В конфиге клиента поставь verb 7 Нужны логи клиента после push'a и маршруты (netstat -rn) до и после push'a. Смотря какие нужды, есть к примеру TOR.
Насколько я понял TOR использует рандомный ип адрес и другие сервера, но мне нужно использование ип адреса именно с моего VPS. Настроил VPN, спасибо
Помогите, пожалуйста. Как сделать так: Вы>VPN>SSH>SHH. На данный момент использую 2 сквозных SHH, сделанные по этой статье - http://forum.antichat.ru/showthread.php?t=296968. Собственно вопрос, как мне заставить VPN направлять трафик на SHH1, а SHH1 направлять на SHH2? Заранее признателен и благодарен за ответы! Настройки соединения в винде:
В данном случае лучше поднимать OpenVPN на оборудовании, ибо конфиг на 50 человек выйдет в нереальную сумму (обычно 1 подписка = 2 коннекта, причем 1 десктоп, другой androind\ios). Причем поднимать не на VPS\VDS, ибо там канал будет ограничен 5-10 (в лучшем случае 25) мб\с, а взять какой-нибудь лоукост dedicated с каналом 100mb\s (shared конечно же, но там его резать не будут), стоить это будет, если в России (как для частной VPN сети организации), то советую смотреть в сторону pinspb, racktech (от 3300 руб в месяц), если же под условно серые схемы, то Голландия и проч. (rootwelt.de, server.lu)
Подскажите пожалуйста, хочу подключить VPN на основной ОС, а подключенный основной интернет передать на гостевую ОС, то есть виртуальную машину - virtualbox. Такое возможно?
Обфускация на hideme.ru! На hideme.ru реализована новая функция, именованная маркетологами как "Хамелеон" (по факту являющаяся обфускацией, причём алгоритм - собственной разработки). Данная функция была добавлена в нашу версию OpenVPN клиента, и работает в TCP режиме при активации соответствующей опции. Пропатченный OpenVPN клиент доступен пока только для Windows. Как использовать: 1. Если используете наш клиент - обновитесь до последней версии и включите опцию "Хамелеон" в настройках. Наш клиент предназначен для использования только с нашим сервисом, и выглядит так. Под капотом - OpenVPN (уже пропатченный), наша оболочка для удобного управления им, плюс поддержка L2TP/PPTP, ограничение интернета при разрыве VPN и др. 2. Если используете оригинальный OpenVPN клиент - замените бинарник на пропатченный (главное, той же версии!): 2.3.2 x32, 2.3.2 x64, 2.3.6 x32, 2.3.6 x64. Совместимость с другими серверами и вашими версиями конфигов остаётся в полном объёме. Плюс добавляется новая опция для конфига: obfuscate с указанием ключа (ключ см. здесь). Соответственно, добавляете в наш конфиг эту строку, и подключаетесь с TCP протоколом - наш сервер автоматически распознает дополнительный слой шифрования. (Для проверки см. лог - появится строка вида Mon Jan 26 20:51:36 2015 us=62500 Scrambler: enabled (client mode), the key is 128 bytes long) Пара слов об обфускации: По сути, это дополнительный слой шифрования, который захватывает весь трафик, включая стадию установки шифрованного соединения. В обычном случае OpenVPN обменивается несколькими узнаваемыми сообщениями прежде, чем установить шифрование. Это позволяет фаерволам с DPI разпознать и заблокировать VPN соединение. Также, при просмотре человеком, можно получить название VPN сервера, которым человек пользуется (не опасно, но многим это неприятно). В случае использования обфускации, весь исходящий трафик дополнительно пропускается через ещё одну функцию шифрования, после чего трафик становится мало похож на OpenVPN соединение. Насколько мало - зависит от реализации. В общем случае, OpenVPN трафик без обфускации выглядит так: А с обфускацией уже так: Как видно, во втором случае - совсем ничего не видно Но, такого эффекта можно добится и обычным XOR. Чтобы узнать, насколько хорошо работает обфускация - залезем поглубже. We need to go deeper Для начала рассмотрим, как выглядят первые 16 байт у первого OpenVPN пакета. Для наглядности, сделаем 4 подключения, и посмотрим, что меняется, а что нет: Красным выделены байты, которые у всех OpenVPN соединений одинаковые, независимо от того, каким VPN провайдером вы пользуетесь. В фаерволе достаточно указать первые 3 байта данных TCP пакета (00 0E 38) и правило DROP, и ваш OpenVPN уже не работает. Посмотрим, что сделали конкуренты: Что мы имеем: По сути, они перевернули байты 4-16 (именно поэтому неизменные последние 5 байт оказались такими же неизменными, но в начале). Составлять правило для фаервола стало ещё удобнее Плюс применили XOR к статичному ключу (да, 00 00 00 00 00 теперь выглядит как 79 6F 7A 6A 65 - и выглядит так всегда, пока VPN провайдер со всеми юзерами не сменят ключ). Как вариант - админ смотрит трафик, добавляет в фаервол новую сигнатуру, и ваш OpenVPN снова не работает. Пользователи этого патча переодически меняют ключи вручную. Первые два байта - так и не осилили. Если DPI был настроен детектировать 00 0E - такая обфускация считай вообще ничего не сделала PS. XOR'ить нули - очень проффесионально Считай, начало ключа мы уже имеем даже без использования калькулятора. А теперь, наш вариант. Переподключаемся 4 раза к одному и тому же серверу: И все 4 раза получаем новый набор байт, без какой-либо корреляции вообще Как это достигается: На основе ключа, прописанного в конфиг, перед каждым соединением генерируется новый ключ для шифрования. В генерации участвует в т.ч. и генератор случайный чисел Шифрованию подвергаются все байты без исключения, от первого до последнего Результат: Трафик ни одним байтом не похож ни на один существующий протокол Невозможно составить правило для фаервола - при каждом новом коннекте все байты отличаются от предыдущего, никакой закономерности. Можно, конечно, заблокировать по порту - но в нашем случае это 443 - считай оставить юзера без инета вообще Расшифровать данные... скажем так: это на порядок сложнее, чем XOR с переворотом байтов, а результат - за шифрованием скрывается только название нашего сервиса и... шифрование OpenVPN, оно никуда не делось
Закладка+работает только с вашим сервисом. Будут сорцы - гляну, стоит использовать или нет. Более того, вы подписываете трафик, нет гарантии что слушаете или нет его.
Понятно, что если мы добавляем какую-то новую фичу в протокол - она работает только с теми серверами, которые её умеют. От себя скажу, что наш бинарник работает с другими сервисами так же, как и оригинальный. Т.е. вы можете продолжать пользоваться другими сервисами. Это дилемма любого VPN сервиса. Решением для вас будет собственный сервер, но данная тема не об этом. Предположим, вы пользователь Windows (т.к. клиент у нас пока только под него). У меня для вас плохие новости: значительная часть софта под эту ОС (и, о боже, сама ОС тоже!) является продуктом с закрытым кодом. --------------------------------- PS. Выложить чистый бинарник от OpenVPN - моя личная инициатива. Обычно клиентам нашего сервиса мы даём вот это: (если то была просто закладка, то это должно быть целый троянский модуль ).
Уже как 3 года сижу на Linux и проблем не знаю. Как по мне, вместо XOR'a на каждом шагу - ввели бы лучше элиптическое шифрование. Ибо что есть сейчас на рынке - дорого и скорость хромает. Реквест, так сказать.
Не понял, куда именно это добавить? А по поводу оболочки, если юзаю ее и вдруг сбивается подключение к инету, то, чтобы все восстановилось, приходится в ручную отрубать сеть и заново подключать. Можно это пофиксить?
Доброго всем! У меня такой вопрос: Поднят VPN сервер на Windows Server 2000. Подключаюсь, пользуюсь ресурсами той сети в которой стоит сервер. Но вот в обратную сторону нет запросов. Приведу пример: На даче модем мтс в роутере, подцепляю VPN и я в домашней сети, на роутере NAT на видеорегистратор проброшен! И из домашней сети не могу зайти на регистратор, хотя IP роутер получает внутренний и вижу его на сервере. Может я чего не догоняю, может чего запустить нужно? Или может тунель работает в одну сторону? Причем пинг есть! Прошу помощи! Спасибо!
FW/брадмауэр на обратной стороне? Тип VPN? В примере с регистратором есть ли маршрут из VPN сети в сеть регистратора?
Проблема решилась тем, что на сервере при удачном коннекте сервер выдавал IP из прописаны диапазонов мною. Убрал и позволил ему самому думать и все заработало правильно! Как обычно, БУБЕН и ПИВО помогли решить проблему!) Спасибо!
Подскажите по такому вопросу, какой вариант наиболее анонимен из этих двух: 1. Если поднимать свой ВПН на ВПС 2. Если брать подписку сервиса ? Предположим, что ВПН везде будет без логов в двух этих вариантах. Правильно я понимаю, что лучше взять подписку? Так как на ВПС будут только мои IP, а на сервисе много кто может подключаться к серверам, которые я использую.
Позвольте поинтересоваться, Dos атака с виртуальной машины через ВПН который вы купили и оформили на себя, ну в смысле ваш почтовик и они видят ваш реальный IP адрес. На сколько велика вероятность вычислить мой реальный айпишник ? если я буду Досить мелкие сайты или форумы через свой ВПН. Ведь владелец сайта может на прямую написать письмо с жалобой в тот датацентер через который я сижу и меняю свой IP адрес, они же знают какие конторы подключены к ним