VPN→TOR→VPN, настройка, безопасность, итд.

[asddddd]

Не работает выходной vpn на связке - vpn (хост машина) - whonix gateway - рабочая машина (linux mint) - выходной vpn (wireguard).
Настроил все по гайдам, но при запуске впн не работает, может я что-то делаю не так? Весь трафик завернут в тор через whonix gateway
Мои действия:

1) на сервере я прописываю sudo apt update и sudo apt full-upgrade
2) устанавливаю wireguard sudo apt install wireguard
3) генерирую ключи для сервера wg genkey | tee privatekey | wg pubkey > publickey
4) настраиваю конфиг sudo nano /etc/wireguard/wg0.conf

Код:
Скопировать в буфер обмена
[Interface]

Address = 192.168.40.1

SaveConfig = false

PrivateKey = <приватный ключ сервера>

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i %i -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i %i -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

ListenPort = 51820

[Peer]
PublicKey = <публичный ключ клиента>
AllowedIPs = 192.168.40.2

5) поднимаю сервер sudo wg-quick up wg0

6) проверяю sudo wg


Код:
Скопировать в буфер обмена
interface: wg0
public key: (публичный ключ сервера)
private key: (hidden)
listen port: 51820

peer: (публичный ключ клиента)
allowed ips: 51820


7) настройка конфига клиента

Код:
Скопировать в буфер обмена
[Interface]

PrivateKey = <приватный ключ клиента>

Address = 192.168.40.5


[Peer]

PublicKey = <публичный ключ сервера>

AllowedIPs = 0.0.0.0/0

Endpoint = <ipv4 сервера>:51820

PersistentKeepalive=25

8) запускаю впн sudo wg-quick up wg0

Код:
Скопировать в буфер обмена
peer: < публичный ключ сервера >

endpoint: <ipv4 сервера>:51820
allowed ips: 0.0.0.0/0
transfer: 0 B received, 296 B sent
persistent keepalive: every 25 seconds

 

[Jake]

Jake сказал(а):
Поставил ВПН+whonix и хочу поставить ВПН hidemyname, но если использовать Тор, то он блочит подключения. Что делать? Обычные ВПН взял потестить все работает. Как можно сделать что-то вроде vpn+whonix+...+hidemynamevpn. И вот я не знаю, что можно использовать (прокси или ещё один ВПН) Машина после whonix parrot os (debian)

Данный ВПН нужен для открытия портов, если знаете ещё хорошие методы, то поделитесь

 

[Jake]

Может быть впн использует юдп, а тор дружит только с тсп.

 

[Benihowy]

Benihowy сказал(а):
Может быть впн использует юдп, а тор дружит только с тсп.

Думал об этом, но нет там tcp

 

[Jake]

Там надо поменять сервер конфиг Allowed IP например 192.168.40.0/24, и смотри правильно ли указан интерфейс интернета через ifconfig
Можешь тестировать сначало все затем перенаправить траффик на тор.

 

[Frankenstein]

Приветствую, застрял при настройке связки openvpn - tor - openvpn на дебиан. Отдельно работает и тор (через toriptables3) и впн, но как пробую их соединить, инет перестает работать. В /etc/tor/torrc использую SocksPort 9150 PreferSOCKSNoAuth и в самом .opvn использую socks-proxy localhost 9150 socks-proxy-retry. В чем может быть проблема и как ее решить?

 

[xanthopsia]

Попробовал вместо 9150 юзать 9050, не помогло. Вроде toriptables3 на секунду заработал, но ничего не работает

 

[xanthopsia]

впн TCP?

 

[cylonzero]

cylonzero сказал(а):
впн TCP?

Да

 

[xanthopsia]

Пожалуйста, обратите внимание, что пользователь заблокирован
route-nopull
route 10.0.0.0 255.0.0.0
route 193.138.218.74 255.255.255.255
socks-proxy 127.0.0.1 9150
у меня так
в конце конфига это пихаешь, впн коннектится через тор, и работает на socks5 10.8.0.1:1080 порту, потом просто проксируешь какое тебе нужно приложение и все ворк

 

[vesmow]

vesmow сказал(а):
route-nopull
route 10.0.0.0 255.0.0.0
route 193.138.218.74 255.255.255.255
socks-proxy 127.0.0.1 9150
у меня так
в конце конфига это пихаешь, впн коннектится через тор, и работает на socks5 10.8.0.1:1080 порту, потом просто проксируешь какое тебе нужно приложение и все ворк

Что-то похожее пробовал, 193.138.218.74 это входная нода тора?

 

[xanthopsia]

Пожалуйста, обратите внимание, что пользователь заблокирован
статья от mullvad'а как это сделать
Tor and Mullvad VPN - Guides | Mullvad VPN
Quick setup to get connected to Mullvad VPN via Tor.
mullvad.net

 

[vesmow]

еще варик для ленивых - просто за 500 рублей купить эту настройку на кворке

 

[prtknkng]

Доброго времени суток. Нужно проводить пентест анонимно. Скоуп веб приложения и апи.

Что скажете по поводу связки (VPN+Tor+VPN)->дедик, вся активность проводится через дедик. Кто пользовался такой схемой ? Есть ли что-то проще (быстрее), без большого ущерба анонимности ?

Благодарю за внимание.

 

[0x60b1iN]

0x60b1iN сказал(а):
Доброго времени суток. Нужно проводить пентест анонимно. Скоуп веб приложения и апи.

Что скажете по поводу связки (VPN+Tor+VPN)->дедик, вся активность проводится через дедик. Кто пользовался такой схемой ? Есть ли что-то проще (быстрее), без большого ущерба анонимности ?

Благодарю за внимание.

соединение VPN+Tor+VPN всегда будет очень медленным. даже с гигабитным каналом. и смысла в такой длинной цепочке я не вижу.

подключаться с медленным соединением по RDP - это вообще беда. особенно если надо сёрфить инет, где всё время очень много графики. не представляю как что-то пентестить с таким конфигом.

легче тогда уже подключаться по RDP напрямую или через ВПН, а на самом сервере установить виртуалку с соединением Tor+VPN. Но инет всё равно будет очень медленным, пусть и без существенных лагов по графике.

кстати какого рода пентест? если вайтхат пентест или ничего серьёзного, то самый оптимальный вариант, чтобы без лагов - это анонимный 4G с очень качественным приёмником. есть ещё некоторые нюансы. дальше дедик. не нём VPN или виртуалка с VPN, всё зависит от намерений.

но если всё-таки есть необходимость именно в Tor, то тогда, если говорить упрощенно, лично я бы для себя выбрал виртуалку Tor + VPN, без дедика в этой схеме.
Последнее редактирование: 23.11.2022

 

[Maxik2005]

xanthopsia сказал(а):
Приветствую, застрял при настройке связки openvpn - tor - openvpn на дебиан. Отдельно работает и тор (через toriptables3) и впн, но как пробую их соединить, инет перестает работать. В /etc/tor/torrc использую SocksPort 9150 PreferSOCKSNoAuth и в самом .opvn использую socks-proxy localhost 9150 socks-proxy-retry. В чем может быть проблема и как ее решить?

вот хороший ман https://jamielinux.com/blog/bypass-openvpn-for-a-specific-unix-user/
torrc можно не трогать, по дефолту в нём всё ок для такой схемы.

 

[Maxik2005]

В итоге просто решил юзать vpn => whonix => vm => vpn

 

[xanthopsia]

Maxik2005 сказал(а):
соединение VPN+Tor+VPN всегда будет очень медленным. даже с гигабитным каналом. и смысла в такой длинной цепочке я не вижу.

подключаться с медленным соединением по RDP - это вообще беда. особенно если надо сёрфить инет, где всё время очень много графики. не представляю как что-то пентестить с таким конфигом.

легче тогда уже подключаться по RDP напрямую или через ВПН, а на самом сервере установить виртуалку с соединением Tor+VPN. Но инет всё равно будет очень медленным, пусть и без существенных лагов по графике.

кстати какого рода пентест? если вайтхат пентест или ничего серьёзного, то самый оптимальный вариант, чтобы без лагов - это анонимный 4G с очень качественным приёмником. есть ещё некоторые нюансы. дальше дедик. не нём VPN или виртуалка с VPN, всё зависит от намерений.

но если всё-таки есть необходимость именно в Tor, то тогда, если говорить упрощенно, лично я бы для себя выбрал виртуалку Tor + VPN, без дедика в этой схеме.
Нажмите, чтобы раскрыть...

Под вайтхет я вообще не парюсь про анонимность. Разве что под ред тим есть смысл заморачиваться, но я не работаю в этой сфере.

Да, получается с твоей схемой качество соединения через RDP будет выше. Благодарю за ответ.

 

[0x60b1iN]

VPN после Tor - плохая идея, сводящая на нет уникальные преимущества, которые даёт Tor. По дефолту Tor выстраивает разные цепочки к разным адресам назначения, тем самым разделяя трафик разных вкладок браузера так, будто он принадлежит разным пользователям. Если же после Tor влепить VPN, то с точки зрения Tor весь трафик всегда будет направлен по одному адресу назначения (адресу VPN). Таким образом, разделения трафика происходить не будет, и, когда пользователь будет вести активность в разных вкладках браузера, весь трафик этих вкладок будет всегда проходить по одной Tor-цепочке, хоть она и будет периодически меняться. Теперь вся активность пользователя явно связана с одним и тем же лицом, пусть и анонимным (до поры до времени).

Вообще, VPN в сочетании с Tor не даёт никаких преимуществ в плане безопасности и анонимности и полезен может быть лишь если Tor заблокирован, а мосты работают слишком ненадёжно. Более сложный сетап не означает большую безопасность, а часто и снижает её.