправно работало, без мостов, синхронизации времени и пр. Из-за того, что часто вижу разные причины того что не коннектится тор сервис, через раз запускается тор бравзер, не догоняю, в чем может быть причина, слишком много мистики в одном месте. Хэлп. А спойлер не поставился, хоть я в него логи и обернул, вот.

OpenSSL version from headers does not match the version we're running with. If you get weird crashes, that might be why. (Compiled with 1000209f: OpenSSL 1.0.2i 22 Sep 2016; running with 100020af: OpenSSL 1.0.2j

Смекаешь?

alexnorton ()

Что ответила техподдержка VMware?

anonymous ()
Ответ на: комментарий от alexnorton

Это обычное предупреждение лора.

так как провайдер не дает подключаться к нодам напрямую

Ты подключаешься напрямую. Иначе бы были написаны имена мостов, cached or new.

anonymous_sama ★★★★★ ()

На линуксе то как раз нет проблем, зацени как просто и завидуй: :-P

# /etc/init.d/tor start
 * Starting tor ...                                                                                [ ok ]

Lavos ★★★★★ ()
Ответ на: комментарий от alexnorton

Я ранее не сталкивался с такой проблемой, можно подробнее? Лично мое предположение на данный момент, это то, что провайдер занес в блек также и мосты, изза чего подключение не проходит.

Dmitriy_DDR ()

странная реализация, странный «гайед».. 1) зачем Lin в V$Mware?! если роутер на M$ (! sic. !) - качни бинарники Tor*.exe и ... ? PROFIT ? не? 2) идиотов с идеями а-ля «перенаправить весь трафик в Tor» - подвергнуть анальным карам. адназначна(ц)(тм) 3) про openssh уже отметили. не думаю, что критично, впрочем.. настораживает чтение двух конфигов на старте: torrc + tor-service-defaults-torrc - fail. хз зачем geoip.. 4) «Bootstrap» хочет соснуть списки и падает на отсутствии роутинга. типа. в результате - DNS в жопе со всем уважением.. (предполагаю, что кроме как DNS больше сосать нечего..) кстати о «chattr +i ...»

тс, кури torrc на предмет: SOCKSPolicy accept [net/mask] # для разрешения твоей подсетке юзать сабж на роутере + запуск от непривилегированного лузера с luser:/var/lib/empty:/sbin/false # или типа того в M$ DNS - начни с opendns, потом подумай о перенаправлении всех запросов DNS через прокси и/или подними кошерный локальный DNS для своей сетки (если прям так оно те надо)

как-то так..

anonymous ()
Ответ на: комментарий от anonymous

Зачем всё усложнять. Первый момент, что всё пару дней назад идеально работало. Второй момент, что меня устраивало, что никаких утечек айпишника замечено не было. А третий момент, что это работало без танцев с бубном, поднятия своих днс серверов и остальных дополнительных телодвижений. Мне нужны советы, как узнать причину того, что инета нет, а не предлагать получить тот же самый эффект, потратив на это в десять раз больше времени, я не желаю посвящать всю жизнь изучениям сетей, чтоб сделать так, как Вы предложили. Лучше скажите, как получить больше информации о причине падения. Например, когда я пингую какой нибудь хост, у меня выводит From 192.168.100.3 icmp_seq=1 Destination Port Unreachable

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

Зачем всё усложнять

вот именно. незачем. поднимать же в $VMware$ линь на виндовом роутере только чтобы пользовать Tor - это...

Мне нужны советы, как узнать причину того, что инета нет..

по предоставленным логам диагноз таки поставлен. не? кроме того, все современные браузеры могут пробрасывать запросы dns через socks.

начать с простого: взять tor.exe и запустить под простым лузером tor.exe -f tor_config.txt

элементарный tor_config.txt

SOCKSPort 127.0.0.1:9050 
SOCKSPolicy accept 127.0.0.1/32
# для локалки
SOCKSPolicy accept 192.168.100.0/24
SOCKSPolicy reject *
RunAsDaemon 1
DataDirectory C:\\Tor\run_files

Гайд это упрощенная статья с офсайта

не «упрощенная» а «упоротая» /fixed аффтар «гаеда» - клинический имбецил, перенаправляющий 53-ий порт сам на себя. искренне Ваш КЭП :hat:

anonymous ()

Один раз всё полноценно запустилось, дало надежду и после перезагрузки опять никакого соединения. Логи о чем то говорят? Прописал два моста в конфиге, один из них упомянут ниже Oct 10 02:27:20.000 [notice] Bootstrapped 5%: Connecting to directory server Oct 10 02:27:20.000 [notice] Bootstrapped 10%: Finishing handshake with directory server Oct 10 02:27:20.000 [warn] Problem bootstrapping. Stuck at 10%: Finishing handshake with directory server. (DONE; DONE; count 2; recommendation warn; host 3C835EF63F6B2F2A72534*** at 194.***.209.123:53376) Oct 10 02:27:20.000 [warn] 2 connections have failed: Oct 10 02:27:20.000 [warn] 2 connections died in state handshaking (TLS) with SSL state SSLv2/v3 read server hello A in HANDSHAKE

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

Будет проще если предоставишь конфиг и информацию откуда ты подключаешься. Скорей всего тебе нужно больше мостов. Мосты банят периодически, если твой провайдер этим страдает, то нужны новые мосты чуть ли не каждый день. И попробуй через прямые сначала, они быстрей.

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)

Линукс запущена в VMware
сетевой адаптер типа Мост

А нафига такие извраты? Тор и под виндой нормально работает. Если он нужен в виртуалке, то пропиши в конфиге SocksPort 0.0.0.0:9050 и подключайся к нему из виртуалки по IP-адресу, который хостовой машине роутер выдаёт.

Radjah ★★★★★ ()

сдайся ФСБ

your best bet

mos ★★☆☆☆ ()
Ответ на: комментарий от anonymous_sama

На данный момент конфиг без мостов: VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
DNSPort 53
я так понимаю, у меня в тот момент просто получилось подключиться к незабанненым входным нодам. Хотя я не думаю, что провайдер заморачивался бы с блэклистами. Мосты я пробовал брать на офсайте obsf3 и obsf4, пробовал с дефолтными. Я бы может и поверил в байку с провайдером, если бы у меня с основной системы не коннектилось с теми мостами, с которыми не коннектится с виртуалки. Если нужны еще какие то данные, скажите.

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

Так ты сказал, что на хосте у тебя возможно подключиться только через мосты. Следовательно, тебе нужны мосты и в виртуалке, если у тебя интернет от хоста в виртуалке. У тебя не указаны мосты и не указано использовать мосты совсем в конфиге.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous_sama

Пробовал на виртуалке и с мостами и без. Выше писал, что самый первый раз когда у меня все идеально работало полдня, то мосты прописаны не были, скорее всего попалась входная нода не из блэклиста. Вот у меня снова законнетилось без них недавно, всего за час кстати:
http://pastebin.com/sswvGk1x
Обычно останавливается на 85%, как выше кидал. Если ничего конкретного это не дает, то могу сейчас залогировать то что произойдет с добавленными мостами.

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

Выше писал..

ппц.. ему одно:

Будет проще если предоставишь конфиг и информацию откуда ты подключаешься

а оно продолжает вываливать логи с двумя конфигами еа старте..

anonymous ()
Ответ на: комментарий от anonymous

чем это тебе не конфиг? Проблема подключения к сети TOR на линукс (комментарий)
если там по дефолту два конфига прописано, то зачем их трогать? я так понял речь о них: torrc + tor-service-defaults-torrc. Скачай tor service (sudo apt-get install tor) и посмотри, что там именно так все устроено. Я затрагивал только torrc и iptables, больше ничего не менял в системе. Я тебе больше скажу, это даже периодически работает. Мне нужно узнать причину плавающего бага с подключением и как это пофиксить.

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

DNSPort 53

:facepalm: для чистоты эксперимента выставь 5053 или 9053 или ещё какой-нить «high port» по своему усмотрению. дефолт убери. и ессно

/usr/sbin/iptables -t nat -A OUTPUT -d ${local_nameserver}/32 -p udp -m udp --dport 53 -j REDIRECT --to-ports ${high_dns_port} 

anonymous ()
Ответ на: комментарий от Dmitriy_DDR

чем это тебе не конфиг? Проблема подключения к сети TOR на линукс (комментарий)
если там по дефолту два конфига прописано, то зачем их трогать?

... теги: кащенко, санитары, клиника, школота, /dev/null, ubunta.. ты прав: если в «убунте» что-то прописано по дефолту - трогать нельзя..

sudo apt-get install tor

are you sure, my dear friend?

anonymous ()
Ответ на: комментарий от anonymous

Тронуть что то в убунте я не могу, как минимум, по причине того, что у меня ее нет, исчо один не совсем экстрасенс в копилку обсуждения.
ты, по моему, нарочно не желаешь понять, что от изменения дефолтов ничего не изменится, а не потому что их нельзя трогать. Менял я и в torrc порт на 5353, и в iptables, чуда не произошло, если так интересно.

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

ты, по моему, нарочно не желаешь понять, что от изменения дефолтов ничего не изменится

5 баллов! фгранит, сцк, аффтар - пеши ишшо!

anonymous ()

Oct 08 15:19:09.000 [warn] Problem bootstrapping. Stuck at 10%: Finishing handshake with directory server. (No route to host; NOROUTE; count 1; recommendation warn; host 722EF1F0939E2F1*** at 69.*62.***:18425)

Мне лень подробно читать скрипт по ссылке, который перенаправляет трафик в tor через iptables

90% проблема именно в нём. Удали из iptables этот мусор

оставшиеся 10% на то, что действительно нет доступа. бери и проверяй.

router ★★★★★ ()
Ответ на: комментарий от router

Тор повисает на 85% (а иногда и на 10) подключения к сети, поэтому скрипт тут не при чем. Как отснифать именно ошибки подключений к серверам, а вернее то, что они недоступны, чтоб быть уверенным в негодяе-провайдере?

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

Тор повисает на 85% (а иногда и на 10) подключения к сети, поэтому скрипт тут не при чем.

Всё равно убери. Сначала убираешь весь этот мусор, потом смотришь, осталась ли ошибка

Как отснифать именно ошибки подключений к серверам

tcpdump. traceroute

router ★★★★★ ()
Ответ на: комментарий от router

этап с комментированием строчек в iptables уже пройден, проблема именно с подключением к луковой сети, если доходит до 100% подключение, то все работает, но это редкость. узнать бы где мостов набрать можно незабаненных, на офсайте их не особо обновляют(:

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

Судя по этому логу я думаю, что ты соединяешься напрямую. И так как частично лор у тебя заблокирован, то bootstrap на 85% долго и стоит. А за час примерно, хотя я думаю в твоем случае минут 15 должно хватить, он попадает на не заблокированную часть, и ты подключаешься. Короче тебе так и так, нужно использовать мосты, если не хочешь ждать каждый раз. Да кроме obfs* есть и другие мосты, которые еще не блокируют. meek так вообще врядли кто когда полностью сможет заблокировать, но он тормозной.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous_sama

а где кроме офсайта эти мосты можно еще взять то? чтоб доверенные были

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

Больше нигде. Еще на почту высылают. Могу выслать тебе несколько, если оставишь почту и PGP ключ.

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

Та не нужно, не факт, что они тоже не заблокированы. Если с мостами ничего не получится, буду в конфиге подбирать страны с входными нодами, к которым сможет законнектиться. Благодарю за то, что уделили время, чтоб помочь разобраться(:

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

Тебе именно, что нужны мосты. Все ноды и так известны, в независимости от страны. Просто если иногда удается подключаться напрямую это либо у провайдера старые списки и он их не обновляет или медленно обновляет, либо там вообще идиоты, которые нормально заблокировать не могут.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous_sama

Больше девяти различных мостов одного типа я не видел, сколько не запрашивал. Вот на данный момент нашел входную ноду которая не банится 147.175.187.180 ее в конфиге не зафиксировать? нашел только фикс выходной. Сейчас еще с мостами буду пробовать дальше.

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

Их больше трех не выдает обычно, просто сохраняй все в конфиге, свежие как правило не блокируются. Да, можно в EntryNodes

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous_sama

При попытке подключения через мосты:
Oct 11 14:37:11.000 [warn] Problem bootstrapping. Stuck at 10%: Finishing handshake with directory server. (DONE; DONE; count 2; recommendation warn; host 4AE8EBCF534DF35EC31D82306FF0777600A194A9 at 194.132.208.130:37947)
Oct 11 14:37:11.000 [warn] 2 connections have failed:
Oct 11 14:37:11.000 [warn] 1 connections died in state handshaking (TLS) with SSL state SSLv2/v3 read server hello A in HANDSHAKE
Oct 11 14:37:11.000 [warn] 1 connections died in state connect()ing with SSL state (No SSL object)
Oct 11 14:52:05.000 [warn] Problem bootstrapping. Stuck at 10%: Finishing handshake with directory server. (DONE; DONE; count 4; recommendation warn; host 4AE8EBCF534DF35EC31D82306FF0777600A194A9 at 194.132.208.130:37947)
Oct 11 14:52:05.000 [warn] 4 connections have failed:
Oct 11 14:52:05.000 [warn] 2 connections died in state handshaking (TLS) with SSL state SSLv2/v3 read server hello A in HANDSHAKE
Oct 11 14:52:05.000 [warn] 2 connections died in state connect()ing with SSL state (No SSL object)

Dmitriy_DDR ()
Ответ на: комментарий от Dmitriy_DDR

В этом кусочке лога нету мостов, думаю если бы он был то можно было бы показать строчку и просто заменив ip моста. Пойдем с простого UseBridges 1 стоит? Указанный бинарник для TransportPlugin, если используются не простые мосты существует по указанному пути? Например для obfs4:

UseBridges 1
ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy managed
Bridge obfs4 ip:443 ... cert=... iat-mode=0

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

Вот это «at 194.132.208.130:37947)» и есть айпишник моста из лога. Вот как выглядит конфиг:
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
DNSPort 53
Bridge obfs4 194.132.208.130:37947 4AE8EBCF534DF35EC31D82306FF0777600A194A9 cert=ZIBKbE/xhl7SvJVJsVHO17w50P6dXpNbCCq3AcMclKJm8aWz2RqZAxvArgiLF+WyAVyFDg iat-mode=0
Bridge obfs4 162.243.57.193:9443 805C376282851B3EEB71A826D586DFAB7F345AF8 cert=/cxrvijUbFk2Lh2I6m2bum0d6+/d5bCosTtBZDdk/PS71/op1WNoJGBxg3j6eZ3kpRcRKQ iat-mode=0
Bridge obfs4 158.69.14.73:6022 482DECD0561E373E7500824F23E7B30C6D428E8B cert=CzuMORFbZXiPtAcf4iRNVlg5FxKjrKKHgs7aYKMaP3HcPGI6N5SpwalwuXGojZML9D71Ig iat-mode=0
UseBridges 1
А вот про бинарник первый раз слышу, сейчас инсталлирую и пропишу.

Dmitriy_DDR ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.