LINUX.ORG.RU

Как правильно настроить конфигурацию VPN-TOR-VPN на Whonix?

 , , , ,


1

2

Исходные данные такие: Есть два VPS, на которых установлен WireGuard; Роутер с LibreCMC прошивкой (форк OpenWRT); Ноутбук с установленной операционной системой Linux; Whonix установленный в виртуалке, то есть Gateway и Workstation машины, где Gateway выполняет роль тор-шлюза.

Задача: настроить VPN-TOR-VPN конфигурацию, в которой первый впн (VPN1) будет прятать траффик тор от провайдера, а последний впн (VPN2) будет прятать траффик тор от сайтов, к которым я буду обращаться с виртуальной машины Workstation

Как я собирался делать: подключить свой роутер к wireguard впну, который я разместил на одном из серверов, для того, чтобы обезопасить весь траффик у себя в избушке, а траффик тор был замаскирован от провайдера (VPN1); далее заворачивать его в тор, запустив и выходя через тор-шлюз Whonix’а (TOR); а после подключить машину Workstation к wireguard впну установленного на второй сервер, чтобы при выходе в интернет, сайты, которые ругаются на айпи адреса тора – не ругались, т.к. будут видеть айпи моего впн-сервера (VPN2). То есть должно получится VPN1-TOR-VPN2

Но как-то закралось сомнение, что я делаю всё правильно… Не получается ли таким образом конфигурация TOR-VPN2-VPN1? Ведь уже сначала ещё на самом компуктере на очереди стоит TOR, потом появляется VPN2, и лишь в конце VPN1…

Может быть стоит тогда VPN1 устанавливать не на роутер, а на основную операционную систему, ещё до выхода в Whonix? Или в таком контексте нет никакой разницы?

Где вообще начинает свой «путь» траффик? Где он начинает наращивать все эти впны и торы? Он «начинается» в виртуальной машине, и выходит оттуда через тор-шлюз в основную операционную систему, а с основной к роутеру? И тогда получается что впн установленный в Workstation первый в очереди? Или же траффик начинает заворачиваться из основной операционной системы, уходя в виртуальную машину, а далее из неё направляясь к роутеру?

В общем, как правильно сконфигурировать VPN-TOR-VPN соединение, имея перечисленные исходные данные?

Прошу прощения за такой дилетантский вопрос



Последнее исправление: Tomohyeah (всего исправлений: 2)

Задача: настроить VPN-TOR-VPN конфигурацию, в которой первый впн (VPN1) будет прятать траффик тор от провайдера, а последний впн (VPN2) будет прятать траффик тор от сайтов, к которым я буду обращаться с виртуальной машины Workstation

Похоже на шизофазию, пускать трафик тор через впн равносильно пускать трафик через впн с выходом в тор, а последний впн вообще непонятно нахуя нужен.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Вы хотите сказать, что если иметь 1 впн, будь тот установлен на роутер или же подключён на самой хостовой ОС, это спрячет факт использования айпишников тор как от провайдера, так и от сайтов?

а последний впн вообще непонятно нахуя нужен.

Я же написал зачем – для того чтобы спрятать торовский айпи при выходе в интернет. Например, некоторые сайты не только подозрительно относятся к нему, но и блокируют, т.к. многие торовские адреса числятся в базах как замеченные в использовании с целью мошенничества/спама. А мой криптокошелёк даже запрещает мне делать свап из-за того что видит мою выходную ноду тора

Другое дело – правильно ли я собрался это делать? Я же и спрашиваю. Я новенький в теме, и всего-то пытаюсь научиться настраивать разные конфигурации, но пока даже не понимаю какой впн какое место в очереди занимает, и откуда этот траффик начинает свой «путь»

То есть, меня в данном вопросе интересует не столько возможность завернуть свой траффик в впн в принципе (т.к. понимаю что этот слой в любом случае будет, где бы в очереди не стоял впн), сколько процесс маскировки использования тор маршрутизации, чтобы и провайдер не видел что я использую тор, а видел лишь впн, и сайты/приложения не видели что я использую тор, а видели лишь айпи адрес используемого мною впна

Tomohyeah
() автор топика

whonix обязательное условие? или задача просто пустить трафик через tor чтобы 2 vps нельзя было связать с тобой? Вообще это решаемо и с whonix и без, но заморочено и как выше написали скорость будет так себе.

Kolins ★★★★
()
Ответ на: комментарий от Tomohyeah

Я просто не понимаю в какой очерёдности заворачивается траффик. То есть, очевидно он исходит от моего роутера и летит куда-то там на сервера впнов/торов. Цепочка впн-тор-впн по идее подразумевает то, что в момент обращения к сайту мой траффик сначала «полетит» на сервер первого впна, потом на сервера тора, с выходной ноды тора на сервер второго впна, и уже с него только туда, куда я и обращался.

Но как эта очерёдность выстраивается? Где траффик начинает заворачиваться? Если я выхожу через виртуальную машину Whonix и её тор-шлюз в интернет, и на этой виртуальной машине установлено подключение впн, но при этом у меня ещё и роутер подключён к ДРУГОМУ впну, то мой траффик сначала полетит на сервер того впна, который установлен в виртуальной машине, потом на сервер тора, а потом на сервер впна-роутерского? или же наоборот: сначала на сервер впна роутерского, потом сервера тор, и в конце на сервер впна установленного на виртуальной машине? Какая последовательность?

Вроде бы простой технический вопрос для разбирающихся людей

Tomohyeah
() автор топика
Ответ на: комментарий от Kolins

Ну как без хуникса настроить эти звенья на серверах я и сам понимаю. А вот как с хуниксом нет. Как бы, я конечно хочу выполнить поставленную перед собой задачу, но куда больше я хочу разобраться с теорией, и вот я и спрашиваю как это всё организовать с хуниксом, как выстраивается очерёдность этих подключений.

Просто я встречал противоречивую информацию: кто-то говорит что траффик выходит ИЗ Workstation через тор-шлюз Gateway на хост, и из хоста на роутер. Кто-то говорил обратное, что с роутера раздаётся на хост, и с хоста через тор-шлюз идёт к Workstation, а потом уходит через роутер

Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 1)

Если у меня стоит впн на роутере, то последовательность подключений будет такая?

-Трафик сначала отправляется на сервер первого VPN (на моём роутере).

-Затем он перенаправляется в Tor-сеть через шлюз Tor (виртуальная машина Whonix Gateway).

-Внутри сети Tor трафик проходит через несколько узлов, прежде чем выйти из выходной ноды Tor на сервер второго VPN (установленный внутри виртуальной машины Whonix Workstation).

-И наконец, трафик покидает сервер второго VPN и идет в запрашиваемый мною ресурс.

Или иначе?

Как не гуглил, так и не смог найти информацию касательно принципа выстраивания последовательности подключений в такой конфигурации

Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 1)
Ответ на: комментарий от Anoxemian

Последний VPN нужен очевидно чтобы сайты банящие Tor не жаловались. Но мне в этой схеме решительно не ясно зачем вообще нужен Tor.

Я понимаю(пусть и ограниченно) схемы с 2 VPN-ами. Я понимаю схему VPN-TOR (особенно в текущих реалиях). Но вот такой вот бутерброд(VPN1-TOR-VPN2) - решительно не понимаю.

Провайдеру VPN2 мы IP-адрес свой не палим, но быть точкой выхода трафика - доверяем. Провайдеру VPN1 мы один хрен даём свой внешний адрес - так что мы уже доверяем ему.

То есть я не вижу как в этой схеме может пригодиться Tor, вот вообще. А в любой непонятной ситуации в сфере безопасности начать надо с вопроса «Какая модель угроз?»

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Хм. Мне казалось это работает так: VPN1 скрывает тор траффик от провайдера, VPN2 от сайтов, а TOR делает дорогу траффика более заковыристой между впнами, что делает более сложным процесс распутывания цепи, и соответственно, паль своего настоящего айпи.

Но, как я уже упоминал, я новичок и только разбираюсь в теме, поэтому не очень понимаю действительно ли это так работает.

То есть, с такой цепью, условно, я могу сидеть на этом форуме и общаться с вами, форум не будет знать что я использую тор, как и провайдер, а если вам захочется деанонимизировать меня, вам придётся сначала узнать айпи моего VPN2, если сумеете каким-то образом узнать откуда я обращался к провайдеру VPN2, то узнаете лишь айпи выходной ноды тор, и так далее.

Или это работает не так? Мне казалось это технически не только даёт скрыть факт использования тора, но и создаёт дополнительный слой безопасности без подрывания предыдущих

Tomohyeah
() автор топика
Ответ на: комментарий от Tomohyeah

что делает более сложным процесс распутывания цепи

От кого защищаемся? От Васянов, которые где-то в одной точке могут послушать трафик? Это избыточно, просто пары VPN или VPN-TOR - за глаза.

От спецслужб? Есть пара статей, где говорится что заокеанские товарищи вполне себе могут отслеживать трафик в Tor-е. Ну и да, тут ты скорее спалишься по тому, как ты приобретал VPN-ы(если не за крипту - то ой; если за крипту - то как ее покупал, если в обменике требовался KYC/AML - то снова ой и т.д.).

и создаёт дополнительный слой безопасности без подрывания предыдущих

Я был тоже молодой и думал что шифрованный трафик поверх шифрованного(в идеале - другим алгоритмом) - увеличивает безопасность. Оказалось не совсем так. Да, статья длинная, но там кроме тезиса про детектируемость подобного трафика есть много еще интересного.

TL;DR - имеющаяся у тебя схема на мой взгляд не спасает от самой пессимистичной модели угроз и является избыточной для более мелких(про проблемы производительности, а точнее задержки - уже упомянули).

Поэтому снова спрашиваю: «Какова модель угроз?».
Построить VPN-поверх-VPN-а шобы было - это не модель угроз.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 2)
Ответ на: комментарий от Pinkbyte

От спецслужб? Есть пара статей, где говорится что заокеанские товарищи вполне себе могут отслеживать трафик в Tor-е.

Ну, разумеется, заокеанские спецслужбы меня не беспокоят. Моя конфигурация не столько техническая, сколько любительская, т.к. просто хочу научиться работать с данными инструментами. Но в процессе настройки понял, что не понимаю теорию, и мои вопросы касаются лишь следующего:

  1. В какой последовательности заворачивается траффик в моей конфигурации с Whonix и VPN на роутере?

  2. Если получится так, как я себе изначально это представлял, что сначала мой траффик направится на сервер VPN1 (роутерский впн), потом на входную ноду TOR, потом дойдёт до выходной ноды TOR, а с выходной ноды направится к серверу VPN2 (впн на Workstation), то осложнит ли это деанонимизацию меня как пользователя, относительно аналогичной конфигурации но без VPN2, за счёт того, что условный Вася или опер будет видеть сначала айпи провайдера VPN2, и лишь постаравшись в давлении на провайдера он сможет узнать айпи выходной ноды тор, с которой траффик перенаправился на сервер VPN2? Или же VPN2 не выполнит функцию дополнительного запутывающего узла (конкретно сейчас вопрос только о ней)?

Спасибо за статью. Я сейчас диагонально прошёлся по ней (позже прочитаю целиком), и если мне не показалось, то там всё-таки не раскрывается то, что меня интересует, увы…

А всё потому, что я не понимаю вещь куда проще, чем детектирование впн-траффика, шифрование данных и способы использования разных анонимайзеров. Наверное, я просто невнятно формулирую вопрос

Tomohyeah
() автор топика
Ответ на: комментарий от Pinkbyte

Поэтому снова спрашиваю: «Какова модель угроз?».

Опять-таки: меня вполне устроит 1 впн, как решение вполне соответственное моей модели угроз. Но данная тема не об этом, как и мои вопросы

Tomohyeah
() автор топика
Ответ на: комментарий от Tomohyeah

Ну если с whonix...


  • vps-vpn1 - wiruguard сервер
  • router - устанавливаешь wg до vpn-vpn1
  • vps-vpn2 - vpn сервер (который может пройти через tor)
  • whonix - vpn до vps-vpn2 (пойдет через tor т.к. в whonix вечь трафик через него идет)
Kolins ★★★★
()
Ответ на: комментарий от Kolins

router - устанавливаешь wg до vpn-vpn1

Вы должно быть имели в виду «vps-vpn1»? Извините, уже голова кругом к вечеру

И если да, то почему wg на роутер надо устанавливать до установки на сервер?

vps-vpn2 - vpn сервер (который может пройти через tor)

Разве второй впн проходит через тор? Мне казалось он просто стоит ПОСЛЕ тора. Т.к. впн траффик расшифровывается к следующему узлу, а учитывая что vpn2 стоит последний в очереди конфигурации, то он просто зашифровывает поступающий на него тор-траффик на пути к сайту, к которому я обращаюсь, чтобы тот не увидел айпи тор ноды.

Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Поэтому снова спрашиваю: «Какова модель угроз?».

ещё раз прокомментирую это, дабы точно отсеять возникшее недопонимание.

Я предложил определённую конфигурацию, под какую именно модель угроз она подойдёт лучше всего – дело десятое, это не то, что меня интересует.

Вопросы конкретно в том, как на примере ИМЕННО ТАКОЙ специфической конфигурации неважно для каких целей, определяется последовательность подключений к промежуточным узлам между моим компьютером, и сервером ресурса, к которому я обращаюсь, а также в том, позволяет ли данная конфигурация выполнить поставленную задачу, а именно: скрыть факт использования тор от провайдера и от ресурса, к которому я обращаюсь, не потеряв при этом защитный барьер от условных Васяток или спецслужб желающих узнать мой реальный айпи проследив моё подключение по промежуточным узлам, за счёт TOR’а между впн-серверами.

Понятное дело, что условный работник спецслужб может распутать всё по следам моей оплаты сервака, на котором я разместил впн. Но допустим, что я купил его не оставив никаких следов, ни фингерпринтов, ни счетов связанных со мной, ни личных данных, ни настоящего айпи. В таком случае, ему же остаётся лишь проследить маршрут моего траффика, верно? Что, мол, вот до этого сервака, мой траффик направлялся с выходной ноды тор, а на выходную ноду он маршрутизировался с входной, а на входную с сервера первого впна…

Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 1)
Ответ на: комментарий от Tomohyeah

Ты предложил дурацкую конфигурацию, которая ничем не отличается от просто VPN, кроме того что работает медленее.

И вот почему:
Почему тебе не достатолчно просто VPN? Потому что ты боишься, что через владение VPN CC как-то выйдут не тебя. Ок, ты добавляешь TOR после VPN. Это разумно - VPN скрывает от провайдера работу TOR, а TOR скрывает от ССовцев твой VPN. Но теперь ты нахлабучиываешь сверху еще один VPN… Ты вернулся ровно туда где был пока у тебя был только один VPN - теперь на тебя можно выйти через владение конечным VPN.

Запомни - чем больше средств защиты ты применил, тем больше способов тебя через них вычислить. Поэтому если очередное средство защиты не поднимает твою безопасность радикально, на порядки, то оно снижает ее.

Да, если ты сделал VPN+Tor, взломал с этого подключения криптобиржу и вывел оттуда сотни бетховенов, а потом купил VPN после TOR, на них, то это будет немного безопаснее. Только ты все равно дурак - нахрена тебе всё это если у тебя уже есть сотни бетховенов?

В общем случае VPN+Tor безопаснее чем VPN+Tor+VPN. Единственное можно на FF поставить прокси, а то с тора ни везде пускают. Но прокси купленный за Monero и через TOR!

toomanoff
()
Ответ на: комментарий от Tomohyeah

В таком случае, ему же остаётся лишь проследить маршрут моего траффика, верно?

Нет, не верно. Этой херней вообще никто не будет заниматься. Увидив что ты не с российского IP зашел, товарищ майор начнет шерстить твои сообщения на предмет каких либо фактов, которые вы о себе раскрыли (если конечно сильно мотивирован), или шерстить ВК на лайки Навальному - там будет проще план сделать чем с тобой.

toomanoff
()
Ответ на: комментарий от toomanoff

Спасибо за ответ!

Но теперь ты нахлабучиываешь сверху еще один VPN… Ты вернулся ровно туда где был пока у тебя был только один VPN - теперь на тебя можно выйти через владение конечным VPN.

В общем случае VPN+Tor безопаснее чем VPN+Tor+VPN. Единственное можно на FF поставить прокси, а то с тора ни везде пускают. Но прокси купленный за Monero и через TOR!

А в чём, собственно, разница между купленным прокси за Monero и через TOR, и купленным сервером за Monero и через TOR, на котором будет развёрнут свой собственный второй VPN?

Tomohyeah
() автор топика
Ответ на: комментарий от toomanoff

Ну, в стране, в которой мент заведёт дело скорее на вызвавшего помощь, нежели на того, из-за кого этого самого мента пришлось вызывать, это воспринимается как само собой разумеющееся. Понятное дело, что мои вопросы выглядят довольно оторванными от реальности в контексте того, как подобные расследования происходят на практике. Но это только если считать, что я действительно собираюсь от кого-то прятаться, а мне просто доставляет разобраться в том, как это работает в принципе. Например понять, почему второй впн это вернуться в исходную точку с одним впн и без тора, а прокси после тора это доп. защита. Что это за след такой остаётся в впне, который тривиализирует практически всю сзади стоящую защиту?

Tomohyeah
() автор топика
28 октября 2023 г.
Ответ на: комментарий от Kolins

только дошли руки это всё настроить, и возникли вопросы…

vps-vpn2 - vpn сервер (который может пройти через tor)

А какой впн сможет пройти через тор? Я так понимаю кроме openvpn вариантов нет?

И что вы имеете в виду под «пройти через tor»… В плане, что он (vpn2) сможет нормально стоять и работать в конце цепи vpn1-tor-vpn2? А то я сча запутался… Вы вот написали что в whonix весь трафик через тор идёт, а ведь и правда так. Оно же из workstation в gateway пойдёт, верно? И получается тогда, что стоящий на workstation vpn клиент схематически будет стоять перед tor, или что?

Можете пожалуйста объяснить какой протокол впна выбрать, и каким образом и в какой машине его установить, чтобы получился vpn1-tor-vpn2, и я мог работать в сети не палясь с айпи тора

Tomohyeah
() автор топика
Ответ на: комментарий от Tomohyeah

laptop [(whonix gw) –> ss] -> [router] -> [vps1(ss)] -> (tor) -> vps2(ss)

Не используй vpn потому что реализации ядерные а не userland, используй shadowsocks и прочие, поверхность атаки снижается + их можно посадить в тюрьму запретив процессу всё кроме того что тебе нужно, бонусом скорость работы.

При настройке whonix gateway настрой будто у тебя интернет через прокси, где укажи порт локальной прокси от демона shadowsocks который у тебя на хостовой системе запущен.

Если ты озаботился безопасностью, то на роутер тебе нужно установить агент, который мониторит как сам роутер (процессы, соединения, wifi клиентов, lan хосты) и если что то пошло не так. отправляет тебе алерт.

Но это малая часть.

Напиши в лс телегу, помогу с моментами.

undef_lib
()
Ответ на: комментарий от undef_lib

Не используй vpn потому что реализации ядерные а не userland, используй shadowsocks и прочие, поверхность атаки снижается + их можно посадить в тюрьму запретив процессу всё кроме того что тебе нужно, бонусом скорость работы.`

Спасибо за совет! Вообще да, думал и про shadowsocks, и в принципе мне чисто с энтузиастской позиции интереснее было бы настроить ss сервер, чем OpenVPN. Но мне не удалось найти гайдов на тему подключения к ss на системном уровне (как это делает vpn), а не просто в конкретном приложении/браузере. Но я и не то что бы прям искал…

При настройке whonix gateway настрой будто у тебя интернет через прокси, где укажи порт локальной прокси от демона shadowsocks который у тебя на хостовой системе запущен.

Напиши в лс телегу, помогу с моментами.

Спасибо за предложение! Вот, да, я нюфаня, и мне помощь была бы очень кстати… А то я совсем не представляю как это организовать. Только на данном форуме личных сообщений нет :0 Идея ведь вроде как в том, чтобы обсуждение общее было, и другим тоже помогло. Но если хотите, могу оставить свой session id.

Tomohyeah
() автор топика
Ответ на: комментарий от undef_lib

А какое из всех этих решений в ряду с openvpn самое простое? Мне просто нужно чтобы на выходе стоял не торовский айпи, который не будет скакать из страны в страну каждые 10 минут, и на него маршрутизировался весь трафик с выходной ноды tor.

А то всё из перечисленного для меня как тёмный лес, так что я без подробного гайда вряд-ли разберусь в том, как это прикрутить правильно на whonix

Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 3)
Ответ на: комментарий от undef_lib

нужно установить агент, который мониторит как сам роутер

Кстати да, хорошая вещь. Подскажете какие-то ключевые названия, в каком направлении гуглить? Помню, встречал что-то подобное: устройство, которое начинало мигать красным в случае подозрительной активности в роутере. Но было до боли дорогое и как-то не сильно впечатлило… Если бы это оповещение действительно на телефон, например, приходило, а не просто мигало на полке, было бы вообще здорово

Tomohyeah
() автор топика