История изменений

Исправление SM5T001, 11.07.20 02:53 (текущая версия) :

Наверно, чтобы не привлекать к себе внимание в I2P лучше выходить не со своего провайдера, а через какую-нибудь хостинговую ноду?

Не знаю, насколько сильно I2P привлекает внимание. Снаружи по оттиску трафика похоже на зашифрованный битторрент. Конечно, могут быть вредоносные узлы в сети, подконтрольные следящим организациям, которые собирают все IP участников сети(справедливо и для Freenet). Тут проблема, Tor в этом плане получше, хотя не так давно в I2P добавили «режим клиента», но он пока экспериментальный.

Как наименее заметно и подозрительно подключаться к такой ноде и где ее лучше взять? ... и далее ниже

Наименее заметно — через onion-сервис Tor, поднятый на VPS. В onion-сервис можно обернуть SSH, telnet, FTP, что угодно, что поддерживает TCP. При таком подходе сам VPS — эдакий сидбокс. Качаем через него торренты, раздаём канал и т.п. Результаты работы выкачиваем напрямую через onion-сервис.

И настроить легко, и незаметно, и безопасность на высоте, даже telnet получает сильное шифрование. Туннелируя запросы в SSH, получаем SSH через Tor(localhost -> Tor -> SSH -> clearnet), анонимность сильно проседает, но можно посещать ресурсы, огородившиеся от Tor.

Теперь подлкючаем воображение. Поднимаем onion-сервис, открываем на нём порт, например 443. Внутри VPS запросы на этот порт перенаправляются на другой, например порт I2P(4444), в результате они будут идти напрямую в I2P, не покидая VPS.

Теперь желательно использовать TorDNS для всех DNS-запросов в системе. Это тот минимум, который стоит рекомендовать всем просто ради безопасности, так как обычный DNS не шифруется и легко подменяется. Короткая инструкция тут: https://wiki.archlinux.org/index.php/Tor#TorDNS

Открываем наш браузер, прописываем в настройки прокси onion-сервис и его порт как SOCKS5(включаем проксирование DNS), в about:config ставим(не обязательно при настройке TorDNS):

network.dns.forceResolve 127.0.0.1
network.dns.ipv4OnlyDomains 127.0.0.1
network.dns.localDomains 127.0.0.1
network.dns.native-is-localhost true

Теперь Tor с включённой настройкой VirtualAddrNetworkIPv4 пробросит запросы к этому onion-сервису на локальный IP, что позволит легко работать через него. Получаем I2P через Tor(localhost -> Tor -> onion-сервис -> I2P -> eepsite; в сумме 10 узлов минимум).

Замечу — вышеописанный пример с браузером я в таком виде не проверял, но проверял в системе, в которой всё перенаправляется в Tor через iptables. Успешно заработало с Tor Browser, что позволило через него посещать .i2p.

Плюсы — не нужно светить свой домашний IP, не нужно ждать инициализации маршрутизатора, не нужно бояться перебоев с электропитанием(резкое отключение I2P приводит к блокировке вашего IP другими маршрутизаторами на некоторое время); вы помогаете сети I2P, держа узел на высокопроизводительном и беспребойном сервере 24/7/365; вы помогаете сети Tor, внося разнообразие в шаблоны её использования.

Минусы — слегка медленнее(совсем чуть-чуть), нужно платить за VPS, нужно всё настраивать и поддерживать.

Если боимся провайдера, записывающего ваши подключения к IP сторожевого узла Tor, можем настроить скрытый мост obfs4 на другом или даже том же VPS(лучше всё же на другом, скоро станет понятно). Подняв скрытый мост obfs4, поднимаем на той же машине VPN и открываем к нему доступ, публикуя адрес и настройки на VPN Gate https://www.vpngate.net/en/

Ждём анонимусов, которые начнут использовать VPN, после чего можно смело подключать себя к нашему мосту. Все запросы пойдут через него, даже запросы на корневые серверы каталогов(они обычно идут напрямую, светясь у провайдера). Это поможет, если противник силён, но не обладает достаточно качественной техникой, например хорошим DPI. Не поможет против нормального DPI, вроде китайского.

где ее лучше взять?

Покупаем VPS за Monero или хотя бы Bitcoin.

Размещать софт для такого тунеля в идеале наверно на одноплатниках Cortex A7 с аппаратным крипто для хранения SSH ключей типа Rutoken ECP2?

Мы можем настроить проксирование по схеме Whonix даже на маршрутизаторе, если получится зашить на него свободную прошивку вроде OpenWrt. У проекта Whonix есть базовые инструкции. Тогда не нужно даже возиться с iptables, privoxy и прочим, подключил Wi-Fi/провод и готово.

Только SOCKSAuth придётся донастраивать, без него анонимность Tor Browser сильно пострадает.

Одноплатники можно разместить у незнакомых жаждущих халявы студентов в общаге в каких нибудь труднодоступных далеких ебенях, оплачивая им ежемесячный интернет.

Плохо, очень плохо. Засветишься по камерам наружного наблюдения и при оплате услуг связи(провайдеры не принимают криптовалюты). Лишние трудности только.

Вообще вся эта схема на фоне подхода с onion-сервисом излишне усложнена и потому потенциально ненадёжна, даже небезопасна. Безопасность и работоспособность простых систем контролировать много проще.

Тем более, что выход через VPN = постоянный выходной узел = тривиальная атака пересечением = деанонимизация, и очень быстрая деанонимизация. Наблюдая совсем недолго и проведя единственную атаку шейпингом, противник(ФСБ/АНБ) надёжно деанонимизирует тебя.

Это не говоря уже о том, что при таком подходе твои коммуникации будут представлять собой сетевую аномалию(для пассивного наблюдателя), и аномалию уникальную.

Для выхода в «обычную» сеть на ресурсы, которые блокируют Tor, используем кэширующий прокси + VPS + onion-сервис на нём. Подключаемся к VPS через onion-сервис и работаем с кэшем.

При правильной настройке можно говорить всем вокруг: «Good Luck, I'm Behind 7 10 Proxies!»

Исходная версия SM5T001, 11.07.20 02:50: