Начну с себя. Оп хуй не выебывается и пользуется обычным vpn на купленной специально для этого vps. А так как дома у него несколько компьютеров и пара телефонов, то vpn у него крутится на специально собранном для этого мощном роутере, таким образом все устройства в сети получают доступ уже в полноценный интернет.

>>45 (OP)
>кто чем пользуется
Раньше пердолился с впнами разной степени тормознутости, но недавно анончик мне подкинул GoodbyDPI и у меня всё стало хорошо. Оказывается, "блокировки" большинства провайдеров - это не железная стена, а тупо предупредительная ленточка, которую наши пеки стесняются перелезать.
Рикамендую кароч.

>>62
GoodbyDPI хорошая программа и идея, но на сегодняшний день она уже потеряла актуальность и как серьезный способ обхода блокировок на нее расчитывать не стоит.
Она до сих пор работает, но только у единиц провайдеров. dpi стали умнее, много блокируется по ip прямо на маршрутизаторах, почти всеми провайдерами перехватываются и подделываются dns запросы.
Единственный надежный на сегодня вариант — vpn, не бесплатный, хотя и среди них есть годные варианты, а, желательно, поднятый лично на любом сервере, либо готовый в виде сервиса, если нет желания разбираться с самостоятельной настройкой.

>>63
>желательно, поднятый лично на любом сервере
Какие плюсы у VPS? Я пытался вкинуть, мне показалось, что у VPS одни минусы: цена, адреса, безопасность, работа из коробки.

>>63
>но только у единиц провайдеров.
ну хз я попробовал у меня завелось, хотя пришлось попердолиться с настройками
провайдер билайн если что, вроде бы, не самый мелкий
конечно это не панацея, но первый вариант из того, что стоит попробовать, ибо тут ты вообще не теряешь скорость вообще никак

>>64
>Какие плюсы у VPS?
- Цена. vps обычно дешевле готовых vpn.
- Безопасность. Ты сам контролируешь свой сервис и сам решаешь, что нужно лиггировать и нужно ли вообще.
- Выделенный белый ip.
- Неограниченное количество аккаунтов и устройств для vpn.
- Возможность прокидывать порты до домашней сети (для корректной работы торрентов, если дома работают другие сервера, которые должны смотреть в интернет).
- Возможность устанавливать на vps любой софт, кроме vpn. (На работе я пользовался shadowsocks).
Это лишь малый список, можно придумать еще кучу того, что можно сделать с vps, но нельзя с готовым vpn. Еще добавлю, что возможность прокидывать порты это очень хорошая штука для тех, кто сидит за провайдерскими натами, но хочет держать дома, например, личное облачное хранилище. По сути это единственная возможность сделать его доступным из интернета.

>хотя пришлось попердолиться с настройками
Расскажи, что пришлось пердолить?

>>65
>>67

Далек от этой тематике, извиняюсь, если вопросы глупые:
Зачем брать vps для развертывания на нем vpn? нельзя развернуть у себя на пеке?
Есть ли какие-то отличия между vps от vds?

>>69
>Зачем брать vps для развертывания на нем vpn? нельзя развернуть у себя на пеке?
Для целей обхода блокировок — нельзя, потому что у тебя на компе есть доступ только в зацензуренный интернет, а на vps — в полноценный, который и будет использоваться через vpn.

>Есть ли какие-то отличия между vps от vds?
vps — дешевая виртуалка, таких на одном физическом сервере может быть сотни.
vds — выделенный физический сервер, очень дорого.

>>66
Чем shadowsocks лучше/хуже впна?

>>71
Он не лучше, не хуже, это просто еще один способ построения туннеля. Когда-то лучше подходит vpn, когда-то shadowsock, все зависит от ситуации.
Например:
Дома у меня всегда подключен vpn, почему. Потому что 1. мой роутер позволяет делать это из коробки. 2. Маршрутизация. Я всегда могу получить доступ к домашней сети, подключившись из любого другого места к своей vps. При том, что я нахожусь за провайдерским натом, это один из плюсов, которые я перечислял выше.
Еще пример:
Если мне надо получить доступ доступ в интернет из недоверенного места, на работе, например. Ставить там громоздкий vpn клиент, палить там ключи, не лучшая идея. В этом случае проще запустить маленькую портабельную программу shadowsocks и прописать в браузере использование локального прокси, чтобы завернуть в туннель только трафик браузера.

Засейваю сюда годный список проксей, а то в гугле каждый раз какая-то параша вываливается:
https://hidemyna.me/ru/proxy-list/

>>67
>Расскажи, что пришлось пердолить?
Ну, тупо перебрать параметры, на которых у меня всё будет работать ок. Ибо на максималочках мой билайн показал мне писюн, хотя они были заявлены как совместимые со всеми провайдерами. На минималках, понятно, меня тоже ждал облом. ГудбайДПИ - это же по сути комплекс разных методик шаманства с пакетами и какие-то будут применимы в конкретном случае, а какие-то нет.

Удачных экспериментов.

>>74
Просто тоже билайн, собственно поэтому и спросил.

>>70
Почему у тех, кто промышляет теневым бизнесом фигурирует в большинстве своем именно "дедик"

>>76
От недостатка знаний, я полагаю. Те, кто использует это слово, в большинстве своем предполагают под ним vps, простые виртуалки. А те, кто пользуется выделенными серверами таким сокращением не пользуются, по крайней мере мне таких не встречалось.
Дедик — сокращенное от dedicated server, выделенный сервер, арендуемая физическая машина.

>>69
> Зачем брать vps для развертывания на нем vpn? нельзя развернуть у себя на пеке?
Туннель от себя к себе? Какой в нём смысл?
> Есть ли какие-то отличия между vps от vds?
VPS (virtual private server) — контейнер в ОС хостера, песочница, другими словами. Ядро ОС на VPS ты не сможешь ни настроить, ни поменять. Хостер при этом видит твои файлы и процессы как на ладони.
VDS (virtual dedicated server) — виртуальная машина, ОС в которой, включая ядро и загрузчик, полностью находится под твоим управлением.

>>70
Dedicated server (реальный выделенный сервер) и virtual dedicated server — вещи с разницей в цене на порядок.

>>78
>контейнер в ОС хостера, песочница, другими словами. Ядро ОС на VPS ты не сможешь ни настроить, ни поменять.
А разве это не от типа виртуализации зависит? В OpenVZ виртуалках ядро общее, а в VMware — у каждого свое. И те, и те продаются, как VPS.

>>79
Хостер безграмотный. OpenVZ делает контейнеры, VMware — виртуальные машины.

Олсо, и тому, и другому уже есть входящие в ядро аналоги, неймспейсы (которые используют lxc, docker, systemd-nspawn и куча других реализаций контейнеров) и kvm соответственно.

Использую Frigate около 4х лет, все сайты открывает и ладно, скорость отличная.

>>81
Вот чему я не доверяю, так это всяким левым расширениям в браузеры.

>>66

> Какие плюсы у VPS?
> - Цена. vps обычно дешевле готовых vpn.
Не совсем, 1-5 летняя подписка на VPN обычно значительно дешевле.
> - Безопасность. Ты сам контролируешь свой сервис и сам решаешь, что нужно лиггировать и нужно ли вообще.
Не совсем, только при наличии квалификации!!! Для большинства безопастость падает.
> - Выделенный белый ip.
Скорее недостаток!
> + Неограниченное количество аккаунтов и устройств для vpn.
Но на недорогих тарифах просядет сеть.
> + Возможность прокидывать порты до домашней сети (для корректной работы торрентов, если дома работают другие сервера, которые должны смотреть в интернет).
> + Возможность устанавливать на vps любой софт, кроме vpn. (На работе я пользовался shadowsocks).

Ну и использование VPN в наше время, это повседневная гигиена.

https://antizapret.prostovpn.org/proxy.pac в настройках сети браузера не хрома конечно

>Выделенный белый ip.
>Скорее недостаток!
Если только для лохов криворуких, которые nat с firewall путают.
У меня, например, дома крутится несколько сервисов, которые должны быть доступны из интернета, а провайдер белые ip адреса не дает, даже за деньги.

>>100
>>103

>>103
Как раз этим бы лохам и арендовать сервер (и IP белый, и бесперебойник надежный, и еще куча плюсов).
А VPN дает хорошую псевдонимность, что несовместимо с постоянным IP.

>>108
>А VPN дает хорошую псевдонимность, что несовместимо с постоянным IP.
Псевдонимность как раз-таки совместима. Вот анонимность - нет.

>>63
>Она до сих пор работает, но только у единиц провайдеров. dpi стали умнее, много блокируется по ip прямо на маршрутизаторах,
Чиво? Это наверное в Китае так, но в пидорахе впн не блокируют же.

На рутрекер хожу через frigate.

>>82
Двачую. Кому вообще нужны эти мокрописьки, когда за пару минут можно поднять IPv6 туннель?

>>138
IPv6 это хорошо, это будущее. В европе и сша уже до половины всего трафика по IPv6 ходит. А у нас жалкие два процента. Ведь все как думают: "нахер оно нужно, и так все работает", причем и абоненты и провайдеры, все на все болт клали.

>>66
Какая в случае VPS/VDS гарантия, что хостер не имеет доступа к "твоему" серверу и твоему траффику?

>>253
Конечно же имеет, это же все на его оборудовании работает. Другое дело, что ему плевать на твой трафик, он продает мощности.

>>254
Что мешает про vpn также говорить?

>>255
Да ничего, если это, конечно, не бесплатные vpn. В бесплатных ты платишь своими данными, которые могут собираться и изучаться во всяких рекламных целях. Хотя с повсеместным внедрением tls это, как мне кажется, уже не очень то и эффективно.

Всю интернет активность осуществляю через торбраузер. Создал несколько профилей и в разных разные куки разных сайтов.
Так как я РАБ мне приходится использовать впарашу, её держу в обычном фаерфоксе, в котором больше ничего не держу

>>262
>Всю интернет активность осуществляю через торбраузер
>приходится использовать впарашу
Аноним уровня /b

>>263
А что не так? Мне казалось, анонимность это скорее про двойную жизнь, чем про сидение в своей норе не имеючи никаких контактов с нормис.

Юзаю antizapret.prostovpn.org. Я идиот?

>>277
>Я идиот?
Нет. Это хороший сервис.

>>46
Насколько сложен такой вариант, с учётом того, что я не айтишник и никогда с администрированием никаких серверов дел не имел? И сразу второй вопрос: как выбрать норм VPS?

>>323
> Насколько сложен такой вариант
Зависит от тебя прежде всего. Нужно становиться прыщеблядком, что кому-то приходится по душе и идёт как по маслу, а кто-то начинает пердолиться, рвёт пукан и идёт на борды плакаться.

Попробуй поставить себе какой-нибудь рач или gentoo на десктоп. Если порнавится углубляться в это всё, то это твоё, если нет — лучше забей и пользуйся зондосервисами.

>>323
>Насколько сложен такой вариант, с учётом того, что я не айтишник и никогда с администрированием никаких серверов дел не имел?
Не сложен, если тебе только постоянный vpn нужен. Роутер делается на pfsense, там в консоль вообще лазить не надо, все из удобного web интерфеса делается. А на vps openvpn по мануалам, которых сотни, ставится, тоже ничего сложного. Есть даже какие-то специальные пакеты для автоматического развертывания, где вообще ничего настраивать самому не нужно.

>как выбрать норм VPS?
Гуглишь просто самые распространенные в странах европы, в пределах несколько евро в месяц, читаешь отзывы.

>>326
Openvpn — медленное и в некоторых случаях глючное говно, особенно при поднятии на soho-роутерах. Работая в userspace, он в принципе не может конкурировать по эффективности с ядерными решениями. Если важно быстродействие, стоит обратить внимание либо wireguard (новый vpn на ядерном модуле, релизов ещё не было), либо на туннелирование протоколов более высокого уровня (socks через ssh).

Для установки ядерных модулей VPS не подходит, нужен VDS.

>>340
>Openvpn — медленное и в некоторых случаях глючное говно, особенно при поднятии на soho-роутерах.
На копеечных soho-роутерах, да, про vpn можно забыть. В остальном на линках до 100 мегабит с ним нет никаких проблем, я уже несколько лет пользуюсь так.

>>277
Если пров блочит только по ip то само то. С полным DPI бы соснул.

>>346
GoodByeDPI

Вот я хочу настроить этот ваш впн, но т.к. я РАБ мне нужен вконтакт и вотсапп, как пустить две ссанины мимо впна? Причём последний я ещё могу использовать на выделенном устройстве, а первый нет.

>>349
Используй две разные среды для разных нужд. Два контейнера или два пользователя.

Контейнеру можно выделить отдельный network namespace, в который воткнуть интерфейс vpn'а.

В случае с пользователями придётся поебаться с фаерволом и настройкой policy-based routing.

Спермобляди в обоих случаях соснули: у них просто нет нужных инструментов.

>>349
Нужно настраивать маршрутизацию, чтобы трафик до сетей ссанины шел через провайдера напрямую. Определелить диапазон адресов впараши можно например, тут: https://bgp.he.net/dns/vk.com#_ipinfo (87.240.128.0/18). А как узнать адреса ватсапа, я не знаю, тоже интересно.
У меня тоже так сделано, для всяких госсайтов и сбербанка онлайн в основном. Но у меня pfsense, там это все из web интерфейса в два клика делается.

>>350
>Спермобляди в обоих случаях соснули: у них просто нет нужных инструментов.
Зачем работу роутера делегировать рабочему компьютеру? Все сетевые дела должен делать отдельный компьютер и только их и больше ничего. Тогда вопрос того, что там в сети дальше, шиндовс или линукс, просто отпадает.

>>354
В таком случае тебе понадобится два компьютера в разных VLAN'ах (или иным сбособом организованных разных сетях): один для работы через VPN, другой для работы напрямую.

>>357
А зачем вообще может понадобиться отдельная сеть для прямого доступа мимо vpn? Нет, можно, конечно и так, например две wi-fi сети сделать, одна напрямую, вторая через vpn. Но мне за несколько лет это ни разу не понадобилось. У меня прямо на самом роутере прописаны диапазоны ip адресов, которые маршрутизируются мимо vpn. Для устройств внутри сети все вообще прозрачно и не требует никаких переключений.

>>358
> А зачем вообще может понадобиться отдельная сеть для прямого доступа мимо vpn?
Чтобы сделать надёжное разделение контекстов с VPN и без. Чтобы трафик из контекста с VPN не попал в сеть напрямую, обеспечив тем самым потенциальный деанон.
> У меня прямо на самом роутере прописаны диапазоны ip адресов, которые маршрутизируются мимо vpn.
Такое решение подходит только в том случае, если VPN используется не для обеспечения приватности, а просто для доступа к ресурсам.

>>359
>Такое решение подходит только в том случае, если VPN используется не для обеспечения приватности, а просто для доступа к ресурсам.
У меня для этого и используется, ну и приватность все же какая-никакая соблюдается. А для чего-то большего есть Tor и всякие другие способы.

>>360
> приватность все же какая-никакая соблюдается.
Ну вот смотри, ты открываешь vk.com напрямую, а на нём куча ресурсов с других серверов, к которым у тебя трафик идёт через vpn:
vk.com → https://connect.facebook.net/en_US/sdk.js
vk.com → https://top-fwz1.mail.ru/js/code.js
vk.com → https://counter.yadro.ru/hit?<набор_данных>
vk.com → https://www.tns-counter.ru/…
vk.com → https://www.tns-counter.ru/…
vk.com → https://sb.scorecardresearch.com/…
В результате владелец обоих сервисов (vk.com и mail.ru, например) может идентифицировать тебя как ходящего с обоих ip-адресов (прямого и vpn'а).

> А для чего-то большего есть Tor и всякие другие способы.
С разграничением контекстов уровня настройки прокси-сервера в браузере? См. >>5.

>>361
Не пользуюсь всяким говном (vk.com), да и мимо vpn у меня только личный кабинет провайдера и несколько росийских сайтов, вроде сбербанка и nalog.ru.
Теоретически то, о чем ты говоришь, возможно, но на практике я бы не переживал об этом при повседневном обычном использовании интернета.

>С разграничением контекстов уровня настройки прокси-сервера в браузере?
Есть отдельный браузер, с закрытым фаерволом доступом в интернет напрямую, есть виртуалки.

>>362
>Не пользуюсь всяким говном
>несколько росийских сайтов, вроде сбербанка и nalog.r

>>363
Зачем ты сравниваешь это? Я живу в этой стране и вынужден пользоваться государственными услугами.

>>362
> мимо vpn у меня только личный кабинет провайдера и несколько росийских сайтов, вроде сбербанка и nalog.ru.
Как будто они не обмазаны всякими счётчиками и прочим cdn-говном.

nalog.ru

www.nalog.ru → https://vashkontrol.ru/widget/mkgu_widget.js: DENY
www.nalog.ru → https://gosbar.gosuslugi.ru/widget/widget.js: DENY
www.nalog.ru → https://scounter.rambler.ru/top100.jcn?289463: DENY
www.nalog.ru → https://fonts.googleapis.com/css?family=Open+Sans:300,300i,400,400i,600,600i,700,700i,800,800i&subset=cyrillic,cyrillic-ext,latin-ext: DENY
www.nalog.ru → https://www.googletagmanager.com/gtm.js?id=...: DENY
www.nalog.ru → https://top-fwz1.mail.ru/js/code.js: DENY
www.nalog.ru → https://mc.yandex.ru/metrika/tag.js: DENY
www.nalog.ru → https://top-fwz1.mail.ru/counter?id=...: DENY
www.nalog.ru → https://scounter.rambler.ru/img/top100/banner-88x31-rambler-blue.gif: DENY

sberbank.ru

Странно, что убрали google analytics. Раньше оно было даже на страницах личного кабинета.
www.sberbank.ru → https://www.googletagmanager.com/gtm.js?id=...: DENY
www.sberbank.ru → https://www.googletagmanager.com/gtm.js?id=...: DENY
www.sberbank.ru → https://mc.yandex.ru/metrika/watch.js: DENY
www.sberbank.ru → https://ibbe.group-ib.ru/api/fl/id55: DENY
www.sberbank.ru → https://ibbe.group-ib.ru/api/fl?u=...: DENY
www.sberbank.ru → https://ibbe.group-ib.ru/api/fl?u=...: DENY

> Есть отдельный браузер, с закрытым фаерволом доступом в интернет напрямую
А что будет, если по действию из него (например, по открытию ссылающегося на внешние ресурсы документа) в сеть обратится другое приложение?
> есть виртуалки.
Как из них организована маршрутизация?

>>365
Ну, ими пока ещё можно и оффлайн пользоваться. А ещё можно накрыться тазом в квартире родителей, заползти под ванну и влачить там жалкое существование.

>>367
>Как будто они не обмазаны всякими счётчиками и прочим cdn-говном.
Мне совершенно не важно, что там будет видно во всяких левых cdn. Сделав прямой доступ мимо vpn до этих сайтов я имею цель скрыть не настоящий ip, а наоборот, ip своего vpn сервера. Да, всякие эти сайты имеют целые подсети и всякие поддомены с разными ip, поэтому фильровать их надо не по адресу сайта, а по подсетям.

>в сеть обратится другое приложение
Ничего не будет, у меня к сети имеет доступ только ограниченный список приложений из белого листа фаервола. Да и не дурак я запускать всякое, что может иметь в себе скрипты.

>Как из них организована маршрутизация?
Как угодно, либо напрямую, либо через vpn прямо в ней, либо через vpn на соседней виртуалке и изолированной сети между ними.

>>367
>ими пока ещё можно и оффлайн пользоваться.
Не всегда. Пример - покупка осаго на машину, что делается без проблем онлайн и было невозможно сделать пару лет назад или возможно, но с переплатой в несколько раз. Да и какой смысл не пользоваться сбербанком онлайн, например, имея при этом саму сбербанковскую карточку?

>>365
Я тоже вынужден пользоваться вмусарней.

>>369
> Сделав прямой доступ мимо vpn до этих сайтов я имею цель скрыть не настоящий ip, а наоборот, ip своего vpn сервера.
Так IP твоего vpn-сервера же видно на счётчиках.
> фильровать их надо не по адресу сайта, а по подсетям.
Тоже такое себе. Нужно не фильтровать по подсетям, а роутить по источнику трафика.

> у меня к сети имеет доступ только ограниченный список приложений из белого листа фаервола
Тоже такое себе. Приложения могут запускать друг друга и таким образом обходить эти твои ограничения. Собственно, поэтому в линуксах нет фильтрации трафика по приложениям¹: она ненадёжна.

> Да и не дурак я запускать всякое, что может иметь в себе скрипты.
Ну вот смотри. Качаешь mp3-файл, а там на самом деле m3u-плейлист со ссылкой и произвольным текстом в комментариях для раздутия файла до адекватного размера. Плееру разрешён доступ в инет, т.к. ты с его помощью слушаешь интернет-радио. Ничего не подозревая, ты открываешь этот файл плеером, а он сходу ломится в инет по ссылке.

> через vpn на соседней виртуалке и изолированной сети между ними.
Не слишком ли много виртуалок? Намного эффективнее использовать легковесные контейнеры.

> какой смысл не пользоваться сбербанком онлайн, например, имея при этом саму сбербанковскую карточку?
Я вообще предпочитаю услугами сбербанка не пользоваться. Есть смысл не пользоваться банк-клиентами:
— из окружений, в которых ты хочешь обеспечить приватность и анонимность;
— из окружений, которым не доверяешь.
____
¹ По крайней мере, без AppArmor или SELinux.

>>375
Выкинь статью в «хакере» (которая скорее всего устарела) и читай документацию от мэйнтейнера пакета (в ней описаны особенности его интеграции в систему) и самого openvpn (ссылки на неё у тебя на скриншоте).

Вангую, что ты его настраивал под скрипты инициализации единственного инстанса, а с переходом на systemd в centos прикрутили поддержку нескольких (после собаки указывается конкретный, для которого должен быть подготовлен отдельный конфиг).

Подробнее смотри в логах:
journalctl -u openvpn-server@\*

>>375
Показывай файл конфигурации, вывод логов из поста выше.

>>378

конфиг

local 127.0.0.1
port 1194
proto tcp
dev tun
ca ca.crt
cert openvpn-server.crt
key openvpn-server.key
dh none
tls-auth ta.key 0
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256
cipher AES-256-GCM
server 10.8.8.0 255.255.255.0
push "redirect-gateway def1"
push "route 94.140.116.190 255.255.255.255 net_gateway"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.222.220"
duplicate-cn
keepalive 10 120
user nobody
group nobody
persist-key
persist-tun
status /dev/null
log /dev/null
verb 0

лог

фев 19 22:46:26 2338860a22 systemd[1]: openvpn-server@openvpn-server.service holdoff time over, scheduling
фев 19 22:46:26 2338860a22 systemd[1]: Stopped OpenVPN service for openvpn/server.
фев 19 22:46:26 2338860a22 systemd[1]: Starting OpenVPN service for openvpn/server...
фев 19 22:46:26 2338860a22 systemd[1]: openvpn-server@openvpn-server.service: main process exited, code=ex
фев 19 22:46:26 2338860a22 systemd[1]: Failed to start OpenVPN service for openvpn/server.
фев 19 22:46:26 2338860a22 systemd[1]: Unit openvpn-server@openvpn-server.service entered failed state.
фев 19 22:46:26 2338860a22 systemd[1]: openvpn-server@openvpn-server.service failed.
фев 19 22:46:31 2338860a22 systemd[1]: openvpn-server@openvpn-server.service holdoff time over, scheduling
фев 19 22:46:31 2338860a22 systemd[1]: Stopped OpenVPN service for openvpn/server.
фев 19 22:46:31 2338860a22 systemd[1]: Starting OpenVPN service for openvpn/server...
фев 19 22:46:31 2338860a22 systemd[1]: openvpn-server@openvpn-server.service: main process exited, code=ex
фев 19 22:46:31 2338860a22 systemd[1]: Failed to start OpenVPN service for openvpn/server.
фев 19 22:46:31 2338860a22 systemd[1]: Unit openvpn-server@openvpn-server.service entered failed state.
фев 19 22:46:31 2338860a22 systemd[1]: openvpn-server@openvpn-server.service failed.

В логе текст повторяется овер 9000 раз, такое чувство что он постоянно пытается снова запуститься.

>>380
> status /dev/null
> log /dev/null
> verb 0
И чего ты с такими настройками ожидал увидеть в логе?

Ну и некоторые другие настройки у тебя, мягко говоря, странные.

>>382
Да я же говорю, конфиг тупо скопировал. Для включения логирования достаточно просто убрать эти три строчки?

>>383
> Для включения логирования достаточно просто убрать эти три строчки?
Да. Или закомментируй их решётками.

>>385
Если б ещё socks5 в реализации openssh умел udp…

>>386
А на такой случай я держу Miredo.

>>387
Мне кажется, ты забыл про шифрование трафика.

>>388
А что для этого используешь ты?

>>389
SSH же:
ssh -D 127.0.0.1:1080 хост
поднимает на локалхосте socks5, выход из которого открывается на удалённом хосте.

>>385
Это разные инструменты для разных задачь, не нужно их сравнивать.

>>391
> задачь
Надеюсь, русский — не твой родной язык.

По существу. SOCKS (прокси протоколов TCP и UDP) и VPN (туннель протоколов IP или Ethernet) решают сходные задачи и во многом являются взаимозаменяемыми, особенно при использовании SOCKS в сочетании с SSH и перенаправлением трафика в redsocks фаерволом.

>>380
Конфиг плохой. Давай я дам тебе свой.

server.conf

port 1194
proto udp
dev tun
mode server
topology subnet
server 10.8.8.0 255.255.255.0

tls-server
tls-crypt /etc/openvpn/easy-rsa/keys/ta.key
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem

auth SHA256
cipher AES-256-CBC
compress lz4-v2
keepalive 10 60
persist-key
persist-tun

status /var/log/openvpn_status.log
log /var/log/openvpn_server.log
verb 1

push "redirect-gateway def1"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"

И несколько уточнений. Лучше использовать udp, а не tcp. Лучше использовать tls-crypt, а не tls-auth. В папке keys все ключи должны быть сгенерированы.

>>392
Более того, в тех случаях, когда достаточно возможностей протокола SOCKS (а таковых большинство, т.к. туннелирование отличных от TCP и UDP протоколов мало кому нужно), его использование является предпочтительным, т.к. инкапсуляция высокого уровня является более эффективной.

>>392
Конечно, но один другое не заменяет. Это разные инструменты, хоть и решают сходные задачи.

>>394
Для построения туннелей поверх интернета есть более безопасные и эффективные инструменты, такие, как Shadowsocks, или хотя бы ssh туннель.

>>396
А кто-то предлагает использовать SOCKS без ssh?

>>397
Ну я не знаю, ты там выше зачем-то его с vpn сравниваешь. А в контексте использования его лишь как транспорта до основного туннеля (ssh или shadowsocks) это сравнение выглядит еще более странным.

>>398
Наоборот, я предлагаю использовать SSH как транспорт для SOCKS. При этом, если не требуется туннелирование UDP, можно использовать встроенный в большинство реализаций SSH SOCKS-сервер.

Кстати, помимо SOCKS, OpenSSH умеет также туннелирование IP и Ethernet, т.е. является полноценной реализацией VPN.

>>399
>Кстати, помимо SOCKS, OpenSSH умеет также туннелирование IP и Ethernet, т.е. является полноценной реализацией VPN.
Круто, не знал. Но для повседневного использования в режиме настроил и забыл, openvpn все равно удобнее.

>>400
> Но для повседневного использования в режиме настроил и забыл, openvpn все равно удобнее.
Особенно учитывая трах с сертификатами, да. В отличие от, SSH при использовании в качестве SOCKS-сервера вообще настраивать не надо, всё работает из коробки. При использовании в качестве VPN требуется настройка tun или tap-интерфейсов с обоих сторон, но она не сложнее обычной настройки сети.

>>401
>Особенно учитывая трах с сертификатами
Всмысле трах? Я их один раз сгенерировал, когда все настраивал, и все. Дальше я вообще не принимаю участия в работе сети.

>>402
> Всмысле трах?
https://community.openvpn.net/openvpn/wiki/HOWTO#SettingupyourownCertificateAuthorityCAandgeneratingcertificatesandkeysforanOpenVPNserverandmultipleclients
Когда-то я это ещё без EasyRSA проделывал, там вообще жесть с кривой документацией, в которой сходу ничего не понятно. В отличие от, в OpenSSH для настройки шифрования вообще ничего делать не надо, оно всё само генерирует и не задаёт при этом десятка идиотских вопросов для метаданных сертификата.

>>403
Я не выбираю инструменты по принципу "там, где ничего делать не надо". Мне не трудно настроить все единожды, даже если это достаточно сложный процесс (хотя ничего сложного там нет), чтобы потом пользоваться этим много лет и не вспоминать. У меня есть подготовленные конфиги и сертификаты, которые я, при необходимости, просто закидываю на свое новое устройство.

>>404
А кто притащил аргумент о сложности настройки (>>400)? SSH тоже можно настроить и забыть.

>>405
>А кто притащил аргумент о сложности настройки?
Не знаю, ты что-то про сложность там говорил. А я говорю, что сложность инструмента для меня не является основным критерием выбора.

>>348
У домрушников работала только в связке с dnscrypt и ешё какой-то залупой. Напердолился вдовль.

>>348
Часто слышу о ней в подобный тредах. Не стоит ее всерьез рассматривать в качестве средства борьбы с цензурой.

>>408
DNS-запросы — это вообще первое, что стоит скрыть от провайдера. Даже если не используешь VPN.

>>410
Верно. Сейчас все провайдеры их перехватывают, а ответы на заблокированные адреса подделывают. Ну и логгируют, наверняка. И если ip адрес в логах подключений может не сказать о ресурсе ничего, то логи dns запросов - это список посещенных сайтов открытым текстом.
А все потому, что протокол DNS не шифрованный и его очень легко перехватывать.

>>393
Анон, попробовал сделать конфиг как у тебя, но всё равно не взлетает.

лог

OpenVPN 2.4.6 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built$
library versions: OpenSSL 1.0.2k-fips 26 Jan 2017, LZO 2.06
TUN/TAP device tun0 opened
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
/sbin/ip link set dev tun0 up mtu 1500
openvpn_execve: unable to fork: Resource temporarily unavailable (errno=11)
Exiting due to fatal error

>>412
Вот тут что-то по твоей проблеме:
https://askubuntu.com/questions/747023/systemd-fails-to-start-openvpn-in-lxd-managed-16-04-container

>>413
Примечательно, что по ссылке неправильный способ исправления (простой, но обнуляющийся обновлением, т.к. правится файл в не предназначенном для этого системном каталоге) получил больше плюсов, чем правильный. Убунтята такие убунтята.

>>418
> stunnel
Есть в основном репозитории Debian.
> configure: error:
> Could not find your TLS library installation dir
Вероятно, ему нужны заголовочные файлы от OpenSSL. Надеюсь, ты там не задумал делать make install от рута прямо в систему?

>>421
Сервер на CentOS 7, stunnel есть в репозиториях, но старая версия. Автор гайда, который я читаю, говорит, что она мол не поддерживает верификацию клиента на стороне сервера или что-то вроде этого, поэтому предлагает скачать свежий rpm-пакет и установить его. Но это мне проделать не удаётся, потому, что библиотеки от которых он зависит тоже старые. Как я понял, если устанавливать их исходников, то всё должно нормально взлететь с текущими версиями. OpenSSL уже установлен и почему он не находит нужные файлы я не пони. На самом деле, именно это я и планировал. А какие подводные? И что тогда делать, самому rpm-пакет собирать?

>>418
Ему путь до распакованной openssl надо указать
./configure --with-ssl /path/to/openssl
Openssl скачивать тут: https://www.openssl.org/source/

>>421
>Надеюсь, ты там не задумал делать make install от рута прямо в систему?
А что в этом плохого?

>>441
> если устанавливать их исходников, то всё должно нормально взлететь с текущими версиями.
Если на уровне API зависимости удовлетворены, то да.
> OpenSSL уже установлен и почему он не находит нужные файлы я не пони.
Либо установлена неподходящая версия, либо не установлены заголовочные файлы (те, что в /usr/include/) и конфиги pkgconfig (/usr/lib/pkgconfig/). В debian последние ставятся отдельно пакетами с суффиксом -dev.

> А какие подводные?
Из полностью контролируемой пакетным менеджером сущности система превратится в спермопомойку, которая будет разваливаться от обновлений.

Логика работы пакетного менеджера основана на том, что ему известна вся информация о зависимостях установленного в систему софта и в /usr (за исключением /usr/local) нет ничего лишнего, что можно было бы повредить обновлениями. Это его вотчина, где всё подлежит учёту и контролю, и лезть в неё своими грязными руками не стоит.

> И что тогда делать, самому rpm-пакет собирать?
Либо так, либо ставить софт от пользователя (без предоставления скриптам установки прав рута). Ещё вариант — запилить отдельный контейнер и сотворить помойку в нём.
Я бы на твоём месте достал исходники того rpm-пакета и собрал их с зависимостями из твоей ОС.

>>45 (OP)
У меня три способа обхода блокировок.
Обычно, чтобы посмотреть информацию на заблоченном ресурсе - пользуюсь тором.
Если нужно что-то написать, а тор заблочен и на ресурсе не хочется оставлять отпечатки, то пользуюсь соксами или прокси.
Если всё выше не работает, то пользуюсь VPN.

>>842
А почему сразу не использовать vpn?

>>45 (OP)
Использую VPN n-лет. Все жду когда заблочат, но уже устал ждать и плачу на несколько лет сразу. В любом случае лишним не будет.

>>843
Медленный временами.

>>64

Плюсую именно VPN сервисы, а не свой на VPS. Плюсы - цена, безлимитный трафик, куча IP на выбор, оплата криптой и отсутствие необходимости вводить персональные данные. VPS дает гибость и меньше шансов что при блокировке впн сервисов будут охотится за личными впн. Но когда до этого дойдет, тогда и буду таким заниматься.

>>845
Смотря чем ты пользуешься. У меня свой vpn на арендованной vpsке уже несколько лет, со скоростью там все отличненько.

>>846
Ещё из минусов VPN сервисов, они ограничивают количество устройств часто.

>>846
Плюсы vpn сервисов ограничиваются в простоте использования, не нужно самому ничего настраивать, и в возможности смены ip, хотя это кому плюс, кому минус. Больше плюсов нет.

>>846
>Плюсы - цена
vpn как сервис почти всегда дороже аренды vps. Безлимитные vps тоже есть.

>>850
За лишний IP заплати, за лишний пакет трафика тоже. Дешевые только с необходимостью вводить адрес, да ещё без оплаты криптой. Такие минимум от $10/месяц начинаются в самом паршивом варианте.

>>852
Например в моем случае ip не лишний, а нужный. Мой провайдер не дает внешний ip, а он мне нужен. С помощью vps я получаю доступ к своей сети.
С vpn сервисом такое бы не прокатило.

>>73
Чем эта база лучше остальных?

>>63
> GoodbyDPI
С йотой работать будет.

Посоны, помогите, пробую настроить шэдоусокс+обфс по этому гайду: https://medium.com/@f.gzhechko/%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-ss-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0-%D0%B2-standalone-%D1%80%D0%B5%D0%B6%D0%B8%D0%BC%D0%B5-%D0%B8-%D0%BA%D0%B0%D1%81%D1%82%D0%BE%D0%BC%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F-%D0%BE%D0%B1%D1%84%D1%83%D1%81%D0%BA%D0%B0%D1%82%D0%BE%D1%80%D0%BE%D0%B2-1d173b3d5513
В консольке выдаёт: [simple-obfs] ERROR: getpeername: Transport endpoint is not connected
Все конфиги идентичны конфигам автора, ЧЯДНТ?

>>1288
Тебе попался плохой ip. Бывает на всяких попсовых распиаренных vps сервисах.

>>1289
Я пробовал смотреть во всяких онлайн сервисах, не увидел, чтобы он был в какие-то спам-списки внесён. Могут как-то сами гуглозонды детектить, что я скрываю реальный IP?

>>1290
Не могут. Если везде капча, то ip где-то засветился, или даже вся подсеть.

>>1291
Что ж, досадно.

>>1291
Есть вообще какой-то способ от такого заранее перестраховаться? Какие-нибудь базы, где можно было бы проверить IP?

>>1289
Ой, спасибо!

>>1296
Да, покупать vps в РФ (шутка) Не связываться DigitalOcean, OVH, Hetzer и другими популярными арендодателями айпишников.

>>1291
Пиши своему хостеру, чтобы выдавал айпи из другого диапозона, по причине того, что они выдали забаненый повсюды аййпишник.

>>1383
Думаю, можно анализом траффика предположить, что человек использует i2p, но сложно.

>>1383
>Провайдер видит что я им пользуюсь?
Да.
С помощью DPI можно найти при желании. Он не цензуроустойчивый.

>>1403
Как он его от SSH отличает?

>>1404
Тупой вопрос.

>>1405
>Тупой вопрос.

Какой ответ - такой и вопрос

Для особо одарённых тунелли i2p - это ssh, и единственное что тебя может спалить в использовании i2p - это обращение к серверу за списком хостов, которой можно прописать самому

>>1407
Что за бред? Это неправда. Он даже не на 22 порту.

>>1408
ssh может быть на любом порту, что угодно может быть на любых портах.

>>1409
Это не доказывает твою правоту.

>>1410
Я другой анон, мимо проходил и твоя глупость про порты мне за глаз зацепилась.

>>1411
А тут важен контекст, на нестандартном порту DPI будет блокировать SSH, если он стандартно используется для анонимной сети.
А утверждение "тунелли i2p - это ssh" - бред.

>>1413
Вопрос был не в том "блокирует dpi типа SSH или нет", а в том, что для провайдера трафик i2p не отличается от ssh, по этому в Китае все еще живёт i2p, притом что по заверениям он должен был быть покрамсан в ноль, и весь банхамер DPI собственно и исходит из соотнесения с портами в белом листе. Но в Эрафии даже не надейся на такой гулаг, просто взгляни ту сборную солянку которую они вводили на скорую руку, мастеря инфраструктуру "великороссийского фаервола" из говна, палок и 100500 стандартов.



Так что жопой не виляй

И да. Перспектив у него есть, но шанс на них призрачный, тк люди дауны, а делают его действительно 1.5 шифропанка без бабок и на коленке.
Надежда на Монеро и Коври, если они его доделают и запустят транзакции, сеть моментально на несколько десятков тысяч хостов развернется, если не сотен...

>>1415
А что там за история с монеро?

>>1416
Пилили свой клиент-транзакций на основе i2pd, разраб повёл себя крайне неадекватночто можно объяснить либо тем что он истеричка, либо фсб, ибо невыгодно полностью анонимную сеть транзакций под боком иметьввод госта намекает

Сейчас решается судьба i2p по факту, либо она так и останется сетью на 1.5 шифропанка3.8к узлов, против стандартных 20к года 1.5 назад, 40к 3 года назад либо стартанет и развернётся.
Либо Коври уедет в итенграцию с i2p(java) либо останется под угрозой смены лицензии и "я вам всю малину обосру" i2pd... либо, уйдут в Локинет и Тор

Но гит с января этого года не обновлялся. Посмотрим, но i2pd знатно всей сети нагадило так нагадило

ps Закладки фсб в i2pd хуйня истеричек, Монеро весь код перебрали, а ввод подментовского госта просто позволяет на измененном протоколе шифрования одновременно запустить альтернативную сеть. Возможно майор действительно курирует его и создают для себя возможность развернуть в Европе и США канал для себя, скрытый в трафике i2p.

Но это просто предположение моё

Заебавшись добавлять всё новые и новые сайты в список, перешёл на ТОР+ВПН на постоянной основе, но списки не убрал, поэтому получаются целые цепочки тор-впн-тор, или тор-впн-впн. В играх правда поднялся пинг и потери пакетов, но хз как его только для игр выключить. Всё идёт к тому, что без шифрования вообще опасно будет жить.

>>1417
в монеро сейчас насколько я понимаю коври уже особо не планируют. Вплили интеграции с i2p и tor, i2p - tiny-i2p или вроде того, не знаю что это. Так что скорее коври уже никуда не полетит.

>>1417
>i2pd знатно всей сети нагадило так нагадило
Чем же?

>>1419
Добро пожаловать. Я не знаю, как вообще люди умудряются пользоваться интернетом в россии без vpn. тор-впн-тор это конечно перебор, я считаю, но дело твое.
Для vpn на постоянке удобнее всего использовать отдельный роутер на основе обычного компа, там и клиента можно запустить, не переживая за ресурсы, и маршрутизацию как надо настроить, чтобы трафик до игросерверов пустить напрямую, например.

>>1415
>Коври
как гуглить это?

>>1425
Сам нашел
Kovri is a C++ implementation of the I2P network. Kovri is currently in heavy, active development and not yet integrated with Monero. When Kovri is integrated into your Monero node, your transactions will be more secure than ever before.

23 декабря пройдут учения по изоляции Рунета

https://meduza.io/news/2019/12/19/23-dekabrya-proydut-ucheniya-po-izolyatsii-runeta

Первоначально учения по «обеспечению устойчивого, безопасного и целостного функционирования» интернета в России планировали провести 19 декабря. Но, как уточняет «ЗаТелеком», учения перенесли на 23 декабря. Официально это не подтверждено.

>>1731

Цели учений:
«Проверка возможности перехвата абонентского трафика и раскрытия информации об абоненте, блокировки услуг связи для абонентов».

https://habr.com/ru/post/481170/
https://tjournal.ru/tech/131930-dokument-minkomsvyazi-23-dekabrya-proydut-ucheniya-po-izolyacii-runeta
https://roskomsvoboda.org/53740/

>>1731
>>1732
Чего ждать? Зарубежные интернеты отвалятся?

>>357
Не обязательно. Имея нормальный роутер можно маршрутизировать часть подсетей напрямую, а всё остальное через vpn.

Добрый вечер, аноны.

Сразу сделаю небольшую, но таки важную пометку-я домохозяйка, на *unix`ах недавно.

Как вы организуете свою безопасность на локальном уровне?
Я имею ввиду работу в самой системе.
Больше всего меня интересует как изолировать пользователей, а в особенности доступ оных к сети?
Загружаете i2p/tor/клирнет с отдельных виртуальных машин, или контейнеров?
Как сделать, и собственно настроить docker я не выкупил, виртуалка-слишком зажористо(ну относительно).
У виртуальной машины есть несомненный плюс конечно-можно после каждого "сеанса" откатывать состояние до изначально заданного, но как я говорил выше-я хозяин некропеки, которая держать 2 виртуалки заскрепит, а Docker заскрипел уже я.

Как я понимаю, можно на vps развернуть i2p/tor и подключаться к оным через vpn/ssh/ss но я к тому-же и нищенка, не могу купить впс, совсем не могу.

Как лучше организовать сеть в таком случае?
Есть еще одна некропека, по началу я хотел использовать его в роли файрволла до роутера, создать на нем несколько пользователей (для i2p/tor/dnscrypt и iptables для каждого).
Вот почему я указал в начале то что я домохозяйка, прошу не пинать.
Можете поделиться ссылками на гайды по сия теме? Да-да, маны читал, хабр читал, нихуя не понял.

Больше всего боюсь утечек трафика, типа tor решит сходить куда не надо, или отправит запрос на dns сервер другой сессии.

В общем, как-то так.
Буду благодарен любой помощи.

>>1983
> Вот допустим настроен shadowsocks прокси.
> Как сделать так, чтобы приложения запускаемые в определенном network namespace выходили в сеть через этот прокси?
Задача не вполне тривиальна, т.к. network namespace — это про сетевые интерфейсы (которыми оперируют, например, VPN'ы), а socks — это про TCP-соединения. Тем не менее, она решаема. Между хостом и контейнером создаётся пара связанных между собой veth-интерфейсов (в случае с systemd-nspawn это делается опцией --network-veth, она же -n), обоим присваиваются ip-адреса из одной подсети, на интерфейсе со стороны хоста поднимается socks, который настраивается в приложениях контейнера. С VPN всё проще: достаточно переместить в контейнер созданный им интерфейс (--network-interface=tun0 у systemd-nspawn).

Описанное справедливо как для полноценных контейнеров, которые используют полный набор выделенных неймспейсов, так и для запуска программ на хосте с отдельным доступом к сети (например, при помощи unshare).

>>1984
Как при этом исключить, например, утечку предназначенных для одной сети dns-запросов через другую сеть?

>>101
Тсс, не пали годноту.

>>1985
> как изолировать пользователей, а в особенности доступ оных к сети?
Только контейнеры. Фаервол — решение для бедных: во первых, он может перехватывать не все протоколы¹, которыми может воспользоваться пользователь, а во вторых, из-за какой-нибудь ошибки может оказаться не настроен и по умолчанию разрешить всё.

> docker
Это распиаренное средство для декларативной конфигурации классических дистрибутивов, не уверен, что тебе нужно именно это. Докер требует организации кучи всякой хуерги вроде многослойного хранения файловой системы: оно, конечно, полезно, но при этом съедает мозг ожидающего привычного поведения ФС пользователя с потрохами.
К тому же, с настройкой сети в докере я не знаком и подсказать по ней не смогу.

> виртуалка-слишком зажористо
Верно. В отличие от виртуалок, контейнеры вообще не расходуют лишних ресурсов, они могут состоять исключительно из запускаемого в них софта, либо в минимальном окружении вроде init-демона и шелла.

> У виртуальной машины есть несомненный плюс конечно-можно после каждого "сеанса" откатывать состояние до изначально заданного
Рекомендую организовать это снэпшотами btrfs. Использование btrfs несколько снижает производительность относительно ext4, но возможность без дополнительных накладных расходов жонглировать снэпшотами это многократно окупает.

> Как лучше организовать сеть в таком случае?
У меня сделан контейнер с тор-роутером и dhcp-сервером, который одним интерфейсом (vb-torUplink) роутится через хост в инет, а другим (eth0) сидит в бридже хоста br-tor и раздаёт через него торифицированный доступ в сеть, которым пользуются другие контейнеры, виртуальные машины и прочее, что мне захочется засунуть в вышеупомянутый бридж: туда можно запихнуть хоть реальную сетевуху и раздавать тор на реальные железяки.

Конфиг всего этого дела для NixOS

{ config, pkgs, ... }:
{
# create bridge with lan 192.168.0.0/24 behind tor

# ipv6 filtering not implemented yet, so disable it
boot.kernel.sysctl = {
"net.ipv6.conf.all.disable_ipv6" = true;
"net.ipv6.conf.all.autoconf" = false;
};

networking.bridges.br-tor.interfaces = [];
networking.interfaces.br-tor.useDHCP = false;

networking.nat.enable = true;
networking.nat.internalInterfaces = [ "vb-torUplink" ];
networking.firewall.enable = true;

containers.torRouter = {
autoStart = true;
config =
{ config, pkgs, ... }:
{
networking.defaultGateway.address = "10.100.1.1";
services.dhcpd4 = {
enable = true;
interfaces = [ "eth0" ];
extraConfig = ''
option routers 192.168.0.1;
option domain-name-servers 192.168.0.1;
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.10 192.168.0.200;
}
'';
};

services.tor = {
enable = true;
client.enable = true;
client.transparentProxy.enable = true;
client.transparentProxy.isolationOptions = [ "IsolateClientAddr" ];
client.transparentProxy.listenAddress = "192.168.0.1:9040";
client.dns.enable = true;
client.dns.isolationOptions = [ "IsolateClientAddr" ];
client.dns.listenAddress = "192.168.0.1:53";
controlSocket.enable = true;
extraConfig = ''
VirtualAddrNetworkIPv4 10.128.0.0/16
ExcludeNodes {ru}
'';
};

networking.firewall.extraCommands = ''
ipt() {
iptables "$@" || echo "Failed: iptables $@"
}
chain() {
# table chain rule rule ...
table="$1"
chain="$2"
iptables -t "$table" -N "$chain" 2>/dev/null || ipt -t "$table" -F "$chain"
shift 2
while [[ -n "$1" ]]; do
ipt -t "$table" -A "$chain" $1
shift
done
}

chain filter TOR \
"-p tcp --dport 9040 -j ACCEPT" \
"-d 192.168.0.1 -p udp --dport 53 -j ACCEPT" \
"-d 192.168.0.1 -p udp --dport 67 -j ACCEPT" \
"-j REJECT --reject-with icmp-net-prohibited"

chain filter INPUT \
"-i lo -j ACCEPT" \
"-i eth0 -j TOR" \
"-i vb-torUplink -m state --state ESTABLISHED,RELATED -j ACCEPT" \
"-j REJECT --reject-with icmp-admin-prohibited"

ipt -t filter -P FORWARD DROP

chain nat TOR \
"-p tcp ! -d 192.168.0.1 -j REDIRECT --to-port 9040"

chain nat PREROUTING \
"-i eth0 -j TOR"
'';
}; # /containers.torRouter.config
privateNetwork = true;
hostBridge = "br-tor";
localAddress = "192.168.0.1/24";
extraVeths.vb-torUplink = {
hostAddress = "10.100.1.1";
localAddress = "10.100.1.2";
};
};

containers.ib = {
bindMounts = {
"/tmp/.X11-unix" = { hostPath = "/tmp/.X11-unix"; };
"/dev/dri" = { hostPath = "/dev/dri"; isReadOnly = false; };
};
allowedDevices = [
{modifier = "rw"; node="/dev/dri/card0";}
];
config =
{ config, pkgs, ... }:
{
networking.interfaces.eth0.useDHCP = true;
hardware.opengl.enable = true;
environment.systemPackages = with pkgs; [ xorg.xauth dnsutils ffmpeg mpv firefox ];
};
autoStart = true;
privateNetwork = true;
hostBridge = "br-tor";
};
}

Для работы X11 с хоста в контейнер нужно импортировать кук X11 с соответствующим хостнеймом:
touch .Xauthority
xauth add $(hostname)/unix:0 MIT-MAGIC-COOKIE-1 $cookie
Получить его на хосте можно командой xauth l.

Для работы звука можно прокинуть unix-сокет pulseaudio:
pulseaudio --disallow-module-loading -L module-alsa-sink -L module-native-protocol-unix auth-anonymous=1 --exit-idle-time=64000 &
sudo machinectl bind --mkdir ib /run/user/1000/pulse
, который в контейнере указать переменной среды:
export PULSE_SERVER=/run/user/1000/pulse/native

¹ Помимо IPv4 и IPv6 бывают всякие IPX, X25 и прочие страшные звери различной древности, о которых мы даже не слышали.

>>1988

В общем, я попробовал сделать контейнер на основе LXC.

Не получилось, ну точнее создать то получилось, и даже зайти в его шелл, но иксы и сеть пробросить не смог.

В остальном, как понимаю контейнер это не полная виртуализация, система в контейнере таки взаимодействует с ядром хоста, просто это такой ультра-крутой chroot который и сеть и все-все изолировать может?

А насчет твоего конфига-все стало теперь еще сложнее...

В общем, попробую на виртуалке еще раз, если не получится-видимо пока что буду использовать только виртуальные машины.

>>1996
> иксы и сеть пробросить не смог
Для иксов достаточно смонтировать (bind mount) в контейнер каталог /tmp/.X11-unix, прописать пользователю переменную среды DISPLAY и запихнуть cookie.

Настройка сети должна быть детально описана в документации lxc.


И да, совет. Чем мучаться с конфигурацией и глюками lxc, возьми лучше systemd-nspawn, у которого конфигурации вообще нет (всё указывается параметрами командной строки). Если, конечно, ОС на хосте использует systemd — в противном случае systemd-nspawn просто не будет работать.

> В остальном, как понимаю контейнер это не полная виртуализация, система в контейнере таки взаимодействует с ядром хоста, просто это такой ультра-крутой chroot который и сеть и все-все изолировать может?
Контейнер — это набор неймспейсов, причём произвольный (например, если не использовать сетевой неймспейс, контейнер будет использовать сеть хоста).

> А насчет твоего конфига-все стало теперь еще сложнее...
Он вроде как человекочитаем полностью, т.е. даже без nixos можно понять, что требуется поднять и как сконфигурировать. Разве что конфигурация фаервола контейнера с тором сделана через функции на шелле с ходу не совсем очевидным образом. Ты роутер из хоста на линуксе когда-нибудь лепил руками?

Контейнеры nixos используют systemd-nspawn и многие директивы их конфигурации повторяют его опции.

>1997
>Ты роутер из хоста на линуксе когда-нибудь лепил руками?

Нет, а на линуксах я совсем недавно.

Попробую systemd-nspawn этот, вдруг-что получится, отпишусь.

Спасибо.

>>1998
> на линуксах я совсем недавно
Ну вот, с этого бы и начал, для общего развития: слепи роутер, который будет раздавать DHCP с DNS и натить трафик из подсети в интернет. В приведённом конфиге nixos сделано два роутера: один из хоста для предоставления tor'у доступа в сеть, другой из контейнера с tor'ом для предоставления доступа в тор другим контейнерам. Но ты на это особо не засматривайся, а установи и настрой dhcpd, bind и фаервол сам — только после этого написанное в конфиге станет простым и понятным.

> вдруг-что получится
Ничего толкового не получится пока не вкуришь основы сетевой маршрутизации.

obfs-bridge для тора еще актуальны или нет? В Китае же научились палить их.

>>1997
>systemd-nspawn
Зачем связываться с дерьмовым кодом systemd, если тебе нужна именно контейнеризация и изоляция от системы(на нормальную виртуалку не хватает ресурсов машины)?
Это для девопсов, которым на нормальную изоляцию наплевать, а нужна оркестрация контейнеров. Docker и kubernetes они почему-то не используют.

При этом, чтобы получить чистый дебиан(или девиан) в lxc или docker нужно помучиться. Нет простого средства, чтобы запустить в контейнере какую-то произвольную папку, как в chroot. Я не нашел в man команды которая это делает. Нужно искать обходной путь.
В docker предлагают пользоваться их контейнером(который не соответствует чистому дебиану), в lxc используется debootstrap, но он создается bash-скриптом на 1000 строк, который выключает selinux и делает прочие гадости в которых я не разобрался.
Может, кто-нибудь знает как мою директорию с debian запустить в контейнере lxc?

>>2003
> Зачем связываться с дерьмовым кодом systemd
Где он дерьмовый-то?
> на нормальную виртуалку не хватает ресурсов машины
Виртуалка в любом случае медленнее, а её возможности по использованию ресурсов ОС на хосте ограничены: например, в неё не просунуть /dev/drm и сокет иксов.

> Это для девопсов, которым на нормальную изоляцию наплевать, а нужна оркестрация контейнеров.
В systemd-nspawn ничего такого нет, там чисто изоляция с организацией сети и прочих ресурсов. Ман по нему открой.

> (второй абзац)
Именно поэтому я использую systemd-nspawn: он ничего лишнего не делает кроме монтирования внутрь контейнера tmpfs после поднятия bind'ов, из-за чего /tmp/.X11-unix пришлось прокидывать в другой каталог и прикручивать симлинком.

> Может, кто-нибудь знает как мою директорию с debian запустить в контейнере lxc?
cd /path/to/container
systemd-nspawn
Чтобы запустить не шелл, а init, укажи --boot; после этого, если в контейнере есть systemd и dbus, можно попросить от них шелл:
machinectl shell $container-directory-name
По умолчанию изоляция ресурсов минимальная (используется сеть и UID/GID'ы хоста).

>>2001
>В Китае же научились палить их.
Правда?

Роскомнадзор запустил новую автоматизированную систему мониторинга поисковых систем, прокси- и VPN-сервисов, которые позволяют обходить блокировки в России.

Пресс-службе надзорного ведомства сообщает:

«В настоящее время система функционирует в режиме опытной эксплуатации. Система позволяет оперативно в установленные законом сроки проводить проверки поисковых систем и сервисов обхода блокировок (виртуальные частные сети, прокси-серверы, анонимайзеры разных типов) на предмет ограничения доступа к ресурсам, доступ к которым ограничен, по полному перечню таких ресурсов».

В РКН отдельно подчеркнули, что система не предназначена для блокировок данных сервисов, включая VPN.

В апреле 2019 года для создания новой системы выбрали подрядчика и заключили с ним договор. Победителем конкурса стал ФИЦ «Информатика и управление» РАН. Контракт изначально оценивали в 25 млн рублей, но в итоге цена снизилась до 19,92 млн рублей.

Акт приема-передачи подписали в конце декабря прошлого года. Систему планируется ввести в промышленную эксплуатацию в течение 2020 года.

Напомним, недавно ФГУП «Главный радиочастотный центр» (ГРЧЦ) — заказало исследование возможности блокировки запрещенной информации в сетях Tor, Telegram Open Network (блокчейн-платформа, которая готовится к запуску командой Павла Дурова) и интернете вещей.

Целью исследования является определение, а также анализ угроз и рисков при обеспечении ограничения доступа в соответствии с законодательством РФ, связанных с внедрением перспективных информационных технологий и протоколов.

https://roskomsvoboda.org/56264/

>>2134
Блокировка запрещенных показаний температурных датчиков
А никак, услышали новое слово непонятное, надо заблокировать.

Я сменил днс провайдера на 1.1.1.1 и заработали все сайты включая древний русрекер.орг. Как думаете сорм возьмет на галочку для проверочки майором, если я буду видео в онлайн кинотеатрах смотреть, лазать по торрент помойкам, и натыкатся на заблокированные мемы и хентайные картинки? Очко жим-жим

>>2155
Зашел на имиджборду - галочка. Используешь слишком сложные методы обхода блокировкок - галочка. Установил тор - галочка. Установил впн - галочка. Идет непонятный трафик - галочка.
Зашел на сосач - все посты заносятся в личное дело.

Вообще, если что-то пишешь на имиджбордах, помечаешься как потенциально неблагонадежный. Могут потом на работу в определенные места не взять. Но причину ты не узнаешь.

>>2156
И сколько надо галочек, чтобы тащкапитан пригласил на бутылочку шампанского? Серьёзно в гугл картинках полно мемов, сайты которых заблокированы, это галочка?

>>2155
Нет. Всем похуй, даже твоему провайдеру, раз он даже не заморочился установокой всяких dpi, за блокировку только по dns его и самого оштрафовать могут. Пока на тебя конкретно не поступит запрос из органов, всем похуй, чем ты там занимаешься и что качаешь. А он на тебя не поступит, если ты не будешь писать ниприятное про власть со страницы впараше или слать письма с угрозами минирования с личного email адреса.

>>2158
Тащкапитан пригласит на бутылочку, когда сможет за счет тебя подняться по службе или хорошо заработать. От количества галочек это не зависит. Достаточно одной.

До этого он будет наблюдать и выжидать, когда ты сделаешь что-нибудь нехорошее.

Товарищ майор не ставит на галочку, если ты заходишь в вконтакте с хрома и десятки. Потому у него и так есть на тебя всё. Будешь плохо писать про власть или делать что-то нехорошее - посадят, а у майора будет ещё одна звездочка.

>>2165
Ну так можно заходить через vpn с фейковой страницай зареганой на левый номер и без друзей, что бы по друзьям не сдеанонили.

>>2167
Как вконтакте наблюдать шотами из своего класса и чтобы майор не спалил что это ты?

>>2206
Разве такие действия не могут вообще частями интернет положить во всем мире? Анонсирование маршрутов это не шутки.

Где найти хорошие прокси, которые не находятся на слишком популярных ресурсах?
Хочу на Лурке и Вики зарегаться, а там некоторые сайты парсятся и блочутся прокси.

>>2214
Взломать что-нибудь и поднять на нём проксю самому.

Как обходить блокировку тора на тубзочаннеле?

>>2217
Пойти нахуй.

>>2216
А ты взломай что-нибудь там, куда законы твоей страны не дотянутся.

>>2219
Зачем вообще что-то взламывать, когда можно купить себе свою vps и поднимать там что хочешь. Не подставляешься и ни от чего не зависишь. Придумали себе каких-то надуманных проблем.

>>2230
Как ты сегодня что либо купишь без идентификации?

>>2231
Если очень нужно (а впска вещь вообще полезная), то можно и заморочиться. Многие хостеры принимают биткойны и это на данный момент один из самых удобных способов оплаты. Биткойны можно купить и переводом со своей карты на localbitcoins, не вижу в этом вообще никаких проблем, не надо доводить паранойу до крайностей. Есть в продаже предоплаченные карты с фиксированной на них суммой, тоже как вариант, но там достаточно большая переплата получается.
Платить то за услуги всё равно как-то надо.

>>2232
Думаешь, такое уж это доведение до крайностей? Мне однажды звонила служба безопасности моего банка по поводу покупки перевода на левый кошелёк, спрашивали всё ли в порядке, покупаю ли я битки, проверял ли обменник на бестэксчендже, etc. Если энное количество переводов одному и тому же получателю от различных, не связанных с ним казалось бы людей является поводом для внимания, не является ли таким же поводом для внимания и последующего отстука факт регулярного закупания человеком битков, при том, что они видят, что ты никакой не брокер, например. Вообще конечно с одной стороны рептилиям наверное действительно похуй, что ты там оплачиваешь себе какой-то сервак или даже покупаешь себе грамм мефедрона раз в неделю. Но что если представить себе гипотетического гражданина, которому действительно есть что скрывать от своих любящих властей?

Вопрос к знатокам. Если несколько приложений одновременно используют тор, траффик от них идёт через одну и ту же цепочку или для каждого из них будет создана отдельная?

>>2245
Через одну и ту же: tcp-сокеты не позволяют различать обратившиеся на них приложения. Если хочешь пустить приложения через разные цепочки, открой для них отдельные порты.

man torrc

SocksPort [address:]port|unix:path|auto [flags] [isolation flags]
Open this port to listen for connections from SOCKS-speaking
applications. Set this to 0 if you don’t want to allow application
connections via SOCKS. Set it to "auto" to have Tor pick a port for
you. This directive can be specified multiple times to bind to
multiple addresses/ports. If a unix domain socket is used, you may
quote the path using standard C escape sequences. (Default: 9050)

NOTE: Although this option allows you to specify an IP address
other than localhost, you should do so only with extreme caution.
The SOCKS protocol is unencrypted and (as we use it)
unauthenticated, so exposing it in this way could leak your
information to anybody watching your network, and allow anybody to
use your computer as an open proxy.

The isolation flags arguments give Tor rules for which streams
received on this SocksPort are allowed to share circuits with one
another. Recognized isolation flags are:

IsolateClientAddr
Don’t share circuits with streams from a different client
address. (On by default and strongly recommended when
supported; you can disable it with NoIsolateClientAddr.
Unsupported and force-disabled when using Unix domain sockets.)

IsolateSOCKSAuth
Don’t share circuits with streams for which different SOCKS
authentication was provided. (For HTTPTunnelPort connections,
this option looks at the Proxy-Authorization and
X-Tor-Stream-Isolation headers. On by default; you can disable
it with NoIsolateSOCKSAuth.)

IsolateClientProtocol
Don’t share circuits with streams using a different protocol.
(SOCKS 4, SOCKS 5, TransPort connections, NATDPort connections,
and DNSPort requests are all considered to be different
protocols.)

IsolateDestPort
Don’t share circuits with streams targeting a different
destination port.

IsolateDestAddr
Don’t share circuits with streams targeting a different
destination address.

KeepAliveIsolateSOCKSAuth
If IsolateSOCKSAuth is enabled, keep alive circuits while they
have at least one stream with SOCKS authentication active.
After such a circuit is idle for more than MaxCircuitDirtiness
seconds, it can be closed.

SessionGroup=INT
If no other isolation rules would prevent it, allow streams on
this port to share circuits with streams from every other port
with the same session group. (By default, streams received on
different SocksPorts, TransPorts, etc are always isolated from
one another. This option overrides that behavior.)

Поясните за wireshark пожалуйста. В большинстве гайдов его использование описано максимально сухо, в духе кек-пук вот короче тут запускаем, тут смотрим, ага, какой-то левый айпишник - это зонд пытается отстучать куда надо. На деле пробую запустить его у себя, за полчаса бездействия устанавливается туева хуча каких-то непонятных соединений. Как вообще понять, что из этого ок, а что - нет? В статистике например вижу в списке зарезовленых адресов какие торрент-трекеры, которые непонятно откуда там вообще высрались. И это всё только часть из нескольких тысяч адресов попавших в дамп.

>>2254
Программы должны генерировать сетевую активность ровно тогда, когда ты от них это требуешь. Всё сверх этого — подозрительная сетевая активность, в т.ч. работа встроенных в софт анальных зондов. Рекомендую выбирать тот софт, который подобным не занимается, при запуске которого не появляется непонятного трафика.

>>2258
Прикол в том, что я тестировал всё это дело на убунте, весь установленный софт - попенсорсный, и казалось бы ничего такого не должен делать. Или должен и я чего-то не понимаю.

>>2259
> тестировал всё это дело на убунте
Которая сама по себе — коммерческий дистрибутив, причём открыто использующий анальные зонды.
> весь установленный софт - попенсорсный
И что? Вон, firefox и chromium — тоже опенсорс, но это не мешает им включать в себя всё увеличивающийся список методов телеметрии. Открытость исходников ничего не гарантирует, она лишь даёт возможность детально изучить внутренности софта и модифицировать их под свои нужды.

>>2262
Насколько мне известно туда только поиск от амазона вставляли и какую-то телеметрию самого каноникал, но в результате мощного шитшторма, убрали либо сделали отключаемым. И прикручено всё это дело было к юнити, а у меня KDE. Плюс, некоторые адреса, которые я вижу абсолютно точно не могут быть серверами для сбора телеметрии. Короче, мне бы разобраться, как это всё должно работать, но пока что даже не знаю с чего начать.

>>2263
Выявить процессы-источники трафика можно при помощи auditd. Вангую какую-нибудь гадость в профиле вайна.

> у меня KDE.
Кажется, в кубунте из коробки три пакета для отправки телеметрии. Было пару лет назад, когда я её в последний раз тыкал.

> мне бы разобраться, как это всё должно работать, но пока что даже не знаю с чего начать.
Начни с установки минимальной ОС вместо убунтопомойки с кедами. Вместо толстого и неудобного wireshark'а возьми tcpdump — он работает из консоли и помимо показа трафика умеет сохранять его в формате pcap для дальнейшего разбора wireshark'ом или чем-то другим. Постепенно добавляя софт, следи чтоб на сетевом интерфейсе не начиналось вакханалии.

Настраиваю shadowsocks, при попытке запустить клиент командой ss-local -c /etc/shadowsocks-libev/config.json выдаёт следующее:

2020-04-22 00:30:37 INFO: plugin "obfs-local" enabled
2020-04-22 00:30:37 INFO: initializing ciphers... xchacha20-ietf-poly1305
No such file or directory
2020-04-22 00:30:37 INFO: listening at 127.0.0.1:1080
2020-04-22 00:30:37 INFO: tcp port reuse enabled
2020-04-22 00:30:37 INFO: udprelay enabled
2020-04-22 00:30:37 INFO: udp port reuse enabled
2020-04-22 00:30:37 ERROR: plugin service exit unexpectedly
2020-04-22 00:30:37 INFO: error on terminating the plugin.

В чём может быть дело?

>>2275
Ты конфиг сам написал или спиздил откуда? Там указан шифр, который в твоей сборке отсутствует. И это очевидно просто из чтения лога, без знания shadowsocks'а.

>>2276
Конфиг я спиздил, но ошибка про файл если что не всегда третьей строкой появляется, может и четвёртой например, так что я бы не был так уверен. Плюс, этот шифр должен быть в библиотеке libsodium, которая у меня установлена.

>>2278
> Конфиг я спиздил
Будет тебе уроком. Не пизди конфиги, а правь под свои нужды поставляемые в пакете.

> ошибка про файл если что не всегда третьей строкой появляется, может и четвёртой например, так что я бы не был так уверен
Какая разница? Это говорит лишь о том, что программа инициализируется многопоточно.

>>2279
Орли, и что именно в данном случае я должен был поменять под свои нужды, чтобы это работало? Дефолтное шифрование chacha20-ietf-poly1305, если указать его, выдаёт в точности то же самое. И если ничего не указывать тоже выдаёт, потому, что он всё равно будет пытаться его применить. Можно конечно предположить, что у меня вообще нахуй никакое не поддерживается, но как я уже написал, за это вроде бы как должна отвечать библиотека, которая у меня уже установлена. Хотя возможно я чего-то ещё не знаю и было бы супер классно, если бы тут нашёлся кто-нибудь, кто в этом что-то понимает.

>>2280
Как я и ожидал, с конфигом было всё в порядке, проблема была с плагином simple-obfs, который какого-то хера не устанавливается корректно из репозитория и мне пришлось собрать его из исходников.

>>2301
> проблема была с плагином simple-obfs, который какого-то хера не устанавливается корректно из репозитория и мне пришлось собрать его из исходников.
Лол. Я ж не ванга, чтобы понять, что ты помимо левого конфига ещё и насрал в систему непонятно как и для чего собранным плагином в надежде, что он будет работать с установленным из репы пакетом.

Тебе надо было не пердолиться, а выяснить причину, по которой не устанавливался пакет из репозитория. Я посмотрел и тут же увидел: в репе debian есть несколько сборок shadowsocks, из которых одновременно может быть установлена только одна; simple-obfs же требует не любую из них, а конкретную.

Блокировки и зависимости пакетов репозитория сделаны не чтобы ставить палки в колёса пользователю, а чтобы облегчить ему жизнь, не дав поставить софт в заведомо неработоспособной комплектации. Следует не убегать от них, устанавливая тот же софт в обход пакетного менеджера, а смотреть на них внимательней и дружиться с ними.

>>2307
Братан, пынимаешь, там в этом конфиге несколько строчек всего и простора для изобретательства остаётся не особо много. А не работал как раз плагин "установленный" из репозитория, потому, что репами очевидно какой-то ёбнутый занимался. То есть, он там помечен как removed package, но увидеть это ты можешь только во время поиска. Если ты просто пробуешь его установить пакетным менеджером, он не моргнув глазом его "устанавливает" не выдав никакой ошибки, при этом по факту никаких файлов в нём тупо нет. Зачем и почему так - хуй проссыт. А вот "непонятно как и для чего собранный" плагин как раз-таки отлично работает. Так что не знаю, зачем ты мне постоянно пытаешься намекнуть, что я долбоёб. Я блин просто раньше делал это с точно таким же конфигом и теми же версиями тех же пакетов на другом дистрибутиве и всё работало, кто ж знал, что тут такая специфика.

>>2309
> он там помечен как removed package
В последнем релизе Debian всё нормально с этим пакетом. Что за дистрибутив у тебя?

> Так что не знаю, зачем ты мне постоянно пытаешься намекнуть, что я долбоёб.
Но кто-то ведь в этой ситуации допустил ошибку. Я исхожу из того, что в дистрибутиве поставляется заведомо работоспособная комплектация из демонов, их плагинов и конфигов, а подмена чего либо из этого — прямой способ нарушить эту работоспособность. Чтобы избежать её нарушения (и упростить поддержку системы в дальнейшем), я вношу в поставляемые с дистрибутивом конфиги минимальные нужные мне изменения.

> Я блин просто раньше делал это с точно таким же конфигом и теми же версиями тех же пакетов на другом дистрибутиве и всё работало
В этом и дело: пакет может быть собран иначе, а от особенностей сборки может зависеть работоспособность директив конфига.

>>2310
>Что за дистрибутив у тебя?
Void

>>2311
Видимо, у мэйнтейнеров этого дистра не хватило ресурсов на поддержку обсуждаемого плагина, и они его удалили. Странно только, что их пакетный менеджер ведёт себя таким образом, не показывает этого факта явно. К apt из debian тоже есть претензии (например, оставление неподдерживаемых пакетов, включая демоны, после обновления релиза), но по крайней мере такой хуйни он не делает. В gentoo же вообще с этим строго: при наличии в world'е удалённого пакета ты не сможешь провести полное обновление системы пока его оттуда не уберёшь.

>>2515
> Tor Experts Bundle
Не слышал о таком. Ванильный тор по умолчанию не поднимает ни релэй, ни выходную ноду, т.е. твои директивы ExitPolicy излишни и даже вредны: из-за их наличия выходная нода регистрируется, хоть и с запретом всего трафика.

man torrc

ExitRelay 0|1|auto
Tells Tor whether to run as an exit relay. If Tor is running as a
non-bridge server, and ExitRelay is set to 1, then Tor allows
traffic to exit according to the ExitPolicy option, the
ReducedExitPolicy option, or the default ExitPolicy (if no other
exit policy option is specified).

If ExitRelay is set to 0, no traffic is allowed to exit, and the
ExitPolicy and ReducedExitPolicy options are ignored.

If ExitRelay is set to "auto", then Tor checks the ExitPolicy and
ReducedExitPolicy options. If either is set, Tor behaves as if
ExitRelay were set to 1. If neither exit policy option is set, Tor
behaves as if ExitRelay were set to 0. (Default: auto)

> Просто после запуска такой ноды, Гугл меня считает "подозрительным трафиком" и стал часто предлагать капчу.
При доступе в интернет напрямую или через тор?

>>2521
> прописал в torcc "ExitRelay 0"
Можешь убрать: при отсутствии директив ExitPolicy оно по умолчанию 0, см. последний абзац куска мана про него.

> мне немного стало жутковато, вдруг с моего компьютера ЦП раздают, а я и не знаю.
Не раздавали, но зато твой ип попадал в кучу обновляемых из общедоступного списка exit-нод тора блэклистов. Может быть, где-то его даже запомнили надолго.

>>2537
Не хожу по ссылкам, особенно на соцсети с обязательной регистрацией.

Из локалки провайдера можно попробовать выбраться через dns-туннелинг. Как работает эта твоя хуйня, понятия не имею, как и желания разбираться.

Поясните для тупых. Вот допустим, я арендовал VPS, напердолил на нём прокси и могу теперь посещать запрещённые в Российской Федерации сайты. Однако, мой провайдер же будет видеть что я периодически подключаюсь к какому-то серваку и потом можно будет сопоставить его адрес и адрес с которого например некто написал на анонимном форуме пост, огорчающий ветеранов. Как скрыть сам факт наличия у меня VPS?

>>2557
Если будешь обыкновенный прокси юзать, проследи, чтобы в нём не было X-Forwarded-For, потому что в таком случае и сопоставлять не надо ничего. Прокся расскажет твой IP серверу конечного назначения. Во всех публичных бесплатных соксах IP сливается таким образом. Это легко проверить.

А то о чём ты говоришь, можно решить дополнительным IP на твоём VPS. Чтобы вход и выход был в разных подсетях. или надежнее через даблВПН.

Что касается самого впн, то у меня знакомый вот пересел на Wireguard. Он быстрый очень. Ещё ikev2 норм, он уже встроен в винду. На ведре вроде его нет, я там pptp юзаю, но pptp скомпромитирован и я его накатил только потому, что он гораздо лешче чем openvpn и стабильнее работает на мобильном соединении с падениями сети. И опять же есть из коробки.

Можно ещё через удаленное управление в графической ОС сидеть на первом сервере, а оттуда подключаться по впн на следующий. ну это извращение немножко, к тому же ты пооставляешь там файлы чужому дядьке и я что-то сомневаюсь, что можно надежно закриптовать свой удаленный кусок hdd. Доступ к памяти-то у гипервизора же есть.

Я если что не погромист и даже не учусь. сам я максимум делал простейший shadowsocks по мануалам.

>>2537
По моему легче купить ётовский самый дешевый безлимит для смартфонов и развернуть vpn (у меня так резервирование интернета сделано), чем пердолиться ради неясных результатов, которые скорее всего будут в итоге пресечены.

>>2557
>и потом можно будет сопоставить его адрес и адрес с которого например некто написал на анонимном форуме пост
Чтобы сопоставить провайдер должен будет иметь административный доступ к форуму, чего конечно же, не будет, он даже не будет знать что ты там на каком-то форуме пишешь и на каком, потому что vpn. Алсо провайдеру похер на тебя, чтобы что-то хотеть сопостовлять - он тебе просто трубу в интернет продаёт за деньги.

Посоветуйте дешёвого VPS-провайдера, принимающего битки. Раньше cockbox.org юзал, но у них сейчас дешёвые тарифы закончились.

>>2587
А оплаты через электронные кошельки нет что ли? Киви вроде без паспорта всё ещё можно юзать.

>>2700
не пользоваться телефоном

>>2700
InviZible Pro а лучше купи себе кнопочный и новую симку и общайся только с родственниками по нему

>>2700
1.1.1.1+WARP от клаудфлейра
OpenVPN с прокси от антизапрета

Посоветуйте дешёвого и анонимного VPS-провайдера. Ну и чтобы серверов в сраной рашке не было.