LINUX.ORG.RU

vpn+proxy - ЧЯДНТ?

 , ,


0

1

Задача поднять связку vpn+proxy (tor).

C VPN проблем нет - все ставится, инфраструктура создается и, главное, успешный ping на 10.8.0.1 c клиентской машины. Ну, tun0 тоже создан. В общем, не вижу в этой части проблемы.

На сервере запущен tor, netstat выдает, что он слушает на 127.0.0.1:9050 - стандартные настройки. iptables - все политики ACCEPT, нет блокировок.

Мое видение судьбы пакета: попадая на сервер из tun0, он оказывается доступен на всех портах, в том числе на 9050. Где его должен подхватить tor-proxy и отправить уже дальше в сеть в соответствии со своими правилами.

Тем не менее, Mozilla с настройкой прокси: Ручная - Socks-узел - 10.8.0.1, порт 9050, тип SOCKS5 - дает ошибку вида: Прокси сервер отклонил соединение...

ЧЯДНТ?

P.S. Разжевывать не обязательно, берегу Ваше время. Просто пните в нужном направлении!

Ответ на: комментарий от daxoric128

Статью изучил. Проблема в том, что с самим vpn проблем нет вообще, все шикарно работает. Пакеты на сервер через 10.8.0.1 (то есть через VPN-тоннель) успешно приходят. Следовательно, для сервиса tor они эквивалентны пришедшим с 127.0.0.1, разве нет? А сервис слушает на 127.0.0.1:9050, что подтверждается выводом netstat'a. Вся дальнейшая работа (NAT и прочее) должно, если я правильно понимаю, выполняться внутри сервиса tor, это, в рамках моей задачи, некий черный ящик, куда главное вбросить пакет на порт 9050.

Мною движет простая аналогия: когда tor не глушили в РФ, чтобы настроить тот же браузер для работы через tor было достаточно прописать в браузере socks5 на 127.0.0.1:9050 и все работало. В моем случае, по сути, все то же самое, разве что сервис tor запущен не локально (на 127.0.0.1), а удаленно (на 10.8.0.1) - причем удаленный сервер через этот адрес доступен.

Поэтому я и не понимаю, что не так...

dima9kin
() автор топика
Ответ на: комментарий от dima9kin

Пакупаешь KVM VDS с ЦОД в москве. Настраиваешь Openvpn по статье.
заходишь на сайт https://2ip.ru/ смотришь чтобы ip был твоего kvm.
И пользуешься тор браузером. Или не пользуешься потому что все торренты и так работают. Серавно за задницу тебя возьмут и с тором. Какая разница. Главное дистрибутиву и vpn серверу пропиши dns 1.1.1.1 и 1.0.0.1. Сайты заблокированные международным судом открываться не будут. По сути ты не будешь нарушать закон. Могу скинуть ссылку на поставщика услуг виртуальных серверов. Минимальный тариф 55 рублей мес.

daxoric128
()
Ответ на: комментарий от daxoric128

У меня есть KVM и, к счастью, далеко от Москвы. OpenVPN настроен. Торренты мне не нужны. На счет задницы - постановка вопроса вообще не корректна, есть понятие модель угроз процесса, остальное все (в том числе возьмут или не возьмут за задницу) - словоблудие, не более.

А вот браузер как ни ходил в интернет через удаленный сервис TOR - так и не ходит, что печально…

dima9kin
() автор топика
Последнее исправление: dima9kin (всего исправлений: 1)
Ответ на: комментарий от dima9kin

У твоего сервера несколько IP-адресов, в том числе 10.8.0.1 и 127.0.0.1. Тор слушает на 127.0.0.1, а пакеты приходят на 10.8.0.1 => до тора они не доходят, их просто ядро выбрасывает, потому что на 10.8.0.1:9050 никто не слушает.

deadNightTiger ★★★★★
()
Ответ на: комментарий от deadNightTiger

А можно чуть поподробнее вот такой момент осветить: ведь и адрес 127.0.0.1 и адрес 10.8.0.1 принадлежат моему серверу, то есть a priori ядро на сетевом уровне модели OSI обязано пакеты, приходящие на эти адреса принимать, разве нет?

А уж дальше, после того как сетевой слой OSI очищен, ядро распределяет пакет по портам, нет? А на 9050 порте есть сервис tor, который и должен пакет обработать.

Или я в принципе не верно понимаю модель OSI и процесс снятия слоев с пакета в процессе его обработки ядром?

dima9kin
() автор топика
Ответ на: комментарий от daxoric128

Предложите надежный источник постоянно ротируемых IP-адресов лучше TOR - и я с Вами соглашусь.

dima9kin
() автор топика
Ответ на: комментарий от dima9kin

Ты перенаправляешь трафик с внешнего ip на ip openvpn и наоборот. Где в статье ты видел 127.0.0.1? vpn сервер вообще такого адреса не знает.

daxoric128
()
Ответ на: комментарий от daxoric128

Так а зачем серверу OpenVPN знать адрес 127.0.0.1??? Он принимает пакеты на 10.8.0.1 и передает их ядру, потому что они адресованы данной системе.

Блин, иными словами (как я понимаю), послать пинг с удаленного клиента на 10.8.0.1 это то же самое, что послать пинг с самого сервера на 127.0.0.1 - и в том и в другом случае адресат (первичный, на уровне сетевого слоя) - ядро сервера, разве нет?...

dima9kin
() автор топика
Ответ на: комментарий от dima9kin

Тебя что заклинило? Нету ни какого 127.0.0.1.
Только внешний и внутренний ip vpn сервера.

daxoric128
()
Ответ на: комментарий от dima9kin

Сервис не просто слушает порт, он слушает связку IP+порт (если мы говорим о TCP или UDP). На 127.0.0.1:9050 и 10.8.0.1:9050 могут быть разные сервисы. Чтобы слушать все доступные адреса сразу, есть специальный адрес 0.0.0.0

deadNightTiger ★★★★★
()
Ответ на: комментарий от deadNightTiger

Короче, я так понял, в настройках ТОРа (файле torrc) надо в нужном месте заменить 127.0.0.1 на 0.0.0.0 (слушать всё адреса) или 10.8.0.1 (слушать VPN)?

dima9kin
() автор топика
Ответ на: комментарий от dima9kin

Причём если будешь слушать 10.xxx то надо убедиться, что тор стартует после опенвпна. Или сисктл подкрутить.

Legioner ★★★★★
()
Ответ на: комментарий от dima9kin

допустим, сервису на 127.0.0.1 пришел пакет от 10.8.0.2. какой адрес отправителя должен быть в ответе сервиса?

anonymous
()

Попробуй порт 9150 слушать - оно я не понял закономерности, но иногда там

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.