SOCKS5 поверх openVPN

Не понял, что означают ваши схемы. socks как бы более высокий уровень протокола, чем openvpn.

Если вам нужно, чтобы приложения ходили в инет через socks-прокси, но об этом не знали, дак настраивайте proxychains или tun2socks. А уж трафик от proxychains заворачивайте в openvpn-тунель.

Попытаюсь объяснить. Я хочу что бы выход в интернет с компьютера осуществлялся через VPN, но когда я захожу допустим на 2ip.ru (для примера) там показывало не IP VPN а IP SOCKS. Как это лучше реализовать?

Буду очень благодарен за толчок в нужном направлении.

ему хочется, чтобы трафик «из туннеля» (не трафик openvpn!) прозрачно заворачивался в SOCKS proxy. игру «а давайте теперь догадаемся, что ему реально нужно» объявляю открытой.

«ему хочется, чтобы трафик «из туннеля» (не трафик openvpn!) прозрачно заворачивался в SOCKS proxy»

Вот! Именно так! Как это лучше сделать?

«а давайте теперь догадаемся, что ему реально нужно» А реально хочу сделать так: поднять SOCKS-прокси для локальной сети на Dante, и весь трафик с него заставить идти через openVPN(как это сделать я понимаю), а сверху еще прицепить внешний SOCKS5(что бы он был конечным IP цепочки). Если вы подскажете как это лучше реализовать буду премного благодарен.

Как это лучше сделать?

Как лучше сделать transparent SOCKS proxy? Вроде как есть такие, которые создают виртуальный интерфейс, таких вместе с каким-нибудь хитрым роутингом может и хватить.

Как лучше решить твою задачу? Возвратом на стадию планирования. Серьезно, ты хочешь чего-то дурацкого:

А реально хочу сделать так: поднять SOCKS-прокси для локальной сети на Dante, и весь трафик с него заставить идти через openVPN(как это сделать я понимаю), а сверху еще прицепить внешний SOCKS5(что бы он был конечным IP цепочки).

А че всего два SOCKS?

А реально хочу

А реально надо-то что?

Возвратом на стадию планирования. Серьезно, ты хочешь чего-то дурацкого:

Что здесь такого дурацкого? Возврат на стадию планирования уже происходил неоднократно, это кажется наиболее отвечающим моим требованиями вариантом(если конечно смогу все это настроить).

А че всего два SOCKS?

А зачем нужно больше? Локальный прокси заставляет весь трафик однозначно ходить через него и дает локальным компьютерам локальный IP адрес(решение путем NAT мне не кажется отвечающим моим требованиям)

Как лучше сделать transparent SOCKS proxy? Вроде как есть такие, которые создают виртуальный интерфейс, таких вместе с каким-нибудь хитрым роутингом может и хватить.

Что посоветуете почитать/изучить по данной тематике?

Что здесь такого дурацкого?

Как минимум SOCKS proxy. Задачу уже расскажешь наконец?

Локальный прокси заставляет весь трафик однозначно ходить через него и дает локальным компьютерам локальный IP адрес

Для меня это не более, чем набор из двух ложных утверждений.

(решение путем NAT мне не кажется отвечающим моим требованиям)

Раскрой тему

Что посоветуете почитать/изучить по данной тематике?

Советую ничего не читать, а поставить задачу. Пятой точкой чую, что в итоге окажется нужен и не openvpn, и не второй socks-proxy, а что-то такое, что настраивается быстрее создания темы на ЛОРе.

Задача - обеспечение канала доступа в интернет с высоким уровнем приватности и защиты передаваемых данных с очень желательной возможностью быстрой смены конечного IP. TOR не предлагать.

Основной идеей является пускать криптованный трафик(реализуется VPN на машине-клиенте, в данной теме не рассматривается) по стороннему криптованному каналу(реализуется VPN от другого провайдера на машине настройку которой мы вот сейчас обсуждаем). Подробнее про это можно почитать тут - http://webmastervpn.com/blog/double-vpn/ А сверху этого нужно прикрутить удаленный(не уверен что правильно выражаюсь, короче, покупной) SOCKS для быстрой смены конченого IP цепочки.

С какой целью хочу использовать локальный(поднятый на машине которую мы сейчас обсуждаем) SOCKS сервер можно почитать тут - https://xaker.name/threads/24886/ (а вот с картинками, но чего то не грузит - http://www.hackzone.ru/articles/view/id/9495/) - если в двух словах - что бы убрать из таблицы маршрутизации компа-клиента реальный IP, а вместо него использовать IP локального сервера, который подключен к интернету. В принципе, это без проблем реализуется средствами NAT(iptables), но например webRTC запросто пробивает NAT(и VPN тоже) и получает реальный IP (https://xakep.ru/2014/01/24/61942/). Естественно webRTC элементарно отключается, но если это может сделать он, то где гарантии что это то не сможет сделать какая либо другая современная высокотехнологичная пакость? О том что бы что то смогли вылезти в сеть мимо SOCKS поднятого в локальной сети я информации найти не смог. Возможно у меня переизбыток парано по данному вопросу, и можно действительно обойтись NAT, т.е. выкинуть локальный SOCKS? это по идее должно существенно упростить цепочку и облегчить её настройку.

Давай помедленнее.

Допустим мы выкидываем из этой схемы «наружний» из двух VPN'ов и оба SOCKS-прокси. Оставляем только OpenVPN-туннель с «локального сервера» до... видимо до «другого провайдера».

Затем выставляем клиенту (который, вроде как, за NAT'ом твоего «локального сервера, так?) „нереальный“ IP-адрес 192.168.0.2 и щедро предоставляем эту невероятно компрометирующую информацию всем желающим злоумышленикам через зияющую дыру WebRTC.

Что мы в итоге теряем, выкинув три сущности разом? Как я понял по твоему посту, только „быструю смену конечного IP“. Поправь меня, если я ошибаюсь.

Давай вернем ее назад! Возьмем и заставим клиента коннектиться к этому самому „покупному“ SOCKS proxy. (Если клиентов много, то потом посмотрим в сторону автоконфигурации прокси или проброса порта до „текущего“ сервера. Итого мы приобретаем без-понятия-на-кой-нужную-вообще возможность быстрой смены конечного IP ценой того, что теперь мы кому-то платим за то, что он читает наш незашифрованный трафик.

А теперь вопросы. Просто, не правда ли? Что я упустил? Что за идиотизм про double VPN? Что за идея вообще шифровать трафик дважды, чтобы потом дважды расшифровывать и сливать третьей стороне?

Немного утрирую вывод для краткости: Итого, ты городишь огород, не разбираясь в садоводчестве. В области сетевой безопасности это черевато ровно двумя последствиями: лишними усилиями и стремящейся к нулю безопасности итогового решения. Применять надо только то, что просто и суперпроверено, и только так, чтобы ты был крепко уверен в простоте выбранного решения. Пока нет простоты, никакой безопасностью и рядом не пахнет.

И, под завязку, вернемся к цели. Хочешь „обеспечение канала доступа в интернет с высоким уровнем приватности и защиты передаваемых данных?“ Не сношай мозг себе и людям, начни с Tor и самообразовывайся в плане того, чего в этом решении тебе не хватает.

Возможно у меня переизбыток парано по данному вопросу

Паранойи? Упаси Бог, судя по приводимым Вами источникам у тебя наоборот, излишнее доверие ко всему сомнительному! Вдумайтесь в строки

Суть в том, что один сервер A1 не будет знать куда вы ходите, а другой сервер B1 откуда и с чем, я уж и не говорю о внешних наблюдателях вашего трафика, коих развелось не мало..

и задумайтесь. Очевидно, что автор-то головы не включал когда это писал. И после того, как ты купился на

Когда один криптованный траффик идёт по стороннему криптованному каналу — это наверное хорошо

ты называешь себя параноиком? Расслабься.

Нет. Не так.

На клиенте есть openVPN подключение от 99,5% доверенного провайдера VPN услуг(кто это, какие у меня причины такого доверия к ним - уточнять не будем. примем за факт что он есть.). На локальном сервере(который мы вот сейчас обсуждаем) поднят второй openVPN от неплохо провайдера, но в котором я на 100% не уверен что он не ведет логи и не читает трафик. Оба провайдера используют шифрование трафика. Итого имеем пока такую схему: На ПК1 при помощи первого openVPN соединения весь трафик шифруется, и отправляется на локальный сервер, где идет в сеть через второе openVPN соединение, т.е. даже если провайдер второго VPN захочет делать что то нехорошее(считаем что особого доверия нему по умолчанию нет) - ничего кроме каши он там не увидит. Никаких уязвимостей я тут не вижу.

Про локальный SOCKS сервер забыли, будем использовать NAT.

Остается одна задача - быстрая смена конечного IP, что может быть реализовано только путем применения SOCKS. При этом надо как то делать что бы конечный IP был SOCKS без потери шифрования трафика. И тут возникает вопрос, возможно ли это в принципе при использовании вышеописанной схемы? Похоже что нет. Или я ошибаюсь?

В целом, быстрая смена IP нужна не всегда, а только в некоторых отдельных случаях, где допустим уровень безопасности ниже чем при использовании туннеля-в-туннеле описанного выше. главное что бы подключение к SOCKS шло не с реального IP. Если для этой цели использовать другую схему - VPN от одного провайдера на клиенте, а на локальном сервере выход в интернет через купленный SOCKS, то какой будет конечный IP цепочки? По идее IP VPN, просто общение с сервером VPN будет идти через SOCKS. В таком случае это не подходит. Как все таки лучше реализовать быструю смену конечного IP при максимально возможном при этом уровне безопасности?

Никаких уязвимостей я тут не вижу.

Я сходу вижу ровно ноль причин использовать «второго провайдера». Назови хоть одну.

Про локальный SOCKS сервер забыли, будем использовать NAT.

Ура.

Остается одна задача - быстрая смена конечного IP
что может быть реализовано только путем применения SOCKS.

Нет.

При этом надо как то делать что бы конечный IP был SOCKS без потери шифрования трафика.
конечный IP
без потери шифрования трафика

Если я правильно тебя понимаю, то это просто невозможно. Посмотри на это с точки зрения несчастного веб-сервера, к которому ты, наконец-то, подключаешься. Как это соединение должно выглядеть с его стороны, чтобы выполнялось загадочное «без потери шифрования трафика»?

В целом, быстрая смена IP нужна не всегда, ... главное что бы подключение к SOCKS шло не с реального IP.

Ну оно и не будет. Будет с конечной точки какого-то из VPN'ов. Успех.

Если для этой цели использовать другую схему - VPN от одного провайдера на клиенте, а на локальном сервере выход в интернет через купленный SOCKS, то какой будет конечный IP цепочки?

Теперь OpenVPN over SOCKS? Это что-то новенькое. Что это и зачем оно тебе сдалось?

Как все таки лучше реализовать быструю смену конечного IP при максимально возможном при этом уровне безопасности?

Через кучу «оконечных» SOCKS'ов? Упершаяся тебе матрешка из бесполезных VPN'ов, которую ты отказываешься выкинуть — выбросили из рассмотрения, она для клиента прозрачна. Ума не приложу, почему тебе нужно дважды шифровать трафик, потом на полпути бросить, расшифровать и слить третьей стороне (SOCKS), но Бог тебе судья. Итак...

Остается ровно 1 пункт: переключаем на клиенте SOCKS-прокси. Все.

Назови хоть одну.

Повышение безопасности. И в логах(провайдера) не видно что к VPN1(доверенному) подключается мой реальный IP. Подключение происходит с IP VPN2.

Нет.

А как еще?

Теперь OpenVPN over SOCKS? Это что-то новенькое.

Нет тут ничего «новенького». Это штатный функционал openVPN. Простов конфиг дописывается socks-proxy ip port . Правда я слабо представляю как это реализовать через NAT, но в крайнем случае можно поднять на сервере локальный SOCKS при помощи Dante, а внешний socks при помощи tun2socks выдать за туннель. И весь трафик с локального socks пихать в этот туннель. Впрочем, это немного извращение и особого смысла не имеет. Просто на правах «порассуждать»

Остается ровно 1 пункт: переключаем на клиенте SOCKS-прокси. Все.

Я верно понимаю что когда на сервере одно подключение openVPN и на клиенты мы прописываем socks допустим в браузере то конечный IP будет IP socks, но подключение к socks будет идти с IP VPN? А если сделана «матрешка из бесполезных VPN'ов» реализованная через NAT, то так же?

Ума не приложу, почему тебе нужно дважды шифровать трафик, потом на полпути бросить, расшифровать и слить третьей стороне (SOCKS)

В тех случаях когда будет использоваться частая смена IP шифрование трафика не так критично.

Повышение безопасности.

Ахаха, нет. Ни разу, только больше мест для потенциальных проблем.

И в логах(провайдера) не видно что к VPN1(доверенному) подключается мой реальный IP. Подключение происходит с IP VPN2.

Нет, в логах наружнего из VPNов видно, куда ты подключашься.

Нет тут ничего «новенького»

В дискуссии не всплывало И совершенно тебе не нужно.

Я верно понимаю что...

Да, да.

В тех случаях когда будет использоваться частая смена IP шифрование трафика не так критично.

Да пойми ты уже наконец... Нет, возьми и озвучь. От кого именно ты шифруешь трафик, где он между тобой и сервером с желанной информацией.

Ахаха, нет. Ни разу,

Почему?

Нет, в логах наружнего из VPNов видно, куда ты подключашься.

Ну это я понимаю, это факт. Но до логов наружного VPN еще нужно добраться. А это время и ресурсы + необходимо взаимодействие со стороны второго провайдера. А если подключаться напрямую к VPN1 то в логах провайдера это будет видно.

Да, да.

Вот это радует! Сам создал себе кучу головной боли и несуществующих проблем решив использовать локальный SOCKS сервер.

возьми и озвучь. От кого именно ты шифруешь трафик

От всех кто может получить к нему доступ на любых уровнях, естественно кроме конечного веб-сервера.

где он между тобой и сервером с желанной информацией

в сети Интернет, где он еще может быть?

Похоже, вам удалось выяснить, что хочеть ТС.

Если я правильно понял, он хочет подключится к openvpn-серверу через socks-proxy, создав такой-вот сложный openvpn-тунель. А потом он хочет ходить в интернет через этот тунель подключаясь к socks-прокси.

То есть ему нужно трафик от openvpn клиента до socks-прокси пустить через его провайдера, а остально трафик пустить через openvpn тунель. Видимо, нужно всё, что идёт от openvpn-клиента (от порта 1194 ?) пускать в отдельную таблицу маршрутизации с default-маршрутом через провайдера, а main таблице маршрутизации прописывать default-маршрут через openvpn тунель.

Станно, что в теме ещё не всплыл obfsproxy, само то пускать openvpn-трафик через него, чтобы вобще никто не догадался, что клиент подключается к openvpn :-)

Почему?

Потому что безопасность не измеряется количеством VPN'ов, что бы там не писал тот тип. Первый VPN скрыл Ваш трафик о каких-то глаз (об этом позже), второй же добавил ровно ноль новых полезных свойств. Если я ошибаюсь, то поправьте.

Ну это я понимаю, это факт.

Ну пришла хана обоим твоим агрументам.

Вот это радует!

Меня тоже, не зря отговаривал.

От кого именно ты шифруешь трафик

От всех кто может получить к нему доступ на любых уровнях, естественно кроме конечного веб-сервера.

Ну нет же, ну!

где он между тобой и сервером с желанной информацией

в сети Интернет, где он еще может быть?

Это все — просто анекдот из страны розовых фантазий. Мой интернет работает не так. Вот смотри...

Опять же немного утрирую происходящее. Допустим ты сидишь в сети, где наличествует абстрактный злонамеренный Василий. Например предположим, что он — твой сосед, способен проворачивать невозможное и сниффает трафик всех абонентов твоего дома. Это значит, что тебе надо зашифровать трафик, пока он идет по твоему дому. Ты поднимаешь VPN, идешь через него, соседу Василию остается лишь строить примерные графики твоей сетевой активности от времени. Итак, ты обломал всех Василиев на уровне твоей сети, на уровне провайдеров повыше и т.д. Успех? Нет.

При этом прошу отметить, что трафик идет дальше, допустим, до дата-центра в Бельгии, где у тебя или у кого-то еще стоит VPN-сервер. Пока трафик идет до этого сервера — да, он зашифрован. Потом сервер его расшифровывает и теперь выясняется, что ты вообще-то хотел на yandex.ru. Пришло время сделать что? Установить соединение до yandex.ru. И тут, внимание, ситуация точнейшим образом повторяется. У тебя опять есть компьютер, который подключен к сети (датацентра), которая подключена к провайдеру (датацентра), который подключен к еще бог знает кому, который подключен до кабеля в Россию, который подключен к сети яндекса, где стоит нужный сервер. Итого: у тебя опять десяток хостов, между которыми твой трафик идет незашифрованным.

Допустим, что ты — не неуловимый Джо, конкретного злонамеренного соседа нет и мир полон злыми Василиями, желающими перехватить твой трафик. Было: десяток хопов до яндекса. Стало: десяток, где твой трафик зашифрован и десяток, где не зашифрован. Выросла ли «безопасность»? Очевидно, что она только упала.

Твой же интернет я боюсь даже и представить. Наверное несчастный пакет, уворачиваясь от сотни залегших неподалеку злоумышленников, шифруется еще от провайдера, причем, для надежности, дважды, затем добегает до двум VPN'ам и вот он! Виден свет в конце туннеля! Интернет! Ура, ффух, он добежал! Интернет! Теперь можно расслабиться и пилить дальше незашифрованным? Нет, у меня для тебя плохие новости — задача тупо свелась к начальной.

Итого: пока нет оснований особенно недоверять местным Василиям и желания палить свой трафик бельгийским — безопасность от твоих VPN'ов только падает, причем от каждого.

Мне кажется, что те, кто пытаются юзать подобные схемы (дабл впн, например) - прячутся не от «сферического Василия в вакууме», а от последствий их действий по отношению к определенным ресурсам, которые привлекут государственные структуры, имеющие возможность пройтись по цепочке: спаленный ip в логах (socks) -> второй vpn -> первый vpn -> провайдер хулигана -> квартира хулигана.

Расчет идет на то, что если все сервера из этой цепочки будут находится в разных странах, то это усложнит процесс расследования. Возможно, так и есть. Но ошибка тут в неправильной постановке целей. Зачем прятать «последнюю милю» так тщательно? Потому что лень. Хочется сидеть дома и хакать пентагоны.

Дарю идею всем прозревшим - ноут в рюкзак, смартфон в руку и вперед на поиски хотспотов, только парик и накладные усы не забудьте надеть :D

а от последствий их действий по отношению к определенным ресурсам, которые привлекут государственные структуры, имеющие возможность пройтись по цепочке

имеющие? значит можно расслабиться, все равно найдут.

Дарю идею всем прозревшим - ноут в рюкзак, смартфон в руку и вперед на поиски хотспотов, только парик и накладные усы не забудьте надеть :D

Двадцатым веком повеяло. Нынче в моде дроны-ретрансляторы. А, да, и теперь (на бумаге) хотспоты только по паспорту.

имеющие? значит можно расслабиться, все равно найдут.

Если использовать межгосударственные и межведомственные контакты, то в теории - могут все. Хотя это весьма ресурсозатратное мероприятие.

Двадцатым веком повеяло. Нынче в моде дроны-ретрансляторы. А, да, и теперь (на бумаге) хотспоты только по паспорту.

Главное, чтобы надежность пароля всех wifi-точек контролировалась гос. службами, а логи с частных роутеров сливали инфу прямиком по кабелю в офис ФСБ :D За слабые пароли - штраф, за открытую точку - срок.

Кстати, всеобщая озабоченность шифрованием данных на десктопе из этой же серии (хотя есть и исключения) - боязнь, что цепочка из соксов и впн'ов не оправдает надежд и к хулигану придут домой злые дяди, которые не смогут добраться до его файлопомойки, после чего уйдут и больше не вернутся... Ура! Да здавстует криптоанархия!

Все это, конечно, очень смешно, учитывая гуманность наших «злых дядей», которые ходят по квартирам хулиганов в надежде добраться до их коллекций скрипт-кидди-сплоитов и терабайт извращенных видео.

Дарю еще одну идею - не храните всякий треш на домашнем компе, если боитесь, что до вас «доберутся». Спокойный сон гарантирован.

всеобщая озабоченность шифрованием данных на десктопе

первый раз слышу. мне казалось, что только-только начинает раскочегариваться шифрование лаптопов, и то только среди местных маргиналов, и то годно только в качестве защиты от протери лаптопа целиком.

первый раз слышу

Возможно, я специально выискиваю подобные темы, потому что сам раньше страдал от подобного недуга. Но вот тут можно найти немало шифропараноидальных топиков, хотя и не все они именно на тему шифрования дисков.

в качестве защиты от протери лаптопа целиком

Вот, кстати, да. У самого яблоноут зашифрован именно на этот случай. Оно же блестит, внимание привлекает, большой шанс, что сопрут где-нить на лавочке.

Но, опять же, все из-за лени. Если не хранить пароли в текстовых файлах и не носить с собой «всякие сверхсекретные штуки», то и смысла в шифровании диска - мало.

хотя и не все они именно на тему шифрования дисков.

а уж сколько из них именно про десктопы?..

Если не хранить пароли в текстовых файлах и не носить с собой «всякие сверхсекретные штуки»

А ты попробуй на досуге. Есть у меня несколько компов, где ни байта секретного оставить нельзя. Чтобы я себя так на ноутбуке вел? Нет, спасибо.

Обратитесь к поставщику услуг или погуглите, там наверняка вы найдете ответ на свой вопрос) Начал заниматься разработкой web приложений и стал вопрос Установки VPN сервера для 100% шифрования трафика, вот:finevpn.org. Пропускная способность на высоте. Удачи)