VPN, все про них [вопросы, советы, рекомендации]

Discussion in 'Анонимность' started by HIMIKAT, 13 Dec 2010.

  1. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    В конфиге клиента поставь verb 7
    Нужны логи клиента после push'a и маршруты (netstat -rn) до и после push'a.
    Смотря какие нужды, есть к примеру TOR.
     
  2. Pro100Nyan

    Pro100Nyan New Member

    Joined:
    15 Mar 2013
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Насколько я понял TOR использует рандомный ип адрес и другие сервера, но мне нужно использование ип адреса именно с моего VPS.

    Настроил VPN, спасибо
     
    #382 Pro100Nyan, 1 Feb 2015
    Last edited: 1 Feb 2015
  3. kukerter-

    kukerter- New Member

    Joined:
    19 Mar 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Помогите, пожалуйста. Как сделать так: Вы>VPN>SSH>SHH.
    На данный момент использую 2 сквозных SHH, сделанные по этой статье - http://forum.antichat.ru/showthread.php?t=296968.
    Собственно вопрос, как мне заставить VPN направлять трафик на SHH1, а SHH1 направлять на SHH2?
    Заранее признателен и благодарен за ответы!

    Настройки соединения в винде:
    [​IMG]
     
    #383 kukerter-, 2 Feb 2015
    Last edited: 3 Feb 2015
  4. OSW

    OSW Elder - Старейшина

    Joined:
    12 Jul 2007
    Messages:
    325
    Likes Received:
    56
    Reputations:
    7
    Какой VPN сервис посоветуете для работы через него 50 человек?
     
  5. 5maks5

    5maks5 Elder - Старейшина

    Joined:
    29 Aug 2010
    Messages:
    452
    Likes Received:
    265
    Reputations:
    40
    В данном случае лучше поднимать OpenVPN на оборудовании, ибо конфиг на 50 человек выйдет в нереальную сумму (обычно 1 подписка = 2 коннекта, причем 1 десктоп, другой androind\ios).
    Причем поднимать не на VPS\VDS, ибо там канал будет ограничен 5-10 (в лучшем случае 25) мб\с, а взять какой-нибудь лоукост dedicated с каналом 100mb\s (shared конечно же, но там его резать не будут), стоить это будет, если в России (как для частной VPN сети организации), то советую смотреть в сторону pinspb, racktech (от 3300 руб в месяц), если же под условно серые схемы, то Голландия и проч. (rootwelt.de, server.lu)
     
    2 people like this.
  6. Pro100Nyan

    Pro100Nyan New Member

    Joined:
    15 Mar 2013
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Подскажите пожалуйста, хочу подключить VPN на основной ОС, а подключенный основной интернет передать на гостевую ОС, то есть виртуальную машину - virtualbox. Такое возможно?
     
  7. SviMik

    SviMik New Member

    Joined:
    25 Nov 2011
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Обфускация на hideme.ru!

    На hideme.ru реализована новая функция, именованная маркетологами как "Хамелеон" (по факту являющаяся обфускацией, причём алгоритм - собственной разработки).
    Данная функция была добавлена в нашу версию OpenVPN клиента, и работает в TCP режиме при активации соответствующей опции.
    Пропатченный OpenVPN клиент доступен пока только для Windows.

    Как использовать:

    1. Если используете наш клиент - обновитесь до последней версии и включите опцию "Хамелеон" в настройках.
    Наш клиент предназначен для использования только с нашим сервисом, и выглядит так.
    Под капотом - OpenVPN (уже пропатченный), наша оболочка для удобного управления им, плюс поддержка L2TP/PPTP, ограничение интернета при разрыве VPN и др.

    2. Если используете оригинальный OpenVPN клиент - замените бинарник на пропатченный (главное, той же версии!): 2.3.2 x32, 2.3.2 x64, 2.3.6 x32, 2.3.6 x64.
    Совместимость с другими серверами и вашими версиями конфигов остаётся в полном объёме.
    Плюс добавляется новая опция для конфига: obfuscate с указанием ключа (ключ см. здесь).
    Соответственно, добавляете в наш конфиг эту строку, и подключаетесь с TCP протоколом - наш сервер автоматически распознает дополнительный слой шифрования.
    (Для проверки см. лог - появится строка вида Mon Jan 26 20:51:36 2015 us=62500 Scrambler: enabled (client mode), the key is 128 bytes long)

    Пара слов об обфускации:

    По сути, это дополнительный слой шифрования, который захватывает весь трафик, включая стадию установки шифрованного соединения.

    В обычном случае OpenVPN обменивается несколькими узнаваемыми сообщениями прежде, чем установить шифрование. Это позволяет фаерволам с DPI разпознать и заблокировать VPN соединение. Также, при просмотре человеком, можно получить название VPN сервера, которым человек пользуется (не опасно, но многим это неприятно).

    В случае использования обфускации, весь исходящий трафик дополнительно пропускается через ещё одну функцию шифрования, после чего трафик становится мало похож на OpenVPN соединение. Насколько мало - зависит от реализации.

    В общем случае, OpenVPN трафик без обфускации выглядит так:
    [​IMG]

    А с обфускацией уже так:
    [​IMG]
    Как видно, во втором случае - совсем ничего не видно :)

    Но, такого эффекта можно добится и обычным XOR. Чтобы узнать, насколько хорошо работает обфускация - залезем поглубже.

    We need to go deeper

    Для начала рассмотрим, как выглядят первые 16 байт у первого OpenVPN пакета. Для наглядности, сделаем 4 подключения, и посмотрим, что меняется, а что нет:
    [​IMG]
    Красным выделены байты, которые у всех OpenVPN соединений одинаковые, независимо от того, каким VPN провайдером вы пользуетесь.
    В фаерволе достаточно указать первые 3 байта данных TCP пакета (00 0E 38) и правило DROP, и ваш OpenVPN уже не работает.

    Посмотрим, что сделали конкуренты:
    [​IMG]
    Что мы имеем:
    • По сути, они перевернули байты 4-16 (именно поэтому неизменные последние 5 байт оказались такими же неизменными, но в начале). Составлять правило для фаервола стало ещё удобнее :)
    • Плюс применили XOR к статичному ключу (да, 00 00 00 00 00 теперь выглядит как 79 6F 7A 6A 65 - и выглядит так всегда, пока VPN провайдер со всеми юзерами не сменят ключ). Как вариант - админ смотрит трафик, добавляет в фаервол новую сигнатуру, и ваш OpenVPN снова не работает. Пользователи этого патча переодически меняют ключи вручную.
    • Первые два байта - так и не осилили. Если DPI был настроен детектировать 00 0E - такая обфускация считай вообще ничего не сделала :)
    PS. XOR'ить нули - очень проффесионально :) Считай, начало ключа мы уже имеем даже без использования калькулятора.

    А теперь, наш вариант. Переподключаемся 4 раза к одному и тому же серверу:
    [​IMG]
    И все 4 раза получаем новый набор байт, без какой-либо корреляции вообще :)

    Как это достигается:
    • На основе ключа, прописанного в конфиг, перед каждым соединением генерируется новый ключ для шифрования. В генерации участвует в т.ч. и генератор случайный чисел
    • Шифрованию подвергаются все байты без исключения, от первого до последнего
    Результат:
    • Трафик ни одним байтом не похож ни на один существующий протокол
    • Невозможно составить правило для фаервола - при каждом новом коннекте все байты отличаются от предыдущего, никакой закономерности. Можно, конечно, заблокировать по порту - но в нашем случае это 443 - считай оставить юзера без инета вообще :)
    • Расшифровать данные... скажем так: это на порядок сложнее, чем XOR с переворотом байтов, а результат - за шифрованием скрывается только название нашего сервиса и... шифрование OpenVPN, оно никуда не делось :)
     
    #387 SviMik, 23 Mar 2015
    Last edited: 24 Mar 2015
  8. 5maks5

    5maks5 Elder - Старейшина

    Joined:
    29 Aug 2010
    Messages:
    452
    Likes Received:
    265
    Reputations:
    40
    Закладка+работает только с вашим сервисом.
    Будут сорцы - гляну, стоит использовать или нет.
    Более того, вы подписываете трафик, нет гарантии что слушаете или нет его. ;)
     
  9. SviMik

    SviMik New Member

    Joined:
    25 Nov 2011
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Понятно, что если мы добавляем какую-то новую фичу в протокол - она работает только с теми серверами, которые её умеют.

    От себя скажу, что наш бинарник работает с другими сервисами так же, как и оригинальный. Т.е. вы можете продолжать пользоваться другими сервисами.

    Это дилемма любого VPN сервиса. Решением для вас будет собственный сервер, но данная тема не об этом.

    Предположим, вы пользователь Windows (т.к. клиент у нас пока только под него). У меня для вас плохие новости: значительная часть софта под эту ОС (и, о боже, сама ОС тоже!) является продуктом с закрытым кодом.

    ---------------------------------

    PS. Выложить чистый бинарник от OpenVPN - моя личная инициатива. Обычно клиентам нашего сервиса мы даём вот это:

    [​IMG]

    (если то была просто закладка, то это должно быть целый троянский модуль :) ).
     
    makag likes this.
  10. 5maks5

    5maks5 Elder - Старейшина

    Joined:
    29 Aug 2010
    Messages:
    452
    Likes Received:
    265
    Reputations:
    40
    Уже как 3 года сижу на Linux и проблем не знаю.
    Как по мне, вместо XOR'a на каждом шагу - ввели бы лучше элиптическое шифрование.
    Ибо что есть сейчас на рынке - дорого и скорость хромает. Реквест, так сказать. ;)
     
  11. -Lord-

    -Lord- New Member

    Joined:
    14 May 2010
    Messages:
    38
    Likes Received:
    0
    Reputations:
    0
    Не понял, куда именно это добавить?

    А по поводу оболочки, если юзаю ее и вдруг сбивается подключение к инету, то, чтобы все восстановилось, приходится в ручную отрубать сеть и заново подключать. Можно это пофиксить?
     
  12. CUseller

    CUseller Banned

    Joined:
    11 Dec 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Самый дешевый впн можете посоветовать?
     
  13. SNIFF

    SNIFF junior admin

    Joined:
    15 Nov 2004
    Messages:
    99
    Likes Received:
    11
    Reputations:
    3
    Доброго всем!
    У меня такой вопрос: Поднят VPN сервер на Windows Server 2000.
    Подключаюсь, пользуюсь ресурсами той сети в которой стоит сервер.
    Но вот в обратную сторону нет запросов.
    Приведу пример: На даче модем мтс в роутере, подцепляю VPN и я в домашней сети, на роутере NAT на видеорегистратор проброшен! И из домашней сети не могу зайти на регистратор, хотя IP роутер получает внутренний и вижу его на сервере.
    Может я чего не догоняю, может чего запустить нужно?
    Или может тунель работает в одну сторону?
    Причем пинг есть!
    Прошу помощи!
    Спасибо!
     
    #393 SNIFF, 30 Jun 2015
    Last edited: 30 Jun 2015
  14. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    FW/брадмауэр на обратной стороне? Тип VPN?
    В примере с регистратором есть ли маршрут из VPN сети в сеть регистратора?
     
  15. SNIFF

    SNIFF junior admin

    Joined:
    15 Nov 2004
    Messages:
    99
    Likes Received:
    11
    Reputations:
    3
    Проблема решилась тем, что на сервере при удачном коннекте сервер выдавал IP из прописаны диапазонов мною. Убрал и позволил ему самому думать и все заработало правильно!
    Как обычно, БУБЕН и ПИВО помогли решить проблему!)
    Спасибо!
     
  16. blacksuccess

    blacksuccess New Member

    Joined:
    12 Jan 2012
    Messages:
    0
    Likes Received:
    2
    Reputations:
    0
    Подскажите по такому вопросу, какой вариант наиболее анонимен из этих двух:
    1. Если поднимать свой ВПН на ВПС
    2. Если брать подписку сервиса ?
    Предположим, что ВПН везде будет без логов в двух этих вариантах.
    Правильно я понимаю, что лучше взять подписку? Так как на ВПС будут только мои IP, а на сервисе много кто может подключаться к серверам, которые я использую.
     
  17. Империал

    Joined:
    11 Mar 2010
    Messages:
    1,224
    Likes Received:
    58
    Reputations:
    1
    Ты все правильно понимаешь.
     
  18. Optovik

    Optovik Member

    Joined:
    25 Sep 2015
    Messages:
    11
    Likes Received:
    5
    Reputations:
    0
    Чем грозит получение провайдером клиента информации о том какого VPN провайдера он выбрал?
     
    4y66aKa likes this.
  19. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    Среднестатистическому провайдеру "мягко" говоря все равно используете ли Вы VPN или нет.
     
    4y66aKa likes this.
  20. Adekvatus

    Adekvatus New Member

    Joined:
    12 Dec 2015
    Messages:
    54
    Likes Received:
    0
    Reputations:
    1
    Позвольте поинтересоваться, Dos атака с виртуальной машины через ВПН который вы купили и оформили на себя, ну в смысле ваш почтовик и они видят ваш реальный IP адрес.
    На сколько велика вероятность вычислить мой реальный айпишник ? если я буду Досить мелкие сайты или форумы через свой ВПН.
    Ведь владелец сайта может на прямую написать письмо с жалобой в тот датацентер через который я сижу и меняю свой IP адрес, они же знают какие конторы подключены к ним