Анонимизация всего траффика через VPN + TOR/I2P. Собираем миддлбокс с нуля

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,410
2,024
В этой статье будет рассказано, как пробросить весь трафик операционной системы через TOR так, чтобы о наличии TOR-а операционная система даже не подозревала.

fc1103a9782d946b7194b5467e1b3f66.png

Это поможет не думать о бесконечных настройках прокси и onion, перестать бояться на тему «а не сливает ли торрент клиент мой реальный IP адрес, так как не полностью поддерживает прокси?» и, наконец, быть застрахованным от законодательного запрета TOR-а в России.

Когда я говорю «TOR», я подразумеваю «TOR и I2P». По схожей методике сюда можно подключить любой даркнет.

Постановка задачи


1. Мой компьютер должен по нажатию одной кнопки переходить в режим «весь трафик — не русский».
2. По нажатию второй кнопки он должен переходить в режим «весь траффик идет через TOR»
3. Третья кнопка — для I2P.
4. Входная TOR-нода должна находиться за рубежом.
5. Все это должно работать под linux, windows, android. Заранее: с OS X и iPhone тоже все в порядке, просто у меня их нету, так что протестить не смогу.
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
. В данной статье описывается средство, которое, тем не менее, нужно применять с умом.

Хостинг


Первым делом нам понадобится сравнительно дешевая VPS-ка, владельцы которой не против, чтобы там крутился TOR (и не русская, разумеется). Лично я использую DigitalOcean. В их ToS не специфицирован запрещенный трафик (хотя если будете качать пиратские торренты прямо с их IP — заблокируют на раз. Ну, собственно, нам для этого и нужен TOR...). Стоит это 5$ в месяц.

Регистрироваться можно прямо тут:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
(ссылка реферальная, вам $10, мне $25. Не хотите играть в это дело — уберите refcode).

Если Вы знаете лучшие или хотя бы не худшие варианты хостинга под такие цели — пишите в комменты, обновлю статью.

Я не буду описывать конкретную процедуру создания VPS-ки, так как это зависит от хостинга и просто. Давайте предположим, что вы в итоге можете выполнить команду,
Код:
и получить shell на VPS-ку. Я буду считать, что на VPS-ке крутится debian 7. По крайней мере, эта статья тестировалась на debian 7. На убунте тоже заработает, наверное.
Установка пакетов


Сначала немного приложений, которые облегчают нам жизнь. Не забудьте поставить ваш любимый редактор, mc если нужно и т.п.
Код:
apt-get update
apt-get upgrade # Если с обновлением придет новое ядро -- перезагрузитесь!
apt-get install fail2ban unattended-upgrades etckeeper # я всегда ставлю это на новый сервер
I2P нету в репозитории debian, так что придется добавить новый источник.
Код:
echo "deb http://deb.i2p2.no/ wheezy main" >> /etc/apt/sources.list.d/i2p.list
echo "deb-src http://deb.i2p2.no/ wheezy main" >> /etc/apt/sources.list.d/i2p.list
apt-get update
apt-get install i2p-keyring
apt-get update
Теперь поставим основные пакеты — TOR, VPN и I2P. Также нам пригодится DNS сервер. Я использую unbound.
Код:
apt-get install tor i2p unbound openvpn privoxy
Настройка VPN


Я буду держать все настройки VPN в /opt/vpn. Для начала следует сгенерировать сертификаты для сервера и клиента.

N.B. Мы будем запускать несколько серверов (один под tor, второй под обычный трафик) и использовать для них один и тот же сертификат. Это не обязательно. Вполне можно (и нужно) генерировать независимый сертификат или даже свою CA для каждого из openvpn серверов.
Код:
mkdir /opt/vpn
mkdir /opt/vpn/log
cp -rf /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /opt/vpn/rsa # Это набор скриптов для создания ключей. Можно и без них, но сложно.
Теперь сгенерируем новую CA и необходимые сертификаты.
Код:
cd /opt/vpn/rsa
. ./vars
./clean-all
./build-ca # Спросит кучу вопросов. Отвечайте что угодно.
./build-key-server server # Опять куча вопросов. Пароля не вводите. На забудьте подписать сертификат в конце
./build-key --batch client # Уффф. Хоть тут не спрашивает ничего.
./build-dh
Изучите папку /opt/vpn/rsa/keys. Теперь там есть несколько пар ключ+сертификат.

ca.{crt,key} — certificate authority
server.{crt,key} — ключ сервера
client.{crt,key} — ключ клиента.

Клиенту нужно отдать только ca.crt, client.crt и client.key, остальные файлы должны оставаться только на сервере.

Пора писать конфигурационный файл для сервера. Положите его в /etc/openvpn/00-standard.conf
Код:
port 1201

proto udp
dev tun
ca /opt/vpn/rsa/keys/ca.crt

cert /opt/vpn/rsa/keys/server.crt
key /opt/vpn/rsa/keys/server.key

dh /opt/vpn/rsa/keys/dh1024.pem

# Server Routing
# server-bridge 10.8.1.1 255.255.255.0 10.8.1.50 10.8.1.100
server 10.8.1.0 255.255.255.0

#Client configuration
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"

keepalive 10 120
comp-lzo
persist-key
persist-tun

log /opt/vpn/log/server-standard.log
status /opt/vpn/log/status-standard.log
verb 3
Попробуйте запустить openVPN
Код:
/etc/init.d/openvpn restart
Если не получилось — у вас баг:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
Поправьте согласно инструкции и добейтесь успешного запуска сервера.

ОК, VPN работает. Самое время подключиться к нему. Для этого на клиенте напишем конфиг-файл:
Код:
client
dev tun
proto udp
# Тут должен быть реальный внешний IP адрес сервера
remote 1.2.3.4 1201
resolv-retry infinite

nobind

persist-key
persist-tun

comp-lzo
verb 3

up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
<ca>
[Вставьте сюда содержимое ca.crt]
</ca>
<cert>
[Вставьте сюда содержимое client.crt]
</cert>
<key>
[Вставьте сюда содержимое client.key]
</key>
Теперь попробуйте подключиться
Код:
sudo openvpn --config client.conf --script-security 2
После появления надписи «Initialization Sequence Completed» вы подключены и должны успешно пинговать 10.8.1.1. Интернет пропадет, это нормально.

Настройка интернета


Допустим, мы не хотим использовать TOR, а просто хотим себе не русский внешний IP. В этом случае при помощи вот этого скрипта:
Код:
#!/bin/bash

SUBNET=10.8.1.0/24

echo 1 >  /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $SUBNET -o eth0 -j MASQUERADE
вы достигнете желаемого. Перепишите это в /etc/rc.local.

Настройка TOR


Если вы прочитали и выполнили предыдущую часть — не забудьте очистить iptables
Код:
iptables -F
iptables -t nat -F
Теперь допустим, что вы таки хотите VPN через TOR (и предыдущий пункт не выполняли). Тогда:

допишите в конец /etc/tor/torrc следующее:
Код:
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress 10.8.1.1
DNSPort 53
DNSListenAddress 10.8.1.1


AccountingStart day 0:00
AccountingMax 10 GBytes
RelayBandwidthRate 100 KBytes
RelayBandwidthBurst 500 KBytes
Код:
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress 10.8.1.1
DNSPort 53
DNSListenAddress 10.8.1.1


AccountingStart day 0:00
AccountingMax 10 GBytes
RelayBandwidthRate 100 KBytes
RelayBandwidthBurst 500 KBytes
также изменим наш конфиг-файл сервера /etc/openvpn/00-standard.conf. Измените DNS с гугловского на локальный. Не забудьте перезапустить openvpn.
Код:
push "dhcp-option DNS 10.8.1.1"
Наконец, следующая конструкция на bash перенаправит весь входящий трафик vpn через tor
Код:
#!/bin/sh

_trans_port="9040"
_int_if="tun0"

iptables -t nat -A PREROUTING -i $_int_if -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -i $_int_if -p tcp --syn -j REDIRECT --to-ports $_trans_port

/etc/init.d/tor restart
Кстати, запомните эту конструкцию. Это универсальный способ перенаправить весь трафик с заданной сетевой карты через прозрачный прокси. I2P будем добавлять точно так же.

Готово. Подключитесь к VPN. Убедитесь, что у Вас TOR-овский IP-шник. Зайдите на какой-нибудь .onion сайт, чтобы проверить: dns тоже работает.

Настройка I2P


С I2P сложности. У них нет собственного DNS сервера, так что придется делать свой.

Откройте /etc/unbound/unbound.conf и допишите в конец:
Код:
    interface: 10.8.1.1
    logfile: "/etc/unbound/unbound.log"
    local-zone: "i2p" redirect
    local-data: "i2p A 10.191.0.1"
    access-control: 127.0.0.0/8 allow
    access-control: 10.0.0.0/8 allow
    local-zone: "." redirect
    local-data: ". A 10.191.0.1"
    local-zone: "*" redirect
    local-data: "* A 10.191.0.1"
После этого любой (!) домен будет раскрываться в заведомо несуществующий IP адрес 10.191.0.1. Осталось «ловить» такой трафик и перенаправлять на localhost:8118 — именно тут слушает I2P.

Кстати говоря, пока что не слушает. Выполните
Код:
dpkg-reconfigure i2p
и выставьте флаг, чтобы стартовал при загрузке.

Остановите tor. Запустите unbound.
Код:
/etc/init.d/tor stop
/etc/init.d/unbound restart
Теперь настроим privoxy в связке в I2P. Допишите в конец /etc/privoxy/config
Код:
accept-intercepted-requests 1
forward / 127.0.0.1:4444
listen-address  10.8.1.1:8118
и рестартаните privoxy

Точно так же, как и в случае с TOR, смените DNS на локальный в конфигурации vpn-сервера:
Код:
push "dhcp-option DNS 10.8.1.1"
Если вы уже пробовали редиректить TOR — не забудьте почистить iptables:
Код:
iptables -F
iptables -t nat -F
Осталось выполнить переадресацию:
Код:
#!/bin/sh
_trans_port="8118"
_int_if="tun0"

iptables -t nat -A PREROUTING -i $_int_if -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -i $_int_if -p tcp --syn -j REDIRECT --to-ports $_trans_port
Знакомо, правда? Единственное отличие — номер порта прокси.

Подключитесь к VPN. Вы в I2P. Откройте epsilon.i2p, убедитесь, что сеть работает.

Что дальше?



Дальше Вам пора сделать так, чтобы они не конфликтовали. Вместо одного сервера /etc/openvpn/00-standard сделать три: 00-standard для обычного трафика, 01-tor для tor-а, и 02-i2p для i2p. Назначьте им разные подсети (например, 10.8.2.* для tor и 10.8.3.* для i2p). После этого tor и unbound перестанут конфликтовать и вы сможете подключаться к любой из трех одновременно работающих сетей.

Кроме того, сейчас клиент не проверяет сертификат сервера. Это можно поправить.

А еще можно запилить виртуалку, для которой выкатить tun0, трафик которого идет через TOR, после чего виртуалка не будет знать даже про VPN. А в хосте этой виртуалки прописать роутинг так, чтобы без VPN не подключалось вообще.

А еще надо лимит скорости в I2P поставить. И логи у VPN не ротируются. И веб-морды нет.

А еще… а еще я все это обязательно опишу — в других статьях. Засим — спасибо за внимание!

Использованные источники


Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
 
  • Лайк
Reactions: BadZ

pika4u1488

Участник

pika4u1488

Участник
31 Авг 2017
17
1
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Спасибо партайгеноссе Angel, за науку и самое главное за труд в написании этого гайда.
И тем не менее....всё что описано уже есть, сделанное для вас от профессионалов.
1. Есть комлпексное решение вопроса тотальной анонимизации, где Tails лишь малая его часть.
-Kodachi OS
-Parrot OS
(kali попса и в качестве анонимной пентест платформы не годиццо)
Разумеется всё это в лайф режиме с перзистенс разделом(без прописки сохранения обновлений т.к. жуткие тормоза и вообще шансобрушить систему велик)

Основываясь на этих мерах можно в рот плевать "злоумышленникам"

2. Никакие средства анонимизации вам не помогут, как например не помогуают г. Порошенке когда он одно время раздавал приказы по средствам связи в виде "+" "-" -он не доверял никакому шифрованию и правильно делал. Они не помогут вам из за метаданных и системе поиска по таймингу, ровно также как вычисляют по сотовому телефону, даже с левой симки и левой трубе.

3. Работать по такой схеме(например брутить RDP не возможно) значит схема на 1-2 раза в качестве средства связи или надолго, а для этого есть п.1. если вы не международный террорист ИГ(запрещённая организация в пока разрешённой эрэфии) и не крупный независимый(!) от гос-во торговец оружием или крупный руководитель "оппозиционной" организации то вам такой гемор и не нужен. Если вы крупный враг системы(даже не кардер у них враг это те кто их хочет сменить, взять власть) то тут другие меры где анонимная ОС лишь 1/5 часть схема "пазла". Можно так же поставить кубе и хуникс +рапид мессенджер и аналоги.

Я втыкаю флеху в старый раздолбанный комп и сижу с ОС "агента 007" и всё это занимает 2 минуты + настройка под себя ОС 1 минуту.=3 минуты. Я использую Parrot OS. (зарещённая операционная система в пока разрешённой россии) випиэн, 2лп, весь траффик в торе, смена ноды, страны, юзер агенета и многое другое из коробки, вся ОС по умолчанию ENG ну и линукс как самая безопасная от взлома и вирусов ОС. Я могу отнести флеху прямо в местное ОМ и сказать что там супер мега террористические(хотя террористы у них на втором плане на первом это собственное население в качестве врага №1) с просьборй взломать-Устанут взламывать криптоконтейнер AES. Меня ловить? Ахахаха На мою флеху мусор там все данные на! Дарю! ОС чистая там нет даже логов по причине что это Live usb. Просто в глаза и рот ссать всем недругам, просто подарить им мою ОС. Не прятать её а подарить.
 

melovar

Заблокирован

melovar

Заблокирован
6 Апр 2017
28
10
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
pika4u1488, " Я могу отнести флеху прямо в местное ОМ и сказать что там супер мега террористические(хотя террористы у них на втором плане на первом это собственное население в качестве врага №1) с просьборй взломать-Устанут взламывать криптоконтейнер AES" Сдается мне что вы не в курсе как происходит взлом криптоконтейнера. Бухгалтер Ходорковсого тоже кричал что -Вся информация на флешке которую никто не взломает! В итоге два парня из ОМОНа после двух часовой беседы с бухгалтером, взломали её) Лучшие хакеры) И кстати безопасность информации нужна не только терарюгам но и крупным фирмам, корпорациям (короче где грязное бабло и сверх важная инфа не для конкурентов ).
 

pika4u1488

Участник

pika4u1488

Участник
31 Авг 2017
17
1
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Бухгалтер Ходорковсого тоже кричал что -Вся информация на флешке которую никто не взломает!
Он не прав? Не взломали же. Ну а включить mode 37 год гебня всегда может. Только учти что в россиянии 145 миллионов и ко всем это не применимо физически. А то так всех бы анальным паяльнико дешифратором к чистосердечному приводили.

Хз слабовато, за 2 часа ломануть челоовека, я бы это сделал за 30 минут, 15 минут рытьё могилы и 15 минут жертва лежит в гробу, после если не сходит с ума подписывает на себя всё что ей скажут. Без побоев, без угроз-метод КГБ, рабочий и эффективный. Суть операционной анонимной системы в том что бы тебя не нашли, если даже врубили кнопку "найти и обезвредить" ну а когда нашли тебе не поможет ничто и анон ОС не виновата в человеческом факторе. Тогда лучшая защита это физическое устранение твоих врагов(ствол и умение жить в фед розыске на время уезда за бугор)

Если ты хочешь сказать что надо облегчать гебне работу и сдать себя без средств деанонимизации что бы они даже с тупым гос. обвинителем доказали по закону(! а так то они с паяльником будут вне закона) вину то ты ошибаешься. Нужно бороться и сопротивляться тогда есть шанс, кто этого не делает проигрывает изначально.

Если по тебе прожали кнопку "давить" то информация секретная твоя уже не нужна никому, это война, на войне или ты или тебя.

И кстати безопасность информации нужна не только терарюгам но и крупным фирмам, корпорациям (короче где грязное бабло и сверх важная инфа не для конкурентов ).
Это называется конкурентная разведка, забугром развивающийся бизнесс ниша в ЭТОЙ СТРАНЕ пока не очень судя по шалтаю болтаю. Это целая наука, целое искусство, по этому есть у меня материалы, ознакомился.
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2022

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя