Главная | Настройки | NSFW
Тема:
Доски


[Ответить в тред] Ответить в тред

[Назад] [Обновить тред] [Вниз] [Каталог] [ Автообновление ] 224 / 19 / 91

Обхода блокировок и интернет-цензуры тред Anonymous No.45
Предлагаю в этом треде обсудить существующие способы обхода блокировок роскомпетуха, кто чем пользуется и кто что предпочитает.
Так же хочу напомнить, что если вы не пользуетесь ничем для сокрытия своего трафика, российские провайдеры могут анализировать трафик пользователя, а с недавних пор должны его еще и сохранять для возможности покопаться в нем в будущем.
Anonymous No.46
Начну с себя. Оп хуй не выебывается и пользуется обычным vpn на купленной специально для этого vps. А так как дома у него несколько компьютеров и пара телефонов, то vpn у него крутится на специально собранном для этого мощном роутере, таким образом все устройства в сети получают доступ уже в полноценный интернет.
Anonymous No.62
>>45 (OP)
>кто чем пользуется
Раньше пердолился с впнами разной степени тормознутости, но недавно анончик мне подкинул GoodbyDPI и у меня всё стало хорошо. Оказывается, "блокировки" большинства провайдеров - это не железная стена, а тупо предупредительная ленточка, которую наши пеки стесняются перелезать.
Рикамендую кароч.
Anonymous No.63
>>62
GoodbyDPI хорошая программа и идея, но на сегодняшний день она уже потеряла актуальность и как серьезный способ обхода блокировок на нее расчитывать не стоит.
Она до сих пор работает, но только у единиц провайдеров. dpi стали умнее, много блокируется по ip прямо на маршрутизаторах, почти всеми провайдерами перехватываются и подделываются dns запросы.
Единственный надежный на сегодня вариант — vpn, не бесплатный, хотя и среди них есть годные варианты, а, желательно, поднятый лично на любом сервере, либо готовый в виде сервиса, если нет желания разбираться с самостоятельной настройкой.
Anonymous No.64
>>63
>желательно, поднятый лично на любом сервере
Какие плюсы у VPS? Я пытался вкинуть, мне показалось, что у VPS одни минусы: цена, адреса, безопасность, работа из коробки.
Anonymous No.65
>>63
>но только у единиц провайдеров.
ну хз я попробовал у меня завелось, хотя пришлось попердолиться с настройками
провайдер билайн если что, вроде бы, не самый мелкий
конечно это не панацея, но первый вариант из того, что стоит попробовать, ибо тут ты вообще не теряешь скорость вообще никак
Anonymous No.66
>>64
>Какие плюсы у VPS?
- Цена. vps обычно дешевле готовых vpn.
- Безопасность. Ты сам контролируешь свой сервис и сам решаешь, что нужно лиггировать и нужно ли вообще.
- Выделенный белый ip.
- Неограниченное количество аккаунтов и устройств для vpn.
- Возможность прокидывать порты до домашней сети (для корректной работы торрентов, если дома работают другие сервера, которые должны смотреть в интернет).
- Возможность устанавливать на vps любой софт, кроме vpn. (На работе я пользовался shadowsocks).
Это лишь малый список, можно придумать еще кучу того, что можно сделать с vps, но нельзя с готовым vpn. Еще добавлю, что возможность прокидывать порты это очень хорошая штука для тех, кто сидит за провайдерскими натами, но хочет держать дома, например, личное облачное хранилище. По сути это единственная возможность сделать его доступным из интернета.
Anonymous No.67
>хотя пришлось попердолиться с настройками
Расскажи, что пришлось пердолить?
Anonymous No.68
>>65
>>67
Anonymous No.69
Далек от этой тематике, извиняюсь, если вопросы глупые:
Зачем брать vps для развертывания на нем vpn? нельзя развернуть у себя на пеке?
Есть ли какие-то отличия между vps от vds?
Anonymous No.70
>>69
>Зачем брать vps для развертывания на нем vpn? нельзя развернуть у себя на пеке?
Для целей обхода блокировок — нельзя, потому что у тебя на компе есть доступ только в зацензуренный интернет, а на vps — в полноценный, который и будет использоваться через vpn.

>Есть ли какие-то отличия между vps от vds?
vps — дешевая виртуалка, таких на одном физическом сервере может быть сотни.
vds — выделенный физический сервер, очень дорого.
Anonymous No.71
>>66
Чем shadowsocks лучше/хуже впна?
Anonymous No.72
>>71
Он не лучше, не хуже, это просто еще один способ построения туннеля. Когда-то лучше подходит vpn, когда-то shadowsock, все зависит от ситуации.
Например:
Дома у меня всегда подключен vpn, почему. Потому что 1. мой роутер позволяет делать это из коробки. 2. Маршрутизация. Я всегда могу получить доступ к домашней сети, подключившись из любого другого места к своей vps. При том, что я нахожусь за провайдерским натом, это один из плюсов, которые я перечислял выше.
Еще пример:
Если мне надо получить доступ доступ в интернет из недоверенного места, на работе, например. Ставить там громоздкий vpn клиент, палить там ключи, не лучшая идея. В этом случае проще запустить маленькую портабельную программу shadowsocks и прописать в браузере использование локального прокси, чтобы завернуть в туннель только трафик браузера.
Anonymous No.73
Засейваю сюда годный список проксей, а то в гугле каждый раз какая-то параша вываливается:
https://hidemyna.me/ru/proxy-list/
Anonymous No.74
>>67
>Расскажи, что пришлось пердолить?
Ну, тупо перебрать параметры, на которых у меня всё будет работать ок. Ибо на максималочках мой билайн показал мне писюн, хотя они были заявлены как совместимые со всеми провайдерами. На минималках, понятно, меня тоже ждал облом. ГудбайДПИ - это же по сути комплекс разных методик шаманства с пакетами и какие-то будут применимы в конкретном случае, а какие-то нет.

Удачных экспериментов.
Anonymous No.75
>>74
Просто тоже билайн, собственно поэтому и спросил.
Anonymous No.76
>>70
Почему у тех, кто промышляет теневым бизнесом фигурирует в большинстве своем именно "дедик"
Anonymous No.77
>>76
От недостатка знаний, я полагаю. Те, кто использует это слово, в большинстве своем предполагают под ним vps, простые виртуалки. А те, кто пользуется выделенными серверами таким сокращением не пользуются, по крайней мере мне таких не встречалось.
Дедик — сокращенное от dedicated server, выделенный сервер, арендуемая физическая машина.
Anonymous No.78
>>69
> Зачем брать vps для развертывания на нем vpn? нельзя развернуть у себя на пеке?
Туннель от себя к себе? Какой в нём смысл?
> Есть ли какие-то отличия между vps от vds?
VPS (virtual private server) — контейнер в ОС хостера, песочница, другими словами. Ядро ОС на VPS ты не сможешь ни настроить, ни поменять. Хостер при этом видит твои файлы и процессы как на ладони.
VDS (virtual dedicated server) — виртуальная машина, ОС в которой, включая ядро и загрузчик, полностью находится под твоим управлением.

>>70
Dedicated server (реальный выделенный сервер) и virtual dedicated server — вещи с разницей в цене на порядок.
Anonymous No.79
>>78
>контейнер в ОС хостера, песочница, другими словами. Ядро ОС на VPS ты не сможешь ни настроить, ни поменять.
А разве это не от типа виртуализации зависит? В OpenVZ виртуалках ядро общее, а в VMware — у каждого свое. И те, и те продаются, как VPS.
Anonymous No.80
>>79
Хостер безграмотный. OpenVZ делает контейнеры, VMware — виртуальные машины.

Олсо, и тому, и другому уже есть входящие в ядро аналоги, неймспейсы (которые используют lxc, docker, systemd-nspawn и куча других реализаций контейнеров) и kvm соответственно.
Anonymous No.81
Использую Frigate около 4х лет, все сайты открывает и ладно, скорость отличная.
Anonymous No.82
>>81
Вот чему я не доверяю, так это всяким левым расширениям в браузеры.
Anonymous No.100
>>66

> Какие плюсы у VPS?
> - Цена. vps обычно дешевле готовых vpn.
Не совсем, 1-5 летняя подписка на VPN обычно значительно дешевле.
> - Безопасность. Ты сам контролируешь свой сервис и сам решаешь, что нужно лиггировать и нужно ли вообще.
Не совсем, только при наличии квалификации!!! Для большинства безопастость падает.
> - Выделенный белый ip.
Скорее недостаток!
> + Неограниченное количество аккаунтов и устройств для vpn.
Но на недорогих тарифах просядет сеть.
> + Возможность прокидывать порты до домашней сети (для корректной работы торрентов, если дома работают другие сервера, которые должны смотреть в интернет).
> + Возможность устанавливать на vps любой софт, кроме vpn. (На работе я пользовался shadowsocks).

Ну и использование VPN в наше время, это повседневная гигиена.
Anonymous No.101
https://antizapret.prostovpn.org/proxy.pac в настройках сети браузера не хрома конечно
Anonymous No.103
>Выделенный белый ip.
>Скорее недостаток!
Если только для лохов криворуких, которые nat с firewall путают.
У меня, например, дома крутится несколько сервисов, которые должны быть доступны из интернета, а провайдер белые ip адреса не дает, даже за деньги.
Anonymous No.104
>>100
>>103
Anonymous No.108
>>103
Как раз этим бы лохам и арендовать сервер (и IP белый, и бесперебойник надежный, и еще куча плюсов).
А VPN дает хорошую псевдонимность, что несовместимо с постоянным IP.
Anonymous No.124
>>108
>А VPN дает хорошую псевдонимность, что несовместимо с постоянным IP.
Псевдонимность как раз-таки совместима. Вот анонимность - нет.
Anonymous No.135
>>63
>Она до сих пор работает, но только у единиц провайдеров. dpi стали умнее, много блокируется по ip прямо на маршрутизаторах,
Чиво? Это наверное в Китае так, но в пидорахе впн не блокируют же.
Anonymous No.137
На рутрекер хожу через frigate.
Anonymous No.138
>>82
Двачую. Кому вообще нужны эти мокрописьки, когда за пару минут можно поднять IPv6 туннель?
Anonymous No.139
>>138
IPv6 это хорошо, это будущее. В европе и сша уже до половины всего трафика по IPv6 ходит. А у нас жалкие два процента. Ведь все как думают: "нахер оно нужно, и так все работает", причем и абоненты и провайдеры, все на все болт клали.
Anonymous No.253
>>66
Какая в случае VPS/VDS гарантия, что хостер не имеет доступа к "твоему" серверу и твоему траффику?
Anonymous No.254
>>253
Конечно же имеет, это же все на его оборудовании работает. Другое дело, что ему плевать на твой трафик, он продает мощности.
Anonymous No.255
>>254
Что мешает про vpn также говорить?
Anonymous No.256
>>255
Да ничего, если это, конечно, не бесплатные vpn. В бесплатных ты платишь своими данными, которые могут собираться и изучаться во всяких рекламных целях. Хотя с повсеместным внедрением tls это, как мне кажется, уже не очень то и эффективно.
Anonymous No.262
Всю интернет активность осуществляю через торбраузер. Создал несколько профилей и в разных разные куки разных сайтов.
Так как я РАБ мне приходится использовать впарашу, её держу в обычном фаерфоксе, в котором больше ничего не держу
Anonymous No.263
>>262
>Всю интернет активность осуществляю через торбраузер
>приходится использовать впарашу
Аноним уровня /b
Anonymous No.266
>>263
А что не так? Мне казалось, анонимность это скорее про двойную жизнь, чем про сидение в своей норе не имеючи никаких контактов с нормис.
Anonymous No.277
Юзаю antizapret.prostovpn.org. Я идиот?
Anonymous No.278
>>277
>Я идиот?
Нет. Это хороший сервис.
Anonymous No.323
>>46
Насколько сложен такой вариант, с учётом того, что я не айтишник и никогда с администрированием никаких серверов дел не имел? И сразу второй вопрос: как выбрать норм VPS?
Anonymous No.325
>>323
> Насколько сложен такой вариант
Зависит от тебя прежде всего. Нужно становиться прыщеблядком, что кому-то приходится по душе и идёт как по маслу, а кто-то начинает пердолиться, рвёт пукан и идёт на борды плакаться.

Попробуй поставить себе какой-нибудь рач или gentoo на десктоп. Если порнавится углубляться в это всё, то это твоё, если нет — лучше забей и пользуйся зондосервисами.
Anonymous No.326
>>323
>Насколько сложен такой вариант, с учётом того, что я не айтишник и никогда с администрированием никаких серверов дел не имел?
Не сложен, если тебе только постоянный vpn нужен. Роутер делается на pfsense, там в консоль вообще лазить не надо, все из удобного web интерфеса делается. А на vps openvpn по мануалам, которых сотни, ставится, тоже ничего сложного. Есть даже какие-то специальные пакеты для автоматического развертывания, где вообще ничего настраивать самому не нужно.

>как выбрать норм VPS?
Гуглишь просто самые распространенные в странах европы, в пределах несколько евро в месяц, читаешь отзывы.
Anonymous No.340
>>326
Openvpn — медленное и в некоторых случаях глючное говно, особенно при поднятии на soho-роутерах. Работая в userspace, он в принципе не может конкурировать по эффективности с ядерными решениями. Если важно быстродействие, стоит обратить внимание либо wireguard (новый vpn на ядерном модуле, релизов ещё не было), либо на туннелирование протоколов более высокого уровня (socks через ssh).

Для установки ядерных модулей VPS не подходит, нужен VDS.
Anonymous No.341
>>340
>Openvpn — медленное и в некоторых случаях глючное говно, особенно при поднятии на soho-роутерах.
На копеечных soho-роутерах, да, про vpn можно забыть. В остальном на линках до 100 мегабит с ним нет никаких проблем, я уже несколько лет пользуюсь так.
Anonymous No.346
>>277
Если пров блочит только по ip то само то. С полным DPI бы соснул.
Anonymous No.348
>>346
GoodByeDPI
Anonymous No.349
Вот я хочу настроить этот ваш впн, но т.к. я РАБ мне нужен вконтакт и вотсапп, как пустить две ссанины мимо впна? Причём последний я ещё могу использовать на выделенном устройстве, а первый нет.
Anonymous No.350
>>349
Используй две разные среды для разных нужд. Два контейнера или два пользователя.

Контейнеру можно выделить отдельный network namespace, в который воткнуть интерфейс vpn'а.

В случае с пользователями придётся поебаться с фаерволом и настройкой policy-based routing.

Спермобляди в обоих случаях соснули: у них просто нет нужных инструментов.
Anonymous No.353
>>349
Нужно настраивать маршрутизацию, чтобы трафик до сетей ссанины шел через провайдера напрямую. Определелить диапазон адресов впараши можно например, тут: https://bgp.he.net/dns/vk.com#_ipinfo (87.240.128.0/18). А как узнать адреса ватсапа, я не знаю, тоже интересно.
У меня тоже так сделано, для всяких госсайтов и сбербанка онлайн в основном. Но у меня pfsense, там это все из web интерфейса в два клика делается.
Anonymous No.354
>>350
>Спермобляди в обоих случаях соснули: у них просто нет нужных инструментов.
Зачем работу роутера делегировать рабочему компьютеру? Все сетевые дела должен делать отдельный компьютер и только их и больше ничего. Тогда вопрос того, что там в сети дальше, шиндовс или линукс, просто отпадает.
Anonymous No.357
>>354
В таком случае тебе понадобится два компьютера в разных VLAN'ах (или иным сбособом организованных разных сетях): один для работы через VPN, другой для работы напрямую.
Anonymous No.358
>>357
А зачем вообще может понадобиться отдельная сеть для прямого доступа мимо vpn? Нет, можно, конечно и так, например две wi-fi сети сделать, одна напрямую, вторая через vpn. Но мне за несколько лет это ни разу не понадобилось. У меня прямо на самом роутере прописаны диапазоны ip адресов, которые маршрутизируются мимо vpn. Для устройств внутри сети все вообще прозрачно и не требует никаких переключений.
Anonymous No.359
>>358
> А зачем вообще может понадобиться отдельная сеть для прямого доступа мимо vpn?
Чтобы сделать надёжное разделение контекстов с VPN и без. Чтобы трафик из контекста с VPN не попал в сеть напрямую, обеспечив тем самым потенциальный деанон.
> У меня прямо на самом роутере прописаны диапазоны ip адресов, которые маршрутизируются мимо vpn.
Такое решение подходит только в том случае, если VPN используется не для обеспечения приватности, а просто для доступа к ресурсам.
Anonymous No.360
>>359
>Такое решение подходит только в том случае, если VPN используется не для обеспечения приватности, а просто для доступа к ресурсам.
У меня для этого и используется, ну и приватность все же какая-никакая соблюдается. А для чего-то большего есть Tor и всякие другие способы.
Anonymous No.361
>>360
> приватность все же какая-никакая соблюдается.
Ну вот смотри, ты открываешь vk.com напрямую, а на нём куча ресурсов с других серверов, к которым у тебя трафик идёт через vpn:
vk.com → https://connect.facebook.net/en_US/sdk.js
vk.com → https://top-fwz1.mail.ru/js/code.js
vk.com → https://counter.yadro.ru/hit?<набор_данных>
vk.com → https://www.tns-counter.ru/…
vk.com → https://www.tns-counter.ru/…
vk.com → https://sb.scorecardresearch.com/…

В результате владелец обоих сервисов (vk.com и mail.ru, например) может идентифицировать тебя как ходящего с обоих ip-адресов (прямого и vpn'а).

> А для чего-то большего есть Tor и всякие другие способы.
С разграничением контекстов уровня настройки прокси-сервера в браузере? См. >>5.
Anonymous No.362
>>361
Не пользуюсь всяким говном (vk.com), да и мимо vpn у меня только личный кабинет провайдера и несколько росийских сайтов, вроде сбербанка и nalog.ru.
Теоретически то, о чем ты говоришь, возможно, но на практике я бы не переживал об этом при повседневном обычном использовании интернета.

>С разграничением контекстов уровня настройки прокси-сервера в браузере?
Есть отдельный браузер, с закрытым фаерволом доступом в интернет напрямую, есть виртуалки.
Anonymous No.363
>>362
>Не пользуюсь всяким говном
>несколько росийских сайтов, вроде сбербанка и nalog.r
Anonymous No.365
>>363
Зачем ты сравниваешь это? Я живу в этой стране и вынужден пользоваться государственными услугами.
Anonymous No.367
>>362
> мимо vpn у меня только личный кабинет провайдера и несколько росийских сайтов, вроде сбербанка и nalog.ru.
Как будто они не обмазаны всякими счётчиками и прочим cdn-говном.
nalog.ru
www.nalog.ru → https://vashkontrol.ru/widget/mkgu_widget.js: DENY
www.nalog.ru → https://gosbar.gosuslugi.ru/widget/widget.js: DENY
www.nalog.ru → https://scounter.rambler.ru/top100.jcn?289463: DENY
www.nalog.ru → https://fonts.googleapis.com/css?family=Open+Sans:300,300i,400,400i,600,600i,700,700i,800,800i&subset=cyrillic,cyrillic-ext,latin-ext: DENY
www.nalog.ru → https://www.googletagmanager.com/gtm.js?id=...: DENY
www.nalog.ru → https://top-fwz1.mail.ru/js/code.js: DENY
www.nalog.ru → https://mc.yandex.ru/metrika/tag.js: DENY
www.nalog.ru → https://top-fwz1.mail.ru/counter?id=...: DENY
www.nalog.ru → https://scounter.rambler.ru/img/top100/banner-88x31-rambler-blue.gif: DENY

sberbank.ru
Странно, что убрали google analytics. Раньше оно было даже на страницах личного кабинета.
www.sberbank.ru → https://www.googletagmanager.com/gtm.js?id=...: DENY
www.sberbank.ru → https://www.googletagmanager.com/gtm.js?id=...: DENY
www.sberbank.ru → https://mc.yandex.ru/metrika/watch.js: DENY
www.sberbank.ru → https://ibbe.group-ib.ru/api/fl/id55: DENY
www.sberbank.ru → https://ibbe.group-ib.ru/api/fl?u=...: DENY
www.sberbank.ru → https://ibbe.group-ib.ru/api/fl?u=...: DENY

> Есть отдельный браузер, с закрытым фаерволом доступом в интернет напрямую
А что будет, если по действию из него (например, по открытию ссылающегося на внешние ресурсы документа) в сеть обратится другое приложение?
> есть виртуалки.
Как из них организована маршрутизация?

>>365
Ну, ими пока ещё можно и оффлайн пользоваться. А ещё можно накрыться тазом в квартире родителей, заползти под ванну и влачить там жалкое существование.
Anonymous No.369
>>367
>Как будто они не обмазаны всякими счётчиками и прочим cdn-говном.
Мне совершенно не важно, что там будет видно во всяких левых cdn. Сделав прямой доступ мимо vpn до этих сайтов я имею цель скрыть не настоящий ip, а наоборот, ip своего vpn сервера. Да, всякие эти сайты имеют целые подсети и всякие поддомены с разными ip, поэтому фильровать их надо не по адресу сайта, а по подсетям.

>в сеть обратится другое приложение
Ничего не будет, у меня к сети имеет доступ только ограниченный список приложений из белого листа фаервола. Да и не дурак я запускать всякое, что может иметь в себе скрипты.

>Как из них организована маршрутизация?
Как угодно, либо напрямую, либо через vpn прямо в ней, либо через vpn на соседней виртуалке и изолированной сети между ними.

>>367
>ими пока ещё можно и оффлайн пользоваться.
Не всегда. Пример - покупка осаго на машину, что делается без проблем онлайн и было невозможно сделать пару лет назад или возможно, но с переплатой в несколько раз. Да и какой смысл не пользоваться сбербанком онлайн, например, имея при этом саму сбербанковскую карточку?
Anonymous No.370
>>365
Я тоже вынужден пользоваться вмусарней.
Anonymous No.372
>>369
> Сделав прямой доступ мимо vpn до этих сайтов я имею цель скрыть не настоящий ip, а наоборот, ip своего vpn сервера.
Так IP твоего vpn-сервера же видно на счётчиках.
> фильровать их надо не по адресу сайта, а по подсетям.
Тоже такое себе. Нужно не фильтровать по подсетям, а роутить по источнику трафика.

> у меня к сети имеет доступ только ограниченный список приложений из белого листа фаервола
Тоже такое себе. Приложения могут запускать друг друга и таким образом обходить эти твои ограничения. Собственно, поэтому в линуксах нет фильтрации трафика по приложениям¹: она ненадёжна.

> Да и не дурак я запускать всякое, что может иметь в себе скрипты.
Ну вот смотри. Качаешь mp3-файл, а там на самом деле m3u-плейлист со ссылкой и произвольным текстом в комментариях для раздутия файла до адекватного размера. Плееру разрешён доступ в инет, т.к. ты с его помощью слушаешь интернет-радио. Ничего не подозревая, ты открываешь этот файл плеером, а он сходу ломится в инет по ссылке.

> через vpn на соседней виртуалке и изолированной сети между ними.
Не слишком ли много виртуалок? Намного эффективнее использовать легковесные контейнеры.

> какой смысл не пользоваться сбербанком онлайн, например, имея при этом саму сбербанковскую карточку?
Я вообще предпочитаю услугами сбербанка не пользоваться. Есть смысл не пользоваться банк-клиентами:
— из окружений, в которых ты хочешь обеспечить приватность и анонимность;
— из окружений, которым не доверяешь.
____
¹ По крайней мере, без AppArmor или SELinux.
Anonymous No.375
fail.png (69 KB, 852x237)
Анон, нид хелп, первый блин пошёл комом. Арендовал я короче себе VPS на CentOS 7, далее копирую всё буква в буква из статьи в "Хакере". Пробую запустить OpenVPN и вижу пикрелейтед. Куда копать?
Anonymous No.376
>>375
Выкинь статью в «хакере» (которая скорее всего устарела) и читай документацию от мэйнтейнера пакета (в ней описаны особенности его интеграции в систему) и самого openvpn (ссылки на неё у тебя на скриншоте).

Вангую, что ты его настраивал под скрипты инициализации единственного инстанса, а с переходом на systemd в centos прикрутили поддержку нескольких (после собаки указывается конкретный, для которого должен быть подготовлен отдельный конфиг).

Подробнее смотри в логах:
journalctl -u openvpn-server@\*
Anonymous No.378
>>375
Показывай файл конфигурации, вывод логов из поста выше.
Anonymous No.380
>>378

конфиг
local 127.0.0.1
port 1194
proto tcp
dev tun
ca ca.crt
cert openvpn-server.crt
key openvpn-server.key
dh none
tls-auth ta.key 0
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256
cipher AES-256-GCM
server 10.8.8.0 255.255.255.0
push "redirect-gateway def1"
push "route 94.140.116.190 255.255.255.255 net_gateway"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.222.220"
duplicate-cn
keepalive 10 120
user nobody
group nobody
persist-key
persist-tun
status /dev/null
log /dev/null
verb 0


лог
фев 19 22:46:26 2338860a22 systemd[1]: openvpn-server@openvpn-server.service holdoff time over, scheduling
фев 19 22:46:26 2338860a22 systemd[1]: Stopped OpenVPN service for openvpn/server.
фев 19 22:46:26 2338860a22 systemd[1]: Starting OpenVPN service for openvpn/server...
фев 19 22:46:26 2338860a22 systemd[1]: openvpn-server@openvpn-server.service: main process exited, code=ex
фев 19 22:46:26 2338860a22 systemd[1]: Failed to start OpenVPN service for openvpn/server.
фев 19 22:46:26 2338860a22 systemd[1]: Unit openvpn-server@openvpn-server.service entered failed state.
фев 19 22:46:26 2338860a22 systemd[1]: openvpn-server@openvpn-server.service failed.
фев 19 22:46:31 2338860a22 systemd[1]: openvpn-server@openvpn-server.service holdoff time over, scheduling
фев 19 22:46:31 2338860a22 systemd[1]: Stopped OpenVPN service for openvpn/server.
фев 19 22:46:31 2338860a22 systemd[1]: Starting OpenVPN service for openvpn/server...
фев 19 22:46:31 2338860a22 systemd[1]: openvpn-server@openvpn-server.service: main process exited, code=ex
фев 19 22:46:31 2338860a22 systemd[1]: Failed to start OpenVPN service for openvpn/server.
фев 19 22:46:31 2338860a22 systemd[1]: Unit openvpn-server@openvpn-server.service entered failed state.
фев 19 22:46:31 2338860a22 systemd[1]: openvpn-server@openvpn-server.service failed.


В логе текст повторяется овер 9000 раз, такое чувство что он постоянно пытается снова запуститься.
Anonymous No.382
>>380
> status /dev/null
> log /dev/null
> verb 0
И чего ты с такими настройками ожидал увидеть в логе?

Ну и некоторые другие настройки у тебя, мягко говоря, странные.
Anonymous No.383
>>382
Да я же говорю, конфиг тупо скопировал. Для включения логирования достаточно просто убрать эти три строчки?
Anonymous No.384
>>383
> Для включения логирования достаточно просто убрать эти три строчки?
Да. Или закомментируй их решётками.
Anonymous No.385
1525545313217[...].jpg (673 KB, 980x1440)
Лучше и стабильнее SOCKS прокси ещё ничего не придумали. Всё через него пускаю, от репозиториев до браузера и почтового клиента, никаких проблем.
Anonymous No.386
>>385
Если б ещё socks5 в реализации openssh умел udp…
Anonymous No.387
>>386
А на такой случай я держу Miredo.
Anonymous No.388
>>387
Мне кажется, ты забыл про шифрование трафика.
Anonymous No.389
>>388
А что для этого используешь ты?
Anonymous No.390
>>389
SSH же:
ssh -D 127.0.0.1:1080 хост
поднимает на локалхосте socks5, выход из которого открывается на удалённом хосте.
Anonymous No.391
>>385
Это разные инструменты для разных задачь, не нужно их сравнивать.
Anonymous No.392
>>391
> задачь
Надеюсь, русский — не твой родной язык.

По существу. SOCKS (прокси протоколов TCP и UDP) и VPN (туннель протоколов IP или Ethernet) решают сходные задачи и во многом являются взаимозаменяемыми, особенно при использовании SOCKS в сочетании с SSH и перенаправлением трафика в redsocks фаерволом.
Anonymous No.393
>>380
Конфиг плохой. Давай я дам тебе свой.
server.conf
port 1194
proto udp
dev tun
mode server
topology subnet
server 10.8.8.0 255.255.255.0

tls-server
tls-crypt /etc/openvpn/easy-rsa/keys/ta.key
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem

auth SHA256
cipher AES-256-CBC
compress lz4-v2
keepalive 10 60
persist-key
persist-tun

status /var/log/openvpn_status.log
log /var/log/openvpn_server.log
verb 1

push "redirect-gateway def1"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"


И несколько уточнений. Лучше использовать udp, а не tcp. Лучше использовать tls-crypt, а не tls-auth. В папке keys все ключи должны быть сгенерированы.
Anonymous No.394
>>392
Более того, в тех случаях, когда достаточно возможностей протокола SOCKS (а таковых большинство, т.к. туннелирование отличных от TCP и UDP протоколов мало кому нужно), его использование является предпочтительным, т.к. инкапсуляция высокого уровня является более эффективной.
Anonymous No.395
>>392
Конечно, но один другое не заменяет. Это разные инструменты, хоть и решают сходные задачи.
Anonymous No.396
>>394
Для построения туннелей поверх интернета есть более безопасные и эффективные инструменты, такие, как Shadowsocks, или хотя бы ssh туннель.
Anonymous No.397
>>396
А кто-то предлагает использовать SOCKS без ssh?
Anonymous No.398
>>397
Ну я не знаю, ты там выше зачем-то его с vpn сравниваешь. А в контексте использования его лишь как транспорта до основного туннеля (ssh или shadowsocks) это сравнение выглядит еще более странным.
Anonymous No.399
>>398
Наоборот, я предлагаю использовать SSH как транспорт для SOCKS. При этом, если не требуется туннелирование UDP, можно использовать встроенный в большинство реализаций SSH SOCKS-сервер.

Кстати, помимо SOCKS, OpenSSH умеет также туннелирование IP и Ethernet, т.е. является полноценной реализацией VPN.
Anonymous No.400
>>399
>Кстати, помимо SOCKS, OpenSSH умеет также туннелирование IP и Ethernet, т.е. является полноценной реализацией VPN.
Круто, не знал. Но для повседневного использования в режиме настроил и забыл, openvpn все равно удобнее.
Anonymous No.401
>>400
> Но для повседневного использования в режиме настроил и забыл, openvpn все равно удобнее.
Особенно учитывая трах с сертификатами, да. В отличие от, SSH при использовании в качестве SOCKS-сервера вообще настраивать не надо, всё работает из коробки. При использовании в качестве VPN требуется настройка tun или tap-интерфейсов с обоих сторон, но она не сложнее обычной настройки сети.
Anonymous No.402
>>401
>Особенно учитывая трах с сертификатами
Всмысле трах? Я их один раз сгенерировал, когда все настраивал, и все. Дальше я вообще не принимаю участия в работе сети.
Anonymous No.403
>>402
> Всмысле трах?
https://community.openvpn.net/openvpn/wiki/HOWTO#SettingupyourownCertificateAuthorityCAandgeneratingcertificatesandkeysforanOpenVPNserverandmultipleclients
Когда-то я это ещё без EasyRSA проделывал, там вообще жесть с кривой документацией, в которой сходу ничего не понятно. В отличие от, в OpenSSH для настройки шифрования вообще ничего делать не надо, оно всё само генерирует и не задаёт при этом десятка идиотских вопросов для метаданных сертификата.
Anonymous No.404
>>403
Я не выбираю инструменты по принципу "там, где ничего делать не надо". Мне не трудно настроить все единожды, даже если это достаточно сложный процесс (хотя ничего сложного там нет), чтобы потом пользоваться этим много лет и не вспоминать. У меня есть подготовленные конфиги и сертификаты, которые я, при необходимости, просто закидываю на свое новое устройство.
Anonymous No.405
>>404
А кто притащил аргумент о сложности настройки (>>400)? SSH тоже можно настроить и забыть.
Anonymous No.406
>>405
>А кто притащил аргумент о сложности настройки?
Не знаю, ты что-то про сложность там говорил. А я говорю, что сложность инструмента для меня не является основным критерием выбора.
Anonymous No.408
>>348
У домрушников работала только в связке с dnscrypt и ешё какой-то залупой. Напердолился вдовль.
Anonymous No.409
>>348
Часто слышу о ней в подобный тредах. Не стоит ее всерьез рассматривать в качестве средства борьбы с цензурой.
Anonymous No.410
>>408
DNS-запросы — это вообще первое, что стоит скрыть от провайдера. Даже если не используешь VPN.
Anonymous No.411
>>410
Верно. Сейчас все провайдеры их перехватывают, а ответы на заблокированные адреса подделывают. Ну и логгируют, наверняка. И если ip адрес в логах подключений может не сказать о ресурсе ничего, то логи dns запросов - это список посещенных сайтов открытым текстом.
А все потому, что протокол DNS не шифрованный и его очень легко перехватывать.
Anonymous No.412
>>393
Анон, попробовал сделать конфиг как у тебя, но всё равно не взлетает.

лог
OpenVPN 2.4.6 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built$
library versions: OpenSSL 1.0.2k-fips 26 Jan 2017, LZO 2.06
TUN/TAP device tun0 opened
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
/sbin/ip link set dev tun0 up mtu 1500
openvpn_execve: unable to fork: Resource temporarily unavailable (errno=11)
Exiting due to fatal error
Anonymous No.413
>>412
Вот тут что-то по твоей проблеме:
https://askubuntu.com/questions/747023/systemd-fails-to-start-openvpn-in-lxd-managed-16-04-container
Anonymous No.414
>>413
Примечательно, что по ссылке неправильный способ исправления (простой, но обнуляющийся обновлением, т.к. правится файл в не предназначенном для этого системном каталоге) получил больше плюсов, чем правильный. Убунтята такие убунтята.
Anonymous No.418
15472213252810[...].png (20 KB, 200x218)
Анон, спасибо за помощь, OpenVPN удалось запустить. Теперь споткнулся об новый камень при установке stunnel. Скачал исходники, делаю ./configure, мне выдаёт следующее:
Заголовок спойлера
configure: error:
Could not find your TLS library installation dir
Use --with-ssl option to fix this problem

Что с этим делать?
Anonymous No.421
>>418
> stunnel
Есть в основном репозитории Debian.
> configure: error:
> Could not find your TLS library installation dir
Вероятно, ему нужны заголовочные файлы от OpenSSL. Надеюсь, ты там не задумал делать make install от рута прямо в систему?
Anonymous No.441
>>421
Сервер на CentOS 7, stunnel есть в репозиториях, но старая версия. Автор гайда, который я читаю, говорит, что она мол не поддерживает верификацию клиента на стороне сервера или что-то вроде этого, поэтому предлагает скачать свежий rpm-пакет и установить его. Но это мне проделать не удаётся, потому, что библиотеки от которых он зависит тоже старые. Как я понял, если устанавливать их исходников, то всё должно нормально взлететь с текущими версиями. OpenSSL уже установлен и почему он не находит нужные файлы я не пони. На самом деле, именно это я и планировал. А какие подводные? И что тогда делать, самому rpm-пакет собирать?
Anonymous No.444
>>418
Ему путь до распакованной openssl надо указать
./configure --with-ssl /path/to/openssl
Openssl скачивать тут: https://www.openssl.org/source/

>>421
>Надеюсь, ты там не задумал делать make install от рута прямо в систему?
А что в этом плохого?
Anonymous No.445
>>441
> если устанавливать их исходников, то всё должно нормально взлететь с текущими версиями.
Если на уровне API зависимости удовлетворены, то да.
> OpenSSL уже установлен и почему он не находит нужные файлы я не пони.
Либо установлена неподходящая версия, либо не установлены заголовочные файлы (те, что в /usr/include/) и конфиги pkgconfig (/usr/lib/pkgconfig/). В debian последние ставятся отдельно пакетами с суффиксом -dev.

> А какие подводные?
Из полностью контролируемой пакетным менеджером сущности система превратится в спермопомойку, которая будет разваливаться от обновлений.

Логика работы пакетного менеджера основана на том, что ему известна вся информация о зависимостях установленного в систему софта и в /usr (за исключением /usr/local) нет ничего лишнего, что можно было бы повредить обновлениями. Это его вотчина, где всё подлежит учёту и контролю, и лезть в неё своими грязными руками не стоит.

> И что тогда делать, самому rpm-пакет собирать?
Либо так, либо ставить софт от пользователя (без предоставления скриптам установки прав рута). Ещё вариант — запилить отдельный контейнер и сотворить помойку в нём.
Я бы на твоём месте достал исходники того rpm-пакета и собрал их с зависимостями из твоей ОС.
Anonymous No.842
>>45 (OP)
У меня три способа обхода блокировок.
Обычно, чтобы посмотреть информацию на заблоченном ресурсе - пользуюсь тором.
Если нужно что-то написать, а тор заблочен и на ресурсе не хочется оставлять отпечатки, то пользуюсь соксами или прокси.
Если всё выше не работает, то пользуюсь VPN.
Anonymous No.843
>>842
А почему сразу не использовать vpn?
Anonymous No.844
>>45 (OP)
Использую VPN n-лет. Все жду когда заблочат, но уже устал ждать и плачу на несколько лет сразу. В любом случае лишним не будет.
Anonymous No.845
>>843
Медленный временами.
Anonymous No.846
>>64

Плюсую именно VPN сервисы, а не свой на VPS. Плюсы - цена, безлимитный трафик, куча IP на выбор, оплата криптой и отсутствие необходимости вводить персональные данные. VPS дает гибость и меньше шансов что при блокировке впн сервисов будут охотится за личными впн. Но когда до этого дойдет, тогда и буду таким заниматься.
Anonymous No.847
>>845
Смотря чем ты пользуешься. У меня свой vpn на арендованной vpsке уже несколько лет, со скоростью там все отличненько.
Anonymous No.848
>>846
Ещё из минусов VPN сервисов, они ограничивают количество устройств часто.
Anonymous No.849
>>846
Плюсы vpn сервисов ограничиваются в простоте использования, не нужно самому ничего настраивать, и в возможности смены ip, хотя это кому плюс, кому минус. Больше плюсов нет.
Anonymous No.850
>>846
>Плюсы - цена
vpn как сервис почти всегда дороже аренды vps. Безлимитные vps тоже есть.
Anonymous No.852
>>850
За лишний IP заплати, за лишний пакет трафика тоже. Дешевые только с необходимостью вводить адрес, да ещё без оплаты криптой. Такие минимум от $10/месяц начинаются в самом паршивом варианте.
Anonymous No.853
>>852
Например в моем случае ip не лишний, а нужный. Мой провайдер не дает внешний ip, а он мне нужен. С помощью vps я получаю доступ к своей сети.
С vpn сервисом такое бы не прокатило.
Anonymous No.888
>>73
Чем эта база лучше остальных?
Anonymous No.925
>>63
> GoodbyDPI
С йотой работать будет.
Anonymous No.1278
Посоны, помогите, пробую настроить шэдоусокс+обфс по этому гайду: https://medium.com/@f.gzhechko/%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-ss-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0-%D0%B2-standalone-%D1%80%D0%B5%D0%B6%D0%B8%D0%BC%D0%B5-%D0%B8-%D0%BA%D0%B0%D1%81%D1%82%D0%BE%D0%BC%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F-%D0%BE%D0%B1%D1%84%D1%83%D1%81%D0%BA%D0%B0%D1%82%D0%BE%D1%80%D0%BE%D0%B2-1d173b3d5513
В консольке выдаёт: [simple-obfs] ERROR: getpeername: Transport endpoint is not connected
Все конфиги идентичны конфигам автора, ЧЯДНТ?
Anonymous No.1284
cirno_bakalavr[...].jpg (43 KB, 388x477)
>>1278
Так, короче, збс, удалось разобраться самостоятельно.
Anonymous No.1288
450px-Shapka.jpg (54 KB, 450x600)
Ну что же вы, обходильщики блокировок, есть кто живой? Арендовал я значит VPS, настроил shadowsocks и теперь столкнулся с тем, что гуглокапча шлёт меня нахуй. Тестировал в частности на сосаче, там выдаёт сотню капч одну за другой, затем "Постинг запрещён" и tinyeye.com - там никаких изображений нет, просто спустя X времени вижу сообщение, мол, наш сайт думает, что вы робот. Кто-нибудь ещё тут с этим сталкивался?
Anonymous No.1289
>>1288
Тебе попался плохой ip. Бывает на всяких попсовых распиаренных vps сервисах.
Anonymous No.1290
>>1289
Я пробовал смотреть во всяких онлайн сервисах, не увидел, чтобы он был в какие-то спам-списки внесён. Могут как-то сами гуглозонды детектить, что я скрываю реальный IP?
Anonymous No.1291
>>1290
Не могут. Если везде капча, то ip где-то засветился, или даже вся подсеть.
Anonymous No.1292
>>1291
Что ж, досадно.
Anonymous No.1296
>>1291
Есть вообще какой-то способ от такого заранее перестраховаться? Какие-нибудь базы, где можно было бы проверить IP?
Anonymous No.1304
>>1289
Ой, спасибо!
Anonymous No.1381
>>1296
Да, покупать vps в РФ (шутка) Не связываться DigitalOcean, OVH, Hetzer и другими популярными арендодателями айпишников.
Anonymous No.1382
>>1291
Пиши своему хостеру, чтобы выдавал айпи из другого диапозона, по причине того, что они выдали забаненый повсюды аййпишник.
Anonymous No.1383
image.png (829 KB, 960x540)
Насколько анонимен i2p? Где то пишут что он не анонимнее любого прокси и чесночное шифрование это булшит, а где то что это неибацо шифропансковская мегахуёвина, которую собирают из говна и палок и этим ебут в рот цензуру
Как в китае смогли заблокировать 60% узлов?Прочитал тут в треде
Провайдер видит что я им пользуюсь?
У него есть перспективы?
Anonymous No.1384
>>1383
Думаю, можно анализом траффика предположить, что человек использует i2p, но сложно.
Anonymous No.1403
>>1383
>Провайдер видит что я им пользуюсь?
Да.
С помощью DPI можно найти при желании. Он не цензуроустойчивый.
Anonymous No.1404
>>1403
Как он его от SSH отличает?
Anonymous No.1405
>>1404
Тупой вопрос.
Anonymous No.1407
>>1405
>Тупой вопрос.

Какой ответ - такой и вопрос

Для особо одарённых тунелли i2p - это ssh, и единственное что тебя может спалить в использовании i2p - это обращение к серверу за списком хостов, которой можно прописать самому
Anonymous No.1408
>>1407
Что за бред? Это неправда. Он даже не на 22 порту.
Anonymous No.1409
>>1408
ssh может быть на любом порту, что угодно может быть на любых портах.
Anonymous No.1410
>>1409
Это не доказывает твою правоту.
Anonymous No.1411
>>1410
Я другой анон, мимо проходил и твоя глупость про порты мне за глаз зацепилась.
Anonymous No.1413
>>1411
А тут важен контекст, на нестандартном порту DPI будет блокировать SSH, если он стандартно используется для анонимной сети.
А утверждение "тунелли i2p - это ssh" - бред.
Anonymous No.1415
>>1413
Вопрос был не в том "блокирует dpi типа SSH или нет", а в том, что для провайдера трафик i2p не отличается от ssh, по этому в Китае все еще живёт i2p, притом что по заверениям он должен был быть покрамсан в ноль, и весь банхамер DPI собственно и исходит из соотнесения с портами в белом листе. Но в Эрафии даже не надейся на такой гулаг, просто взгляни ту сборную солянку которую они вводили на скорую руку, мастеря инфраструктуру "великороссийского фаервола" из говна, палок и 100500 стандартов.



Так что жопой не виляй

И да. Перспектив у него есть, но шанс на них призрачный, тк люди дауны, а делают его действительно 1.5 шифропанка без бабок и на коленке.
Надежда на Монеро и Коври, если они его доделают и запустят транзакции, сеть моментально на несколько десятков тысяч хостов развернется, если не сотен...
Anonymous No.1416
>>1415
А что там за история с монеро?
Anonymous No.1417
>>1416
Пилили свой клиент-транзакций на основе i2pd, разраб повёл себя крайне неадекватночто можно объяснить либо тем что он истеричка, либо фсб, ибо невыгодно полностью анонимную сеть транзакций под боком иметьввод госта намекает

Сейчас решается судьба i2p по факту, либо она так и останется сетью на 1.5 шифропанка3.8к узлов, против стандартных 20к года 1.5 назад, 40к 3 года назад либо стартанет и развернётся.
Либо Коври уедет в итенграцию с i2p(java) либо останется под угрозой смены лицензии и "я вам всю малину обосру" i2pd... либо, уйдут в Локинет и Тор

Но гит с января этого года не обновлялся. Посмотрим, но i2pd знатно всей сети нагадило так нагадило

ps Закладки фсб в i2pd хуйня истеричек, Монеро весь код перебрали, а ввод подментовского госта просто позволяет на измененном протоколе шифрования одновременно запустить альтернативную сеть. Возможно майор действительно курирует его и создают для себя возможность развернуть в Европе и США канал для себя, скрытый в трафике i2p.

Но это просто предположение моё
Пост отредактировал Anonymous
Anonymous No.1419
Заебавшись добавлять всё новые и новые сайты в список, перешёл на ТОР+ВПН на постоянной основе, но списки не убрал, поэтому получаются целые цепочки тор-впн-тор, или тор-впн-впн. В играх правда поднялся пинг и потери пакетов, но хз как его только для игр выключить. Всё идёт к тому, что без шифрования вообще опасно будет жить.
Anonymous No.1420
>>1417
в монеро сейчас насколько я понимаю коври уже особо не планируют. Вплили интеграции с i2p и tor, i2p - tiny-i2p или вроде того, не знаю что это. Так что скорее коври уже никуда не полетит.
Anonymous No.1422
>>1417
>i2pd знатно всей сети нагадило так нагадило
Чем же?
Anonymous No.1423
>>1419
Добро пожаловать. Я не знаю, как вообще люди умудряются пользоваться интернетом в россии без vpn. тор-впн-тор это конечно перебор, я считаю, но дело твое.
Для vpn на постоянке удобнее всего использовать отдельный роутер на основе обычного компа, там и клиента можно запустить, не переживая за ресурсы, и маршрутизацию как надо настроить, чтобы трафик до игросерверов пустить напрямую, например.
Anonymous No.1425
>>1415
>Коври
как гуглить это?
Anonymous No.1426
>>1425
Сам нашел
Kovri is a C++ implementation of the I2P network. Kovri is currently in heavy, active development and not yet integrated with Monero. When Kovri is integrated into your Monero node, your transactions will be more secure than ever before.
Anonymous No.1731
23 декабря пройдут учения по изоляции Рунета

https://meduza.io/news/2019/12/19/23-dekabrya-proydut-ucheniya-po-izolyatsii-runeta

Первоначально учения по «обеспечению устойчивого, безопасного и целостного функционирования» интернета в России планировали провести 19 декабря. Но, как уточняет «ЗаТелеком», учения перенесли на 23 декабря. Официально это не подтверждено.
Anonymous No.1732
>>1731

Цели учений:
«Проверка возможности перехвата абонентского трафика и раскрытия информации об абоненте, блокировки услуг связи для абонентов».

https://habr.com/ru/post/481170/
https://tjournal.ru/tech/131930-dokument-minkomsvyazi-23-dekabrya-proydut-ucheniya-po-izolyacii-runeta
https://roskomsvoboda.org/53740/
Anonymous No.1733
>>1731
>>1732
Чего ждать? Зарубежные интернеты отвалятся?
Anonymous No.1983
CEITxkOo6Iw.jpg (53 KB, 846x468)
>>350
Поясните за эту тему пожалуйста. Вот допустим настроен shadowsocks прокси. Как сделать так, чтобы приложения запускаемые в определенном network namespace выходили в сеть через этот прокси?
Anonymous No.1984
>>357
Не обязательно. Имея нормальный роутер можно маршрутизировать часть подсетей напрямую, а всё остальное через vpn.
Anonymous No.1985
Добрый вечер, аноны.

Сразу сделаю небольшую, но таки важную пометку-я домохозяйка, на *unix`ах недавно.

Как вы организуете свою безопасность на локальном уровне?
Я имею ввиду работу в самой системе.
Больше всего меня интересует как изолировать пользователей, а в особенности доступ оных к сети?
Загружаете i2p/tor/клирнет с отдельных виртуальных машин, или контейнеров?
Как сделать, и собственно настроить docker я не выкупил, виртуалка-слишком зажористо(ну относительно).
У виртуальной машины есть несомненный плюс конечно-можно после каждого "сеанса" откатывать состояние до изначально заданного, но как я говорил выше-я хозяин некропеки, которая держать 2 виртуалки заскрепит, а Docker заскрипел уже я.

Как я понимаю, можно на vps развернуть i2p/tor и подключаться к оным через vpn/ssh/ss но я к тому-же и нищенка, не могу купить впс, совсем не могу.

Как лучше организовать сеть в таком случае?
Есть еще одна некропека, по началу я хотел использовать его в роли файрволла до роутера, создать на нем несколько пользователей (для i2p/tor/dnscrypt и iptables для каждого).
Вот почему я указал в начале то что я домохозяйка, прошу не пинать.
Можете поделиться ссылками на гайды по сия теме? Да-да, маны читал, хабр читал, нихуя не понял.

Больше всего боюсь утечек трафика, типа tor решит сходить куда не надо, или отправит запрос на dns сервер другой сессии.

В общем, как-то так.
Буду благодарен любой помощи.
Anonymous No.1986
>>1983
> Вот допустим настроен shadowsocks прокси.
> Как сделать так, чтобы приложения запускаемые в определенном network namespace выходили в сеть через этот прокси?
Задача не вполне тривиальна, т.к. network namespace — это про сетевые интерфейсы (которыми оперируют, например, VPN'ы), а socks — это про TCP-соединения. Тем не менее, она решаема. Между хостом и контейнером создаётся пара связанных между собой veth-интерфейсов (в случае с systemd-nspawn это делается опцией --network-veth, она же -n), обоим присваиваются ip-адреса из одной подсети, на интерфейсе со стороны хоста поднимается socks, который настраивается в приложениях контейнера. С VPN всё проще: достаточно переместить в контейнер созданный им интерфейс (--network-interface=tun0 у systemd-nspawn).

Описанное справедливо как для полноценных контейнеров, которые используют полный набор выделенных неймспейсов, так и для запуска программ на хосте с отдельным доступом к сети (например, при помощи unshare).

>>1984
Как при этом исключить, например, утечку предназначенных для одной сети dns-запросов через другую сеть?
Anonymous No.1987
>>101
Тсс, не пали годноту.
Anonymous No.1988
>>1985
> как изолировать пользователей, а в особенности доступ оных к сети?
Только контейнеры. Фаервол — решение для бедных: во первых, он может перехватывать не все протоколы¹, которыми может воспользоваться пользователь, а во вторых, из-за какой-нибудь ошибки может оказаться не настроен и по умолчанию разрешить всё.

> docker
Это распиаренное средство для декларативной конфигурации классических дистрибутивов, не уверен, что тебе нужно именно это. Докер требует организации кучи всякой хуерги вроде многослойного хранения файловой системы: оно, конечно, полезно, но при этом съедает мозг ожидающего привычного поведения ФС пользователя с потрохами.
К тому же, с настройкой сети в докере я не знаком и подсказать по ней не смогу.

> виртуалка-слишком зажористо
Верно. В отличие от виртуалок, контейнеры вообще не расходуют лишних ресурсов, они могут состоять исключительно из запускаемого в них софта, либо в минимальном окружении вроде init-демона и шелла.

> У виртуальной машины есть несомненный плюс конечно-можно после каждого "сеанса" откатывать состояние до изначально заданного
Рекомендую организовать это снэпшотами btrfs. Использование btrfs несколько снижает производительность относительно ext4, но возможность без дополнительных накладных расходов жонглировать снэпшотами это многократно окупает.

> Как лучше организовать сеть в таком случае?
У меня сделан контейнер с тор-роутером и dhcp-сервером, который одним интерфейсом (vb-torUplink) роутится через хост в инет, а другим (eth0) сидит в бридже хоста br-tor и раздаёт через него торифицированный доступ в сеть, которым пользуются другие контейнеры, виртуальные машины и прочее, что мне захочется засунуть в вышеупомянутый бридж: туда можно запихнуть хоть реальную сетевуху и раздавать тор на реальные железяки.
Конфиг всего этого дела для NixOS
{ config, pkgs, ... }:
{
# create bridge with lan 192.168.0.0/24 behind tor

# ipv6 filtering not implemented yet, so disable it
boot.kernel.sysctl = {
"net.ipv6.conf.all.disable_ipv6" = true;
"net.ipv6.conf.all.autoconf" = false;
};

networking.bridges.br-tor.interfaces = [];
networking.interfaces.br-tor.useDHCP = false;

networking.nat.enable = true;
networking.nat.internalInterfaces = [ "vb-torUplink" ];
networking.firewall.enable = true;

containers.torRouter = {
autoStart = true;
config =
{ config, pkgs, ... }:
{
networking.defaultGateway.address = "10.100.1.1";
services.dhcpd4 = {
enable = true;
interfaces = [ "eth0" ];
extraConfig = ''
option routers 192.168.0.1;
option domain-name-servers 192.168.0.1;
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.10 192.168.0.200;
}
'';
};

services.tor = {
enable = true;
client.enable = true;
client.transparentProxy.enable = true;
client.transparentProxy.isolationOptions = [ "IsolateClientAddr" ];
client.transparentProxy.listenAddress = "192.168.0.1:9040";
client.dns.enable = true;
client.dns.isolationOptions = [ "IsolateClientAddr" ];
client.dns.listenAddress = "192.168.0.1:53";
controlSocket.enable = true;
extraConfig = ''
VirtualAddrNetworkIPv4 10.128.0.0/16
ExcludeNodes {ru}
'';
};

networking.firewall.extraCommands = ''
ipt() {
iptables "$@" || echo "Failed: iptables $@"
}
chain() {
# table chain rule rule ...
table="$1"
chain="$2"
iptables -t "$table" -N "$chain" 2>/dev/null || ipt -t "$table" -F "$chain"
shift 2
while [[ -n "$1" ]]; do
ipt -t "$table" -A "$chain" $1
shift
done
}

chain filter TOR \
"-p tcp --dport 9040 -j ACCEPT" \
"-d 192.168.0.1 -p udp --dport 53 -j ACCEPT" \
"-d 192.168.0.1 -p udp --dport 67 -j ACCEPT" \
"-j REJECT --reject-with icmp-net-prohibited"

chain filter INPUT \
"-i lo -j ACCEPT" \
"-i eth0 -j TOR" \
"-i vb-torUplink -m state --state ESTABLISHED,RELATED -j ACCEPT" \
"-j REJECT --reject-with icmp-admin-prohibited"

ipt -t filter -P FORWARD DROP

chain nat TOR \
"-p tcp ! -d 192.168.0.1 -j REDIRECT --to-port 9040"

chain nat PREROUTING \
"-i eth0 -j TOR"
'';
}; # /containers.torRouter.config
privateNetwork = true;
hostBridge = "br-tor";
localAddress = "192.168.0.1/24";
extraVeths.vb-torUplink = {
hostAddress = "10.100.1.1";
localAddress = "10.100.1.2";
};
};

containers.ib = {
bindMounts = {
"/tmp/.X11-unix" = { hostPath = "/tmp/.X11-unix"; };
"/dev/dri" = { hostPath = "/dev/dri"; isReadOnly = false; };
};
allowedDevices = [
{modifier = "rw"; node="/dev/dri/card0";}
];
config =
{ config, pkgs, ... }:
{
networking.interfaces.eth0.useDHCP = true;
hardware.opengl.enable = true;
environment.systemPackages = with pkgs; [ xorg.xauth dnsutils ffmpeg mpv firefox ];
};
autoStart = true;
privateNetwork = true;
hostBridge = "br-tor";
};
}

Для работы X11 с хоста в контейнер нужно импортировать кук X11 с соответствующим хостнеймом:
touch .Xauthority
xauth add $(hostname)/unix:0 MIT-MAGIC-COOKIE-1 $cookie

Получить его на хосте можно командой xauth l.

Для работы звука можно прокинуть unix-сокет pulseaudio:
pulseaudio --disallow-module-loading -L module-alsa-sink -L module-native-protocol-unix auth-anonymous=1 --exit-idle-time=64000 &
sudo machinectl bind --mkdir ib /run/user/1000/pulse

, который в контейнере указать переменной среды:
export PULSE_SERVER=/run/user/1000/pulse/native


¹ Помимо IPv4 и IPv6 бывают всякие IPX, X25 и прочие страшные звери различной древности, о которых мы даже не слышали.
Anonymous No.1996
>>1988

В общем, я попробовал сделать контейнер на основе LXC.

Не получилось, ну точнее создать то получилось, и даже зайти в его шелл, но иксы и сеть пробросить не смог.

В остальном, как понимаю контейнер это не полная виртуализация, система в контейнере таки взаимодействует с ядром хоста, просто это такой ультра-крутой chroot который и сеть и все-все изолировать может?

А насчет твоего конфига-все стало теперь еще сложнее...

В общем, попробую на виртуалке еще раз, если не получится-видимо пока что буду использовать только виртуальные машины.
Anonymous No.1997
>>1996
> иксы и сеть пробросить не смог
Для иксов достаточно смонтировать (bind mount) в контейнер каталог /tmp/.X11-unix, прописать пользователю переменную среды DISPLAY и запихнуть cookie.

Настройка сети должна быть детально описана в документации lxc.


И да, совет. Чем мучаться с конфигурацией и глюками lxc, возьми лучше systemd-nspawn, у которого конфигурации вообще нет (всё указывается параметрами командной строки). Если, конечно, ОС на хосте использует systemd — в противном случае systemd-nspawn просто не будет работать.

> В остальном, как понимаю контейнер это не полная виртуализация, система в контейнере таки взаимодействует с ядром хоста, просто это такой ультра-крутой chroot который и сеть и все-все изолировать может?
Контейнер — это набор неймспейсов, причём произвольный (например, если не использовать сетевой неймспейс, контейнер будет использовать сеть хоста).

> А насчет твоего конфига-все стало теперь еще сложнее...
Он вроде как человекочитаем полностью, т.е. даже без nixos можно понять, что требуется поднять и как сконфигурировать. Разве что конфигурация фаервола контейнера с тором сделана через функции на шелле с ходу не совсем очевидным образом. Ты роутер из хоста на линуксе когда-нибудь лепил руками?

Контейнеры nixos используют systemd-nspawn и многие директивы их конфигурации повторяют его опции.
Anonymous No.1998
>1997
>Ты роутер из хоста на линуксе когда-нибудь лепил руками?

Нет, а на линуксах я совсем недавно.

Попробую systemd-nspawn этот, вдруг-что получится, отпишусь.

Спасибо.
Anonymous No.1999
>>1998
> на линуксах я совсем недавно
Ну вот, с этого бы и начал, для общего развития: слепи роутер, который будет раздавать DHCP с DNS и натить трафик из подсети в интернет. В приведённом конфиге nixos сделано два роутера: один из хоста для предоставления tor'у доступа в сеть, другой из контейнера с tor'ом для предоставления доступа в тор другим контейнерам. Но ты на это особо не засматривайся, а установи и настрой dhcpd, bind и фаервол сам — только после этого написанное в конфиге станет простым и понятным.

> вдруг-что получится
Ничего толкового не получится пока не вкуришь основы сетевой маршрутизации.
Anonymous No.2001
obfs-bridge для тора еще актуальны или нет? В Китае же научились палить их.
Anonymous No.2003
>>1997
>systemd-nspawn
Зачем связываться с дерьмовым кодом systemd, если тебе нужна именно контейнеризация и изоляция от системы(на нормальную виртуалку не хватает ресурсов машины)?
Это для девопсов, которым на нормальную изоляцию наплевать, а нужна оркестрация контейнеров. Docker и kubernetes они почему-то не используют.

При этом, чтобы получить чистый дебиан(или девиан) в lxc или docker нужно помучиться. Нет простого средства, чтобы запустить в контейнере какую-то произвольную папку, как в chroot. Я не нашел в man команды которая это делает. Нужно искать обходной путь.
В docker предлагают пользоваться их контейнером(который не соответствует чистому дебиану), в lxc используется debootstrap, но он создается bash-скриптом на 1000 строк, который выключает selinux и делает прочие гадости в которых я не разобрался.
Может, кто-нибудь знает как мою директорию с debian запустить в контейнере lxc?
Anonymous No.2005
>>2003
> Зачем связываться с дерьмовым кодом systemd
Где он дерьмовый-то?
> на нормальную виртуалку не хватает ресурсов машины
Виртуалка в любом случае медленнее, а её возможности по использованию ресурсов ОС на хосте ограничены: например, в неё не просунуть /dev/drm и сокет иксов.

> Это для девопсов, которым на нормальную изоляцию наплевать, а нужна оркестрация контейнеров.
В systemd-nspawn ничего такого нет, там чисто изоляция с организацией сети и прочих ресурсов. Ман по нему открой.

> (второй абзац)
Именно поэтому я использую systemd-nspawn: он ничего лишнего не делает кроме монтирования внутрь контейнера tmpfs после поднятия bind'ов, из-за чего /tmp/.X11-unix пришлось прокидывать в другой каталог и прикручивать симлинком.

> Может, кто-нибудь знает как мою директорию с debian запустить в контейнере lxc?
cd /path/to/container
systemd-nspawn

Чтобы запустить не шелл, а init, укажи --boot; после этого, если в контейнере есть systemd и dbus, можно попросить от них шелл:
machinectl shell $container-directory-name
По умолчанию изоляция ресурсов минимальная (используется сеть и UID/GID'ы хоста).
Anonymous No.2009
>>2001
>В Китае же научились палить их.
Правда?
Роскомнадзор запустил систему проверки поисковиков и средств обхода блокировок Anonymous No.2130
Роскомнадзор запустил новую автоматизированную систему мониторинга поисковых систем, прокси- и VPN-сервисов, которые позволяют обходить блокировки в России.

Пресс-службе надзорного ведомства сообщает:

«В настоящее время система функционирует в режиме опытной эксплуатации. Система позволяет оперативно в установленные законом сроки проводить проверки поисковых систем и сервисов обхода блокировок (виртуальные частные сети, прокси-серверы, анонимайзеры разных типов) на предмет ограничения доступа к ресурсам, доступ к которым ограничен, по полному перечню таких ресурсов».

В РКН отдельно подчеркнули, что система не предназначена для блокировок данных сервисов, включая VPN.

В апреле 2019 года для создания новой системы выбрали подрядчика и заключили с ним договор. Победителем конкурса стал ФИЦ «Информатика и управление» РАН. Контракт изначально оценивали в 25 млн рублей, но в итоге цена снизилась до 19,92 млн рублей.

Акт приема-передачи подписали в конце декабря прошлого года. Систему планируется ввести в промышленную эксплуатацию в течение 2020 года.

Напомним, недавно ФГУП «Главный радиочастотный центр» (ГРЧЦ) — заказало исследование возможности блокировки запрещенной информации в сетях Tor, Telegram Open Network (блокчейн-платформа, которая готовится к запуску командой Павла Дурова) и интернете вещей.

Целью исследования является определение, а также анализ угроз и рисков при обеспечении ограничения доступа в соответствии с законодательством РФ, связанных с внедрением перспективных информационных технологий и протоколов.

https://roskomsvoboda.org/56264/
Anonymous No.2134
1566802947647[...].png (148 KB, 300x300)
>>2130
>блокировки запрещенной информации интернете вещей
Это как?
Anonymous No.2135
>>2134
Блокировка запрещенных показаний температурных датчиков
А никак, услышали новое слово непонятное, надо заблокировать.
Anonymous No.2155
Я сменил днс провайдера на 1.1.1.1 и заработали все сайты включая древний русрекер.орг. Как думаете сорм возьмет на галочку для проверочки майором, если я буду видео в онлайн кинотеатрах смотреть, лазать по торрент помойкам, и натыкатся на заблокированные мемы и хентайные картинки? Очко жим-жим
Anonymous No.2156
>>2155
Зашел на имиджборду - галочка. Используешь слишком сложные методы обхода блокировкок - галочка. Установил тор - галочка. Установил впн - галочка. Идет непонятный трафик - галочка.
Зашел на сосач - все посты заносятся в личное дело.
Anonymous No.2157
Вообще, если что-то пишешь на имиджбордах, помечаешься как потенциально неблагонадежный. Могут потом на работу в определенные места не взять. Но причину ты не узнаешь.
Anonymous No.2158
>>2156
И сколько надо галочек, чтобы тащкапитан пригласил на бутылочку шампанского? Серьёзно в гугл картинках полно мемов, сайты которых заблокированы, это галочка?
Anonymous No.2159
>>2155
Нет. Всем похуй, даже твоему провайдеру, раз он даже не заморочился установокой всяких dpi, за блокировку только по dns его и самого оштрафовать могут. Пока на тебя конкретно не поступит запрос из органов, всем похуй, чем ты там занимаешься и что качаешь. А он на тебя не поступит, если ты не будешь писать ниприятное про власть со страницы впараше или слать письма с угрозами минирования с личного email адреса.
Anonymous No.2160
>>2158
Тащкапитан пригласит на бутылочку, когда сможет за счет тебя подняться по службе или хорошо заработать. От количества галочек это не зависит. Достаточно одной.
Anonymous No.2161
До этого он будет наблюдать и выжидать, когда ты сделаешь что-нибудь нехорошее.
Anonymous No.2162
Товарищ майор не ставит на галочку, если ты заходишь в вконтакте с хрома и десятки. Потому у него и так есть на тебя всё. Будешь плохо писать про власть или делать что-то нехорошее - посадят, а у майора будет ещё одна звездочка.
Anonymous No.2165
15666219251600[...].png (333 KB, 818x977)
>>2162
Зачем заходить ВКонтакте, если ты знаешь, что там за тобой активно следят?
Вкусный кактус?
Anonymous No.2167
>>2165
Ну так можно заходить через vpn с фейковой страницай зареганой на левый номер и без друзей, что бы по друзьям не сдеанонили.
Anonymous No.2168
>>2167
Как вконтакте наблюдать шотами из своего класса и чтобы майор не спалил что это ты?
Anonymous No.2206
photo_2020-04-0[...].jpg (66 KB, 750x649)
Роспетухком балуется BGP hijacking'ом


«Ростелеком», возможно, проводил тренировочные блокировки

Через анонсирование префиксов «Ростелеком» сообщил российским операторам, что ресурсы, которые находятся на IP-адресах крупных IT-компаний, размещены у него.

1 апреля крупнейший российский провайдер «Ростелеком» стал анонсировать в интернете префиксы, принадлежащие известным интернет-компаниям, например, Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS и др., сообщает Qrator. Маршрутизация между пользователями и крупнейшими облачными сетями таким образом была нарушена. Проблема затронула 8870 подсетей, принадлежащих почти 200 автономным системам.

Ошибка, допущенная «Ростелекомом», демонстрирует уязвимости протокола BGP-маршрутизации при злонамеренных действиях со стороны крупных операторов. Анонсирование префиксов означает следующее: «Ростелеком» сообщил российским операторам, что ресурсы, которые находятся на IP-адресах вышеупомянутых компаний, размещены у него. Как следствие, российские операторы начинают отправлять пакеты трафика не на нужные IP-адреса, а на роутеры «Ростелекома».

ИТ-эксперт Владислав Здольников объяснил в своем telegram-канале, что в качестве возможных причин может рассматриваться как банальная ошибка, так сознательная блокировка ресурсов. «Дело в том, что фейковые маршруты — это один из способов блокировки ресурсов», — пишет он. Сам эксперт склоняется ко второму варианту. По его мнению, если бы инцидент был случайностью, то префиксы выкладывались бы оригинальными размерами, но они были мельче, чем у автономных систем. «Очень похоже, что список анонсированных префиксов — результат работы скрипта, который сделал специальную таблицу маршрутизации исходя из ресурсов, которые необходимо заблокировать», — говорит Здольников. Список из-за ошибки утёк из служебной таблицы маршрутизации другим провайдерам, делает вывод эксперт.

Подобные действия Ростелекома могут свидетельствовать о попытках тренировочных блокировок со стороны Ростелекома, которые он может предпринять в случае требований со стороны государства.

Источник: https://roskomsvoboda.org/56975/


Ростелеком опять ломает интернет.

Вчера, в 22:28 МСК Ростелеком начал анонсировать в интернет тысячи префиксов, среди которых — сети Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS и многих других, чем примерно на 10 минут нарушил работу сотен тысяч сервисов и сайтов во всём мире.

Это означает, что Ростелеком стал указывать, что сети этих сервисов находятся у него, тем самым заворачивая на себя трафик до них от пользователей.

Причины у этого могут быть следующие:
— Банальные кривые руки.
— Утечка из системы «радикальной» блокировки в определённый момент — например, во время протестов. Дело в том, что фейковые маршруты — это один из способов блокировки ресурсов, но в штатном режиме они не утекают за пределы сети оператора.

Я почти уверен во втором варианте, и вот почему.
Если бы это была случайность, то маршруты анонсировались бы оригинальными размерами, но они были разбиты на более мелкие подсети (https://radar.qrator.net/as12389/prefixes#startDate=2020-04-01&endDate=2020-04-01&tab=current), чем они анонсируются оригинальными AS.

Очень похоже, что список анонсированных префиксов — результат работы скрипта, который сделал специальную таблицу маршрутизации исходя из ресурсов, которые необходимо заблокировать.
Просто этот список из-за ошибки утёк из служебной таблицы маршрутизации — другим провайдерам.

Источник: https://t.me/itsorm/1584


Оригинал новости: https://radar.qrator.net/blog/how_you_deal_with_route_leaks


От себя: Вообще, это, конечно, позорище, что в 2020 году два самых критических для интернета протокола — DNS и BGP — не используют шифрование и цифровые подписи, позволяя всяким пидорам, вроде China Telecom и теперь уже Ростелекому, абузить интернет (это про BGP). Про DNS-спуфинг даже говорить не приходится, это воспринимается как нечто нормальное. Мой провайдер, например, использует его, что подсовывать мне рекламу. Он, конечно, делает это крайне редко, но все же.


P.S. На пике ответ пресс-секретаря (sic!) Ростелекома
Anonymous No.2207
>>2206
Разве такие действия не могут вообще частями интернет положить во всем мире? Анонсирование маршрутов это не шутки.
Anonymous No.2214
Где найти хорошие прокси, которые не находятся на слишком популярных ресурсах?
Хочу на Лурке и Вики зарегаться, а там некоторые сайты парсятся и блочутся прокси.
Anonymous No.2215
>>2214
Взломать что-нибудь и поднять на нём проксю самому.
Anonymous No.2216
15575980044142[...].png (1226 KB, 1964x1192)
>>2215
Это незаконо же.
Anonymous No.2217
Как обходить блокировку тора на тубзочаннеле?
Anonymous No.2218
>>2217
Пойти нахуй.
Anonymous No.2219
>>2216
А ты взломай что-нибудь там, куда законы твоей страны не дотянутся.
Anonymous No.2230
>>2219
Зачем вообще что-то взламывать, когда можно купить себе свою vps и поднимать там что хочешь. Не подставляешься и ни от чего не зависишь. Придумали себе каких-то надуманных проблем.
Anonymous No.2231
>>2230
Как ты сегодня что либо купишь без идентификации?
Anonymous No.2232
>>2231
Если очень нужно (а впска вещь вообще полезная), то можно и заморочиться. Многие хостеры принимают биткойны и это на данный момент один из самых удобных способов оплаты. Биткойны можно купить и переводом со своей карты на localbitcoins, не вижу в этом вообще никаких проблем, не надо доводить паранойу до крайностей. Есть в продаже предоплаченные карты с фиксированной на них суммой, тоже как вариант, но там достаточно большая переплата получается.
Платить то за услуги всё равно как-то надо.
Anonymous No.2233
>>2232
Думаешь, такое уж это доведение до крайностей? Мне однажды звонила служба безопасности моего банка по поводу покупки перевода на левый кошелёк, спрашивали всё ли в порядке, покупаю ли я битки, проверял ли обменник на бестэксчендже, etc. Если энное количество переводов одному и тому же получателю от различных, не связанных с ним казалось бы людей является поводом для внимания, не является ли таким же поводом для внимания и последующего отстука факт регулярного закупания человеком битков, при том, что они видят, что ты никакой не брокер, например. Вообще конечно с одной стороны рептилиям наверное действительно похуй, что ты там оплачиваешь себе какой-то сервак или даже покупаешь себе грамм мефедрона раз в неделю. Но что если представить себе гипотетического гражданина, которому действительно есть что скрывать от своих любящих властей?
Anonymous No.2245
Вопрос к знатокам. Если несколько приложений одновременно используют тор, траффик от них идёт через одну и ту же цепочку или для каждого из них будет создана отдельная?
Anonymous No.2246
>>2245
Через одну и ту же: tcp-сокеты не позволяют различать обратившиеся на них приложения. Если хочешь пустить приложения через разные цепочки, открой для них отдельные порты.
man torrc
SocksPort [address:]port|unix:path|auto [flags] [isolation flags]
Open this port to listen for connections from SOCKS-speaking
applications. Set this to 0 if you don’t want to allow application
connections via SOCKS. Set it to "auto" to have Tor pick a port for
you. This directive can be specified multiple times to bind to
multiple addresses/ports. If a unix domain socket is used, you may
quote the path using standard C escape sequences. (Default: 9050)

NOTE: Although this option allows you to specify an IP address
other than localhost, you should do so only with extreme caution.
The SOCKS protocol is unencrypted and (as we use it)
unauthenticated, so exposing it in this way could leak your
information to anybody watching your network, and allow anybody to
use your computer as an open proxy.

The isolation flags arguments give Tor rules for which streams
received on this SocksPort are allowed to share circuits with one
another. Recognized isolation flags are:

IsolateClientAddr
Don’t share circuits with streams from a different client
address. (On by default and strongly recommended when
supported; you can disable it with NoIsolateClientAddr.
Unsupported and force-disabled when using Unix domain sockets.)

IsolateSOCKSAuth
Don’t share circuits with streams for which different SOCKS
authentication was provided. (For HTTPTunnelPort connections,
this option looks at the Proxy-Authorization and
X-Tor-Stream-Isolation headers. On by default; you can disable
it with NoIsolateSOCKSAuth.)

IsolateClientProtocol
Don’t share circuits with streams using a different protocol.
(SOCKS 4, SOCKS 5, TransPort connections, NATDPort connections,
and DNSPort requests are all considered to be different
protocols.)

IsolateDestPort
Don’t share circuits with streams targeting a different
destination port.

IsolateDestAddr
Don’t share circuits with streams targeting a different
destination address.

KeepAliveIsolateSOCKSAuth
If IsolateSOCKSAuth is enabled, keep alive circuits while they
have at least one stream with SOCKS authentication active.
After such a circuit is idle for more than MaxCircuitDirtiness
seconds, it can be closed.

SessionGroup=INT
If no other isolation rules would prevent it, allow streams on
this port to share circuits with streams from every other port
with the same session group. (By default, streams received on
different SocksPorts, TransPorts, etc are always isolated from
one another. This option overrides that behavior.)
Пост отредактировал Anonymous
Anonymous No.2254
Поясните за wireshark пожалуйста. В большинстве гайдов его использование описано максимально сухо, в духе кек-пук вот короче тут запускаем, тут смотрим, ага, какой-то левый айпишник - это зонд пытается отстучать куда надо. На деле пробую запустить его у себя, за полчаса бездействия устанавливается туева хуча каких-то непонятных соединений. Как вообще понять, что из этого ок, а что - нет? В статистике например вижу в списке зарезовленых адресов какие торрент-трекеры, которые непонятно откуда там вообще высрались. И это всё только часть из нескольких тысяч адресов попавших в дамп.
Anonymous No.2258
>>2254
Программы должны генерировать сетевую активность ровно тогда, когда ты от них это требуешь. Всё сверх этого — подозрительная сетевая активность, в т.ч. работа встроенных в софт анальных зондов. Рекомендую выбирать тот софт, который подобным не занимается, при запуске которого не появляется непонятного трафика.
Anonymous No.2259
>>2258
Прикол в том, что я тестировал всё это дело на убунте, весь установленный софт - попенсорсный, и казалось бы ничего такого не должен делать. Или должен и я чего-то не понимаю.
Anonymous No.2262
>>2259
> тестировал всё это дело на убунте
Которая сама по себе — коммерческий дистрибутив, причём открыто использующий анальные зонды.
> весь установленный софт - попенсорсный
И что? Вон, firefox и chromium — тоже опенсорс, но это не мешает им включать в себя всё увеличивающийся список методов телеметрии. Открытость исходников ничего не гарантирует, она лишь даёт возможность детально изучить внутренности софта и модифицировать их под свои нужды.
Anonymous No.2263
>>2262
Насколько мне известно туда только поиск от амазона вставляли и какую-то телеметрию самого каноникал, но в результате мощного шитшторма, убрали либо сделали отключаемым. И прикручено всё это дело было к юнити, а у меня KDE. Плюс, некоторые адреса, которые я вижу абсолютно точно не могут быть серверами для сбора телеметрии. Короче, мне бы разобраться, как это всё должно работать, но пока что даже не знаю с чего начать.
Anonymous No.2264
>>2263
Выявить процессы-источники трафика можно при помощи auditd. Вангую какую-нибудь гадость в профиле вайна.

> у меня KDE.
Кажется, в кубунте из коробки три пакета для отправки телеметрии. Было пару лет назад, когда я её в последний раз тыкал.

> мне бы разобраться, как это всё должно работать, но пока что даже не знаю с чего начать.
Начни с установки минимальной ОС вместо убунтопомойки с кедами. Вместо толстого и неудобного wireshark'а возьми tcpdump — он работает из консоли и помимо показа трафика умеет сохранять его в формате pcap для дальнейшего разбора wireshark'ом или чем-то другим. Постепенно добавляя софт, следи чтоб на сетевом интерфейсе не начиналось вакханалии.
Anonymous No.2275
Настраиваю shadowsocks, при попытке запустить клиент командой ss-local -c /etc/shadowsocks-libev/config.json выдаёт следующее:

2020-04-22 00:30:37 INFO: plugin "obfs-local" enabled
2020-04-22 00:30:37 INFO: initializing ciphers... xchacha20-ietf-poly1305
No such file or directory
2020-04-22 00:30:37 INFO: listening at 127.0.0.1:1080
2020-04-22 00:30:37 INFO: tcp port reuse enabled
2020-04-22 00:30:37 INFO: udprelay enabled
2020-04-22 00:30:37 INFO: udp port reuse enabled
2020-04-22 00:30:37 ERROR: plugin service exit unexpectedly
2020-04-22 00:30:37 INFO: error on terminating the plugin.


В чём может быть дело?
Anonymous No.2276
>>2275
Ты конфиг сам написал или спиздил откуда? Там указан шифр, который в твоей сборке отсутствует. И это очевидно просто из чтения лога, без знания shadowsocks'а.
Anonymous No.2278
>>2276
Конфиг я спиздил, но ошибка про файл если что не всегда третьей строкой появляется, может и четвёртой например, так что я бы не был так уверен. Плюс, этот шифр должен быть в библиотеке libsodium, которая у меня установлена.
Anonymous No.2279
>>2278
> Конфиг я спиздил
Будет тебе уроком. Не пизди конфиги, а правь под свои нужды поставляемые в пакете.

> ошибка про файл если что не всегда третьей строкой появляется, может и четвёртой например, так что я бы не был так уверен
Какая разница? Это говорит лишь о том, что программа инициализируется многопоточно.
Anonymous No.2280
>>2279
Орли, и что именно в данном случае я должен был поменять под свои нужды, чтобы это работало? Дефолтное шифрование chacha20-ietf-poly1305, если указать его, выдаёт в точности то же самое. И если ничего не указывать тоже выдаёт, потому, что он всё равно будет пытаться его применить. Можно конечно предположить, что у меня вообще нахуй никакое не поддерживается, но как я уже написал, за это вроде бы как должна отвечать библиотека, которая у меня уже установлена. Хотя возможно я чего-то ещё не знаю и было бы супер классно, если бы тут нашёлся кто-нибудь, кто в этом что-то понимает.
Anonymous No.2301
>>2280
Как я и ожидал, с конфигом было всё в порядке, проблема была с плагином simple-obfs, который какого-то хера не устанавливается корректно из репозитория и мне пришлось собрать его из исходников.
Anonymous No.2307
>>2301
> проблема была с плагином simple-obfs, который какого-то хера не устанавливается корректно из репозитория и мне пришлось собрать его из исходников.
Лол. Я ж не ванга, чтобы понять, что ты помимо левого конфига ещё и насрал в систему непонятно как и для чего собранным плагином в надежде, что он будет работать с установленным из репы пакетом.

Тебе надо было не пердолиться, а выяснить причину, по которой не устанавливался пакет из репозитория. Я посмотрел и тут же увидел: в репе debian есть несколько сборок shadowsocks, из которых одновременно может быть установлена только одна; simple-obfs же требует не любую из них, а конкретную.

Блокировки и зависимости пакетов репозитория сделаны не чтобы ставить палки в колёса пользователю, а чтобы облегчить ему жизнь, не дав поставить софт в заведомо неработоспособной комплектации. Следует не убегать от них, устанавливая тот же софт в обход пакетного менеджера, а смотреть на них внимательней и дружиться с ними.
Пост отредактировал Anonymous
Anonymous No.2309
>>2307
Братан, пынимаешь, там в этом конфиге несколько строчек всего и простора для изобретательства остаётся не особо много. А не работал как раз плагин "установленный" из репозитория, потому, что репами очевидно какой-то ёбнутый занимался. То есть, он там помечен как removed package, но увидеть это ты можешь только во время поиска. Если ты просто пробуешь его установить пакетным менеджером, он не моргнув глазом его "устанавливает" не выдав никакой ошибки, при этом по факту никаких файлов в нём тупо нет. Зачем и почему так - хуй проссыт. А вот "непонятно как и для чего собранный" плагин как раз-таки отлично работает. Так что не знаю, зачем ты мне постоянно пытаешься намекнуть, что я долбоёб. Я блин просто раньше делал это с точно таким же конфигом и теми же версиями тех же пакетов на другом дистрибутиве и всё работало, кто ж знал, что тут такая специфика.
Anonymous No.2310
>>2309
> он там помечен как removed package
В последнем релизе Debian всё нормально с этим пакетом. Что за дистрибутив у тебя?

> Так что не знаю, зачем ты мне постоянно пытаешься намекнуть, что я долбоёб.
Но кто-то ведь в этой ситуации допустил ошибку. Я исхожу из того, что в дистрибутиве поставляется заведомо работоспособная комплектация из демонов, их плагинов и конфигов, а подмена чего либо из этого — прямой способ нарушить эту работоспособность. Чтобы избежать её нарушения (и упростить поддержку системы в дальнейшем), я вношу в поставляемые с дистрибутивом конфиги минимальные нужные мне изменения.

> Я блин просто раньше делал это с точно таким же конфигом и теми же версиями тех же пакетов на другом дистрибутиве и всё работало
В этом и дело: пакет может быть собран иначе, а от особенностей сборки может зависеть работоспособность директив конфига.
Anonymous No.2311
>>2310
>Что за дистрибутив у тебя?
Void
Anonymous No.2312
>>2311
Видимо, у мэйнтейнеров этого дистра не хватило ресурсов на поддержку обсуждаемого плагина, и они его удалили. Странно только, что их пакетный менеджер ведёт себя таким образом, не показывает этого факта явно. К apt из debian тоже есть претензии (например, оставление неподдерживаемых пакетов, включая демоны, после обновления релиза), но по крайней мере такой хуйни он не делает. В gentoo же вообще с этим строго: при наличии в world'е удалённого пакета ты не сможешь провести полное обновление системы пока его оттуда не уберёшь.
Anonymous No.2515
screen1.jpg (66 KB, 677x343)
screen2.jpg (76 KB, 755x383)
Вопрос к экспертам. Захотел использовать сеть Tor как набор бесплатных прокси.

Скачал Tor Experts Bundle, скопировал файлы geoip в папку с tor.exe, создал файл настроек torcc со следующими настройками:

ControlPort 9251
SocksPort 9250
HTTPTunnelPort 9280
ExitPolicy reject :
ExitPolicy reject6 :
GeoIPFile C:\Tor\geoip
GeoIPv6File C:\Tor\geoip6
ExcludeExitNodes {RU},{UA},{BY}

Мой компьютер же не является выходной нодой теперь? Я вроде четко прописал ExitPolicy reject : и ExitPolicy reject6 :

Просто после запуска такой ноды, Гугл меня считает "подозрительным трафиком" и стал часто предлагать капчу. Вот я думаю, может быть, кто-то пускает весь трафик сквозь меня, хотя я вроде не дал разрешение быть выходной нодой?

Извините за нубовопрос.
Anonymous No.2516
sss.jpg (96 KB, 545x344)
>>2515
Не ну пиздец, меня натурально Гугл забанил
Anonymous No.2518
>>2515
> Tor Experts Bundle
Не слышал о таком. Ванильный тор по умолчанию не поднимает ни релэй, ни выходную ноду, т.е. твои директивы ExitPolicy излишни и даже вредны: из-за их наличия выходная нода регистрируется, хоть и с запретом всего трафика.
man torrc
ExitRelay 0|1|auto
Tells Tor whether to run as an exit relay. If Tor is running as a
non-bridge server, and ExitRelay is set to 1, then Tor allows
traffic to exit according to the ExitPolicy option, the
ReducedExitPolicy option, or the default ExitPolicy (if no other
exit policy option is specified).

If ExitRelay is set to 0, no traffic is allowed to exit, and the
ExitPolicy and ReducedExitPolicy options are ignored.

If ExitRelay is set to "auto", then Tor checks the ExitPolicy and
ReducedExitPolicy options. If either is set, Tor behaves as if
ExitRelay were set to 1. If neither exit policy option is set, Tor
behaves as if ExitRelay were set to 0. (Default: auto)


> Просто после запуска такой ноды, Гугл меня считает "подозрительным трафиком" и стал часто предлагать капчу.
При доступе в интернет напрямую или через тор?
Пост отредактировал Anonymous
Anonymous No.2521
изображение.png (10 KB, 755x383)
>>2518
> Tor Experts Bundle
Вот отсюда (Windows Expert Bundle):
https://www.torproject.org/download/tor/

> твои директивы ExitPolicy излишни и даже вредны: из-за их наличия выходная нода регистрируется, хоть и с запретом всего трафика
Спасибо, прописал в torcc "ExitRelay 0" и переустановил сервис. Добра!

> При доступе в интернет напрямую или через тор?
Вот именно, что при доступе через свой настоящий айпи-адрес, с браузера, который не добавлен в SocksCap. Поэтому мне немного стало жутковато, вдруг с моего компьютера ЦП раздают, а я и не знаю.

Спасибо, анон, за совет, мне кажется, это именно то, что нужно было
Anonymous No.2523
>>2521
> прописал в torcc "ExitRelay 0"
Можешь убрать: при отсутствии директив ExitPolicy оно по умолчанию 0, см. последний абзац куска мана про него.

> мне немного стало жутковато, вдруг с моего компьютера ЦП раздают, а я и не знаю.
Не раздавали, но зато твой ип попадал в кучу обновляемых из общедоступного списка exit-нод тора блэклистов. Может быть, где-то его даже запомнили надолго.
Anonymous No.2524
1589474522_1589[...].jpg (374 KB, 1736x1228)
Teenage-Mutant-[...].jpeg (174 KB, 811x947)
>>2523
Спасибо большое за то что разъяснил все понятным и доступным языком. Камень с души снял.
Добра тебе и всем твоим близким!
Anonymous No.2537
изображение.png (861 KB, 932x993)
Пердолил эту фигню кто-нибудь?
https://discord.com/invite/3VfFgqX

У меня интернет безусловно платный, даже в минус уходит, если баланс не пополнять. Тупо списывают каждый день, пока не напишеь заяву о преостановлении договора. Ну и соответственно, мне просто вырубят pppoe и я систему наебать не смогу, сети не будет вовсе.
На ведре yota анлимная не оплачена. Но там без оплаты только сайт ёты доступен и сбера. Сработает в этом случае? Или эта херня только останавливает счетчик трафика тем, кто заплатил за безлимитные сервисы типа ютуба при оплаченном тарифе?

Думаю, что последнее. Потому что при неоплаченном тарифе уже по ip ограничат соединения сбером, у сбера их не так много. А не по SNI.
Anonymous No.2538
>>2537
Не хожу по ссылкам, особенно на соцсети с обязательной регистрацией.

Из локалки провайдера можно попробовать выбраться через dns-туннелинг. Как работает эта твоя хуйня, понятия не имею, как и желания разбираться.
Anonymous No.2557
Поясните для тупых. Вот допустим, я арендовал VPS, напердолил на нём прокси и могу теперь посещать запрещённые в Российской Федерации сайты. Однако, мой провайдер же будет видеть что я периодически подключаюсь к какому-то серваку и потом можно будет сопоставить его адрес и адрес с которого например некто написал на анонимном форуме пост, огорчающий ветеранов. Как скрыть сам факт наличия у меня VPS?
Anonymous No.2558
>>2557
Если будешь обыкновенный прокси юзать, проследи, чтобы в нём не было X-Forwarded-For, потому что в таком случае и сопоставлять не надо ничего. Прокся расскажет твой IP серверу конечного назначения. Во всех публичных бесплатных соксах IP сливается таким образом. Это легко проверить.

А то о чём ты говоришь, можно решить дополнительным IP на твоём VPS. Чтобы вход и выход был в разных подсетях. или надежнее через даблВПН.

Что касается самого впн, то у меня знакомый вот пересел на Wireguard. Он быстрый очень. Ещё ikev2 норм, он уже встроен в винду. На ведре вроде его нет, я там pptp юзаю, но pptp скомпромитирован и я его накатил только потому, что он гораздо лешче чем openvpn и стабильнее работает на мобильном соединении с падениями сети. И опять же есть из коробки.

Можно ещё через удаленное управление в графической ОС сидеть на первом сервере, а оттуда подключаться по впн на следующий. ну это извращение немножко, к тому же ты пооставляешь там файлы чужому дядьке и я что-то сомневаюсь, что можно надежно закриптовать свой удаленный кусок hdd. Доступ к памяти-то у гипервизора же есть.

Я если что не погромист и даже не учусь. сам я максимум делал простейший shadowsocks по мануалам.
Пост отредактировал Anonymous
Anonymous No.2560
>>2537
По моему легче купить ётовский самый дешевый безлимит для смартфонов и развернуть vpn (у меня так резервирование интернета сделано), чем пердолиться ради неясных результатов, которые скорее всего будут в итоге пресечены.
Anonymous No.2561
>>2557
>и потом можно будет сопоставить его адрес и адрес с которого например некто написал на анонимном форуме пост
Чтобы сопоставить провайдер должен будет иметь административный доступ к форуму, чего конечно же, не будет, он даже не будет знать что ты там на каком-то форуме пишешь и на каком, потому что vpn. Алсо провайдеру похер на тебя, чтобы что-то хотеть сопостовлять - он тебе просто трубу в интернет продаёт за деньги.

[Назад] [Обновить тред] [Вверх] [Каталог] [ Автообновление ]
224 / 19 / 91

[Ответить в тред] Ответить в тред

15000

Ответ в тред No.45
Настройки
Избранное
Топ тредов