LINUX.ORG.RU
ФорумAdmin

VPN + шлюз в даркнеты

 , ,


1

2

Есть пара вопросов по поводу этого дела.

К великому сожалению, в огнелисе на смартфонах не поддерживает FoxyProxy, да и демоны i2p с тором на мобиле держать накладно и палевно. У меня появилась идея использовать мою VPS'ку с настроенным IPsec'ком как выходной шлюз в эти ваши даркнеты и запустить этих демонов туда.

Хотел реализовать прозрачный доступ с помощью unbound (для форвардинга запросов по зоне onion на резолвер тора, а i2p на несуществующий адрес с последующим отловом и редиректом на порт, где слушает privoxy) + privoxy (у I2Pd нет DNS резолвера), но мне шепнули, что это хреновая и весьма небезопасная идея.

И вот первый вопрос: а в чем дело-то, если подключаюсь к VPS'ке только я, а в даркнеты собираюсь ходить через отдельный браузер с отключенной передачей referer и т.п настройками?

Второй вопрос: насколько будет безопаснее вариант с privoxy в качестве универсальной прокси для Tor и I2P?

★★★★

в чем дело-то, если подключаюсь к VPS’ке только я, а в даркнеты собираюсь ходить через отдельный браузер с отключенной передачей referer и т.п настройками?

При такой настройке, все запросы к скрытым сервисам идут через Tor/I2P, остальные напрямую, поэтому злоумышленник (точнее, любой школьник) может узнать твой реальный IP, разместив ссылку на свой ресурс в клирнете. Нет, если собираешься только на .onion и .i2p сайты ходить, а остальное резать, то может и норм. Но вообще, если нужна безопасность – ходи через Tor Browser для Android, а с т.з. удобства, такая связка вполне хороша.

xdimquax ★★★★ ()

К великому сожалению, в огнелисе на смартфонах не поддерживает FoxyProxy, да и демоны i2p с тором на мобиле держать накладно и палевно. У меня появилась идея использовать мою VPS’ку с настроенным IPsec’ком как выходной шлюз в эти ваши даркнеты и запустить этих демонов туда.

Не понял, что за проблема со смартом? Не ходи в даркнет со смартфона, не надо.

Хотел реализовать прозрачный доступ с помощью unbound (для форвардинга запросов по зоне onion на резолвер тора, а i2p на несуществующий адрес с последующим отловом и редиректом на порт, где слушает privoxy) + privoxy (у I2Pd нет DNS резолвера), но мне шепнули, что это хреновая и весьма небезопасная идея.

Плохая. Тор создан для анонимного доступа в клирнет, а а i2p для доступа в даркнет. И они плохо смешиваются

И вот первый вопрос: а в чем дело-то, если подключаюсь к VPS’ке только я, а в даркнеты собираюсь ходить через отдельный браузер с отключенной передачей referer и т.п настройками?

Как обычно: чего именно ты хочешь добиться от кого скрываешься?

  1. Тебе нужна анонимность
  2. Тебе надо спрятать трафик от провайдера
  3. Тебе надо разблокироватьзаблокированный тор
  4. Тебе пофиг на анонимность и нужна приватность. И пр. Короче, решение подбирается под задачу.

через отдельный браузер

там еще до хрена всего. И ось и весь левый трафик перекрыть. Насколько ты доверяешь провайдеру VPS? Насколько хорошо твой ISP делает дпи? Но зависит от задачи. Юрисдикция? Анонимная оплата? Хотя, какая анонимность, если из дома законнектился, тем более, если уже завел VPS, не пользуясь тором.

Второй вопрос: насколько будет безопаснее вариант с privoxy в качестве универсальной прокси для Tor и I2P?

Безопаснее для чего?

IPsec тебе не поможет. Например, https://blog.torproject.org/kazakhstan-upgrades-censorship-deep-packet-inspection И это Казахстан и это 12 год. 12 год, Карл!

Покури на досуге https://2019.www.torproject.org/docs/faq.html.en#IsTorLikeAVPN

https://www.whonix.org/wiki/Tunnels/Introduction

https://habr.com/ru/post/245435/ Если хочешь. Но это делать не надо.

Автор упомянул, что

Использование tor over vpn не обязательно повышает анонимность.

Но тему не раскрыл и в случае с VPS анонимность еще хуже. Если ты станешь интересен, dpi обнаружит, что ты юзаешь тор даже упакованный в оболочку. Но все блокировки обойдешь.

explorer ()
Последнее исправление: explorer (всего исправлений: 1)
Ответ на: комментарий от explorer

Насколько ты доверяешь провайдеру VPS?

Достаточно, поскольку он не отвечает на запросы кривоохранителей из банановых и не совсем, республик.

Как обычно: чего именно ты хочешь добиться от кого скрываешься?

1-3. В основном, пользуюсь I2P флибустой, центральные процессоры не смотрю, лодку не расшатываю.

Meyer ★★★★ ()
Ответ на: комментарий от Meyer

Даже если с mtu поиграться?

Без понятия.Наверное, есть и другие метода анализа, кроме размера, не знаю. Если вопрос безопасности и/или анонимности я исхожу из принципа, что «у них там» максимальные возможности и доступ к любому оборудованию. Понятно, что это преувеличение и в абсолютном большинстве случаев никто никому не нужен, но если шифроваться то по максимуму.

Достаточно, поскольку он не отвечает на запросы кривоохранителей из банановых и не совсем, республик.

Тогда зачем заморачиваться? Но анонимность связка VPN (особенно VPS) + ТОР не увеличивает, а при определенных условиях уменьшает.

1-3. В основном, пользуюсь I2P флибустой, центральные процессоры не смотрю, лодку не расшатываю.

Пффф. Мне кажется можно и напрямую идти в i2p без впн в таком случае. Или я слишком хорошо думаю об органах?

Из того, что ты сказал, я понял, что тебе важнее не анонимность, а приватность, тогда можно и через ВПН пускать. Но, еще раз, если ты интересен, они поймут, что там, например ТОР завернут. А вот что внутри не поймут.

Но, как мера безопасности - линукс, обязательно тор броузер с дефолтными настройками, еще лучше хуникс (можно 1 gateway от него), отключены автообновления, короче, не юзается софт, который в это время может лазить в интернет. Просто, в случае с ВПН весь трафик будет слеплен в кучу и пойдет по одному маршруту.

Для анонимности лучше компартментализация. Все раздельно, ТОР, ВПН, и2п, каждый для своих нужд, в отдельных машинах (можно VM), с разным фингерпринтом (хотя бы тупо федора-манжаро-убунта - 3 совсем разные).

Для приватности ( в ущерб анонимности !!!) можно связку из 2 или 3 ВПН +ТОР. Есть инетересные исследовательские статьи на эту тему, уже не найду, где спорят поможет ли это от АНБ. Но от родных оррганов безусловно поможет, пока всем не наступит чебурнет.

Тор browser. В мозиле нужно все настраивать. Я б рекомендовал для и2п. Все гео, все дрм, телеметрия, все гугл, мальваре сайты и пр, где пакеты идут налево зарубить.

Дополнительно о связках туннелей и проблеме безопасности

https://github.com/epidemics-scepticism/writing/blob/master/misconception.md

Если решишься ступить на скользкую дорожку, то сайт и ссылки оттуда

https://www.ivpn.net/privacy-guides/advanced-privacy-and-anonymity-part-8

Но это не KISS

explorer ()
Ответ на: комментарий от BLOBster
  1. Не обнаружат и даже искать не будут 99,(9)%.
  2. Раз у usera есть VPS, то он будет его юзать. Если он под микроскопом то обнаружат траффик на VPS, дальнейшее зависит от их фантазии. Может начут изголяться с DPI

http://iot.stanford.edu/pubs/sherry-blindbox-sigcomm15.pdf

Или искать особенности паттерна трафика и загрузки канала. Используют нейросеть

https://arxiv.org/pdf/1709.02656.pdf

Да пусть чел настраивает. Если есть свой впн, тор, можно их комбинировать и использовать раздельно, учитывая остальные моменты и меняя поведенческие паттерны и все у него будет хорошо.

explorer ()