LINUX.ORG.RU

TOR

 , , ,


2

4

Всем Доброго времени.

Нуждаюсь в консультации и помощи.

Задача : создание отдельного «железного» TOR-I2P шлюза. Имеется выделенный под это тонкий клиент: мать Dual Gigabit LAN, SSD, 8Gb оперативки и т.д. Debian 24/7.

Задача правильно сконфигурировать схему на этой машине :

-- вход Lan1 - провайдер - в OpenVPN или PPTP в TOR, из TOR в I2P (или I2p в TOR)

-- выход Lan2 - готовый «TORифицированый-I2Pрованый» трафик.

1) Как не допустить прямого коннекта к TOR при падении VPN ? Разрешить весь трафик только на порт VPN ? Какие правила создать в GUFW ?

2) Как правильно сконфигурировать: TOR в I2p или I2p в TOR ? I2p ставить на вторую отдельную KVM ? В режиме 24/7 я надеюсь I2p «разгонится» за пару недель...

3) Как пробросить трафик из «Whonix» KVM в железный LAN2 ?

В офф. ветке https://forums.whonix.org/t/i2p-running-on-whonix-gateway/2163 - разобраться не смог.

4) Каким образом/приложением генерировать паразитный-маскирующий трафик в OpenVPN до TOR ?

5) Насколько критичны практически ежедневные алерты об обновлении Whonix (имеется в виду выхлоп Whonixcheck) ?

1) Как не допустить прямого коннекта к TOR при падении VPN ?

Tor шифрует несколько раз от твоего компа до выходной ноды. VPN не нужен. Только лишние деньги потратишь и лишнюю нагрузку получишь, OpenVPN сильно много тратит ресурсов.

2) Как правильно сконфигурировать: TOR в I2p или I2p в TOR ? I2p ставить на вторую отдельную KVM ? В режиме 24/7 я надеюсь I2p «разгонится» за пару недель...

Tor отдельно, i2p отдельно. Пускать одно через другое уменьшит скорость и количество пиров.

3) Как пробросить трафик из «Whonix» KVM в железный LAN2 ?

Выбрать мост в настройках сети и собственно нужную карту.

4) Каким образом/приложением генерировать паразитный-маскирующий трафик в OpenVPN до TOR ?

i2p постоянно генерит транзитный трафик.

5) Насколько критичны практически ежедневные алерты об обновлении Whonix (имеется в виду выхлоп Whonixcheck) ?

Если ошибок нет, то не критично.

anonymous ()
Ответ на: комментарий от anonymous

Благодарю за развёрнутый ответ.

Tor шифрует несколько раз от твоего компа до выходной ноды. VPN не нужен. Только лишние деньги потратишь и лишнюю нагрузку получишь, OpenVPN сильно много тратит ресурсов.

Принцип работы TOR я понимаю, VPNом до TOR я хочу скрыть сам факт использования TOR от провайдера (актуально). Подскажите альтернативу, чем заменить OpenVPN кроме obfsproxy и ssh. IPsec ?

Tor отдельно, i2p отдельно. Пускать одно через другое уменьшит скорость и количество пиров.

Ну планировалось именно последовательно, одно через другое. Отдельно имеется в виду использование либо только TOR, либо только I2p ? Ну в таком случае смысл в I2p теряется...

asston ()
Ответ на: комментарий от asston

я хочу скрыть сам факт использования TOR от провайдера

В чём смысл? Провайдер тебя не съест.

Отдельно имеется в виду использование либо только TOR, либо только I2p ?

И то и другое одновременно. Например весь трафик идёт через Tor, кроме i2p сайтов.

anonymous ()
Ответ на: комментарий от M1ndphaser

wireguard
м.б. GoVPN http://www.cypherpunks.ru/govpn/O-demone.html#g_t_041e-_0434_0435_043c_043e_0...

Да, интересные проекты но и wireguard и GoVPN предполагают использование и поднятие своей серверной части. А поднимать свои VPSки с VDSками - не вижу смысла в принципе в моём случае (сокрытия факта использования TOR от прова).

А на своих серверах Wireguard тестируют пока только mullvad.net. и azirevpn. Так как я и так рассматриваю mullvad, наверное буду пробовать их Wireguard.

И то и другое одновременно. Например весь трафик идёт через Tor, кроме i2p сайтов.

Я Вас понял. Но как таковой i2p с его контентом мне не нужен. Он меня интересовал как промежуточное звено в вышеуказанной цепочке.

Исходя из этого : https://www.whonix.org/wiki/I2P

https://forums.whonix.org/t/i2p-running-on-whonix-gateway/2163

В чём смысл? Провайдер тебя не съест.
М.б. у него провайдер tor банит.

Так и есть. Но банит не явно (пока), а как-то подленько : постоянные переконнекты к TOR, постоянно проседающая до 0 скорость и т.д Это происходит на трёх разных машинах с разными конфигами (или Whonix или TOR установленный в систему).

При подключении этого же ноута к другому прову - с TOR нет проблем.

При прописывании Socks5 в torrc - с TOR нет проблем.

Посему дразнить его obfsproxy и мостами не считаю нужным.

asston ()
Ответ на: комментарий от anonymous

Мосты специально делались для этого случая. Vpn, i2p и другие костыли не нужны.

Да конечно, Вы правы. Но в конкретно своём случае - предпочту перестраховаться, и в принципе не париться по этому поводу.

Отдельное спасибо за Wireguard, я его как-то упустил из виду. А он судя по отзывам и описанию - легче и быстрее OpenVPN.

Осталось понять как реализовать:

Как не допустить прямого коннекта к TOR при падении VPN ?

asston ()

А нахрена tor и i2p смешивать?

i2p и так генерит кучи соединений для транзитного трафика. Точка выхода в обычные интернеты там была только одна в Германии, где на шлюзе резалось вообще всё. Может сейчас больше, но сути не меняет.

Хрень какую-то ты городишь, или я не понимаю великой идеи инкапсуляции трафика.

Radjah ★★★★★ ()
Последнее исправление: Radjah (всего исправлений: 1)
Ответ на: комментарий от Radjah

Хрень какую-то ты городишь, или я не понимаю великой идеи инкапсуляции трафика.

Ну да, по факту вышло что хрень.

Великих идей не продвигал, лишь интересовался возможностью реализации вышеуказанной связки. Выше мне уже всё объяснили.

asston ()
Ответ на: комментарий от M1ndphaser

Судя по

Как не допустить прямого коннекта к TOR при падении VPN ?

он параноик, считающий что только тор привлекает внимание, но шифрованный VPN нет.

anonymous ()
Ответ на: комментарий от anonymous

Судя по
Как не допустить прямого коннекта к TOR при падении VPN ?
он параноик, считающий что только тор привлекает внимание, но шифрованный VPN нет.

Однозначно. «Городящий хрень параноик».

А «Судя по»:

М.б. у него провайдер tor банит.
Так и есть. Но банит не явно (пока), а как-то подленько : постоянные переконнекты к TOR, постоянно проседающая до 0 скорость и т.д Это происходит на трёх разных машинах с разными конфигами (или Whonix или TOR установленный в систему).
При подключении этого же ноута к другому прову - с TOR нет проблем.
При прописывании Socks5 в torrc - с TOR нет проблем.
Посему дразнить его obfsproxy и мостами не считаю нужным.

Я разве недостаточно конкретно указал причины необходимости маскировки TORa ? Или абы пи**нуть ?

Ну поделись конструктивом по маскировке VPNа (того же Wireguard) от DPI провайдера ! Помимо изменения порта на 443 и поднятия VPS c SSH.

asston ()
Ответ на: комментарий от asston

Посему дразнить его obfsproxy и мостами не считаю нужным.

Что значит «дразнить»? Тебе уже подсказали решение, нет буду городить непонятно что вместо быстрого, простого и надёжного решения. В Китае, например, эти мосты не смогли заблокировать, а вот VPN блокируют по DPI.

anonymous ()