Статья [FAQ] - Создаем связку VPN-TOR-VPN

[Barrasa]

​

• Всем здарова, вещает R0DR1G0F3RR4R1. Уверен каждый, кто читает эту статью, интересуется своей безопасностью и пытается улучшить свою связку. Сегодня мы пошагово создадим и настроим соединение "VPN-TOR-VPN". Таким образом вы с нуля создадите довольно мощную и безопасную цепочку, распутать которую будет сложно.

• По моему мнению, данная связка является одной из лучших, что может настроить новичок без особых навыков и умений. Но в любом случае, вам придется немного попотеть, так как этот процесс длиться довольно долго. Внимательно и постепенно прорабатывайте поданную информацию на деле, чтобы не похерить свои труды и время.

Переходим к настройке:
​

Источником интернета должен служить 4G модем, можете прикупить левую симку в переходе, оплатить пакет и пользоваться. Это уже обезопасит вас от взоров провайдера в вашу сторону.

Первым делом скачиваем и устанавливаем программу VirtualBox.
Ссылка для скачивания: https://www.virtualbox.org/wiki/Downloads

Далее переходим на Whonix и устанавливаем пакет для VirtualBox.
Прямая ссылка: https://www.whonix.org/wiki/VirtualBox

Как только скачали - двойным щелчком кликайте по образу и он автоматически подгрузится в ваш VirtualBox.

Настраиваем VirtualBox:
​

Далее качаем образ Windows 7 для виртуалки, можно установить здесь и устанавливаем её на VB. Для этого нажимаете "Создать", называете вашу машину как захотите, после - выбираете разрядность для вашей системы. После этого выбираем объем оперативной памяти, которую мы выделим для ее работы. Советую ставить от 1гб, здесь чем больше - тем лучше. Далее жмете "Создать виртуальный диск", тип диска выбираем VDI, динамический, и выделяем объем для жесткого диска системы. Тут сколько вам понадобится, я выделяю от 60гб. Далее запускаем систему, указываем образ и ждем пока все установится. Обычно это занимает около часа.

Настраиваем сеть:
​

Для начала выключаем виртуалки и переходим в главное меня VirtualBox-а.
Открываем вкладку "Сеть" и переключаем тип соединения с "NAT" на "Внутренняя сеть Whonix". Далее запускаем все виртуалки и переходим в
Windows 7. Через панель управления заходим в центр управления сетями, нажимаем "Изменение параметров адаптера", кликаем правой кнопкой мыши на подключении, настройка параметров IPv4 и прописываем следующие настройки:
IP-адрес: 10.152.152.50
Маска: 255.255.192.0
Шлюз: 10.152.152.10
Далее сохраняем заданные настройки.

Итоги:
​

• Теперь ваша рабочая машина имеет доступ к интернету только через Whonix, он же TOR. Перед работой на своей домашней системе подключаемся к VPN-у, запускаем все виртуалки и на рабочей системе также запускаем VPN.
• 
  
• Таким образом мы создали соединение VPN-TOR-VPN, что является довольно сильной связкой, далее при желании можно вывести это подключение на дедик.

 

[Benihowy]

а как же репликация сетевушки, да бы защитится от нежелательных утечек со стороны хоста?

 

[Mr.Di]

Хост в идеале ставить линь тоже. Режете на фаерволе все коннекты кроме соединений до впна. в случае обрыва впн, трафик никуда не пойдет, поскольку у него будет лишь один разрешенный маршрут (или несколько6 если надо несколько впн).

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

# Локалхост
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# Если нужна локальная сеть, разрешаем
-A INPUT -d 192.168.0.0/16 -j ACCEPT
-A OUTPUT -d 192.168.0.0/16 -j ACCEPT

-A INPUT -s 123.123.123.123 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 123.123.123.123 -p tcp --dport 123 -j ACCEPT

-A INPUT -i tun0 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT

COMMIT

Либо для любителей еще больше ковыряться - https://github.com/piratelinux/VPN-Firewall

 

[Tiger]

как настроить vpn и торренты на машине? В связке автора у меня vpn не подключается, возможно, канал слишком медленный, но тогда почему торренты качают на максимкме?

 

[rokkkkkko]

а как же репликация сетевушки, да бы защитится от нежелательных утечек со стороны хоста?

При установке Whonix в меню выбираешь "Сгенерировать новые мак-адреса для сетевой карты", утечек нет.

как настроить vpn и торренты на машине? В связке автора у меня vpn не подключается, возможно, канал слишком медленный, но тогда почему торренты качают на максимкме?

У меня тоже была такая проблема, почему-то работает только Windscribe VPN, другие не подключаются.

 

[stepany4]

Я бы делал проще. Купил бы внешний wi-fi и хорошую антенну. Ну и игрался бы в фрикинг.
Это куда проще. Чем так заморачиваться ))

 

[Benihowy]

При установке Whonix в меню выбираешь "Сгенерировать новые мак-адреса для сетевой карты", утечек нет.

а причем здесь мак адрес? я имею ввиду неконтролируемый трафик со стороны хоста

 

[rokkkkkko]

а причем здесь мак адрес? я имею ввиду неконтролируемый трафик со стороны хоста

Весь "трафик" срезается на вониксе.

 

[r1z]

This script i recommended for VPN SETUP; where it's used many good privacy for end-user;
//https://github.com/trailofbits/algo
[features]

• Supports only IKEv2 with strong crypto (AES-GCM, SHA2, and P-256) for iOS, macOS, and Linux
  [*] Supports WireGuard for all of the above, in addition to Android and Windows 10
  [*] Generates .conf files and QR codes for iOS, macOS, Android, and Windows WireGuard clients
  [*] Generates Apple profiles to auto-configure iOS and macOS devices for IPsec - no client software required
  [*] Includes a helper script to add and remove users
  [*] Blocks ads with a local DNS resolver (optional)
  [*] Sets up limited SSH users for tunneling traffic (optional)
  [*] Based on current versions of Ubuntu and strongSwan
  [*] Installs to DigitalOcean, Amazon Lightsail, Amazon EC2, Vultr, Microsoft Azure, Google Compute Engine, Scaleway, OpenStack, CloudStack, Hetzner Cloud, Linode,or your own Ubuntu server (for more advanced users)
  [*] [/ QUOTE]

 

[Benihowy]

Весь "трафик" срезается на вониксе.

в том то и дело, юдп и низкоуровневый трафик пойдет напрямую, ведь ничто ему не мешает этого сделать.

 

[Tiger]

Тестирую эту систему и где-то утечка. Набираю специфический запрос на хосте и вижу рекламу в тор браузере машины.
связка vpn-whonix-vpn-tor

 

[DyNasTo]

Тестирую эту систему и где-то утечка. Набираю специфический запрос на хосте и вижу рекламу в тор браузере машины.
связка vpn-whonix-vpn-tor

Simple DNSCrypt(Гитхаб ищи) возможно поможет, так как возможна утечка днс'а.
Зайди на сайт BrowserLeaks.com и прочекай утечки

 

[MAS0N]

А не проще ли установить Kodachi ? Там же принудительное туннелирование трафика, возможность установить свой впн, на котором будет отключено логирование и псть весь траф через впн+тор дальше подключится к серверу, а там уже развернуть такую цепочку какую хотите

 

[DyNasTo]

А не проще ли установить Kodachi ? Там же принудительное туннелирование трафика, возможность установить свой впн, на котором будет отключено логирование и псть весь траф через впн+тор дальше подключится к серверу, а там уже развернуть такую цепочку какую хотите

Хороший совет, но это так геморно может быть , для кого-то )))

 

[Benihowy]

А не проще ли установить Kodachi ? Там же принудительное туннелирование трафика, возможность установить свой впн, на котором будет отключено логирование и псть весь траф через впн+тор дальше подключится к серверу, а там уже развернуть такую цепочку какую хотите

установить свой впн? где именно его установить? какой провайдер впна?

 

[MAS0N]

установить свой впн? где именно его установить? какой провайдер впна?

имел в виду поднять свой впн, а с выбором сервера думаю каждый для себя решит

 

[Benihowy]

имел в виду поднять свой впн, а с выбором сервера думаю каждый для себя решит

ну подняли свой впн, отключили логи, и вы думаете это придаст анонимности?

 

[MAS0N]

ну подняли свой впн, отключили логи, и вы думаете это придаст анонимности?

как дополнительный слой - сойдет, так подключение будет сначала идти к белому айпи а затем к тору, а после уже можно подключится к рабочему серверу, где вы можете развернуть тот же гоникс

 

[Tiger]

Simple DNSCrypt(Гитхаб ищи) возможно поможет, так как возможна утечка днс'а.
Зайди на сайт BrowserLeaks.com и прочекай утечки

Всевозиожные тесты не выявили утечек. Есть подозрение на дистрибутив хоста, возможно скачал зарежанный.

 

[ghost928]

поднял свой впн, клиентом подключаюсь - интернета нет от слова совсем. сервак пингуется по внутреннему ip, но инета не даёт ((
может кто подсказать, в чём может быть причина или куда копать?
p.s.: пробовал подключаться к своему впн без вхуникса - результат не изменился.
гугления не привели к изменению ситуации((
делал вот по такому мануалу на убунте 14:

Спойлер: manual

apt-get install openvpn openssl easy-rsa iptables nano bash-completion

mkdir /etc/openvpn/easy-rsa

cd /etc/openvpn/easy-rsa

cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa

ls -l

nano vars
заполнить параметры на экспорт -> CTRL+O + Enter + CTRL+X

source ./vars

./clean-all

генерация ключей центра сертификации
./build-ca

генерация ключей сервака
./build-key-server VPN1
"password" - пароль от ключей сервера. ПИШЕМ.

генерация сертификатов для пользователей:
./build-key user00
"password" - это пароль для пользователя. ПИШЕМ.

создаем ключи DH
./build-dh

генерируем ключи TLS для tls аутентификации на серваке
openvpn --genkey --secret keys/ta.key

cd keys/

создаем папку для хранения конфигов пользователей впн
mkdir /etc/openvpn/ccd

копируем ключи от сервера в папку опенвпн
cp VPN1.crt VPN1.key ca.crt dh2048.pem ta.key /etc/openvpn/

копируем ключи пользователей в папку которую создавали для них недавно
cp user00.crt user00.key ca.crt ta.key /etc/openvpn/ccd

создаем конфиг впн сервака
cd /etc/openvpn
nano VPN1.conf
port "порт_сервера_ВПН"
proto udp
dev tun
ca ca.crt
cert VPN1.crt
key VPN1.key
dh dh2048.pem
tls-auth ta.key 0
cipher AES-256-CBC
server 10.0.0.0 255.255.255.0
keepalive 10 30
persist-key
persist-tun
client-config-dir ccd
status VPN1-status.log
log /dev/null
verb 0
sndbuf 0
rcvbuf 0
push "redirect-gateway def1"
push "dhcp-option DNS 10.0.0.1"
push "dhcp-option WINS 10.0.0.1"

service openvpn restart

раскомментировать строку net.ipv4.ip.forward=1 в nano /etc/sysctrl.conf

echo 1 >> /proc/sys/net/ipv4/conf/all/forwarding

маршрутизация трафика через впн
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
где "eth0" - сетевой интерфейс который смотрит в глобал. узнать можно через ifconfig

iptables-save > /etc/iptables.rules

nano /etc/network/interfaces
внизу дописываем pre-up iptables-restore < /etc/iptables.rules

проверяем содержимое iptables:
iptables -L -t nat

делаем конфиг для клиента
cd /etc/openvpn/ccd/
ls -l
nano user00.conf

client
dev tun
proto udp
remote "IP-адрес_сервера" "порт_сервера_ВПН"
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user00.crt
key user00.key
tls-auth ta.key 1
cipher AES-256-CBC
ns-cert-type server
log user.log
verb 3
sndbuf 0
rcvbuf 0