-3

 ак стать на 100% анонимным? ¬озможно ли это?

ѕрошу ко вниманию, данный пост был создан только дл€ новичков, в ознакомительных цел€х.


—разу скажу, на 100% стать анонимным невозможно. ¬сЄ зависит от того, насколько вы хотите стать анонимным (деньги, возможности). “€нуть врем€ € не собираюсь, да и вас задерживать тоже. ѕриступим, как стать анонимным и дл€ чего это нужно?


«ачем нужно быть анонимным в сети:

1) —крыть свой IP-адресс от злоумышленников или просто не хотите, чтобы вас просто знали.

2) «ащитить себ€ от спама/д(дуд)ос атак/вымогательства и т.п.

3) —овершать какие-либо незаконные действи€ в сети.


≈щЄ раз предупреждаю, данный способ только дл€ новичков, дл€ профессионалов он не подойдЄт. ѕриступим к с способам как получить анонимность.


ѕервое, что надо сделать, это конечно же сменить/скрыть свой IP-ADRESS. —делать это можно с помощью VPN (Virtual Private Network) или с помощью Proxy-сервера. “.к. € это всЄ делаю дл€ новичков и есть много хороших и быстрых Proxy-серверов, мы будем работать с Proxy, также VPN будет сложен дл€ новичков, он будет слишком палитьс€ перед сайтами и исправить это будет довольно-таки нелегко.


Proxy работает так:

”стройство ->> Proxy ->> —айт


1) Ќаходим (дл€ большей анонимности, рекомендую использовать https proxy) proxy на сайте ->> https://hidemyna.me/ru/proxy-list/

2) Ќажимаем комбинацию клавиш WIN+R, вводим команду: Inetcpl.cpl, переходим во вкладку "подключени€" и нажимаем на кнопку "настройка сети". ¬ключаем галочку на пункте "ѕрокси-сервер", вводим необходимые данные дл€ подключени€, найденные пунктом выше.

3)  ак только все ввели, нажимаем "ок" и выходим.


”ра, вы получили самую минимальную и слабую анонимность, теперь ваш насто€щий айпи-адресс на веб-сайтах будет незаметен.


ѕроверить свою анонимность, можно на сайте: whoer.net


“еперь вы спросите: "” мен€ теперь другой айпи, зачем мне дальше что-то делать?". —кажу просто,  почти в каждом браузере есть WebRTC , посмотрите в википедии. ќн раскрывает ваш насто€щий айпи-адресс, игнориру€ proxy-сервер. „тобы это исправить, требуетс€ установить на ваш браузер расширение "WebRTC Control".


—сылка на расширение дл€ браузера Google Chrome:

https://chrome.google.com/webstore/detail/webrtc-control/fjk...

—сылка на расширение дл€ браузера Mozilla Firefox:

https://addons.mozilla.org/ru/firefox/addon/webrtc-control/


“акже советую установить расширени€: "Do Not Track", "Disconnect" и "ќнлайн-проверка ссылок антивирусом Dr.Web",  но это просто рекомендаци€.


—ледующее, что требуетс€ сделать, то это отключить Flash, именно он в большинстве случаев раскрывает ваш насто€щий айпи-адресс, также игнориру€ Proxy-сервер.  ак это сделать, объ€сн€ть не буду, просто пользуйтесь поисковиками :).


» последнее, что об€зательно нужно сделать, то это, подбирать Proxy-сервера так, чтобы у них была страна и DNS-сервер на одной стране. “.е, DNS самого прокси должен находитс€ на территории страны, где находитс€ сам прокси. Ќельз€, чтобы было так:

ѕрокси находитс€ в –оссии, а DNS в јмерике, это вызывает подозрени€ у определенных сайтов.


ѕроверить, где находитс€ прокси, можно таким способом:

«аходите на сайт: whoer.net, там же можно найти DNS самого прокси.


ѕоследнее, что хочу сказать, то это: "ѕокупайте платные прокси-серверы, от этого зависит ваше удобство и анонимность".


¬ этом посте € рассказал о том, как скрыть свой ip-adress и намного уменьшить шанс встречи с вашим интернет-провайдером. ≈сли вы будете подозреваемым и вас будут провер€ть, никакие способы уже не помогут. ѕоэтому, proxy-сервер должен быть надЄжным и не хранить какие-либо данные о вас.

ƒубликаты не найдены

+3
 ак стать на 100% анонимным?

» тут же совет:

“акже советую установить расширени€: "Do Not Track", "Disconnect" и "ќнлайн-проверка ссылок антивирусом Dr.Web"

 оторые как раз и занимаютс€ тем, что собирают данные на вас в личных цел€х. јнтивирь так точно.

раскрыть ветку 2
-4

’м, а провайдер не собирает данные?  уда же они будут использовать эти данные?

раскрыть ветку 1
0
я открою вам страшную тайну - есть те, кто готовы их покупать )
+3

ѕособие школьнику-анархисту из вечерней школы

ещЄ комментарии
+1

Ќаивный...

раскрыть ветку 4
-4

ћне страшен твой рейтинг :)

раскрыть ветку 3
+3

” теб€ будет такой же)

раскрыть ветку 1
+1
—пасиб, € стараюсь :)
+1

” теб€ есть паспорт. ќ какой анонимности ты говоришь?

0
ƒостойно написани€ поста со скринами и информацией где копать и почему описанное тут не работает )))
0

¬сЄ зависит от того, кому ты понадобишьс€. ќт такого же школи€ “ор/прокси проканает. ќт людей серьЄзных нет.

0

ƒл€ новичков можно просто установить “ор.  оторый и так по умолчанию отключает скрипты, флеш и прочее. » трафик идЄт через цепочку прокси, а не через один.

раскрыть ветку 1
0

’рен то там!в последних верси€х тора приходитс€ вручную отключать!

0

¬ firefoxe можно отключить webrtc зайд€ в настройки about:config и найти там media.peerconnection.enabled и выключить

0
 омментарий удален. ѕричина: данный аккаунт был удалЄн
-1
ј tor browser уже не актуален?
-2
 омментарий удален. ѕричина: данный аккаунт был удалЄн
-5

ѕикабушники, простите мен€ за пост, который был создан до этого. я прочитал все ваши комментарии, всЄ изучил и решило передать информацию новичкам.

ещЄ комментарий
ѕохожие посты
234

–елиз дистрибутива Tails 4.2

–елиз дистрибутива Tails 4.2 Tor, Tailsos, ѕриватность, јнонимность

ѕредставлен релиз специализированного дистрибутива Tails 4.2 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного дл€ обеспечени€ анонимного выхода в сеть. јнонимный выход в Tails обеспечиваетс€ системой Tor. ¬се соединени€, кроме трафика через сеть Tor, по умолчанию блокируютс€ пакетным фильтром. ƒл€ хранени€ пользовательских данных в режиме сохранени€ пользовательских данных между запусками примен€етс€ шифрование. ƒл€ загрузки подготовлен iso-образ (1.1 √Ѕ), способный работать в Live-режиме.


ќсновные изменени€:

ѕроведена работа по улучшению системы автоматической установки обновлений. ≈сли раньше при необходимости обновить давно не обновл€вшуюс€ систему требовалось поэтапное обновление c использованием промежуточных выпусков (например, при переходе с Tails 3.12 на Tails 3.16 нужно было вначале обновить систему до Tails 3.14, а уже потом до 3.16), то начина€ с выпуска Tails 4.2 реализована возможность пр€мого автоматического обновлени€ сразу до самой свежей версии.  роме того, ручное участие при обновлении теперь требуетс€ только при переходе на новую значительную ветку (например, потребуетс€ при переходе на Tails 5.0 в 2021 году). —окращено потребление пам€ти при выполнении автоматического обновлени€ и оптимизирован размер загружаемых данных.


¬ состав включено несколько новых утилит, которые могут быть полезны пользовател€м сервиса SecureDrop, позвол€ющего анонимно передавать документы издани€м и журналистам. ¬ частности, в поставку включЄн пакет PDF Redact Tools дл€ очистки метаданных из PDF-документов, OCR Tesseract дл€ преобразовани€ изображентий в текст и FFmpeg дл€ записи и преобразовани€ звука и видео.


ѕри запуске менеджера паролей KeePassX обеспечено по умолчанию открытие Ѕƒ ~/Persistent/keepassx.kdbx, но если данный файл отсутствует, он исключаетс€ из списка недавно используемых баз.


Tor Browser обновлЄн до версии 9.0.3, синхронизированной с выпуском Firefox 68.4.0, в котором устранено 9 у€звимостей, из которых п€ть потенциально могут привести к выполнению кода при открытии специально оформленных страниц.


ѕочтовый клиент Thunderbird обновлЄн до выпуска 68.3.0, а €дро Linux до версии 5.3.15.

ѕоказать полностью
67

¬ Tor отключены 800 из 6000 узлов из-за применени€ устаревшего ѕќ

–азработчики анонимной сети Tor предупредили о проведении большой чистки узлов, на которых используетс€ устаревшее программное обеспечение, поддержка которого прекращена. 8 окт€бр€ заблокировано около 800 устаревших узлов, работающих в режиме релеев (всего в сети Tor более 6000 подобных узлов). Ѕлокировка совершена через размещение на серверах директорий чЄрного списка проблемных узлов. »сключение из сети необновлЄнных мостовых узлов (bridge) ожидаетс€ позднее.


¬ следующем стабильном выпуске Tor, который намечен на но€брь, по€витс€ опци€, по умолчанию отвергающа€ соединени€ с узлами на которых примен€ютс€ выпуски Tor, врем€ сопровождени€ которых истекло. ѕодобное изменение позволит в дальнейшем по мере прекращени€ поддержки очередных веток автоматически исключать из сети узлы, воврем€ не перешедшие на актуальное программное обеспечение. Ќапример, в насто€щее врем€ в сети Tor ещЄ встречаютс€ даже узлы с Tor 0.2.4.x, который был выпущен в 2013 году, несмотр€ на то, что до сих пор продолжаетс€ поддержка LTS-ветки 0.2.9.


ќператоры устаревших систем были уведомлены о планируемой блокировке в сент€бре через списки рассылки и отправку индивидуальных предупреждений по указанным в поле ContactInfo контактным адресам. ѕосле предупреждени€ число необновлЄнных узлов снизилось с 1276 до примерно 800. ѕо предварительной оценке в насто€щее врем€ через устаревшие узлы проходит около 12% трафика, больша€ часть которого св€зана с транзитной передачей - дол€ трафика необновлЄнных выходных узлов составл€ет всего 1.68% (62 узла). ѕрогнозируетс€, что вывод из сети необновлЄнных узлов незначительно повли€ет на размер сети и приведЄт к небольшому проседанию показателей на графиках, отражающих состо€ние анонимной сети.


Ќаличие в сети узлов с устаревшим программным обеспечением негативно отражаетс€ на стабильности и создаЄт дополнительные риски нарушени€ безопасности. ≈сли администратор не следит за обновлением Tor, то, веро€тно, он халатно относитс€ к обновлению системы и других серверных приложений, что повышает риск захвата контрол€ над узлом в результате целевых атак.


 роме того, наличие узлов с уже не поддерживаемыми выпусками мешает исправлению важных ошибок, преп€тствует распространению новых возможностей протокола и снижает эффективность работы сети. Ќапример, необовлЄнные узлы, в которых про€вл€етс€ ошибка в обработчике HSv3, привод€т к повышению задержек при прохождении через них трафика пользователей и повышают общую нагрузку на сеть из-за отправки клиентами повторных запросов после сбоев в обработке соединений HSv3.

439

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

¬ наше врем€ без VPN никуда: анонимность, безопасность и возможность обойти региональные ограничени€ и блокировки привод€т к этой технологии не только технически подкованную публику, но и людей попроще. ј они, конечно же, не будут ставить и настраивать OpenVPN на своем сервере и предпочтут услуги провайдера.  акой выбор нас ждет в таком случае и можно ли довер€ть провайдерам VPN? ƒавай пройдемс€ по наиболее известным из них и проверим.


—начала определимс€ с критери€ми, на которые будем смотреть. я предлагаю выдвигать такие требовани€.


SSL-сертификаци€ доменов. ≈сли с ней есть проблемы, то возможны атаки типа MITM.

ќтсутствие подстав в лицензионном соглашении. ѕровайдер, дл€ которого приватность пользователей не пустой звук, не должен пытатьс€ заставить теб€ соглашатьс€ на что угодно.

ѕоддержка стойкого шифровани€ и современных протоколов. ¬ некоторых странах при помощи DPI-аппаратуры успешно блокируютс€ стандартные типы подключени€, такие как PPTP, L2TP IKEv1, OpenVPN UDP и прочие. ”важающий себ€ провайдер должен предоставл€ть пути обхода. „то касаетс€ шифровани€, здесь все индивидуально. ќтмечу лишь, что протокол PPTP, используемый вкупе с MS-CHAP, был взломан в 2012 году. — тех пор любой человек, заплатив 17 долларов, имеет возможность дешифровать трафик.


CyberGhost VPN

CyberGhostVPN Ч немецко-румынский сервис, ведущий свою де€тельность с 2007 года. Ќемногие остаютс€ на плаву столько времени. Ётот сервис предлагает три типа подключени€: L2TP, OpenVPN, IPSec.

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

—пособы обхода блокировок отсутствуют. ≈сть лишь возможность подключени€ по протоколу TCP на 443-м порте при использовании OpenVPN, что уже неэффективно в странах с DPI. SSL-сертификат ресурсу выдан компанией Comodo и действителен до 23.02.2019.


ƒва года назад CyberGhost оказалс€ в центре скандала. ќдно из обновлений его клиента устанавливало на машины пользовател€ корневой SSL-сертификат. „ем это плохо? ƒело в том, что, когда ты устанавливаешь соединение по HTTPS, твои данные защищаютс€ протоколом SSL/TLS, который подтверждаетс€ специальным сертификатом, выданным уполномоченной компанией. Ѕраузер свер€етс€ со списком сертификатов ќ— и, если все сходитс€, разрешает войти на сайт. ќбновление CyberGhost добавл€ло свой сертификат в этот список, что открыло возможность атаки типа man in the middle.


 омпани€ поспешила выпустить опровержение, однако позже вскрылась друга€ проблема: фирменный клиент дл€ Windows логирует системные данные компьютера, такие как название видеочипа, модель процессора и им€ пользовател€. „то тут сказать? –епутаци€ подпорчена.


„то касаетс€ Privacy Policy, тут все очень интересно. ¬ статье из своей базы знаний руководство сервера отчетливо и без ужимок за€вл€ет о том, что логи не ведутс€. ќднако просмотр «политики конфиденциальности» вызвал у мен€ определенные вопросы.

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

¬ «анонимизацию» IP веритс€ с трудом, да и остальное не вызывает теплых чувств. Ћюбой сбор данных противоречит ответу в базе знаний, где за€влено, что логов нет.


NordVPN

NordVPN Ч стремительно набирающий попул€рность сервис, зарегистрированный в Ћитве. ¬едет де€тельность с 2013 года. ¬ графе «Ќаши партнеры» раньше было указано, что контора получила CCNP-сертификат от CISCO, но потом эта информаци€ пропала с сайта.

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

—ертификат CISCO с веб-архива

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

√рафа «ѕартнеры» без сертификата


ѕочему информаци€ о сертификате пропала с сайта?  ак удалось получить этот сертификат, не име€ никаких заслуг? ќтветов нет, и убрали €вно не просто так.


¬ «ѕолитике конфиденциальности» тоже нашлись проблемы. ќдин пункт гласит, что логи не ведутс€ вообще, другой говорит нам, что сервис имеет право хранить ограниченное количество (сколько?) личной информации в течение двух лет.

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост
ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

ѕолитика конфиденциальности NordVPN

Ќа сайте утверждаетс€, что пул серверов состоит из 5178 единиц, которые расположены в 62 странах. »спользуемые методы подключени€: OpenVPN, L2TP, IPSec. ѕри€тный бонус Ч возможность обхода DPI через stunnel.


— NordVPN все было бы хорошо, если бы не истори€ с сертификатом CISCO и не лицензионное соглашение, которое разрешает владельцам сервиса собирать информацию, но не конкретизирует, какую именно.


Ќо есть и еще один интересный момент. ƒвое пользователей Reddit предприн€ли независимое исследование, суд€ по которому NordVPN принадлежит известной датамайнинговой компании TesoNet.


ѕохоже, именно это позвол€ет сервису тратить по полмиллиона долларов в мес€ц (только вдумайс€ в эту цифру!) на покупку отзывов и рекламы своего продукта. “ак, по данным сайта adweek.com, NordVPN потратил на рекламу 497 тыс€ч долларов за один лишь февраль 2018 года. ќткуда такие деньги? ƒумаю, ответ очевиден.


¬ыходит, пользоватьс€ этим сервисом крайне опасно: вместо анонимности есть шанс предоставить подробные логи дл€ датамайнинга. » напоследок еще одна непри€тна€ истори€. ¬ рекламном порыве сотрудники NordVPN накрутили рейтинг подложным отзывам на сайте trustpilot.com. Ётот факт подтвержден администрацией ресурса.

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

Ќакрутка отзывов NordVPN


Private Internet Access

Private Internet Access Ч широко известный среди зарубежных пентестеров VPN-сервис. —реди аналогов выдел€етс€ детальными настройками шифровани€ (можно мен€ть порт подключени€, тип шифровки и ключа), наличием встроенных способов обхода DPI, а также своего SOCKS5-прокси и SSH-туннел€. ќдним словом, хоть сейчас медаль давай, но увыЕ


¬о-первых, web.archive.org ничего не знает о времени существовани€ этого сервиса и о старых верси€х сайта. ѕохоже, администраци€ попросила их удалить, а это тревожный знак.

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

–езультаты поиска в веб-архиве

ћне удалось обнаружить, что этот провайдер находитс€ на территории —Ўј, а также принадлежит некоему псевдоконгломерату, область де€тельности которого раскидываетс€ от VPN до бутиков.


ƒа, у Private Internet Access есть возможность шифровани€ 4096-битным ключом. ƒа, он спокойно кладет на лопатки DPI, но какой в этом смысл, если по первому зову ƒ€ди —эма все данные окажутс€ в руках властей?

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

»нформаци€ о сервисе

ѕопробуем поискать информацию о фирме-хоз€ине Ч London Trust Media. ѕоиски быстро привели мен€ к статье, сообщающей, что исполнительным директором этой компании был назначен ћарк  арпелес (Mark Karpeles), при полном попустительстве которого была ограблена €понска€ криптобиржа Mt.Gox. ƒовери€ к этому товарищу у мен€ нет и быть не может.


HideME VPN

HideME Ч самый известный в рунете VPN-сервис. ¬едет де€тельность с 2007 года. јвторизоватьс€ можно, только если есть цифровой код, который Google легко находит на тематических форумах.


ќдин из типов подключени€ к HideME VPN Ч это PPTP, что само по себе нехорошо Ч протокол у€звим.  роме того, в 2016 году по запросу властей –‘ HideME отключил анонимайзер дл€ российских пользователей. Ќа этом можно было бы и остановитьс€, но € предлагаю еще загл€нуть в политику конфиденциальности.

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

ѕолитика конфиденциальности HideME VPN

ƒа, может быть, они и отказались от регистрации, но ключи, абсолютно ничем не хешированные, при должной сноровке можно подобрать за три дн€.  роме того, обрати внимание на первый абзац, а также на то, как был отработан запрос – Ќ. »спользовани€ этого сервиса дл€ чего-то, кроме доступа к Spotify, стоит избегать любой ценой.

Hide My Ass! VPN

Hide My Ass Ч один из самых известных провайдеров в мире. ѕринадлежит он компании Avast. ћногих это отпугнет сразу же, но мы продолжим изучение. —ервис существует в качестве анонимайзера с 2005 года, функци€ VPN у него по€вилась в 2009-м. √рандиозное отличие Hide My Ass от всех рассмотренных провайдеров Ч колоссальное количество выходных стран. ќднако, к большому сожалению, радоватьс€ тут нечему.


¬ 2011 году этот провайдер выдал власт€м —Ўј одного из участников группировки LulzSec Ч  оди Ёндрю  ретзингера. ћало того, администраторы еще написали длинный пост в свое оправдание. ¬ыдача логов €кобы была обоснованной. Ќо на месте этого человека мог быть любой журналист или же правозащитник в тоталитарной стране.

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

ѕост оправдани€ Hide My Ass

¬ывод напрашиваетс€ сам собой: Hide My Ass в любой момент выдаст то самое, что обещал надежно спр€тать, а потому не годитс€ дл€ серьезных применений.


VyprVPN

VyprVPN начал активную де€тельность в 2010 году. «арегистрирован в Ўвейцарии. »меет стандартный набор протоколов: OpenVPN (AES-256), IPSec, L2TP. –адует наличие обхода через stunnel, который маркетологи гордо именуют Chameleon Ч оставим это на их совести.


Ќас же интересует лицензионное соглашение, которого вполне достаточно дл€ выводов.

ћедвежьи сервисы. ѕровер€ем 6 попул€рных провайдеров VPN на предмет приватности Ѕезопасность, VPN, VPN обзор, јнонимность, »сследовани€, ƒлиннопост

¬ течение тридцати дней хранитс€ входной (насто€щий) IP-адрес, и этим все сказано.

¬ывод

ѕолучаетс€, что ни один из изученных нами попул€рных VPN-сервисов не прошел даже элементарную проверку без применени€ технического аудита. Ћично дл€ мен€ это значит, что веры таким провайдерам нет и быть не может. ѕоэтому всем, кто беспокоитс€ об анонимности и приватности, советую все-таки изучить документацию и подн€ть свой сервер OpenVPN. ј дл€ обхода DPI можешь самосто€тельно добавить stunnel.

p.s. ≈сли интересно было читать, заходи в мой телеграм https://t.me/deepernetwork_news

ѕоказать полностью 12
852

–оскомнадзор проиграл: VPN-сервису HideMy.name удалось добитьс€ отмены блокировки сайта

—егодн€ стало известно о том, что VPN-сервису HideMy.name удалось добитьс€ отмены решени€ о блокировке своего сайта. ќтменил предыдущее постановление суд ћарий Ёл.


–есурс был заблокирован в июле прошлого года по решению районного суда …ошкар-ќлы. јвтор обращени€ в суд с иском о блокировке Ч местный прокурор. ќтветчиком вместо владельца выступил –оскомнадзор.


¬ решении суда было указано, что пользователи при помощи сервиса могут получить неограниченный доступ к экстремистским материалам, включа€ Mein Kampf јдольфа √итлера.


23 ма€ компани€ вместе с юристами «–оскомсвободы» и «÷ентра цифровых прав» оспорила решение суда в республиканском суде ћарий Ёл, который отменил решение о блокировке, направив дело на новое рассмотрение.


—ейчас ресурс работает на «зеркале» Ч hidemyna.me, после сн€ти€ блокировки будет возобновлена работа на основном домене. –оскомнадзор на момент публикации новости еще не разблокировал сайт.  роме того, страница по адресу HideMy.name все еще находитс€ в реестре запрещенных сайтов.


¬ 2017 году –оскомнадзор уже блокировал сайт VPN-сервиса, поскольку тогда на ресурсе была размещена форма дл€ быстрого анонимного посещени€ любого сайта. ¬ компании исправили нарушени€ и –оскомнадзор разблокировал сайт.


«»ск парадоксален и возмутителен всем: тем, как изначально прокурор в ћарий Ёл обратилс€ в суд с обвинением о наличии у нас анонимайзера и скриншотом нашего сайта, на котором нет анонимайзера. » суд это устроило.


“ем, что мы вообще не были привлечены к этому судебному процессу, а ответчиком выставили –оскомнадзор, чтобы никто им не мешал побыстрее завершить дело в отсутствии реального ответчика, владельца сайта.


“ем, как –оскомнадзор впоследствии отвечал на все наши письма строго по максимальному сроку своего регламента: на 30-й день и никак не раньше. Ёто неверо€тно зат€нуло процесс, так еще и не привело ни к каким результатам.


“ем, что на первое заседание, где должны были рассматривать восстановление срока обжаловани€, прокурор принЄс WHOIS выписку про какой-то чужой домен третьего уровн€ Уhidemy.name.ruФ, в то врем€, как наш домен второго уровн€ Уhidemy.nameФ. —уд это снова устроило. Ќам отказали в восстановлении срока обжаловани€ в первой инстанции.


ƒобитьс€ правосудного решени€ удалось только в республиканском суде, где прокурор признал свою ошибку со справкой, и незаконное решение суда  илемарского района было отменено с направлением на пересмотр.


Ќаш прецедент доказывает, что сегодн€ любой сайт или бизнес в рунете можно по надуманному предлогу заблокировать практически на год. ѕри этом сн€ть блокировку будет возможно только после нескольких кругов бюрократического ада.», Ч прокомментировал CEO HideMy.name ћаркус —аар.

ѕоказать полностью
617

Ќовый браузер Tor стал Ђнепробиваемымї дл€ хакеров и спецслужб

Ќа фоне всей этой ситуации, когда власти многих стран мира активно борютс€ с анонимностью в сети »нтернет, был выпущен совершенно новый браузер Tor, который стал «непробиваемым» дл€ хакеров и различных спецслужб, которые могли получить доступ к его более ранним верси€м из-за определенных у€звимостей. ѕо словам разработчиков, в новой версии они применили самые последние технологии и разработки, а также изменили способ маршрутизации, что собьет с толку абсолютно любого человека.


“ак, в частности, новый веб-браузер Tor, обновленный сегодн€, содержит в себе самые последние и новые криптографические алгоритмы, технологию улучшенной и более надежной авторизации, а также полностью переосмысленную маршрутизацию. ¬се эти особенности делают «луковые» адреса полностью зашифрованными и известными только пользовател€м, которые их посещают. Ќикто посторонний не сможет отследить, на какую страницу зашел пользователь и делал ли он это вообще.


Ѕолее ранние версии Tor, который были доступны до сегодн€шнего дн€, содержали в себе некоторые у€звимости перед хакерами и спецслужбами, что делало пользователей сервиса анонимного веб-серфинга The Tor Project беззащитными. „аще всего, этот веб-браузер используют дл€ обхода блокировок в сети »нтернет, поскольку обозреватель позвол€ет выходить в сеть при сохранении полной анонимности. —крываетс€ и подмен€етс€ буквально все, начина€ от IP-адреса и заканчива€ местоположением.



“ем не менее, более ранние версии Tor из-за своей несовершенности были скомпилированы, то есть некоторым хакерам и спецслужбам удавалось получить доступ к защищенной информации. ¬ новой версии самого защищенного в мире веб-браузера этого произойти не должно, поскольку его создатели предусмотрели абсолютно все способы получени€ информации и построили обновленный обозреватель таким образом, чтобы его было невозможно взломать.


Ќасколько все эти слова окажутс€ правдой Ц покажет врем€, а пока любой желающий может скачать новый браузер Tor с официального сайта разработчиков.  лиент доступен дл€ компьютеров на базе операционных системы Windows, macOS и Linux, причем совершенно бесплатно.

Ќовый браузер Tor стал Ђнепробиваемымї дл€ хакеров и спецслужб Tor, VPN
1630

 ак VPN-сервисы относ€тс€ к запрету на обход блокировок

 то готов работать с –оскомнадзором, а кто планирует сопротивл€тьс€.


¬ догонку к посту.


— 1 но€бр€ 2017 года в –оссии вступает в силу закон, который об€зывает VPN-сервисы и анонимайзеры блокировать росси€нам доступ на сайты, официально запрещЄнные в стране. “акже эти сайты быть исключены из выдачи поисковиков, которые таргетируют рекламу на российских пользователей.


≈сли VPN-сервис или анонимайзер не подключитс€ к «чЄрному списку» –оскомнадзора, то его могут заблокировать в –оссии.  ак именно будет работать така€ блокировка, неизвестно. Ќорма не действует на VPN-каналы, которые работают внутри компаний.


31 окт€бр€ –оскомнадзор объ€вил, что уже тестирует совместную работу с группой компаний. –едакци€ vc.ru попросила представителей ещЄ нескольких VPN-сервисов рассказать, как они относ€тс€ к проекту.


ќбсуждают работу с –оскомнадзором:


«Ћаборатори€  асперского», Opera VPN, јнонимайзеры Cameleoru, 2ip.ru или 2ip.io, Mail.Ru Group и «яндекс».


Ќе определились или не ответили:


Hidemy.name

—айт компании уже попадал под блокировку –оскомнадзора в начале 2017 года из-за наличи€ строки анонимайзера на главной странице (тогда блокировку удалось оспорить с помощью юристов). ѕредставители сервиса говорили, что ведомство просило ввести в VPN-сервисе запрет на посещение заблокированных в –оссии сайтов. “очно такое же требование содержитс€ в новом законе.

¬ ответ на запрос 30 окт€бр€ представители компании ответили, что воздержатс€ от комментариев.


Cyberghost

 омпани€ за€вл€ла, что новые правила идут вразрез с самой идеей VPN-сервисов, но официально не объ€вл€ла, как будет действовать в этой ситуации. Ќа запрос vc.ru в Cyberghost не ответили.


Vemeo

—ервис не оглашал свою позицию официально, в поддержке компании не ответили на вопрос vc.ru.


Ќе готовы сотрудничать с –оскомнадзором:


Tunnelbear

—лужба поддержки Tunnelbear сообщила vc.ru, что сервис принадлежит канадской компании и действует по местным законам. «” нас нет серверов в –оссии и наши правила обслуживани€ остаютс€ неизменными», Ч сообщили они.


Zenmate

VPN-сервис Zenmate объ€вил о том, что не собираетс€ подчин€тьс€ требовани€м российских властей. «ћы разработали элегантное решение, позвол€ющее обнаруживать подобные случаи и переключатьс€ автоматически в Уустойчивый режимФ, не причин€€ серьезных неудобств пользовател€м. ¬ этом режиме соединение будет перенаправлено через крупнейшие магистральные интернет-сервисы. Ёти сервисы играют ключевую роль дл€ сети, а потому их блокировка парализует интернет», Ч сказали в компании.


ExpressVPN

¬ августе 2017 года представители сервиса сообщали, что не собираютс€ урезать возможности сервиса. Ќа запрос в окт€бре 2017 года они не ответили.


TgVPN

 оманда разработчиков под руководством соосновател€ Newcaster.TV ¬ладислава «дольникова запустила VPN-сервис TgVPN в июне 2017 года. ≈го можно приобрести с помощью бота внутри Telegram.

¬ разговоре с vc.ru «дольников сообщил, что команда проекта готовит сервис, предназначенный дл€ работы в новых правовых услови€х.


via

ѕоказать полностью
183

«акон об ограничении доступа к запрещЄнным сайтам вступит в силу 1 но€бр€

–оскомнадзор вместе с «яндексом» и Opera протестировал запрет обхода блокировок через VPN.


–оскомнадзор объ€вил о завершении тестировани€ новой системы, позвол€ющей владельцам VPN-сервисов и анонимайзеров блокировать доступ к запрещЄнным в –оссии сайтам.


ѕо данным –оскомнадзора, в тестировании поучаствовали «Ћаборатори€  асперского», Opera Software AS, Mail.Ru Group и «яндекс». ѕредставители «–амблера», «—путника», «’амелеона», а также анонимайзеров 2IP.ru и 2IP.io подтвердили готовность к взаимодействию, уточнило ведомство. –оскомнадзор оценил общую российскую аудиторию упом€нутых сервисов в 10 миллионов человек.


¬ разговоре с vc.ru представители «Ћаборатории  асперского» подчеркнули, что их защитные решени€ не нарушают законы –‘. «яндекс» отметил, что режим «“урбо» «яндекс.Ѕраузера» не относитс€ к VPN-сервисам. ¬ Opera не ответили на просьбу о комментарии.

«акон об ограничении доступа к запрещЄнным сайтам вступит в силу 1 но€бр€ VPN, ѕрокси, –оскомнадзор, Ѕлокировка, ќбход блокировок, Tjournal, јнонимайзер, »нтернет
«акон, который запрещает российским пользовател€м обходить блокировки через VPN-сервисы и анонимайзеры, вступит в силу 1 но€бр€ 2017 года. —огласно нововведению, владельцы таких сервисов получат доступ к «чЄрному списку» –оскомнадзора и должны будут сотрудничать с ведомством. Ќа то, чтобы выполнить требование властей, у компаний будет 30 дней Ч в ином случае его могут заблокировать в –оссии. ѕоисковые системы об€заны исключать запрещЄнные сайты из выдачи.

via

612

Vpn, TOR, proxy

¬озник вопрос, так как с 1 но€бр€ сервисы по обходу блокировок должны быть заблокированы, что грозит обычным пользовател€м, которые будут и дальше использовать vpn. — точки зрени€ законодательства имеет ли право или необходимо будет удалить все средства дл€ обхода ?

160

«акон об анонимайзерах:  ак их будут блокировать и что с этим делать.

«акон об анонимайзерах:  ак их будут блокировать и что с этим делать. VPN, јнонимность, “ор, Android, ƒлиннопост

23 июн€ 2017 года √осдума прин€ла в первом чтении проект федерального закона «ќ внесении изменений в ‘едеральный закон Дќб информации, информационных технологи€х и о защите информацииФ» (pdf), который был внесЄн на рассмотрение парламента 8 июн€ 2017 года. –анее директор ‘—Ѕ јлександр Ѕортников на закрытом правительственном часе попросил депутатов ускорить прин€тие законов о запрете анонимайзеров и регулировании мессенджеров.


«а законопроект проголосовали 363 депутата. ѕротив: 0, ¬оздержалось: 0


√осдума прин€ла в окончательном чтении законопроект о запрете средств дл€ обхода интернет-блокировок, под действие которого попадают в том числе VPN-сервисы и анонимайзеры. ѕри отказе таких сервисов блокировать доступ к запрещенному контенту они сами будут заблокированы –оскомнадзором. ¬ случае одобрени€ —оветом ‘едерации и президентом ¬ладимиром ѕутиным закон вступит в силу с 1 но€бр€ 2017 года.


The Village разобралс€, какие сервисы попадут под ограничени€, каким образом их будут блокировать и как это повли€ет на пользователей.



„то будет заблокировано.


Ќовым законом устанавливаетс€ запрет на использование информационных систем и программ дл€ получени€ доступа к интернет-ресурсам, заблокированным в –оссии. ѕод действие закона попадают не только прокси- и VPN-сервисы, но и анонимные сети, такие как Tor(скачивать только с оф. сайта https://www.torproject.org/) и I2P.  роме того, документ запрещает поисковым системам вроде Google и «яндекс» выдавать ссылки на заблокированные ресурсы.



ќднако на этом список доступных к ограничению ресурсов не заканчиваетс€, поскольку сайты, размещающие информацию о средствах обхода блокировок, неоднородны.   ним можно отнести любые ресурсы со списками VPN-сервисов и даже магазины приложений, включа€ App Store и Google Play. ѕод запрет могут попасть и программные платформы типа операционных систем и их технические порталы, например портал техподдержки Microsoft, описывающий настройку VPN в различных верси€х Windows. ¬озможно и ограничение работы попул€рных браузеров, предлагающих встроенные способы обхода блокировок. ѕодобные опции в различных вариантах доступны в Opera, Chrome или Safari. —писки VPN-сервисов и инструкций по их настройке также распростран€ютс€ по социальным сет€м и мессенджерам.


ѕри этом законом предусмотрено исключение дл€ собственных VPN компаний, если эти средства доступны только сотрудникам. ¬ свою очередь, интернет-омбудсмен при президенте ƒмитрий ћариничев, назвавший законопроект «безумием», отметил невозможность отделить VPN, используемый в коммерческих цел€х, от VPN, используемого дл€ обхода блокировок.



 ак планируют блокировать.


јнонимайзеры и VPN-сервисы можно блокировать двум€ способами Ч по IP-адресам или по типу трафика.


¬ случае использовани€ первой технологии, уже опробованной в –оссии, –оскомнадзор внесет в реестр все доменные имена и IP-адреса официальных сайтов VPN-сервисов, на которых можно приобрести продукт. “акже по IP можно блокировать публичные серверы Tor, к которым подключаютс€ пользователи.


ƒл€ использовани€ второй технологии необходимо установить на сети всех операторов DPI-оборудование дл€ глубокого анализа трафика, которое способно определ€ть VPN-трафик и отличать его от иного зашифрованного HTTPS-трафика. DPI-оборудование достаточно дорогое, поэтому с учетом большого количества операторов в –оссии на применение этой технологии придетс€ затратить много времени и средств. Ётот метод уже опробован в  итае, где идет посто€нна€ гонка вооружений между власт€ми и разработчиками.



 ак обходить блокировку.


ќпыт азиатских стран вроде  ита€, где с 2003 года действует система фильтрации контента ««олотой щит», показывает, что ограничение работы средств дл€ обхода интернет-блокировок не позвол€ет полностью ограничить доступ пользователей к VPN-сервисам, выходным узлам Tor и другим средствам проксировани€ трафика.



 лиенты VPN-сервисов до внедрени€ DPI-оборудовани€ не замет€т никаких изменений дл€ себ€. ¬ отличие от сайтов с дистрибутивами программ, сам VPN заблокировать крайне сложно, дл€ чего потребуетс€ глубоко вникнуть в принципы работы каждого отдельного сервиса и структуру сети.  роме того, VPN-сервис может оперативно реструктурировать сеть, и все потребуетс€ делать заново. ѕри этом процедура реструктуризации может быть автоматизирована Ч в этом случае провайдер VPN может создавать новые IP-адреса хоть каждую минуту. ƒл€ пользователей же это будет выгл€деть как автоматическое обновление расширений.



—ейчас во всем мире множество VPN-сервисов, и посто€нно по€вл€ютс€ новые.  онкуренци€ на рынке VPN довольно высока, и заблокировать все средства дл€ обхода за короткое врем€ невозможно.   тому же все установочные файлы VPN-приложений пользователи смогут получать на форумах, по почте или в мессенджерах. ѕо оценке главы «–оскомсвободы» јртема  озлюка, 80Ц90 % сервисов останутс€ доступными дл€ росси€н.


 роме того, останетс€ и, веро€тно, будет развиватьс€ возможность использовани€ двойного VPN Ч когда пользователь подключаетс€ к серверу в одной стране (например, в  анаде), а оттуда Ч к серверу в другой (например, в Ќорвегии). “огда конечный, норвежский сервис будет воспринимать российского пользовател€ как канадца и не будет примен€ть блокировки из списка –оскомнадзора даже в случае, если оба VPN-сервиса будут исполн€ть российский закон.



ƒругой вариант Ч настроить собственный VPN, арендовав место на зарубежном хостинге, что потребует небольших денежных вложений. ј в некоторых мобильных устройствах, например в смартфонах на Android, существует встроенна€ функци€ VPN, и в случае с предустановленными программами заблокировать какой-либо VPN-ресурс просто невозможно. ѕомимо этого, как отмечалось ранее, блокировки официально разрешат обходить корпоративным VPN, которыми пользуютс€ сотрудники компаний.



„то касаетс€ Tor, то у сети, кроме публичного списка ключей, есть посто€нно обновл€емый список серверов, через которые можно получать доступ к нужным сайтам. ¬ случае блокировки публичных узлов Tor дл€ подключени€ к сети и доступа к запрещенным сайтам можно использовать мосты, которые специально придумали дл€ обхода блокировок с помощью скрытых ретрансл€торов. ѕользователи могут воспользоватьс€ встроенными в браузер вариантами мостов либо получить новые адреса.


—тать€ вз€та с канала "по ту сторону интернета": https://t.me/Illumatechannel

ѕоказать полностью
10695

„то делать когда браузер Tor запрет€т на территории –‘

— 1 Ќо€бр€ 2017г. ¬ силу вступает "прин€тый" закон о запрете использовани€ tor и vpn что с улыбкой и безраздумно подписал "наш любимый царь все€ –уси"

  справочке - в госдуме проголосовали практически все единогласно

„то-то сказать ничего не сказать -  по этому € не буду комментировать очередное ущемление прав –осси€н.

¬сех провайдеров на территории –‘ об€зуют заблокировать любые попытки выхода в дипвеб в течении 30 дней  "некоторые провайдеры уже произвели блокировки"

„то делать когда браузер Tor запрет€т на территории –‘ Tor browser, Tor, ѕолитика, јнонимность, Ѕез впн, «апрет VPN, VPN, Deepweb

ƒл€ начала самый простой способ обхода это индивидуально настроить мосты и пошагова€ инструкци€ как это сделать.



1. «аходим на официальный сайт разработчиков тор https://bridges.torproject.org/

» выбираем [ Ўаг 2 ѕолучите мосты ]

” кого на английском [ Step 2 get bridges ]

„то делать когда браузер Tor запрет€т на территории –‘ Tor browser, Tor, ѕолитика, јнонимность, Ѕез впн, «апрет VPN, VPN, Deepweb

2. ¬ открывшимс€ далее окне нажимаем

[ ѕросто дайте мне адреса мостов! ]

[ Just give me bridges! ]

„то делать когда браузер Tor запрет€т на территории –‘ Tor browser, Tor, ѕолитика, јнонимность, Ѕез впн, «апрет VPN, VPN, Deepweb

3. ¬водим капчу

„то делать когда браузер Tor запрет€т на территории –‘ Tor browser, Tor, ѕолитика, јнонимность, Ѕез впн, «апрет VPN, VPN, Deepweb

4.  опируем полученный код ( дл€ каждого соответственно он индивидуален )

„то делать когда браузер Tor запрет€т на территории –‘ Tor browser, Tor, ѕолитика, јнонимность, Ѕез впн, «апрет VPN, VPN, Deepweb

5. “еперь жмем на зеленую луковицу и выбираем параметр

[ Ќастройка сети Tor (N) ] [ Tor network configuration (N) ]

„то делать когда браузер Tor запрет€т на территории –‘ Tor browser, Tor, ѕолитика, јнонимность, Ѕез впн, «апрет VPN, VPN, Deepweb

6. —тавим галочку ћой провайдер блокирует доступ к сети Tor

¬ставл€ем ранее скопированные мосты в строку ввести мосты вручную

ќ 

„то делать когда браузер Tor запрет€т на территории –‘ Tor browser, Tor, ѕолитика, јнонимность, Ѕез впн, «апрет VPN, VPN, Deepweb

7.8.9.10. ƒл€ надежности повтор€ть процедуру каждые несколько часов.

—пасибо всем кто дочитал до конца :)


ѕохожий пост уже был 5 лет назад дл€ казахов но всЄ же решил € написать более пон€тным €зыком и с картинками - так как тема сейчас очень даже актуальна€.

ѕоказать полностью 5
58

ѕочему не стоит довер€ть сторонним VPN сервисам. ќсобенно бесплатным.

ѕочему не стоит довер€ть сторонним VPN сервисам. ќсобенно бесплатным. VPN, јнонимность, Ѕесплатный сыр, ƒеанонимизаци€

÷ентр демократии и технологий (Center for Democracy and Technology, CDT) обратилс€ в ‘едеральную торговую комиссию —Ўј с жалобой на де€тельность одного из попул€рных бесплатных VPN-сервисов -  Hotspot Shield. ѕравозащитники считают, что данный сервис нарушает собственную же политику конфиденциальности, отслеживает и перехватывает трафик, собирает данные о пользовател€х сервиса.


 ак следует из описани€ сервиса Hotspot Shield, он обеспечивает "јнонимный доступ в »нтернет", "«ащиту данных" и много другое. »сследователи CDT совместно со специалистами университета  арнеги-ћеллон полагают, что всЄ с точностью до наоборот.


ќни обнаружили, что указанный сервис, по всей видимости, отслеживает клиентов, идентифицирует их, продает данные третьим лица, перенаправл€ет трафик и внедр€ет в него сторонний код в рекламных цел€х. ¬ числе собираемых данных: MAC-адреса, IMEI, названи€ беспроводных сетей и ина€ деанонимизирующа€ информаци€. ѕроведЄнный реверс-инжиниринг клиентского приложени€ показал наличие п€ти различных библиотек дл€ отслеживани€ пользователей.


¬ очередной раз подтвердилось утверждение: если вы не платите за услуги, значит товар вы сами. Ќичего бесплатного не бывает. ≈сли вам нужен VPN, то делайте свой.

182

ќпрос. јнонимность, безопасность или что вам ещЄ интересно.

ќпрос конечно же дл€ моих подписчиков (уже без малого 3 килоподписчика) и дл€ всех остальных.

–анее € опубликовал р€д статей о анонимности, защите трафика и безопасном хранении данных. (1, 2, 3, 4, 5, 7, 8, 9, 10, 11, 12, 13, 14).  ћои читатели (по крайней мере больша€ их часть) научились настраивать собственные VPN сети (OpenVPN, SoftEther), хранить свои данные в облачных хранилищах (ownCloud, Cozy Cloud). ѕопутно познакомились с linux и прочими сопуствующими штуками. —атьи читаютс€ и расползаютс€ по интернеты. „ему € весьма рад. ќ своей философии и поставленных цел€х € писал ранее. » без ложной сромности могу сказать,что целей этих достигаю. ¬ среднем в день € получаю от 20 писем с вопросами по стать€м. “.е. люди не просто читаю, а делают.

ѕикабу конечно же не ’абр и GT, поэтому € стараюсь писать подробные, пошаговые инструкции. ј решени€ предлагаю проверенные и надЄжные.

¬ целом, того что € уже осветил в стать€х, достаточно дл€ повседневной жизни. Ќо возможно, что-то € упустил из виду.


ѕоэтому предлагаю всем интересующимс€ пройти опрос.


—сылка на мой бложек не рекламы ради, а исключительно ввиду удобства обработки результатов. —обирать обратную св€зь из комментариев на ѕикабу не очень удобно (при всем уважении к ѕикабу и отличнейшей юзабельности его интерфейса).

¬сем бобра.

ќпрос. јнонимность, безопасность или что вам ещЄ интересно. ќпрос, јнонимность, »нформационна€ безопасность, VPN, ќблачное хранилище
366

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников („асть 5)

ѕредыдущие части: 1, 1.1(она же 4), 2, 3


≈сли вы вдохновились моими стать€ми и сделали всЄ, как написано, то у вас уже есть:

1. —ервер, расположенный где-то в дебр€х ≈вропы.

2. Ќа сервере настроен вход SSH по сертификату и файрвол.

3. Ќа сервер установлен VPN-сервер, сгенерирован ворох сертификатов дл€ сервера и клиентов.

4. ¬аши устройства (компьютеры, смартфоны, планшеты и т.п.) настроены на соединение с VPN-сервером.


“еперь ваш трафик по территории собственной страны идет только в зашифрованном виде, а доступ к ключам шифровани€ только у вас.


 азалось бы, живи и радуйс€. Ќо не всЄ так просто. ¬аше клиентское устройство, напр€мую или косвенно, продолжает многое сообщать о вас: тип устройства, операционна€ система, внутренний IP адрес, и пр. “ак происходит, потому что VPN-ервер не модифицирует полученные от вас пакеты, он просто их расшифровывает и отправл€ет в сеть.


’ватит это терпеть! ћы запилим свой прокси-сервер с анонимностью и прозрачностью.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников („асть 5) »нструкци€, VPN, Openvpn, ѕрокси, Vps, 3proxy, Squid, Ќастройка, ƒлиннопост

»з статьи в википедии:

Proxy server (ѕрокси сервер) Ц промежуточный компьютер, который €вл€етс€ посредником между вашим компьютером и »нтернетом. ѕрокси обычно используют либо дл€ ускорени€ работы в сети »нтернет, либо дл€ анонимного прохождени€ в сети »нтернет. “ак же использование анонимного прокси, может быть использовано, как дополнительное средство защиты: анонимный прокси (anonymous proxy) подмен€ет ¬аш IP-адрес, и злоумышленник будет пытатьс€ совершить атаку не на ¬аш компьютер, а на прокси сервер, у которого, зачастую, максимально мощна€ система защиты.

“ам ещЄ есть интересное в статье, почитайте.


Ќас интересует умение прокси подмен€ть отправител€ пакетов и обрезать из них всЄ лишнее. “.е. повысить нашу анонимность. я уже писал в первой части, что 100% анонимности мы не добьЄмс€, но двигатьс€ в этом направлении мы будем.


≈сть over9000 реализаций прокси. »значально € хотел использовать squid в св€зке с squidguard + adblock, но с кальмаром возникли проблемы. ¬ разных верси€х дистрибутивов он вЄл себ€ по-разному с протоколом https, да и вообще последние его редакции какие-то не удачные. ѕоскольку данна€ стать€ рассчитана на не квалифицированного читател€, то перегружать еЄ всеми возможными костыл€ми дл€ squid € посчитал не целесообразным. ѕоэтому, после недолгих исканий, был выбран 3proxy. ¬ дальнейшем € всЄ-таки запили статью про squid.


» да, как вы наверн€ка помните, наш файрволл настроен таким образом, что прокси будет принимать подключени€ только от клиентов VPN-сети.


ѕока мы еще не сделали анонимный прокси, попробуйте позаходить на сайты, показывающие степень вашей анонимности. Ќапример:


https://do-know.com/privacy-test.html

https://whoer.net/ru

https://2ip.ru/privacy/

http://witch.valdikss.org.ru/

и прочие. “ыс€чи их. ѕотом сравните с тем, что будет после настройки прокси.


’ватит читать, открываем консоль. Ѕудем отращивать бороду собирать наш прокси из исходников.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников („асть 5) »нструкци€, VPN, Openvpn, ѕрокси, Vps, 3proxy, Squid, Ќастройка, ƒлиннопост

”становим компил€тор

yum -y install gcc

ѕерейдЄм в домашнюю папку

cd ~

Ѕыстренько посмотрим, кака€ верси€ 3proxy сейчась актуальна на странице загрузок https://www.3proxy.ru/download/

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников („асть 5) »нструкци€, VPN, Openvpn, ѕрокси, Vps, 3proxy, Squid, Ќастройка, ƒлиннопост

Ќа момент написани€ статьи это была верси€ 0.8.9

 ачаем еЄ

wget https://github.com/z3APA3A/3proxy/archive/0.8.9.tar.gz

–аспаковываем

tar -xvzf 0.8.9.tar.gz

» переходим в папку с исходниками

cd 3proxy-0.8.9

¬ опци€х исходников делает наш сервер полностью анонимным.

sed -i '1s/^/#define ANONYMOUS 1\n/' ./src/proxy.h

 омпилируем (ќ да! “еперь вы можете хвастатьс€, что в линуксе компилировали из сырцов. „увствуете, как на вашем лице начинает пробиватьс€ борода, на спине прорастать свитер?)

make -f Makefile.Linux

ѕодготовим рабочее место дл€ нашего прокси

mkdir -p /etc/3proxy/bin
touch /etc/3proxy/3proxy.pid

“еперь перенесем скомпилированные исполн€емые файлы в рабочую папку

cp ./src/3proxy /etc/3proxy/bin
cp ./src/TransparentPlugin.ld.so /etc/3proxy/bin
cp ./cfg/3proxy.cfg.sample /etc/3proxy/3proxy.cfg

¬ папке /etc/rc.d/init.d

создаем файл 3proxy следующего содержани€

#!/bin/sh
#
# chkconfig: 2345 20 80
# description: 3proxy tiny proxy server
#
#
#
#
case "$1" in
start)
echo Starting 3Proxy
/etc/3proxy/bin/3proxy /etc/3proxy/3proxy.cfg
RETVAL=$?
echo
[ $RETVAL ]
;;
stop)
echo Stopping 3Proxy
if [ /etc/3proxy/3proxy.pid ]; then
/bin/kill `cat /etc/3proxy/3proxy.pid`
else
/usr/bin/killall 3proxy
fi
RETVAL=$?
echo
[ $RETVAL ]
;;
restart|reload)
echo Reloading 3Proxy
if [ /etc/3proxy/3proxy.pid ]; then
/bin/kill -s USR1 `cat /etc/3proxy/3proxy.pid`
else
/usr/bin/killall -s USR1 3proxy
fi
;;
*)
echo Usage: $0 "{start|stop|restart}"
exit 1
esac
exit 0

—охран€ем и устанавливаем права 0755.   сожалению формат пикабу не позвол€ет разместить тексты скриптов с нормальным форматированием. ћожете посмотреть, как он выгл€дит в нормальном виде здесь. Ќо и без форматировани€ работать будет.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников („асть 5) »нструкци€, VPN, Openvpn, ѕрокси, Vps, 3proxy, Squid, Ќастройка, ƒлиннопост

“еперь откроем файл /etc/3proxy/3proxy.cfg

”далите всЄ его содержимое и вставьте следующее:

daemon
pidfile /etc/3proxy/3proxy.pid
plugin /etc/3proxy/bin/TransparentPlugin.ld.so transparent_plugin
nserver 8.8.8.8
nserver 8.8.4.4
nscache 65536
timeouts 1 5 30 60 180 1800 15 60
#log /dev/null
log /etc/3proxy/3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
external 123.123.123.123
internal 10.8.0.1
auth none
maxconn 64
allow *
parent 1000 http 0.0.0.0 0
allow *
parent 1000 socks5 0.0.0.0 0
tcppm -i10.8.0.1 8080 127.0.0.1 11111

«десь, в строчке

external 123.123.123.123

место 123.123.123.123 вписываем IP адрес вашего сервера.


—охраним и закроем.

ѕрокси-сервер готов к запуску. «апустим его

service 3proxy start
’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников („асть 5) »нструкци€, VPN, Openvpn, ѕрокси, Vps, 3proxy, Squid, Ќастройка, ƒлиннопост

ќтлично, прокси запустилс€.


≈сли пишет ошибки, смотрим, что написано в консоли, что написано в /etc/3proxy/3proxy.log.[дата и врем€ лога]


≈сли вы всЄ сделали в точности, как написано выше, ошибок быть не должно.


“еперь нам нужно поправить правила дл€ iptables. „тобы не настраивать прокси-сервер на всех клиентских устройствах (на смартфонах это зачастую попросту невозможно без рут-прав), мы сделаем наш прокси-сервер прозрачным. “.е. дл€ клиентов он будет не виден. ќднако весь трафик, приход€щий по VPN будет заворачиватьс€ на прокси-сервер, а уже потом отправл€тьс€ в открытую сеть.


ќткрываем ‘айл /root/ipt-set и аккуратно вносим следующие исправлени€:

Ќаходим строчку:

SQUID_PORT=»8080″

и исправл€ем на

PROXI_PORT=»8080″

Ќаходим строчки

# squid
$IPT -A INPUT -i $IF_OVPN -p tcp Чdport $SQUID_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp Чdport $SQUID_PORT -j ACCEPT

и исправл€ем на

# proxi
$IPT -A INPUT -i $IF_OVPN -p tcp Чdport $PROXI_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp Чdport $PROXI_PORT -j ACCEPT

» сразу, после этих строчек добавл€ем ещЄ две:

$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp Чdport 80 -j DNAT Чto-destination 10.8.0.1:$PROXI_PORT
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp Чdport 443 -j DNAT Чto-destination 10.8.0.1:$PROXI_PORT

—охран€ем и закрываем файл.

ѕриведу, на вс€кий случай, файл /root/ipt-set полностью:

#!/bin/sh
IF_EXT="venet0"
IF_OVPN="tun0"
OVPN_PORT="443"
PROXI_PORT="8080"
IPT="/sbin/iptables"
IPT6="/sbin/ip6tables"
# flush
$IPT --flush
$IPT -t nat --flush
$IPT -t mangle --flush
$IPT -X
$IPT6 --flush
# loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# default
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT6 -P INPUT DROP
$IPT6 -P OUTPUT DROP
$IPT6 -P FORWARD DROP
# allow forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# NAT
# #########################################
# SNAT - local users to out internet
$IPT -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE
# INPUT chain
# #########################################
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ssh
$IPT -A INPUT -i $IF_EXT -p tcp --dport 22 -j ACCEPT
# VPN
$IPT -A INPUT -i $IF_OVPN -p icmp -s 10.8.0.0/24 -j ACCEPT
# DNS
$IPT -A INPUT -i $IF_OVPN -p udp --dport 53 -s 10.8.0.0/24 -j ACCEPT
# openvpn
$IPT -A INPUT -i $IF_EXT -p udp --dport $OVPN_PORT -j ACCEPT
# proxi
$IPT -A INPUT -i $IF_OVPN -p tcp --dport $PROXI_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp --dport $PROXI_PORT -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.8.0.1:$PROXI_PORT
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.8.0.1:$PROXI_PORT
# FORWARD chain
# #########################################
$IPT -A FORWARD -i $IF_OVPN -o $IF_EXT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF_EXT -o $IF_OVPN -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT
# OUTPUT chain
# #########################################
$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

“еперь весь трафик из VPN дл€ портов 80 и 443 (т.е. http и https) будет перенаправлен на наш прокси.


ѕрименим правила командой:

/root/ipt-set

≈сли вы пр€мо сейчас подключены к VPN-серверу, то уже можете заходить на разные сайты и провер€ть, что всЄ работает. «айдите на один-два любых сайта, убедитесь, что они открываютс€. “еперь посмотрите в файл лога /etc/3proxy/3proxy.log.[дата и врем€ лога]


¬ нем вы должны увидеть свою активность. ≈сли всЄ работает, то остановим наш прокси:

service 3proxy stop

ќткроем его конфиг /etc/3proxy/3proxy.cfg и строчки:

#log /dev/null
log /etc/3proxy/3proxy.log D
logformat «- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T»

превратим в:

log /dev/null
#log /etc/3proxy/3proxy.log D
#logformat «- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T»

“еперь прокси-сервер не будет писать логи и сохран€ть историю посещений сайтов. —разу удалим уже имеющийс€ лог /etc/3proxy/3proxy.log.[дата и врем€ лога]


» запустим прокси:

service 3proxy start

» добавим его в автозагрузку:

/sbin/chkconfig 3proxy on

»так, что мы имеем после выполнени€ всех инструкций:

1. јрендован и настроен VPS. ¬ход по сертификату.

2. ”становлен и настроен личный VPN-сервер и, в нагрузку, свой удостовер€ющий уентр.

3. Ќастроены клиенты VPN-сети.

4. ”становлен и настроен анонимный, прозрачный прокси-сервер.


¬ следующих стать€х мы добавим еще немного анонимности нашему серверу и вообще поговорим за личную информационную безопасность во всемирной паутине. Ќе переключайтесь.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников („асть 5) »нструкци€, VPN, Openvpn, ѕрокси, Vps, 3proxy, Squid, Ќастройка, ƒлиннопост
ѕоказать полностью 6
486

ѕро депутатов и интернет (личный опыт)

ѕрочитал вот этот пост http://pikabu.ru/story/o_zaprete_vpn_obzor_paryi_zakonoproek... про очередной законопроект о запрете VPN, прокси и других страшных вещей, в которых те кто собрались их запретить, абсолютно не разбираютс€. » вспомнил один случай на эту тему:

¬ студенческие годы (конец 90х - начало 2k), подрабатывал € компами, ну как это тогда было - покупка на рынке, сборка, установка и настройка, установка софта, ну и объ€снение что и как.

¬ конторах никаких не числилс€, а "рекламировали" мен€ по "сарафанному радио".  стати основной моей "фишкой" было не знани€ железа, или низкие цены, а именно объ€снени€ как оно работает и куда нажимать... долго, почти всегда до хрипоты и потери голоса, € объ€сн€л свежеиспеченным юзерам, что перед ними такое, как работает и как пользоватьс€, и чего делать не стоит.

Ќу и как-то раз вышли на мен€ "знакомые знакомых, знакомых через знакомых, со знакомыми знакомых..." и сказали что мой номер дали ... ни много ни мало, а депутату госдумы! » будет он мне звонить по поводу покупки компа. „то надо быть вежливым, чистым, трезвым, подобострастным и тд... Ќу и собственно был звонок от депутата и заказ на сборку ѕ  и подключени€ интернета по Dial-up.

ѕриехал € на адрес и смотрю действительно лицо то знакомое, по “¬ в те годы нет нет да мелькало! » вещало то лицо про важную вещь - борьбу с распространением порнографии в интернете. „то детей надо от интернетов защитить, порнографию искоренить, ну и тд. ѕодумал € тогда что будет депутат теперь пр€мо из дома с порнухой боротьс€.

ѕолучил денежку, на думском авто мен€ довезли до знаменитого "ћитино-базара", купил железки (в сборе комп) и поехал домой к депутату собирать.

—обрал, софт поставил, инет по карточке оплатил и собственно начал процесс объ€снени€.

ѕоказал как счет с карточки пополнить, как подключатьс€ по модему, накидал ссылок на поисковики, почтовики и другие полезные ресурсы... ƒепутат вникает, но особой уверенности, что все сможет сам, у мен€ нет.

ѕопросил проделать все самосто€тельно... депутат пробует, нажимает, открывает и тд и тут выдает: "подожди-подожди, так вот это вот окошко, это и есть интернет?!"

¬от так борец с распространением порнографии в интернете и познакомилс€ собственно с самим интернетом. (по тому как действует было видно что видит его впервые).

¬от так и сейчас слуги народа "борютс€ с неведомым и непон€тным", непонима€ даже не то как оно работает, но и что оно вообще такое.

—пасибо.

1703

ќ запрете VPN (обзор пары законопроектов)

Ўироко известный в узких кругах специалист по информационной безопасности јлексей Ћукаций опубликовал в своЄм блоге интересную статью. ѕривожу еЄ целиком.

“о, о чем € так долго и упорно не раз на прот€жении последних лет писал, все-таки произошло, - депутаты все-таки решили окончательно вбить гвоздь в крышку того, что называлось независимый, никем неуправл€емый и свободный »нтернет. “ри депутата ( удр€вцев, –ыжак, ёщенко) внесли в √осдуму два законопроекта - о запрете VPN, анонимайзеров и прокси, а также о штрафе за их рекламу и использование.

ќ запрете VPN (обзор пары законопроектов) »нтернет, «апрет, √осдума, «аконопроект, VPN, ѕрокси, ѕолитика, »нформационна€ безопасность

 ак это часто бывает у людей, которые с »нтернетом знакомы только по тому, что вид€т в браузере, DNS путают с ƒѕ—, а VPN приравнивает к Tor, законопроект получилс€ настолько широким, что под него может попасть все, что угодно, а именно:

- VPN-сервисы и VPN-решени€, примен€емые дл€ обеспечени€ конфиденциальности в сети »нтернет,

- браузеры с функцией использовани€ динамических прокси-серверов, которые могут быть применены не только дл€ облегчени€ и ускорени€ доступа к отдельным »нтернет-ресурсам, но и дл€ обхода блокировок, введенных власт€ми разных стран,

- анонимные сети Tor, I2P и др.,

- анонимайзеры,

- прокси-сервера,

- CDNы, кеширующие запрещенный контент,

- DNS-сервисы (да-да, они тоже, так как в зависимости от механизма реализации блокировок тоже могут быть использованы дл€ доступа к запрещенным ресурсам).


¬се это депутаты называют Уинформационно-телекоммуникационными сет€ми, информационными системами и программами дл€ электронных вычислительных машин дл€ получени€ доступа к информационным ресурсам, в том числе к сайтам и (или) страницам сайтов в сети У»нтернетФ, которые могут использоватьс€ на территории –оссийской ‘едерации дл€ обхода ограничени€ доступаУ (дальше дл€ сокращени€ написани€ этой длинной фразы € буду использовать слово У’–≈Ќ№Ф, написанное прописными буквами).


¬ажно: могут, а не используютс€. ѕоэтому € и вынес в список выше столь широкий набор сервисов, систем и приложений, которые и не используютс€ дл€ обхода блокировок, но могут.


„то же говорит новый законопроект, веро€тность прин€ти€ которого, достаточно высока? ¬о-первых, он запрещает использовать ’–≈Ќ№, а также ’–≈Ќ№, котора€ обеспечивает доступ к ’–≈Ќ» (например, магазины приложений дл€ мобильных устройств, которые распростран€ют браузеры Opera, Chrome, Puffin, а также программные клиенты дл€ VPN-сервисов). ќператорам поисковых систем также предписано ограничивать в выдаче ресурсы, которые предоставл€ют ’–≈Ќ№ или рекламируют ’–≈Ќ№, обеспечивающую доступ к ’–≈Ќ».


¬о-вторых, контроль ’–≈Ќ» возложен на регул€тора, который и так занимаетс€ вс€кой хренью (уже с маленькой буквы), то есть –оскомнадзор, сотрудники которого настолько часто блещут своими познани€ми в юриспруденции, что €, считавший раньше, что в свои 40 с гаком уже перестал удивл€тьс€, не перестаю удивл€тьс€, чита€ то очередное интервью руководителей – Ќ, то акты проверок терорганов (от слова "территориальные", а не "терроризирующие") по различным направлени€м их де€тельности - от контрол€ —ћ» до проверок операторов персональных данных.


¬-третьих, дл€ обеспечени€ своей де€тельности – Ќ должен создать реестр (мл€, превращаемс€ в страну непрерывно создаваемых реестров) заблокированных на территории –оссии информационных ресурсов (вроде у них така€ система и так есть), а также разработать методику мониторинга вы€влени€ ’–≈Ќ» и ’–≈Ќ», обеспечивающей доступ к ’–≈Ќ».


¬-четвертых, – Ќ об€зан идентифицировать провайдеров хостинга ’–≈Ќ», обеспечивающей доступ к ’–≈Ќ», и получать от них (на руском и английском €зыке) список лиц, которые пользуютс€ ’–≈Ќ№ё. Ёто важный пункт. ќн говорит о том, что в –оссии не просто хот€т блокировать использовани€ ’–≈Ќ», но и хот€т вы€вл€ть всех тех несознательных граждан, которые эту ’–≈Ќ№ используют дл€ доступа к запрещенной информации, подрыва€ тем самым национальную безопасность и обороноспособность нашей, не побоюсь этого слова, великой державы, которой доступ к сайту kinogo или LinkedIn может нанести непоправимый ущерб. ѕолучив эту информацию, – Ќ требует от несознательных (или сознательных) нарушителей российского законодательства отказатьс€ от свободного доступа к информации с помощью ’–≈Ќ», а от владельцев ’–≈Ќ», обеспечивающей доступ к ’–≈Ќ», перестать обеспечивать этот доступ.


Ќаконец, – Ќ направл€ет операторам св€зи требование о блокировании нерадивых пользователей и владельцев ’–≈Ќ» в случае отказа последних от использовани€ ’–≈Ќ».


≈динственный положительный момент в этом законопроекте, который (законопроект, а не момент) будет сильно мешать становлению и развитию цифровой экономики, о которой так ратуют наши чиновники во главе с ѕрезидентом –оссии, - отсутствие необходимости блокировки ’–≈Ќ», если ’–≈Ќ№ используетс€ в рамках трудовых отношений. “о есть представительства иностранных компаний, работающих в –оссии, а также российские компании, имеющие представительства зарубежом, смогут использовать ’–≈Ќ№ в своей работе. ¬споминаетс€ истори€ с советскими УЅерезкамиФ, в которых продавались самые изысканные €ства и недоступные обывателю товары, доступ к которым был разрешен только иностранцам или советским гражданам, имеющим право на выезд за границу.


¬торой законопроект устанавливает административную ответственность за нарушение требований закона в виде денежного штрафа.

P.S. Ќадеюсь у многих, после прочтени€ статьи јлексе€, по€витс€ немного €сности по существу вопроса. я говорил и говорю: только ваша лична€ грамотность в этом вопросе поможет вам пользоватьс€ свободным интернетом и дальше. „итайте мои статьи (1, 1.1, 2, 3) или статьи других авторов, учитесь пользоватьс€ имеющимис€ инструментами, учитесь находить и анализировать.

ќ запрете VPN (обзор пары законопроектов) »нтернет, «апрет, √осдума, «аконопроект, VPN, ѕрокси, ѕолитика, »нформационна€ безопасность
ѕоказать полностью 1
2719

ѕро законодательный запрет VPN и анонимайзеров + ответы на вопросы про личный VPN

«а сегодн€ новость о очередном дебильном законопроекте успела стать ба€ном. Ќе буду расписывать, сами почитаете.


„то мы должны вынести из неЄ дл€ себ€:

1. –оскомнадзор последователен в своей некомпетентности. Ёто уже привело к весьма комичным/трагичным последстви€м. Ёто хорошо, всЄ ближе тот момент, когда сизифов труд станет дл€ –оскомнадзора неподъЄмным.

2. Ѕлокировка/склонение к сотрудничеству VPN-провайдеров и анонимайзеров в очередной раз показывает, что не стоит довер€тьс€ сервисам, которые вы не контролируете. ќни или сливают информацию о вас, или будут сливать.

3. —вои криптографические ключи создавать и хранить нужно самосто€тельно.


VPN - это не волшебное слово, а очень проста€ и нужна€ технологи€. ѕоскольку всЄ уже давно катитс€ в сраное говно шло к тому, что такой законопроект по€витс€, € и начал идти по пути просвещени€ народных масс в вопросе создани€ личных VPN. я хочу вынести эту тему со страниц профессиональных ресурсов в повседневный быт. Ўифрование трафика должно стать столь же обыденным, как стиральные машинки, утюги и пр. „итайте мои статьи, пробуйте. Ёто действительно просто, дЄшево, доступно всем. ƒаже если вы гуманитарий.


“еперь про вопросы (и замечани€). я обобщил их и отвечу разом всем:


«амечание: ѕредложенное решение не обеспечивает анонимности

ќтвет: предложенное решение не защити вас от ответственности если вы продаЄте наркотики/оружие, публикуете детское порно и пр. Ќе в этом цель. ÷ель:

- помешать провайдерам интернета модифицировать трафик. “.е. не дать им технически заблокировать посещение сайта, вставить свою рекламу и пр.;

- сделать так, чтобы в —ќ–ћ и аналогичных системах хранилс€ только зашифрованный хлам. Ёто покажет их бесполезность и скомпрометирует тех, что прин€л решение о колоссальных затратах на такие системы;

- помешать рекламным сет€м собирать информацию о пользовател€х сайта. Ќет, совсем мы от них не избавимс€, но работать в этом направлении можно и нужно.

¬сЄ! »менно это € вкладываю в пон€тие "анонимность" в рамках моих статей. я не пишу инструкцию дл€ преступников.


¬опрос: нах.€ така€ геморойна€ настройка?

ќтвет: я рад вашей эрудированности. ƒействительно, есть много способов поставить VPN очень быстро. Ќо если вы это знаете, зачем вам мо€ стать€? ѕоймите цель статьи не столько VPN сервер, сколько понимание процессов. ќткуда берутс€ ключи, дл€ чего они, как примен€ютс€, что написано в конфиге, зачем нужен прокси и пр. ≈сли вы будете настаивать, чтобы ребЄнок мыл руки с мылом но не расскажете про микробов, не покажете живые примеры их воздействий, он не будет мыть руки с мылом. ћо€ идеалистическа€ цель: все должны знать про шифрование и VPN и пользоватьс€ ими.



«амечание: Ќа андроиде/IOS нужен рут дл€ OpenVPN. Ѕез него не настроить маршрутизацию.

ќтвет: Ќет, не нужен. Ќастройка маршрутизации выполн€етс€ в конфиге сервера.


«амечание: ћожно использовать opera vpn/сжатие трафика yandex-браузера и chrome/иные готовые решени€, где не нужно думать.

ќтвет: ѕовторюсь, не стоит довер€тьс€ сервисам, которые вы не контролируете. ќни или сливают информацию о вас, или будут сливать. —вои криптографические ключи создавать и хранить нужно самосто€тельно.

ѕоказать полностью
801

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 3)

ѕосле публикации второй части, число подписчиков утроилось. Ёто хорошо, чем раньше мы все перейдем на личные VPN, тем раньше (€ наивно надеюсь), наши законотворцы осознают своЄ бессилие в борьбе с »нтернетом.


„асть1


„асть2


Ќастало врем€ подключить к VPN серверу наш смартфон (или любое другое устройство).


 ак вы заметили выше, клиенту нужно отдать файл конфигурации .ovpn и четыре ключа к нему. ¬сего п€ть файлов. Ёто не удобно. ѕоэтому мы сделаем проще, мы «засунем» ключи в файл конфигурации клиента.


—оздавать файл мы будем на компьютере. ћожете создать его р€дом с уже имеющимс€ файлом (в нашем примере это test_pc.ovpn), заодно сразу проверим, что он работает.


»так создаем файл с произвольным названием и расширением .ovpn. я сделаю файл test_smart.ovpn

—одержимое файла

client
dev tun
proto udp
remote 123.123.123.123 443
resolv-retry infinite
nobind
block-outside-dns
persist-key
persist-tun
mute-replay-warnings
remote-cert-eku "TLS Web Server Authentication"
remote-cert-tls server
tls-client
auth SHA512
key-direction 1
<tls-auth>
</tls-auth>
<ca>
</ca>


<cert>
</cert>
<key>
</key>
cipher AES-256-CBC
comp-lzo
verb 3

«десь вместо 123.123.123.123 вставьте IP-адрес вашего VPN-сервера.

ќбратите внимание, что у нас ушли строчки с указанием имени файлов ключей, но добавились секции вида <ca> </ca>. ¬от в эти секции мы и будем добавл€ть ключи. ƒл€ этого в WinCSP, в левой панели найдем поочередно необходимые файлы (ca.crt, ta.key, test_smart.key, test_smart.crt) и откроем их. ¬ каждом файле будет запись вида (на примере ca.crt):

-----BEGIN CERTIFICATE-----

MIIFNTCCAx2gAwIBAgIJAJaBlANf4UOFMA0GCSqGSIb3DQEBCwUAMBYxFDASBgNV

BAMTC0Vhc3ktUlNBIENBMB4XDTE3MDYwMTA5NTA0MVoXDTI3MDUzMDA5NTA0MVow

FjEUMBIGA1UEAxMLRWFzeS1SU0EgQ0EwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAw

SirEaEdDwXsnV1o/xV7N3F6C8Hb5qpg8BKAWGrK9ABPnByABd2kRxxDbnWl42qjF

TlzUPR90pyv0+2h9V1mGD6t8lbcJO0kJEHgqG7L95QYGPq8WEaSju9EMsHL3Jsc6

2VSVrfA+4SJwUmY7R53nLaRVY3m9qy2erVWDjnylNk17TGSs5MfZDf1ZOq6ec78M

USBEo7W/Pa564jtwm8xqusI/jleFKZTXbJdq33Fmakn5caxEDiEBPUxb1c/VgAP/

lSAot8w57BaWB9jSxDCMxv9YOOLpMvMX45OMOEwwbztt9dY3PAiTZVWtijXziiUd

-----END CERTIFICATE-----

ћы должны скопировать эту запись и вставить еЄ в соответствующую секцию нашего ovpn файла. ѕолучитс€ как-то так:

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
0b9b161b4494f29b1684a7cf3acf5ef8
38b5d9ae30c000f28d6fe0185058e6a6
170fe69d48d2705441ac467b7896aa5e
9298c21d680c67c7b8bfb2adf2c8250e
886954d66b8037be62269eeb0f554b9d
5285ed47136703030d5e5b8c7b712212
-----END OpenVPN Static key V1-----
</tls-auth>


<ca>
-----BEGIN CERTIFICATE-----
MIIFNTCCAx2gAwIBAgIJAJaBlANf4UOFMA0GCSqGSIb3DQEBCwUAMBYxFDASBgNV
BAMTC0Vhc3ktUlNBIENBMB4XDTE3MDYwMTA5NTA0MVoXDTI3MDUzMDA5NTA0MVow
FjEUMBIGA1UEAxMLRWFzeS1SU0EgQ0EwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAw
SirEaEdDwXsnV1o/xV7N3F6C8Hb5qpg8BKAWGrK9ABPnByABd2kRxxDbnWl42qjF
TlzUPR90pyv0+2h9V1mGD6t8lbcJO0kJEHgqG7L95QYGPq8WEaSju9EMsHL3Jsc6
2VSVrfA+4SJwUmY7R53nLaRVY3m9qy2erVWDjnylNk17TGSs5MfZDf1ZOq6ec78M
USBEo7W/Pa564jtwm8xqusI/jleFKZTXbJdq33Fmakn5caxEDiEBPUxb1c/VgAP/
lSAot8w57BaWB9jSxDCMxv9YOOLpMvMX45OMOEwwbztt9dY3PAiTZVWtijXziiUd
-----END CERTIFICATE-----
</ca>


<cert>
-----BEGIN CERTIFICATE-----
MIIFPjCCAyagAwIBAgIBAzANBgkqhkiG9w0BAQsFADAWMRQwEgYDVQQDEwtFYXN5
LVJTQSBDQTAeFw0xNzA2MDExMTI0MjlaFw0yNzA1MzAxMTI0MjlaMBUxEzARBgNV
BAMUCnRlc3Rfc21hcnQwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCs
/ULqWUKxtzlgkkWviE2WatSxOOqhL4zNoTbYgyyuzrsRVIrfWX8GdtjXlEQ2L7zx
tMzVTUuta4tj+9/MoZjre68ncyaNzaxXSeiR/CVczT4juz9a9Iws1Zwx9XFev+wQ
RVE=
-----END CERTIFICATE-----
</cert><key>
-----BEGIN PRIVATE KEY-----
MIIJQwIBADANBgkqhkiG9w0BAQEFAASCCS0wggkpAgEAAoICAQCs/ULqWUKxtzlg
kkWviE2WatSxOOqhL4zNoTbYgyyuzrsRVIrfWX8GdtjXlEQ2L7zxtMzVTUuta4tj
+9/MoZjre68ncyaNzaxXSeiR/CVczT4juz9a9Iws1Zwx9XFev+wQyxLWlQxGrj1+
TcJ4zLUeCfiRqtiSxi/gJBLpMjJVdQWOarsbD1f7vGMzekLJGmCPxdnm1HCOOYi+
DzvvhwDG9NL0+8OQSvgur417mQ1UZS5TLtHUgxkkDMybtIT/UR23pGRnWSSuRqvD
/HUmGQwEHk2AjW6nV+dmBfeeP0ZMH1iaii7Iv9Tt2404QW8FStp2aNHexup1gQeP
P2ZvHMdf6MGsd1QT8tFuHKsCsmi/wvTc8BgEiiPbwEHnjuqtElsW4Av6uuKLRUKq
-----END PRIVATE KEY-----
</key>

 оличество строк с абракадаброй в показанной выше записи € уменьшил, у вас их будет больше. Ќе пугайтесь, это норма.

ќбратите внимание на строчку

key-direction 1

ќна об€зательно должна быть перед секцией <tls-auth> </tls-auth>

—охраним файл ovpn и поместим его в папку C:\Program Files\OpenVPN\config\

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 3) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

“еперь, если щелкнуть по значку OpenVPN в трее, увидим еще одну строчку

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 3) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

и пробуем подключитьс€. ¬се должно быть хорошо. ≈сли подключение зависло, попробуйте нажать кнопку «ѕереподключитьс€» в окне с логом подключени€. ≈сли всЄ равно зависает, значит вы накос€чили в файле ovpn. ѕровер€йте.

ѕосле проверки можете убрать файл из папки C:\Program Files\OpenVPN\config\


“еперь на своем устройстве устанавливаем клиент OpenVPN Connect. ќни есть и дл€ Android (https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=ru) и дл€ IOS (https://itunes.apple.com/ru/app/openvpn-connect/id590379981?mt=8). » у той, и у той функционал убог, но у обоих есть функци€ Import profile, а большего нам и не нужно.

„тобы передать файл конфигурации на устройство, отправим его сами себе на тот e-mail, к которому у вас есть доступ с этого устройства. ќткрываем на устройстве это письмо и сохран€ем файл .ovpn в любое удобное место. √лавное не забыть Ц куда.


ћожно передать конечно и другим способом. Ќапример, через любой облачный ресурс (Google Drive, iTunes, Hubic, Yandex Disk и пр.). “ут как вам удобнее.

Ќа андроиде:

ћожно попробовать просто открыть файл .ovpn. ¬ большинстве случаев сразу откроетс€ приложение OpenVPN Connect. ѕо€витс€ запрос, нужно ли установить файл .ovpn. ѕодтвердите данное действие.


≈сли так не получилось, то запускаем OpenVPN Connect

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 3) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

¬ыбираем Import -> Import Profile from SD card

Ќаходим наш .ovpn файл, становимс€ на него и жмЄм SELECT

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 3) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

Ќу и жмем Connect

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 3) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост
’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 3) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

¬ строке статуса, вверху, по€витс€ ключик. ¬сЄ, ваше устройство теперь подключено к интернету через VPN-сервер.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 3) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

ƒл€ iPhone / iPad


¬сЄ очень похоже.


“акже передаем на устройство файл .ovpn любым удобным способом (см. выше).


ѕри попытке открыть файл .ovpn на смартфоне / планшете iOS сразу откроетс€ приложение OpenVPN Connect. ѕо€витс€ запрос, нужно ли установить файл .ovpn. Ќажмите кнопку У+Ф и установите файл .ovpn.


“еперь запустите OpenVPN Connect, выберите импортированный файл и нажмите по переключателю УOffФ. ѕо€витс€ статус «Connected».


¬верху, в строке состо€ни€ по€витс€ пиктограмма VPN.


“еперь можно (и нужно) удалить файл .ovpn из того места, куда вы его сохран€ли при переносе на устройство.

¬ј∆Ќќ:

ѕосле импортировани€ файла .ovpn в OpenVPN Connect файл записан в хранилище программы. “еперь можно (и нужно) удалить файл .ovpn из того места, куда вы его сохран€ли при переносе на устройство. » письмо с этим файлом, если переносили через почту. » из облака (если переносили через облако). » из корзины. ќтовсюду!

ƒомашнее задание дл€ подписчиков:

1. нагенерируйте сертификов дл€ всех своих гаджетов;

2. сделайте .ovpn файлы и подключите гаджеты к VPN серверу.

≈сли будут трудности, спрашивайте в комментари€х.

ѕоказать полностью 7
208

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2)

ѕерва€ часть статьи особого ажиотажа не вызвала, но после неЄ на мен€ подписалась 10 человек, а значит они ждут продолжени€. 10 человек, это не мало. ѕоэтому продолжаем.


ѕерва€ часть.


ћы выполнили необходимый минимум подготовительных работ, наш сервер неплохо защищен от злонамеренных воздействий. “еперь пора сделать, дл€ чего мы всЄ это затевали.

Ќемного теории, дл€ понимани€ того, что мы сечас будем делать. VPN (Virtual Private Network) Ч виртуальна€ частна€ сеть. »де€ в том, что мы строим свою сеть «поверх» других сетей.


ƒопустим вы решили зайти на запрещенный ресурс (да на любой ресурс).  акой маршрут вашего интернет трафика? ¬ большинстве случаев схема така€:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

Ѕезусловно, это очень упрощенна€ схема. Ќо дл€ понимани€ процесса достаточна.  ак видите, у провайдера есть некий-фильтр, который «просматривает» весь ваш трафик и принимает решени€, пропустить или нет (настучать на вас или нет :) ). ‘актически ваша точка выхода в интернет Ц это внешние маршрутизаторы вашего провайдера. »менно тут принимаетс€ решение, увидите вы тот или иной ресурс или нет.

„то сейчас сделаем мы, запустив наш трафик через интернет:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

Ќа наших личных устройствах (компьютер, смартфон, планшет и т.д.) будут установлены и настроены программы-клиенты дл€ VPN сервера. Ќа нашем VPS будет установлена и настроена программа-сервер VPN.  ак только они соедин€тс€ между собой, по€вл€етс€ наш виртуальный зашифрованный канал поверх всех остальных каналов (красна€ пунктирна€ лини€ на рисунке). “еперь никто не знает, что содержитс€ в трафике между нашими устройствами и нашим VPN сервером, весь трафик надЄжно зашифрован. ‘актически, теперь наша точка выхода в интернет Ц это наш VPS. »менно его IP-адрес будут видеть все те »нтернет-ресурсы, на которые мы будем заходить. “еперь никакой товарищ майор не узнает, какие видосики вы смотрите, на какие сайты вы ходите и какие сообщени€ на форумах пишете. ƒа, если получить доступ к вашему VPS, можно узнать содержимое вашего трафика. Ќо ведь наш VPS в другой стране, надавить авторитетом на хостера не получитс€, у него пердставительств и имущества на территории нашей страны и нашего товарища майора пошлют. Ќужно затевать полноценное расследование, привлекать международные соглашени€, »нтерпол, направл€ть обоснованный (причем обоснованный с точки зрени€ законодательства страны хостера) запрос. ¬ общем, если вы не натворите чего-нибудь совсем плохого, никто ничего и не получит. ≈динственное, что от вас требуетс€: аккуратное обращение с ключами и парол€ми. ¬ернЄмс€ к этому вопросу позже.


’ватит теории, переходим к практике.


” вас уже запущены и соединены с сервером PuTTY и WinCSP. ѕереходим к консоли PuTTY и выполн€ем следующие команды:

yum install wget -y
yum install unzip zip -y
yum install openvpn -y

—оздадим папку дл€ ключей установим еЄ текущей. ƒл€ это выполним в консоли команды:

mkdir /etc/openvpn/keys
cd /etc/openvpn/keys

ƒл€ генерации ключей мы используем утилиту Easy-RSA. ƒл€ начала скачем еЄ себе:

wget https://github.com/OpenVPN/easy-rsa/archive/master.zip

–аспакуем:

unzip master.zip

—оздадим файл с настройками из приложенного образца:

cp vars.example vars

ѕерейдем в папку с утилитой:

cd /etc/openvpn/keys/easy-rsa-master/easyrsa3

—вернЄм пока консоль и развернЄм WinCSP. ѕерейдЄм в папку /etc/openvpn/keys/easy-rsa-master/easyrsa3.


ѕримечание: если в правой панели WinCSP вы вдруг не видите каких-либо файлов или папок, которые там должны быть, нажмите кнопку обновлени€:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

Ќаходим и открываем файл vars. Ќаходим строчки


#set_var EASYRSA_REQ_COUNTRY "US"

#set_var EASYRSA_REQ_PROVINCE "California"

#set_var EASYRSA_REQ_CITY "San Francisco"

#set_var EASYRSA_REQ_ORG "Copyleft Certificate Co"

#set_var EASYRSA_REQ_EMAIL "me@example.net"

#set_var EASYRSA_REQ_OU "My Organizational Unit"


и убираем в начале каждой символ #

“еперь можно включить фантазию и изменить под себ€ значени€ в кавычках. Ќапример:


set_var EASYRSA_REQ_COUNTRY "RU"

set_var EASYRSA_REQ_PROVINCE "Moscow"

set_var EASYRSA_REQ_CITY "Moscow"

set_var EASYRSA_REQ_ORG "RosComNadzor"

set_var EASYRSA_REQ_EMAIL "admin@rkn.ru"

set_var EASYRSA_REQ_OU "Otdel besnennogo printera"


Ёти параметры об€зательны при генерации ключа, но, в нашем случае, ни на что не вли€ют. ƒалее находим и приводим к указанному виду следующие параметры:

—трочку


#set_var EASYRSA_KEY_SIZE 2048


превращаем в:


set_var EASYRSA_KEY_SIZE 4096


—трочку


#set_var EASYRSA_DIGEST "sha256"


превращаем в:


set_var EASYRSA_DIGEST "sha512"


¬ этом файле можно еще много чего поправить, например, срок действи€ ключа. Ќо мы не будем этого делать. ѕерегенерировать ключ раз 180 дней Ц не так уж и сложно. «акрываем файл с сохранением.


¬озвращаемс€ к консоли PuTTY. —оздаем инфраструктуру публичных ключей (PKI, Public Key Infrastructure). ¬ыполним команду:


./easyrsa init-pki
’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

Easy-RSA отвечает нам, что создан каталог /etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/

Ќе буду расписывать, что такое PKI. ѕро это есть отлична€ статьс€ с картинками в ¬икипедии.

Ќам важно знать, что ключи создаютс€ парами Ц закрытый и открытый. ƒл€ обмена с кем-то защищаемой информацией мы обмениваемс€ открытыми ключами. ¬ данном случае у сервера будет свой закрытый ключ и открытые ключи клиентов. ” клиентов свои закрытые ключи и открытый ключ сервера. ј удостовер€ть подлинность ключей, будет созданный нами же удостовер€ющий центр. ≈го корневой сертификат будет у всех участников обмена.


—оздадим свой удостовер€ющий центр (—ј). ѕо-хорошему, его бы надо создавать не здесь, а на какой-то отдельной машине и, в идеале, не подключенной к интернету. Ќо, в нашем частном случае, это чрезмерна€ параной€. Ќе будем забывать, что наша задача просто выйти из-под регулировани€ законодательства своей страны. ≈сли кто-то получит возможность покопатьс€ в нашем сервере, он и так всЄ узнает. ѕоэтому не будем усложн€ть.


¬ыполним команду:

./easyrsa build-ca

Ќас прос€т придумать пароль:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

ƒа-да, оп€ть пароль. “ребовани€ к сложности примерно такие же, как и дл€ парол€ ключа SSH. «ачем этот пароль: если корневой сертификат вашего удостовер€ющего центра попадЄт в чужие руки, то любой сможет сгенерировать пользовательские сертификаты и подключитьс€ к вашему VPN-серверу. ѕоэтому вы должны беречь от разглашени€ и закрытый ключ корневого сертификата (файл ca.key), и пароль к нему. «абывать этот пароль также не стоит. ¬осстановить его нельз€ и придетс€ заново создавать корневой сертификат и все пользовательские сертификаты. Ќе смертельно, но не при€тно. ¬ общем придумываем и вводим пароль. Ќас попрос€т ввести его два раза. Ќа следующий вопрос:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

просто жмЄм Enter (также будем поступать дл€ всех остальных ключей). ” нас по€вились файлы ca.crt (корневой сертификат. ќн открытый, мы его будем передавать клиентам)

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

и ca.key (закрытый ключ удостовер€ющего центра, его нужно беречь от разглашени€. Ёто сама€ ценна€ дл€ вас вещь на вашем сервере).

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

“еперь создадим пару (открытый, закрытый) ключей дл€ нашего VPN-сервера. «акрытый ключ сервера мы не будем защищать паролем, так как вводить этот пароль пришлось бы при каждой перезагрузке сервера. —оздаЄм запрос на сертификат:

./easyrsa gen-req server nopass

Ќа запрос ввести Common Name просто жмЄм Enter.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

 ак видите, на выходе у нас два файла: server.key Ц это закрытый ключ сервера; server.req Ц это запрос нашему CA на удостоверение (подписывание) сертификата. —кормим запрос нашему CA:

./easyrsa sign-req server server

CA просит подтвердить, что мы в своЄм уме и действительно хотим подписать сертификат. ”бедим его в этом: наберЄм yes и нажмЄм Enter.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

“еперь введЄм пароль от нашего закрытого ключа CA

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

» вот CA создал подписанный открытый ключ нашего сервера /etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/issued/server.crt

ј теперь мы сделаем очень нужную штуку. ћы создадим ключ ƒиффи-’елмана. Ётот ключ защитит наш трафик от расшифровки даже в случае похищени€ ключей сервера и клиентов. “.е. если товарищ майор записывал весь ваш шифрованный трафик, скрип€ зубами от досады, что не может пон€ть, что ж такое вы делаете. ј потом он вдруг заполучит все ваши ключи, то он всЄ равно не сможет расшифровать тот трафик, который у него записан. ¬от така€ вот маги€ математики. Ѕерегите математиков, они умные и защищают нас от товарища майора.

¬водим в консоли команду:

./easyrsa gen-dh

и идЄм пить чай ибо процесс это не быстрый. ј учитыва€, что процессор у VPS весьма слабенький, генераци€ может зан€ть до 15 минут (а может и больше). ¬ общем ждите, маги€ быстро не делаетс€.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

 огда генераци€ завершитс€, мы получим файлик /etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/dh.pem

≈ще мы сделаем список отозванных сертификатов. ќн нам пригодитс€, чтобы сделать недействительными какие-либо клиентские ключи. Ќапример, при утере смартфона с настроенным VPN-клиентом.

¬ыполним команду:

./easyrsa gen-crl

» получим файл /etc/openvpn/keys/easy-rsa-master/easyrsa3/pki/crl.pem. ¬ нЄм и будет список отозванных сертификатов. ќтзывать сертификаты мы потренируемс€ позже, пока оставим так.


“еперь подкинем VPN-серверу все необходимые ключи. ƒл€ этого выполним несколько команд:

cp pki/ca.crt /etc/openvpn/
cp pki/dh.pem /etc/openvpn/
cp pki/crl.pem /etc/openvpn/
cp pki/issued/server.crt /etc/openvpn/
cp pki/private/server.key /etc/openvpn/

ѕолучитс€ вот так:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

» сделаем текущей папку VPN-сервера:

cd /etc/openvpn

≈ще не много магии дл€ усилени€ безопасности. —делаем HMAC (ищите описание на ’абре и в ¬икипедии). ¬ыполним команду:

openvpn --genkey --secret ta.key

–€дом с нашими ключами в папке /etc/openvpn будет создан файл ta.key. ≈го мы также будем отдавать клиентам.

“еперь с помощью WinCSP поправим права на файлы: ca.crt, crl.pem, dh.pem, server.crt. —делаем дл€ всех 0644.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

ј дл€ файлов server.key, ta.key установим права 0600 (по-идее они сразу такие и есть, но на вс€кий случай проверьте).


¬ принципе VPN-сервер можно уже сконфигурировать и запускать, но нам пока нечем к нему подключитьс€. ѕоэтому создадим ключи дл€ клиента. ¬ернЄмс€ в папку утилиты Easy-RSA:

cd /etc/openvpn/keys/easy-rsa-master/easyrsa3

ƒл€ создани€ ключа и запроса на подпись используетс€ команда (не спешите вводить, сначала прочитайте то, что ниже):

./easyrsa gen-req client_name nopass

ƒл€ подписани€ запроса и создани€ открытого ключа команда:

./easyrsa sign-req client client_name

¬сЄ также, как и при создании ключей сервера. ≈сли возникнут вопросы, смотри выше, как мы там это делали.


ќбратите внимание на следующее:


- ключ nopass вы можете использовать, а можете не использовать. — ключом nopass вам не потребуетс€ придумывать пароль дл€ закрытого ключа клиента. “огда, при подключении к VPN-серверу, и вводить его не придЄтс€. Ќо в этом случае любой, кто завладеет ключом клиента, сможет подключитьс€ к вашему VPN-серверу. ќднако, вводить каждый раз пароль не удобно. »щите компромисс. Ќапример, на домашнем компьютере ключ без парол€, на рабочем Ц с паролем. ≈сли ваше переносное устройство не имеет дополнительных мер защиты (шифрование накопител€, контроль доступа и пр.) и есть риск потер€ть устройство, или иным образом скомпрометировать Ц сделайте ключ с паролем.


- client_name это произвольное, пон€тное вам название того клиента, который будет им пользоватьс€. Ќапример, дл€ домашнего компьютера можно сделать им€ my_home_pc. “огда команды будут выгл€деть так:

./easyrsa gen-req my_home_pc nopass
./easyrsa sign-req client my_home_pc

ј дл€ своего смартфона сделать ключи с именем my_smartphone и с защитой паролем. “огда команды будут выгл€деть так:

./easyrsa gen-req my_smartphone
./easyrsa sign-req client my_smartphone

¬ общем делайте удобное и пон€тное им€, чтобы не запутатьс€ в ключах.


ƒл€ данной статьи € сделаю тестовые ключи дл€ компьютера и смартфона с именами test_pc и test_smart


—начала покажу как настроить подключение с компьютера. ћы проверим, что наш VPN работает, а потом расскажу, как настроить на смартфоне.


 лиенту нужно будет передать следующие файлы:

- сгенерированную пару ключей клиента (в моЄм случае test_pc.crt и test_pc.key)

- открытый сертификат CA (ca.crt)

- ta.key


Ќикаких других ключей и сертификатов у клиента быть не должно!


Ќу вот, все ключи у нас есть. ƒавайте уже конфигурировать и запускать.

¬ папке /etc/openvpn создадим файл server.conf (если он там уже есть, удалите и создайте заново).  ак создавать файлы, было написано ранее. —одержимое файла будет следующее:


port 443

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh.pem

crl-verify crl.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1"

push "dhcp-option DNS 8.8.8.8"

push "dhcp-option DNS 8.8.4.4"

remote-cert-eku "TLS Web Client Authentication"

keepalive 10 120

tls-server

tls-auth ta.key 0

tls-timeout 120

auth SHA512

cipher AES-256-CBC

comp-lzo

max-clients 10

user nobody

group nobody

persist-key

persist-tun

status openvpn-status.log

log openvpn.log

verb 4


ќписание опций файла выходит за рамки статьи. ќ некоторых опци€х € расскажу ниже, в процессе.


—охраним файл. ѕроверим, чтобы права были 0644.

“еперь пробуем запустить сервер. ¬ консоли команда:

systemctl start openvpn@server

ѕровер€ем, что запустилс€.

—начала посмотрим на состо€ние службы сервера командой:

systemctl status -l openvpn@server

≈сли всЄ хорошо, то это будет выгл€деть вот так:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

Ќо может быть и плохо:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

—мотрим лог (/etc/openvpn/openvpn.log) и видим там, например:


us=64300 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)

us=64310 Exiting due to fatal error


“.е. не найден TUN/TAP драйвер. ќб этом € писал в начале статьи. ¬ случае моего текущего хостера это решаетс€ просто. ¬ письме (смотри раздел про аренду VPS), которое содержало IP-адрес сервера и пароль на SSH, была дана ссылка на панель управлени€ сервером и логин-пароль к ней. «аходим в эту панель и видим:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

“ак включим же его. ѕосле включени€ сервер уйдет в перезагрузку, придетс€ закрыть PuTTY и WinCSP, открыть их заново и подключитьс€ к серверу. ¬озможно, в случае другого хостера, дл€ включени€ TUN/TAP вам придетс€ написать в тех.поддержку.

≈ще раз пробуем запустить службу и проверить еЄ состо€ние. ¬сЄ должно стать хорошо. ≈сли не стало, смотрим логи. “ут универсального рецепта нет. Ќапример, может мешать SELinux (это така€ система безопасности Linux). „иним командой:

semanage port -a -t openvpn_port_t -p udp 443

» оп€ть пробуем запустить службу и проверить состо€ние.


≈ще проверим, что служба VPN-сервера слушает нужный порт (у нас 443):

netstat -tulnp | grep 443

≈сли напишет что-то типа: -bash: netstat: command not found, то выполн€ем команду:

yum install net-tools -y

» потом снова:

netstat -tulnp | grep 443

ƒолжно быть так:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

”бедившись, что служба стартует без проблем, добавл€ем еЄ в автозагрузку:

systemctl enable openvpn@server

Ќу и отключим логи. Ќа вс€кий случай ;) ƒл€ этого откроем дл€ редактировани€ файл /etc/openvpn/server.conf и строчку:


log openvpn.log


переделываем в:


log /dev/null


сохран€ем и закрываем. ƒелаем перезапуск службы, чтобы применилс€ новый конфиг:


systemctl restart openvpn@server

» удал€ем файл /etc/openvpn/openvpn.log


Ќет у нас логов, товарищ майор.


ѕришла пора подключитьс€ к нашему серверу. –ечь пойдет о компьютерах под управлением операционной системы семейства Windows. ≈сли у вас Linux, то € не пойму, зачем вы всЄ это читаете.


—качиваем клиента.


» устанавливаем. ¬ процессе убираем галочку с OpenVPN Service

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

ќстальное не трогаем.

ѕосле установки открываем папку C:\Program Files\OpenVPN\config\ и создаем в ней файл client_name.ovpn


¬ данном случае client_name это произвольное им€, можете сделать его совпадающим с именем ключей.

—одержимое файла:


client

dev tun

proto udp

remote 123.123.123.123 443

resolv-retry infinite

nobind

block-outside-dns

persist-key

persist-tun

mute-replay-warnings

remote-cert-eku "TLS Web Server Authentication"

remote-cert-tls server

tls-client

tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1

auth SHA512

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"

cert "C:\\Program Files\\OpenVPN\\config\\test_pc.crt"

key "C:\\Program Files\\OpenVPN\\config\\test_pc.key"

cipher AES-256-CBC

comp-lzo

verb 3


¬место 123.123.123.123 вписываем IP-адрес своего сервера. ¬место test_pc.crt, test_pc.key вписываем правильные названи€ своих клиентских ключей. ¬ общем-то ключи совсем не об€зательно должны лежать в папке C:\Program Files\OpenVPN\config\, даже было бы намного лучше, чтобы они здесь не лежали, а находились на флешке и были всегда под контролем. “огда путь выгл€дел бы примерно так:

ca "E:\\my_keys\\ca.crt"


Ќо мы не будем пока мудрить и сделаем так. —охран€ем файл.


ѕри помощи WinCSP скопируем к себе на компьютер все необходимые ключи с сервера:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

» запускаем OpenVPN GUI (кнопка ѕуск -> OpenVPN -> OpenVPN GUI)

“ак как у вас всего один файл .ovpn в папке C:\Program Files\OpenVPN\config\, то соединение должно начатьс€ автоматически. ѕо€витс€ окно с логом соединени€:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

ј как только соединение будет установлено, в трее по€витс€ соответствующий значок зеленого цвета:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост

ўелкнув правой кнопкой мыши на этом значке, можно увидеть меню управлени€ клиентом (отключитьс€, подключитьс€, настройка).

≈сли значок желтый, то клиент в процессе установление соединени€.

≈сли серый, клиент не подключен к VPN-серверу.


≈сли подключитьс€ не получаетс€, провер€йте настройки файрволла сервера, как это написано выше (в предыдущей части статьи).


ѕровер€ем, что теперь наш видимый в интернете IP-адрес совпадает с IP-адресом сервера. Ќапример, по пройдем по адресу http://myip.ru/ и посмотрим.


¬сЄ, ваша лична€ VPN сеть работает, товарищ майор больше не может отслеживать ваш трафик.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников (часть 2) »нструкци€, VPN, Openvpn, Vps, јнонимность, ќбход ограничений, ƒлиннопост
ѕоказать полностью 22
409

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников

ѕредлагаю вашему вниманию инструкцию (в виде цикла статей ибо за один раз на пикабу всю статью не опубликовать), как обойти ограничени€ на посещение сайтов и стать безликим дл€ рекламных сетей с применением VPN и прокси сервера, установленных на VPS. —тать€ была написана дл€ другого ресурса, но возможно буде интересна и здесь.


ћногие из вас в гневе восклинут, что это бо€н и статей про VPN и Squid миллион! ƒа это так, но тем не менее, считаю данный материал актуальным и вот почему.

Ѕольшинство инструкций по настройке VPN сервера не описывают:

- где вз€ть виртуальную машину дл€ его установки;

- как выбрать хостинг, какие требовани€ к VPS и хостингу;

- где вз€ть консоль;

- как попасть в консоль;

- как попасть в консоль по сертификату и защитить сервер от брутфорса;

- как обойтись без консоли (в частности дл€ редактировани€ файлов), а то ничего не пон€тно;

- как защитить сервер, настроив файрволл;

- как обойти ограничени€ корпоративных сетей на «левые» порты и протоколы.


“.е. инструкции по настройки есть, но дл€ человека, далекого от тематики они порождают вопросов больше, чем дают ответов. ј на свободный интернет и анонимность имеют право все.


 роме того, име€ где-то там свой личный сервер с VPN было бы глупо не использовать возможность установки анонимного прокси, который пусть и не на 100%, но процентов на 90 сделает вас безликим дл€ сборщиков личной информации (рекламные сети, поисковики и пр.).


≈сть платные VPN сервисы, есть платные прокси и у них есть много неоспоримых преимуществ (множество IP, возможность мен€ть IP и страну на ходу, легкое подключение). Ќо есть и очевидные недостатки:

- в первую очередь цена. —вой VPS обойдетс€ значительно дешевле.

- кто-то, кто создал сервис, знает о вас всЄ.

- IP адреса таких платных сервисов часто бан€тс€ как на уровне провайдеров, так и на уровне интернет-ресурсов.


¬ общем € написал пошаговую, очень подробную инструкцию, как:

1. ¬ыбрать хостера и арендовать VPS.

2. Ќастроить безопасный вход по SSH с использованием сертификатов.

3. Ќастроить файрволл своего VPS.

4. ”становить и настроить VPN сервер. Ќастроить все свои устройства дл€ подключени€ к этому серверу (в том числе смартфоны);

5. ”становить и настроить прокси-сервер Squid и настроить подключение к нему


Ќапоминаю, нашей целью не €вл€етс€ полна€ анонимность. ≈сли вы хотите стать анонимным в сети, используйте Tor и свою паранойю. Ќаша цель избавитьс€ от слежени€ со стороны рекламных сетей и интернет-провайдеров, исключить модификацию трафика интернет-провайдерами, обойти ограничени€ на посещение сайтов и зашифровать весь свой трафик, проход€щий по территории страны проживани€. ≈сли вы будете делать что-то противозаконное с использованием описанных в статье технологий, вас найдут, даже не сомневайтесь.


ј еще сможете в компании так невзначай сказать: "„то, вы не можете зайти на порн-хаб? Ёлементарно! я вот подн€л свой VPN сервер c проксированием  в Ќидерландах. Ќикакие ограничени€ на мен€ не действуют, хожу в интернет по зашифрованному каналу".

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

¬ыбор хостинга и аренда VPS


ƒл€ начала нам понадобитьс€ виртуальный сервер (VPS). ¬ мире многоЕ нет, не так. ¬ мире ќ„≈Ќ№ ћЌќ√ќ хостеров, готовых предложить VPS за небольшие деньги.  онкуренци€ велика и это хорошо. „тобы выбрать именно то, что нам нужно, определим требовани€:


1. ѕоддержка tun/tap („то это такое, ищите в ¬икипедии. Ќекоторые хостеры эту технологию не предоставл€ют вообще, некоторые по запросу, некоторые сразу. ”точнить можно в службе продаж или в службе тех. поддержки хостера.)

2.  ак можно дешевле. Ќу тут пон€тно.

3. ƒатацентр хостера должен быть как можно ближе к вам (меньше пинг).

4. ∆елательно, чтобы он не попадал под юрисдикцию российских спецслужб и никак от них не зависел. “.е. у хостера не должно быть представительств или датацентров в –оссии. ћы же не хотим, чтобы кто-то «слушал» наш трафик или лез в нашу личную жизнь. ¬ернее, лезть то будут, но лично мен€ не парит ели это будут спецслужбы Ќидерландов, ‘ранции или √ермании, но € исключительно против российских спецслужб.

5. Ќам не важен размер жесткого диска VPS и скорость его работы. “.е. нам всЄ равно, HDD будет SSD. ƒа и места потребуетс€ настолько мало, что этим параметром можно пренебречь.

6. ј вот оперативной пам€ти € бы не рекомендовал меньше 512 ћЅ.

7. —етевой трафик VPS должен быть либо не ограничен, либо иметь такое ограничение, в которое мы не упремс€ (по опыту от 512 √Ѕ в мес€ц и выше).

8. —корость сетевого интерфейса не менее 100 ћЅ/сек.

9. Ќу и сам хостер должен быть с более-менее приличным сроком нахождени€ на рынке, а не какой-то реселлер однодневка.


я не буду давать здесь конкретных рекомендаций по хостерам, дабы не сочли за рекламу. ≈сли кому-то интересно моЄ мнение и мой опыт по этому вопросу, то готов ответить в комментари€х.


я буду приводить скриншоты при работе с одним из моих посто€нных хостеров, у других всЄ тоже самое. ѕринципиальных отличий нет.


»так, нашли подход€щего хостера и берЄм в аренду VPS.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

≈сли при настройке услуги хостер просит указать доменное им€ и DNS, пишем любую лабуду. Ќам это, в данном случае, не важно. ќперационную систему € выбрал CentOS 7 x64 и дл€ неЄ будут все дальнейшие инструкции. ¬ы вольны выбрать любой дистрибутив, принципиальных отличий нет.

ѕри первоначальной регистрации и оплате хостер может запросить некоторые ваши документы: фото удостоверени€ личности (паспорта); фото банковской карты, с которой проводитс€ оплата (естественно с закрашенными начальными цифрами номера и закрашенным CVC-кодом); копию последней платежки за коммунальные услуги с различимым адресом проживани€. Ёто нормальна€ ситуаци€. ’от€т убедитс€, что вы не мошенник и не пользуетесь чужой картой. ћогут и не запросить. “ут как повезЄт.


ѕосле оплаты и верификации вы получите на свою электронную почту письмо примерно такого содержани€:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

 ак видим нам дали IP адрес нашего арендованного VPS (Main IP), логин (Username) и пароль (Root Password) дл€ вход€ по SSH. “акже дали ссылку на панель управлени€ сервером и логин-пароль дл€ входа в панель. »з панели, как правило, можно включить/выключить/перезагрузить сервер, сбросить пароль root, посмотреть статистику сервера (использование пам€ти/процессора/трафика) и прочие базовые вещи.


Ќастройка SSH


”правл€ть нашим сервером мы будем через SSH-консоль. ƒа, есть множество решений графического интерфейса дл€ управлени€ linux-серверами, но это не наш путь. ¬о-первых, наш VPS очень базового уровн€ и его ресурсов если и хватит дл€ работы графического интерфейса, то впритык. ¬о-вторых, практически дл€ любого графического интерфейса потребуетс€ Web-сервер и дополнительные открытые порты, что резко увеличивает у€звимость нашего сервера дл€ атак злоумышленников. Ќу и в-третьих, нам его один раз настроить и забыть.


Ќам потребуетс€ сам SSH-клиент, а также утилиты дл€ генерации ключей.  ачаем и распаковываем архив https://the.earth.li/~sgtatham/putty/latest/w32/putty.zip

»з архива нужны будут сам клиент putty.exe и утилита генерации ключей puttygen.exe. “акже можно скачать их по-отдельности на этой странице: https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.ht...


≈ще нам понадобитьс€ WinSCP. ќчень удобна€ штука, особенно дл€ тех, кто не любит работать в консоли.  ачаем здесь https://winscp.net/download/files/201705310908cd3ce105c1c1ca... и распаковываем архив. ƒл€ запуска используем WinSCP.exe


“еперь все готово. Ќачинаем настраивать.


ƒл€ начала подключимс€ по SSH по паролю и убедимс€, что наш сервер работает. ƒл€ этого запускаем putty.exe

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост
’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

в поле Host Name вписываем полученный по почте IP-адрес и жмем кнопку Open (если по€витс€ окно PuTTY Security, жмем «ƒа») и, в черном окне,  вводим логин (root) и пароль из письма.

ћаленький лайфхак: сейчас вам придЄтс€ в консоль вводить длинный и не удобный пароль, а в дальнейшем длинные и неудобные команды. ћожно сократить ручной труд и просто копировать вставл€ть.  опировать как обычно, а дл€ вставки переводим курсор на черное окно putty и жмем правую кнопку мыши. ¬сЄ. “о, что копировали, будет вставлено. » пароль тоже вставитьс€. Ётого будет не видно, но ничего страшно, после нажати€ правой кнопки мыши сразу нажмите Enter. ѕри копировании будьте аккуратны, выдел€€ текст дл€ копировани€ не зацепите лишние пробелы.

login as: root
root@123.123.123.123's password:
[root@vps12345~]#

„тобы завершить ввод команды, нужно нажать Enter. Ќапример, добавим нужный репозиторий и обновим наш сервер. ¬водим (или копируем отсюда) следующую команду и жмем Enter.

yum install epel-release Цy

–езультат будет выгл€деть примерно так:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

“еперь обновим сервер:

yum update Цy

—вернЄм пока консоль, она нам понадобитьс€ чуть позже. ѕопробуем подключитьс€ к серверу в WinSCP. «апускаем WinSCP.exe.

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

Ќастраиваем параметры:

File protocol: SFTP

Host name: IP-адрес из письма

User name: root

Password: оставл€ем пустым

∆мЄм УSaveФ, в по€вившемс€ окне «ќ ». “еперь слева, в списке, по€вилась запись вида root@[IP-адрес]. ƒважды кликнем по ней. ѕо€витс€ окно с предупреждением, жмЄм Yes. ¬водим пароль и WinSCP подключаетс€.

“еперь мы видим две панели: слева файловую систему своего компьютера (диск —), а справа файловую систему VPS (обычно при первом входе бывает открыта папка /root). ќбратите внимание: в правой панели сверху списка папок всегда будет символ папки со стрелочкой и двум€ точками. ≈сли его два раза кликнуть (или стрелками на клавиатуре переместить на него курсор и нажать Enter) вы перейдЄте на уровень вверх. Ќапример, сейчас сможете попасть в корень файловой структуры сервера. ¬ыгл€дит это так:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

—вернЄм пока WinSCP и запустим puttygen.exe.

—ейчас мы создадим сертификаты дл€ SSH-подключени€. –анее мы подключились по простому паролю. »спользование парол€ не безопасно: его можно перехватить или подобрать. ѕоэтому сделаем ключи и настроим наш сервер на подключение только с этими ключами.


ѕровер€ем, что выбран тип ключа RSA, количество бит не менее 2048

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

» жмЄм кнопку УGenerateФ. “еперь на врем€ освоим роль биологического генератора случайных чисел: двигаем хаотично мышкой и(или) жмем хаотично кнопки на клавиатуре (желательно кнопки с буквами и цифрами, остальные не трогаем).  ак только зелЄна€ полоска доползет, закрытый ключ готов.

ѕридумываем дл€ его защиты хороший пароль (Ќе менее 10 символов, латинские маленькие и большие буквы, хот€ бы один спец-символ !@#$%^&*()<>,.:;ФТ). ѕароль забывать нельз€, его никак не восстановить! ¬водим этот пароль два раза:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

∆мем УSave public keyФ и сохран€ем публичный ключ (даЄм ему им€ public.pub и не забываем куда сохранили. я создал папку test на диске —:, дальше буду использовать еЄ). ∆мЄм УSave private keyФ и сохран€ем приватный ключ (даЄм ему им€ private и сохран€ем р€дом с публичным). ” нас должно получитьс€ два файла: private.ppk и public.pub


–uttygen можно закрывать, он нам больше не понадобитьс€. ¬озвращаемс€ к WinSCP. —лева находим папку с двум€ указанными выше файликами, а справа открываем папку /tmp. —лева «становимс€» на файл public.pub, нажимаем F5 (одна из ненужных кнопок в самом верхнем р€ду клавиатуры) и ќ . Ќаш файлик копируетс€ на сервер. ѕолучитс€ вот так:

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

¬озвращаемс€ к консоли PuTTY. ¬водим команду:

ssh-keygen -i -f /tmp/public.pub >> /root/.ssh/authorized_keys

¬сЄ, наш сервер готов принимать подключени€ по сертификату. «акрываем (совсем, крестиком) окно PuTTY и снова запускаем putty.exe. —оздадим профиль дл€ нашего сервера. ќп€ть в поле УHost NameФ вписываем IP-адрес сервера. —права, в списке находим пункт Connection -> Data и в поле УAuto-login usernameФ вписываем root. —права в списке находим пункт Connection -> SSH -> Auth находим поле УPrivate key file for authentication:Ф и жмЄм кнопу УBrowse ЕФ. ”казываем путь на приватный ключ (в моЄм случае C:\test\private.ppk)

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

—лева в списке выбираем пункт Session, в поле УSaved SessionФ вписываем любое им€ профил€ (например, my_vpn) и жмем УSaveФ. Ќиже в списке по€витс€ строчка с этим именем. ўелкнем еЄ двойным кликом. ѕо€витс€ консоль и попросит ввести пароль от приватного ключа (вы ведь его не забыли):

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

¬водим его, жмЄм Enter. ≈сли все сделали правильно, мы авторизуемс€. ќтлично. “еперь настроим WinSCP. «акроем его окно (крестиком) и вновь запустим wincsp.exe. ” нас есть уже сохраненный профиль, просто отредактируем его. ¬ыберем профиль («встать» на него в списке слева) и нажмЄм кнопку Edit, а затем кнопку AdvancedЕ ¬ по€вившемс€ окне слева, в списке, выбираем пункт SSH -> Authentication. ¬озле пол€ УPrivate key fileФ жмем кнопку с трем€ точками и указываем путь на файл приватного ключа (также, как мы это делали дл€ putty).

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

∆мЄм ќ  и в первоначальном окне жмЄм кнопку Save. “еперь двойным кликом по названию профил€ подключаемс€, вводим пароль от приватного ключа.

“еперь запретим нашему серверу принимать подключени€ по простому паролю. ¬ правой панели WinCSP открываем папку /etc/ssh/ и находим файл sshd_config

’отим свободы и анонимности в сети или еще раз про свой VPN сервер дл€ чайников »нструкци€, VPN, Squid, Vps, јнонимность, ќбход ограничений, ƒлиннопост

ƒвойным кликом открываем его. Ќаходим строчку, в которой написано

PasswordAuthentication yes

»менно так, без символа #, и мен€ем yes на no. ѕолучитс€:

PasswordAuthentication no

Ќажимаем сверху символ дискеты и закрываем окно редактировани€ файла. ≈сли кто-то никогда не видел дискет, то просто закрываем окно редактировани€ файла и нажимаем Yes в окне с предупреждением. «акрываем окно WinSCP. ¬ консоли PuTTY вводим команду

reboot

и закрываем окно крестиком. —ервер перезагружаетс€. ќбычно это занимает от 10 до 60 секунд. ѕо истечении это времени снова запускаем putty.exe и wincsp.exe и подключаемс€ к серверу  в каждом из них.

Ќу вот, теперь вы можете работать со своим сервером безопасно. ¬аш сеанс работы в консоли зашифрован, а подключитьс€ к серверу без сертификата не получитьс€.

private.key храните только в надежном месте на доверенном компьютере. ј лучше вообще на флешке, которую будете подключать только дл€ настройки сервера. ј это нужно крайне редко. Ќу и пароль от ключа не забывайте.


≈сли стать€ будет интересна аудитории пикабу, то продолжу еЄ публикацию согласно плана в начале.


—вободы и анонимности всем вам.

ѕоказать полностью 15
ѕохожие посты закончились. ¬озможно, вас заинтересуют другие посты по тегам: