Как правильно настроить конфигурацию VPN-TOR-VPN на Whonix?

Задача: настроить VPN-TOR-VPN конфигурацию, в которой первый впн (VPN1) будет прятать траффик тор от провайдера, а последний впн (VPN2) будет прятать траффик тор от сайтов, к которым я буду обращаться с виртуальной машины Workstation

Похоже на шизофазию, пускать трафик тор через впн равносильно пускать трафик через впн с выходом в тор, а последний впн вообще непонятно нахуя нужен.

Ты бы сначала определился от кого и с какой целью трафик прятать хочешь

Это будет ОЧЕНЬ медленно, и вообще оверхэд.

Вы хотите сказать, что если иметь 1 впн, будь тот установлен на роутер или же подключён на самой хостовой ОС, это спрячет факт использования айпишников тор как от провайдера, так и от сайтов?

а последний впн вообще непонятно нахуя нужен.

Я же написал зачем – для того чтобы спрятать торовский айпи при выходе в интернет. Например, некоторые сайты не только подозрительно относятся к нему, но и блокируют, т.к. многие торовские адреса числятся в базах как замеченные в использовании с целью мошенничества/спама. А мой криптокошелёк даже запрещает мне делать свап из-за того что видит мою выходную ноду тора

Другое дело – правильно ли я собрался это делать? Я же и спрашиваю. Я новенький в теме, и всего-то пытаюсь научиться настраивать разные конфигурации, но пока даже не понимаю какой впн какое место в очереди занимает, и откуда этот траффик начинает свой «путь»

То есть, меня в данном вопросе интересует не столько возможность завернуть свой траффик в впн в принципе (т.к. понимаю что этот слой в любом случае будет, где бы в очереди не стоял впн), сколько процесс маскировки использования тор маршрутизации, чтобы и провайдер не видел что я использую тор, а видел лишь впн, и сайты/приложения не видели что я использую тор, а видели лишь айпи адрес используемого мною впна

Там написано

whonix обязательное условие? или задача просто пустить трафик через tor чтобы 2 vps нельзя было связать с тобой? Вообще это решаемо и с whonix и без, но заморочено и как выше написали скорость будет так себе.

Я просто не понимаю в какой очерёдности заворачивается траффик. То есть, очевидно он исходит от моего роутера и летит куда-то там на сервера впнов/торов. Цепочка впн-тор-впн по идее подразумевает то, что в момент обращения к сайту мой траффик сначала «полетит» на сервер первого впна, потом на сервера тора, с выходной ноды тора на сервер второго впна, и уже с него только туда, куда я и обращался.

Но как эта очерёдность выстраивается? Где траффик начинает заворачиваться? Если я выхожу через виртуальную машину Whonix и её тор-шлюз в интернет, и на этой виртуальной машине установлено подключение впн, но при этом у меня ещё и роутер подключён к ДРУГОМУ впну, то мой траффик сначала полетит на сервер того впна, который установлен в виртуальной машине, потом на сервер тора, а потом на сервер впна-роутерского? или же наоборот: сначала на сервер впна роутерского, потом сервера тор, и в конце на сервер впна установленного на виртуальной машине? Какая последовательность?

Вроде бы простой технический вопрос для разбирающихся людей

Ну как без хуникса настроить эти звенья на серверах я и сам понимаю. А вот как с хуниксом нет. Как бы, я конечно хочу выполнить поставленную перед собой задачу, но куда больше я хочу разобраться с теорией, и вот я и спрашиваю как это всё организовать с хуниксом, как выстраивается очерёдность этих подключений.

Просто я встречал противоречивую информацию: кто-то говорит что траффик выходит ИЗ Workstation через тор-шлюз Gateway на хост, и из хоста на роутер. Кто-то говорил обратное, что с роутера раздаётся на хост, и с хоста через тор-шлюз идёт к Workstation, а потом уходит через роутер

Если у меня стоит впн на роутере, то последовательность подключений будет такая?

-Трафик сначала отправляется на сервер первого VPN (на моём роутере).

-Затем он перенаправляется в Tor-сеть через шлюз Tor (виртуальная машина Whonix Gateway).

-Внутри сети Tor трафик проходит через несколько узлов, прежде чем выйти из выходной ноды Tor на сервер второго VPN (установленный внутри виртуальной машины Whonix Workstation).

-И наконец, трафик покидает сервер второго VPN и идет в запрашиваемый мною ресурс.

Или иначе?

Как не гуглил, так и не смог найти информацию касательно принципа выстраивания последовательности подключений в такой конфигурации

Последний VPN нужен очевидно чтобы сайты банящие Tor не жаловались. Но мне в этой схеме решительно не ясно зачем вообще нужен Tor.

Я понимаю(пусть и ограниченно) схемы с 2 VPN-ами. Я понимаю схему VPN-TOR (особенно в текущих реалиях). Но вот такой вот бутерброд(VPN1-TOR-VPN2) - решительно не понимаю.

Провайдеру VPN2 мы IP-адрес свой не палим, но быть точкой выхода трафика - доверяем. Провайдеру VPN1 мы один хрен даём свой внешний адрес - так что мы уже доверяем ему.

То есть я не вижу как в этой схеме может пригодиться Tor, вот вообще. А в любой непонятной ситуации в сфере безопасности начать надо с вопроса «Какая модель угроз?»

Ты описал ситуацию с тремя vps? Вот уж все равно непонятно, чем айпи, терминирующий тор отличается от следующего впн.

Хм. Мне казалось это работает так: VPN1 скрывает тор траффик от провайдера, VPN2 от сайтов, а TOR делает дорогу траффика более заковыристой между впнами, что делает более сложным процесс распутывания цепи, и соответственно, паль своего настоящего айпи.

Но, как я уже упоминал, я новичок и только разбираюсь в теме, поэтому не очень понимаю действительно ли это так работает.

То есть, с такой цепью, условно, я могу сидеть на этом форуме и общаться с вами, форум не будет знать что я использую тор, как и провайдер, а если вам захочется деанонимизировать меня, вам придётся сначала узнать айпи моего VPN2, если сумеете каким-то образом узнать откуда я обращался к провайдеру VPN2, то узнаете лишь айпи выходной ноды тор, и так далее.

Или это работает не так? Мне казалось это технически не только даёт скрыть факт использования тора, но и создаёт дополнительный слой безопасности без подрывания предыдущих

что делает более сложным процесс распутывания цепи

От кого защищаемся? От Васянов, которые где-то в одной точке могут послушать трафик? Это избыточно, просто пары VPN или VPN-TOR - за глаза.

От спецслужб? Есть пара статей, где говорится что заокеанские товарищи вполне себе могут отслеживать трафик в Tor-е. Ну и да, тут ты скорее спалишься по тому, как ты приобретал VPN-ы(если не за крипту - то ой; если за крипту - то как ее покупал, если в обменике требовался KYC/AML - то снова ой и т.д.).

и создаёт дополнительный слой безопасности без подрывания предыдущих

Я был тоже молодой и думал что шифрованный трафик поверх шифрованного(в идеале - другим алгоритмом) - увеличивает безопасность. Оказалось не совсем так. Да, статья длинная, но там кроме тезиса про детектируемость подобного трафика есть много еще интересного.

TL;DR - имеющаяся у тебя схема на мой взгляд не спасает от самой пессимистичной модели угроз и является избыточной для более мелких(про проблемы производительности, а точнее задержки - уже упомянули).

Поэтому снова спрашиваю: «Какова модель угроз?».
Построить VPN-поверх-VPN-а шобы было - это не модель угроз.

От спецслужб? Есть пара статей, где говорится что заокеанские товарищи вполне себе могут отслеживать трафик в Tor-е.

Ну, разумеется, заокеанские спецслужбы меня не беспокоят. Моя конфигурация не столько техническая, сколько любительская, т.к. просто хочу научиться работать с данными инструментами. Но в процессе настройки понял, что не понимаю теорию, и мои вопросы касаются лишь следующего:

1. В какой последовательности заворачивается траффик в моей конфигурации с Whonix и VPN на роутере?

2. Если получится так, как я себе изначально это представлял, что сначала мой траффик направится на сервер VPN1 (роутерский впн), потом на входную ноду TOR, потом дойдёт до выходной ноды TOR, а с выходной ноды направится к серверу VPN2 (впн на Workstation), то осложнит ли это деанонимизацию меня как пользователя, относительно аналогичной конфигурации но без VPN2, за счёт того, что условный Вася или опер будет видеть сначала айпи провайдера VPN2, и лишь постаравшись в давлении на провайдера он сможет узнать айпи выходной ноды тор, с которой траффик перенаправился на сервер VPN2? Или же VPN2 не выполнит функцию дополнительного запутывающего узла (конкретно сейчас вопрос только о ней)?

Спасибо за статью. Я сейчас диагонально прошёлся по ней (позже прочитаю целиком), и если мне не показалось, то там всё-таки не раскрывается то, что меня интересует, увы…

А всё потому, что я не понимаю вещь куда проще, чем детектирование впн-траффика, шифрование данных и способы использования разных анонимайзеров. Наверное, я просто невнятно формулирую вопрос

Поэтому снова спрашиваю: «Какова модель угроз?».

Опять-таки: меня вполне устроит 1 впн, как решение вполне соответственное моей модели угроз. Но данная тема не об этом, как и мои вопросы

Ну если с whonix...

• vps-vpn1 - wiruguard сервер
  
• router - устанавливаешь wg до vpn-vpn1
  
• vps-vpn2 - vpn сервер (который может пройти через tor)
  
• whonix - vpn до vps-vpn2 (пойдет через tor т.к. в whonix вечь трафик через него идет)
  

router - устанавливаешь wg до vpn-vpn1

Вы должно быть имели в виду «vps-vpn1»? Извините, уже голова кругом к вечеру

И если да, то почему wg на роутер надо устанавливать до установки на сервер?

vps-vpn2 - vpn сервер (который может пройти через tor)

Разве второй впн проходит через тор? Мне казалось он просто стоит ПОСЛЕ тора. Т.к. впн траффик расшифровывается к следующему узлу, а учитывая что vpn2 стоит последний в очереди конфигурации, то он просто зашифровывает поступающий на него тор-траффик на пути к сайту, к которому я обращаюсь, чтобы тот не увидел айпи тор ноды.

Поэтому снова спрашиваю: «Какова модель угроз?».

ещё раз прокомментирую это, дабы точно отсеять возникшее недопонимание.

Я предложил определённую конфигурацию, под какую именно модель угроз она подойдёт лучше всего – дело десятое, это не то, что меня интересует.

Вопросы конкретно в том, как на примере ИМЕННО ТАКОЙ специфической конфигурации неважно для каких целей, определяется последовательность подключений к промежуточным узлам между моим компьютером, и сервером ресурса, к которому я обращаюсь, а также в том, позволяет ли данная конфигурация выполнить поставленную задачу, а именно: скрыть факт использования тор от провайдера и от ресурса, к которому я обращаюсь, не потеряв при этом защитный барьер от условных Васяток или спецслужб желающих узнать мой реальный айпи проследив моё подключение по промежуточным узлам, за счёт TOR’а между впн-серверами.

Понятное дело, что условный работник спецслужб может распутать всё по следам моей оплаты сервака, на котором я разместил впн. Но допустим, что я купил его не оставив никаких следов, ни фингерпринтов, ни счетов связанных со мной, ни личных данных, ни настоящего айпи. В таком случае, ему же остаётся лишь проследить маршрут моего траффика, верно? Что, мол, вот до этого сервака, мой траффик направлялся с выходной ноды тор, а на выходную ноду он маршрутизировался с входной, а на входную с сервера первого впна…

Ну ты сам все расписал, да, тщ майор может узнать айпи входа и выхода. Тор, как среда передачи крайне сомнительная затея.

И если да, то почему wg на роутер надо устанавливать до установки на сервер?

А, боже. Понял вас теперь – выспался )0))

Понял, спасибо за ответ!

А почему Тор, как среда передачи крайне сомнительная затея? (Если кроме гуляющего мнения, что там все ноды под спецслужбами)

Ты udp завернешь в tcp да еще и не просто tcp, а конкретно tor. Твой канал будет больше переподключаться и падать, чем работать. Нахзачем так жить?

Ты предложил дурацкую конфигурацию, которая ничем не отличается от просто VPN, кроме того что работает медленее.

И вот почему:
Почему тебе не достатолчно просто VPN? Потому что ты боишься, что через владение VPN CC как-то выйдут не тебя. Ок, ты добавляешь TOR после VPN. Это разумно - VPN скрывает от провайдера работу TOR, а TOR скрывает от ССовцев твой VPN. Но теперь ты нахлабучиываешь сверху еще один VPN… Ты вернулся ровно туда где был пока у тебя был только один VPN - теперь на тебя можно выйти через владение конечным VPN.

Запомни - чем больше средств защиты ты применил, тем больше способов тебя через них вычислить. Поэтому если очередное средство защиты не поднимает твою безопасность радикально, на порядки, то оно снижает ее.

Да, если ты сделал VPN+Tor, взломал с этого подключения криптобиржу и вывел оттуда сотни бетховенов, а потом купил VPN после TOR, на них, то это будет немного безопаснее. Только ты все равно дурак - нахрена тебе всё это если у тебя уже есть сотни бетховенов?

В общем случае VPN+Tor безопаснее чем VPN+Tor+VPN. Единственное можно на FF поставить прокси, а то с тора ни везде пускают. Но прокси купленный за Monero и через TOR!

В таком случае, ему же остаётся лишь проследить маршрут моего траффика, верно?

Нет, не верно. Этой херней вообще никто не будет заниматься. Увидив что ты не с российского IP зашел, товарищ майор начнет шерстить твои сообщения на предмет каких либо фактов, которые вы о себе раскрыли (если конечно сильно мотивирован), или шерстить ВК на лайки Навальному - там будет проще план сделать чем с тобой.

Спасибо за ответ!

Но теперь ты нахлабучиываешь сверху еще один VPN… Ты вернулся ровно туда где был пока у тебя был только один VPN - теперь на тебя можно выйти через владение конечным VPN.

В общем случае VPN+Tor безопаснее чем VPN+Tor+VPN. Единственное можно на FF поставить прокси, а то с тора ни везде пускают. Но прокси купленный за Monero и через TOR!

А в чём, собственно, разница между купленным прокси за Monero и через TOR, и купленным сервером за Monero и через TOR, на котором будет развёрнут свой собственный второй VPN?

Ну, в стране, в которой мент заведёт дело скорее на вызвавшего помощь, нежели на того, из-за кого этого самого мента пришлось вызывать, это воспринимается как само собой разумеющееся. Понятное дело, что мои вопросы выглядят довольно оторванными от реальности в контексте того, как подобные расследования происходят на практике. Но это только если считать, что я действительно собираюсь от кого-то прятаться, а мне просто доставляет разобраться в том, как это работает в принципе. Например понять, почему второй впн это вернуться в исходную точку с одним впн и без тора, а прокси после тора это доп. защита. Что это за след такой остаётся в впне, который тривиализирует практически всю сзади стоящую защиту?

Дешевле, быстрее, удобнее. Больше ни в чем.

Если ты купил второй VPN за XMR - используй его. Нафиг тебе TOR?

только дошли руки это всё настроить, и возникли вопросы…

vps-vpn2 - vpn сервер (который может пройти через tor)

А какой впн сможет пройти через тор? Я так понимаю кроме openvpn вариантов нет?

И что вы имеете в виду под «пройти через tor»… В плане, что он (vpn2) сможет нормально стоять и работать в конце цепи vpn1-tor-vpn2? А то я сча запутался… Вы вот написали что в whonix весь трафик через тор идёт, а ведь и правда так. Оно же из workstation в gateway пойдёт, верно? И получается тогда, что стоящий на workstation vpn клиент схематически будет стоять перед tor, или что?

Можете пожалуйста объяснить какой протокол впна выбрать, и каким образом и в какой машине его установить, чтобы получился vpn1-tor-vpn2, и я мог работать в сети не палясь с айпи тора

laptop [(whonix gw) –> ss] -> [router] -> [vps1(ss)] -> (tor) -> vps2(ss)

Не используй vpn потому что реализации ядерные а не userland, используй shadowsocks и прочие, поверхность атаки снижается + их можно посадить в тюрьму запретив процессу всё кроме того что тебе нужно, бонусом скорость работы.

При настройке whonix gateway настрой будто у тебя интернет через прокси, где укажи порт локальной прокси от демона shadowsocks который у тебя на хостовой системе запущен.

Если ты озаботился безопасностью, то на роутер тебе нужно установить агент, который мониторит как сам роутер (процессы, соединения, wifi клиентов, lan хосты) и если что то пошло не так. отправляет тебе алерт.

Но это малая часть.

Напиши в лс телегу, помогу с моментами.

Не используй vpn потому что реализации ядерные а не userland, используй shadowsocks и прочие, поверхность атаки снижается + их можно посадить в тюрьму запретив процессу всё кроме того что тебе нужно, бонусом скорость работы.`

Спасибо за совет! Вообще да, думал и про shadowsocks, и в принципе мне чисто с энтузиастской позиции интереснее было бы настроить ss сервер, чем OpenVPN. Но мне не удалось найти гайдов на тему подключения к ss на системном уровне (как это делает vpn), а не просто в конкретном приложении/браузере. Но я и не то что бы прям искал…

При настройке whonix gateway настрой будто у тебя интернет через прокси, где укажи порт локальной прокси от демона shadowsocks который у тебя на хостовой системе запущен.

Напиши в лс телегу, помогу с моментами.

Спасибо за предложение! Вот, да, я нюфаня, и мне помощь была бы очень кстати… А то я совсем не представляю как это организовать. Только на данном форуме личных сообщений нет :0 Идея ведь вроде как в том, чтобы обсуждение общее было, и другим тоже помогло. Но если хотите, могу оставить свой session id.

tun2socks решает вопрос первый вопрос. Касательно shadowsocks можно и другие userland реализации использовать например vlees, vmess и прочие.

А какое из всех этих решений в ряду с openvpn самое простое? Мне просто нужно чтобы на выходе стоял не торовский айпи, который не будет скакать из страны в страну каждые 10 минут, и на него маршрутизировался весь трафик с выходной ноды tor.

А то всё из перечисленного для меня как тёмный лес, так что я без подробного гайда вряд-ли разберусь в том, как это прикрутить правильно на whonix

нужно установить агент, который мониторит как сам роутер

Кстати да, хорошая вещь. Подскажете какие-то ключевые названия, в каком направлении гуглить? Помню, встречал что-то подобное: устройство, которое начинало мигать красным в случае подозрительной активности в роутере. Но было до боли дорогое и как-то не сильно впечатлило… Если бы это оповещение действительно на телефон, например, приходило, а не просто мигало на полке, было бы вообще здорово