VPN + шлюз в даркнеты

яннп, в чем ты тут узрел безопасность? какую цель преследуешь?

Неужто Orbot для мобилы и демон tor для десктопа (socks://localhost:9050/) - такая непосильная нагрузка?

Так он же говорит, что палевно. Его принимают и вопросы сразу - почему держите демон орбота?

Некоторые провайдеры в нерезиновой умеют блокировать Tor. IPsec не трогают.

в чем дело-то, если подключаюсь к VPS’ке только я, а в даркнеты собираюсь ходить через отдельный браузер с отключенной передачей referer и т.п настройками?

При такой настройке, все запросы к скрытым сервисам идут через Tor/I2P, остальные напрямую, поэтому злоумышленник (точнее, любой школьник) может узнать твой реальный IP, разместив ссылку на свой ресурс в клирнете. Нет, если собираешься только на .onion и .i2p сайты ходить, а остальное резать, то может и норм. Но вообще, если нужна безопасность – ходи через Tor Browser для Android, а с т.з. удобства, такая связка вполне хороша.

Тогда лучше поднять свой бридж с obfs, и ходить через него.

Так он же говорит, что палевно.

DPI вполне умеет детектить Tor/I2P трафик.

разместив ссылку на свой ресурс в клирнете

Например, встроить такое: https://upload.wikimedia.org/wikipedia/commons/c/ca/1x1.png

может узнать твой реальный IP

Скорее уж IP моей VPS'ки, но тоже неприятно)

«Расчленёнку в телеграме смотрю, а что?»

ну а так-то - что этого демона, не замаскировать-не спрятать, что ли?

Пройдёмте, гражданин.

Да хрен с ним, с демоном. Трафик обнаруживается легко.

А трафик маскировать это отдельная задача...

Эта задача уже выполнена, до VPS'ки я хожу через IPsec.

К великому сожалению, в огнелисе на смартфонах не поддерживает FoxyProxy, да и демоны i2p с тором на мобиле держать накладно и палевно. У меня появилась идея использовать мою VPS’ку с настроенным IPsec’ком как выходной шлюз в эти ваши даркнеты и запустить этих демонов туда.

Не понял, что за проблема со смартом? Не ходи в даркнет со смартфона, не надо.

Хотел реализовать прозрачный доступ с помощью unbound (для форвардинга запросов по зоне onion на резолвер тора, а i2p на несуществующий адрес с последующим отловом и редиректом на порт, где слушает privoxy) + privoxy (у I2Pd нет DNS резолвера), но мне шепнули, что это хреновая и весьма небезопасная идея.

Плохая. Тор создан для анонимного доступа в клирнет, а а i2p для доступа в даркнет. И они плохо смешиваются

И вот первый вопрос: а в чем дело-то, если подключаюсь к VPS’ке только я, а в даркнеты собираюсь ходить через отдельный браузер с отключенной передачей referer и т.п настройками?

Как обычно: чего именно ты хочешь добиться от кого скрываешься?

1. Тебе нужна анонимность
2. Тебе надо спрятать трафик от провайдера
3. Тебе надо разблокироватьзаблокированный тор
4. Тебе пофиг на анонимность и нужна приватность. И пр. Короче, решение подбирается под задачу.

через отдельный браузер

там еще до хрена всего. И ось и весь левый трафик перекрыть. Насколько ты доверяешь провайдеру VPS? Насколько хорошо твой ISP делает дпи? Но зависит от задачи. Юрисдикция? Анонимная оплата? Хотя, какая анонимность, если из дома законнектился, тем более, если уже завел VPS, не пользуясь тором.

Второй вопрос: насколько будет безопаснее вариант с privoxy в качестве универсальной прокси для Tor и I2P?

Безопаснее для чего?

IPsec тебе не поможет. Например, https://blog.torproject.org/kazakhstan-upgrades-censorship-deep-packet-inspection И это Казахстан и это 12 год. 12 год, Карл!

Покури на досуге https://2019.www.torproject.org/docs/faq.html.en#IsTorLikeAVPN

https://www.whonix.org/wiki/Tunnels/Introduction

https://habr.com/ru/post/245435/ Если хочешь. Но это делать не надо.

Автор упомянул, что

Использование tor over vpn не обязательно повышает анонимность.

Но тему не раскрыл и в случае с VPS анонимность еще хуже. Если ты станешь интересен, dpi обнаружит, что ты юзаешь тор даже упакованный в оболочку. Но все блокировки обойдешь.

Если ты станешь интересен, dpi обнаружит, что ты юзаешь тор даже упакованный в оболочку.

Даже если с mtu поиграться?

Ключевое если, всем насрать.

Насколько ты доверяешь провайдеру VPS?

Достаточно, поскольку он не отвечает на запросы кривоохранителей из банановых и не совсем, республик.

Как обычно: чего именно ты хочешь добиться от кого скрываешься?

1-3. В основном, пользуюсь I2P флибустой, центральные процессоры не смотрю, лодку не расшатываю.

Кстати

И это Казахстан и это 12 год. 12 год, Карл!

Це не Казахстана успех, а Ipoque. И в РФ решения этой компании также широко используются.

Так DPI не видит его, tor/i2p сидят на VPS, он подсоединяется к VPS по другим протоколам.

Если он установлен на телефоне - особо нет. Ну, можно конечно, если постараться. Но нафиг?

Даже если с mtu поиграться?

Без понятия.Наверное, есть и другие метода анализа, кроме размера, не знаю. Если вопрос безопасности и/или анонимности я исхожу из принципа, что «у них там» максимальные возможности и доступ к любому оборудованию. Понятно, что это преувеличение и в абсолютном большинстве случаев никто никому не нужен, но если шифроваться то по максимуму.

Достаточно, поскольку он не отвечает на запросы кривоохранителей из банановых и не совсем, республик.

Тогда зачем заморачиваться? Но анонимность связка VPN (особенно VPS) + ТОР не увеличивает, а при определенных условиях уменьшает.

1-3. В основном, пользуюсь I2P флибустой, центральные процессоры не смотрю, лодку не расшатываю.

Пффф. Мне кажется можно и напрямую идти в i2p без впн в таком случае. Или я слишком хорошо думаю об органах?

Из того, что ты сказал, я понял, что тебе важнее не анонимность, а приватность, тогда можно и через ВПН пускать. Но, еще раз, если ты интересен, они поймут, что там, например ТОР завернут. А вот что внутри не поймут.

Но, как мера безопасности - линукс, обязательно тор броузер с дефолтными настройками, еще лучше хуникс (можно 1 gateway от него), отключены автообновления, короче, не юзается софт, который в это время может лазить в интернет. Просто, в случае с ВПН весь трафик будет слеплен в кучу и пойдет по одному маршруту.

Для анонимности лучше компартментализация. Все раздельно, ТОР, ВПН, и2п, каждый для своих нужд, в отдельных машинах (можно VM), с разным фингерпринтом (хотя бы тупо федора-манжаро-убунта - 3 совсем разные).

Для приватности ( в ущерб анонимности !!!) можно связку из 2 или 3 ВПН +ТОР. Есть инетересные исследовательские статьи на эту тему, уже не найду, где спорят поможет ли это от АНБ. Но от родных оррганов безусловно поможет, пока всем не наступит чебурнет.

Тор browser. В мозиле нужно все настраивать. Я б рекомендовал для и2п. Все гео, все дрм, телеметрия, все гугл, мальваре сайты и пр, где пакеты идут налево зарубить.

Дополнительно о связках туннелей и проблеме безопасности

https://github.com/epidemics-scepticism/writing/blob/master/misconception.md

Если решишься ступить на скользкую дорожку, то сайт и ссылки оттуда

https://www.ivpn.net/privacy-guides/advanced-privacy-and-anonymity-part-8

Но это не KISS

P.S. Кажется на руторе флибусту целиком выкладывали. Если только новинки.

dpi обнаружит, что ты юзаешь тор даже упакованный в оболочку.

Каким образом ? Расколупают IPsec ?

ну а так они хром откроют, а там гидра в хистори, напримар…

Хистори можно очищать. А гидра ще не вмерла?

Живее всех живих ахах

Так у него же браузер без сохранения истории.

А что это такое то вообще?

1. Не обнаружат и даже искать не будут 99,(9)%.
2. Раз у usera есть VPS, то он будет его юзать. Если он под микроскопом то обнаружат траффик на VPS, дальнейшее зависит от их фантазии. Может начут изголяться с DPI

http://iot.stanford.edu/pubs/sherry-blindbox-sigcomm15.pdf

Или искать особенности паттерна трафика и загрузки канала. Используют нейросеть

https://arxiv.org/pdf/1709.02656.pdf

Да пусть чел настраивает. Если есть свой впн, тор, можно их комбинировать и использовать раздельно, учитывая остальные моменты и меняя поведенческие паттерны и все у него будет хорошо.

Крупнейшая площадка по продаже наркоты и всего остального в СНГ