С тегами:

vpn

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
49
Почему не стоит доверять сторонним VPN сервисам. Особенно бесплатным.
48 Комментариев  
Почему не стоит доверять сторонним VPN сервисам. Особенно бесплатным. vpn, анонимность в интеренет, бесплатный сыр, деанонимизация

Центр демократии и технологий (Center for Democracy and Technology, CDT) обратился в Федеральную торговую комиссию США с жалобой на деятельность одного из популярных бесплатных VPN-сервисов -  Hotspot Shield. Правозащитники считают, что данный сервис нарушает собственную же политику конфиденциальности, отслеживает и перехватывает трафик, собирает данные о пользователях сервиса.


Как следует из описания сервиса Hotspot Shield, он обеспечивает "Анонимный доступ в Интернет", "Защиту данных" и много другое. Исследователи CDT совместно со специалистами университета Карнеги-Меллон полагают, что всё с точностью до наоборот.


Они обнаружили, что указанный сервис, по всей видимости, отслеживает клиентов, идентифицирует их, продает данные третьим лица, перенаправляет трафик и внедряет в него сторонний код в рекламных целях. В числе собираемых данных: MAC-адреса, IMEI, названия беспроводных сетей и иная деанонимизирующая информация. Проведённый реверс-инжиниринг клиентского приложения показал наличие пяти различных библиотек для отслеживания пользователей.


В очередной раз подтвердилось утверждение: если вы не платите за услуги, значит товар вы сами. Ничего бесплатного не бывает. Если вам нужен VPN, то делайте свой.

2603
Мой ответ блокировкам VPN
187 Комментариев  
Мой ответ блокировкам VPN
31
С 4pda про vpn
11 Комментариев  

Надо понимать, что этих ребят интересуют деньги и только деньги. Это не какой-то там Китай или Северная Корея, где цензуру устанавливают во имя какой-то идеи. У нас идея в стране одна - побольше скоммуниздить. Телеком - одна из немногих не разграбленных пока еще отраслей. Все идет к тому, что провайдеров они обяжут покупать дорогостоящее оборудование (допустим DPI), мелкие провайдеры разорятся, а какой-нибудь ростелек устроит монополию. А то что это деньги летят мимо кассы. Так не хорошо же. Нужно, чтобы все шло в карман тем, кому надо.
А установление тотальной цензуры и запрет использования VPN их интересует мало. Кроме того, это практически трудно осуществить. Им вполне достаточно обычных блокировок от Роскомнадзора, которые большинство граждан обходить не умеют/не хотят. А от того, что даже десять процентов граждан посмотрит какое-нибудь там видео Навального им не холодно и не жарко. Воровать это никак не мешает же. У них есть все СМИ в кармане, у них есть многие деятели культуры в кармане и пока что они не нуждаются ни в какой тотальной цензуре особо. Надо понимать, что ограничить что-то для 80% населения - дешево. Для 90% - в два раза дороже. Для 95% - в шесть раз. Им вполне хватит цифры 80%. За глаза. Так что все эти законы Яровой и запреты VPN созданы для попила денег на них, а не для цензуры, поскольку на практике уже доказывалось много раз, что в интернете цензуру установить можно только отрезав кабель. Запреты тут - всего лишь приятный бонус для них. А если ты их обойдешь - расстроятся они не особо.

177
Свой VPN на базе вдс или выделенного сервера.
48 Комментариев  

Здравствуйте, пикабутяне!


Хочу сказать сразу что статья написана НУБОМ для НУБОВ. я постарался разжевать по максимуму. Если вы продвинутый пользователь то проходите мимо.

ссылки на программы сервисы итд оставлять не буду все очень легко гуглится и качается  


Хочу поделиться с вами не большой пример-инструкцией по "легкому" созданию своего vpn сервера. которым можно будет поделиться с близким кругом.

Без особых знаний работы с командной строкой, и прочей елабугой.


Сподвигло меня написание этого поста несколько причин:

1 - Мне понадобился VPN для личного пользования(вовсе не для доступа к чему вы там подумали ;) )

2 - Настройка и подключение по инструкциям в сети не получалось, всегда был какой-то пункт или ошибка которая не описывалась в гайдах ФАКах итд.

3 - Гос-во запугивает граждан "блокировка" анонимазеров, публичных впн сервисов. А мы сделаем свой! Приватный!

4 - Интернет свободная страна и каждый ее гражданин должен иметь свободу

5 - хочу



И так начнем:

Для всего нашего дела нам понадобиться:

Сервер в Европе(мой пример Франция, кого не устраивает может найти себе хоть в африке)

куплен в kimsufi дочерней компании OVH.

Atom™ N2800 2c/4t 4GB 2 TB  сейчас он стоит 15 евро + 10 евро плата за установку + 5 евро налог. Не пугайтесь, реселлеров серверов хватает. Можно найти как у меня, куплен по акции (50%) и уплачена установка предыдущим владельцем. Так что всего 600 руб/мес.

Сервер покупался для другого назначения но для примера нашего VPN сойдет отлично.

Далее нам понадобиться программа для доступа к  нашему серверу. PuTTY

Устанавливаем и запускаем:

Показать полностью 7
102
Госдума поручила ФСБ и МВД отслеживание анонимайзеров и VPN-сервисов
178 Комментариев  

Депутаты Госдумы приняли во втором чтении законопроект о запрете обхода блокировок через VPN и анонимайзеры. В документ добавили важную поправку: отслеживать подобные сервисы будет не Роскомнадзор, а МВД и ФСБ.


Депутаты Государственной думы приняли во втором чтении законопроект, вводящий запрет на использование анонимайзеров и VPN-сетей для доступа к запрещённым сайтам. В проект добавили пункт о том, что отслеживанием сервисов будут заниматься МВД и ФСБ, а не Роскомнадзор. Трансляция обсуждения велась на сайте парламента.


Согласно поправкам, МВД и ФСБ назначены органами, ответственными за выявление анонимазеров и VPN-сервисов. В первоначальном проекте за отслеживание должен был отвечать Роскомнадзор. Ведомство по запросу правоохранительных органов будет определять провайдера, через которого действует анонимайзер.


Документ во втором чтении поддержали 362 депутатов, ещё двое воздержались. Третье чтение проекта, в котором в нём уже не будут вносить новые правки, пройдёт 21 июля.


23 июня законопроект о запрете анонимайзеров и VPN-сетей для обхода блокировок Роскомнадзора приняли в первом чтении. Владельцы сервисов должны будут убрать возможность обходить запрещённые сайты в течение 30 дней, поисковикам грозят штрафы до 700 тысяч рублей за показ ссылок на подобные ресурсы.


Ранее Комитет Госдумы по информационной политике пригласил представителей анонимайзеров на обсуждение законопроекта о запрете обхода блокировок


Источник


Преступный мир хлопает в ладоши, можно выдохнуть, все спецслужбы будут охотиться за прыщавыми дрочерами и мамкиными кулхацкерами!

1407
Чудеса VPN
74 Комментария  

Качаю себе образ Mac OS sierra (хочу переставить ось на новом компе с нуля). Ноутбук пишет мне, что "осталось 6 часов"

- "не к спеху" - думаю я

- Включаю VPN

- Скорость возрастает в 5 раз


Это что, Apple режет скорость для российских IP адресов?

Или в чем может быть дело?

179
Опрос. Анонимность, безопасность или что вам ещё интересно.
17 Комментариев  

Опрос конечно же для моих подписчиков (уже без малого 3 килоподписчика) и для всех остальных.

Ранее я опубликовал ряд статей о анонимности, защите трафика и безопасном хранении данных. (1, 2, 3, 4, 5, 7, 8, 9, 10, 11, 12, 13, 14).  Мои читатели (по крайней мере большая их часть) научились настраивать собственные VPN сети (OpenVPN, SoftEther), хранить свои данные в облачных хранилищах (ownCloud, Cozy Cloud). Попутно познакомились с linux и прочими сопуствующими штуками. Сатьи читаются и расползаются по интернеты. Чему я весьма рад. О своей философии и поставленных целях я писал ранее. И без ложной сромности могу сказать,что целей этих достигаю. В среднем в день я получаю от 20 писем с вопросами по статьям. Т.е. люди не просто читаю, а делают.

Пикабу конечно же не Хабр и GT, поэтому я стараюсь писать подробные, пошаговые инструкции. А решения предлагаю проверенные и надёжные.

В целом, того что я уже осветил в статьях, достаточно для повседневной жизни. Но возможно, что-то я упустил из виду.


Поэтому предлагаю всем интересующимся пройти опрос.


Ссылка на мой бложек не рекламы ради, а исключительно ввиду удобства обработки результатов. Собирать обратную связь из комментариев на Пикабу не очень удобно (при всем уважении к Пикабу и отличнейшей юзабельности его интерфейса).

Всем бобра.

Опрос. Анонимность, безопасность или что вам ещё интересно. опрос, анонимность в интернете, информационная безопасность, vpn, cloud
43
Интересно, авторы закона о запрете vpn подумали о том как теперь быть жителям Крыма и отдыхающим?
45 Комментариев  
Говоря о последствиях запрета vpn для крымчан, отмечено, что с крымских интернет-адресов (IP) недоступны сайты для управления аккаунтами в Google Apps, рекламными кампаниями в Google AdWords. Нельзя скачать обновления уже установленных программ в Google Play и купить или установить новые. В Google Play нельзя купить фильмы, в том числе российские. Недоступна часть сайтов, которая использует облачный хостинг Google. Не работают и бесплатные сервисы, например отображение пробок. С недавних пор перестали работать обновления и доступы к сервисам Sony PlayStation. В Республике Крым не работают онлайн-сервисы вызова такси: Gett, «Яндекс.Такси», Uber. Единственные доступные сервисы — Rutaxi и Maxim.

http://crimea.mk.ru/articles/2017/06/29/ekspert-ot-zapreta-v...

https://www.znak.com/2017-06-29/direktor_rocit_zapret_vpn_se...

2830
Как работают https и vpn
442 Комментария  

Сейчас все вокруг говорят про запрет VPN (от англ. Virtual Private Network -- виртуальная частная сеть), но при этом не всегда пытаются объяснить, что это такое и зачем нужно. А самое главное, почему их работу нельзя ограничить. Привожу список наиболее популярных задач, решаемых с помощью такой сети:

1. Создание приватного тоннеля домой/в офис. На основе VPN создаются тоннели для доступа к Вашим частным ресурсам, т.к. данный протокол позволяет производить End-to-End шифрование (об этом будет ниже).

2. Создание защищенного канала в незащищенной сети. Предположим, Вы сидите в кофейне и хотите проверить почту с помощью внутренней Wi-Fi сети заведения. А Вы уверены в том, что Ваши данные никуда не уйдут? VPN позволяет создавать шифрованный канал в незащищенной сети, что практически предотвращает утечку Ваших данных.

3. Обход блокировок. Данная задача является краеугольным камнем в вопросе "быть или не быть VPN в РФ" для чиновников.


Теперь важно понять, как же работает эта приватная сеть. Ниже представлена упрощенная схема работы с VPN:

Как работают https и vpn vpn, HTTPS, технологии, интернет, безопасность, длиннопост

Как видно из данной схемы, изначально данные по защищенному каналу передаются на сервер приватной сети, который будет провоцировать соединение к серверу, который Вам требуется.

Тут важно отметить, что абоненты и сервер приватной сети изначально явно идентифицируют друг друга и обмениваются ключами безопасности. Для этого используется протокол HTTPS.


Протокол HTTPS использует криптографию с открытым ключом для шифрования и подписывания сообщений. Если говорить без математики, то такая криптография работает с двумя ключами -- один для шифрования сообщения, другой для дешифрования. Открытый ключ отправляется собеседнику, чтобы он мог шифровать сообщения для нас, приватный ключ мы никому не сообщаем. С его помощью мы дешифруем сообщения.


Сначала абонент должен удостовериться, что сервер является подлинным. Для этого существуют сертификаты безопасности. Если говорить совсем по-простому, то в сертификате указано, кто его выдал, кому и когда. А затем абонент обращается к серверу, который выдал сертификат и сверяет данные.


После процедуры идентификации нужно правильно обменяться ключами. Если Вы просто отправите их собеседнику, то Ваш открытый ключ могу перехватить (атака "человек посередине"), а затем отправлять Вам сообщения от лица Вашего собеседника.

Чтобы предотвратить данную атаку, используется алгоритм обмена ключами Диффи-Хеллмана. Этот алгоритм позволяет клиенту и серверу договориться по поводу общего секретного ключа, без необходимости передачи этого ключа по каналу связи:

Показать полностью 1
1762
Новостной кот
263 Комментария в Котомафия  
Новостной кот
5895
Запрет VPN
3951 Комментарий  

Госдума в первом чтении приняла законопроект о запрете обхода блокировок через VPN

Депутаты Государственной думы приняли в первом чтении законопроект, вводящий запрет на использование анонимных прокси-серверов и VPN-сетей для доступа к запрещённым сайтам За документ единогласно проголосовали 363 депутата, против не выступил никто.

Принятые поправки подразумевают административную ответственность для поисковиков со штрафами до 700 тысяч рублей за распространение ссылок на средства для обхода блокировок запрещённых сайтов.

Директор по стратегическим проектам Института исследований интернета Ирина Левова заявила, что «Роскомнадзору придётся в ручном режиме блокировать работу VPN на каждом устройстве, буквально останавливая людей на улице и проверяя их смартфоны».

Запрет VPN vpn, запрет, Госдума, новости, политика

Статья: https://zona.media/news/2017/06/23/anon

240
Анонимность в интернете своими руками. Подключение клиентов к SoftEther VPN Server
64 Комментария  

Начало про настройку сервера тут и тут.


В предыдущей статье мы установили и настроли SoftEther VPN Server. Теперь подключим к нему клиентов.


Откроем страницу загрузок SoftEther и укажем следующие параметры:

Анонимность в интернете своими руками. Подключение клиентов к SoftEther VPN Server vps, vpn, softether, ios, android, Настройки, инструкция, длиннопост

Скачем клиент по полученной ссылке и запустим установку. Выберем устанавливаемый компонент:

Показать полностью 15
298
Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть2)
49 Комментариев  

Продолжение.

Часть 1


Пробуем запустить dnsmasq

systemctl restart dnsmasq

и смотрим состояние

systemctl status dnsmasq

Должно быть типа такого:

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть2) vpn, vps, softether, linux, настрока, инструкция, длиннопост

Если не так, то смотрим в лог /var/log/messages


Если есть ошибка "warning: interface tap_softether does not currently exist", то либо вы ошиблись где-то в настройках ранее, либо не запущен VPN-сервер. Как запустить, написано выше.


Если ошибка "failed to bind DHCP server socket: Address already in use", то смотрим вывод команды

netstat -anlp | grep -w LISTEN

Скорее всего увидим что-то типа:

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/init
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 19819/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 110/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 196/sendmail: accep
tcp6 0 0 :::111 :::* LISTEN 15492/rpcbind
tcp6 0 0 :::80 :::* LISTEN 104/httpd
tcp6 0 0 :::53 :::* LISTEN 19819/dnsmasq
tcp6 0 0 :::22 :::* LISTEN 110/sshd

Видим, что висит процесс dnsmasq и занимает интерфейс. Запоминаем число перед /dnsmasq (в моём случае это 19819) и используем его в команде

kill 19819

После этого пробуем

systemctl start dnsmasq
systemctl status dnsmasq

Всё должно стать хорошо.


Теперь открываем наш скрипт запуска VPN-сервера /etc/rc.d/init.d/sevpnserver и редактируем по образцу (можно просто очистить содержимое и вставить отсюда):

Показать полностью 2
768
Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1)
121 Комментарий  

Ранее мы рассмотрели, как построить собственную VPN сеть на основе решения OpenVPN (1 2 3 4). Это очень хорошее решение, но есть ряд общих недостатков для конечного пользователя:

- относительно сложные установка и настройка;

- обязательное наличие на сервере TUN/TAP;

- трафик OpenVPN легко детектируется всякими Роскомнадзорами.


При этом OpenVPN является безусловным лидером с подтвержденной криптоустойчивостью. И если у вас нет необходимости маскировать VPN трафик под «обычный», то пользуйтесь OpenVPN.


А теперь отличная новость для тех кто в России/Украине/Казахстане/Китае и других странах, с контролем сети интернет на государственном уровне.


Встречайте решение от наших японских товарищей: SoftEther VPN.


SoftEther VPN — это мощный мультипротокольный VPN-сервер под лицензией CPLv2 (т.е. совершенно свободный к распространению и использованию).


Решение обладает огромным спектром возможностей:

- собственный протокол SSL-VPN, который не отличим от HTTPS траффика. При этом он может работать не только по TCP, но и по UDP, и, даже, ICMP.

- Поддерживает большинство существующих протоколов VPN: L2TP/IPsec, MS-SSTP, OpenVPN, L2TPv3 и EtherIP, причем для L2TP указана строгая совместимость со встроенными клиентами в iOS и Android. Т.е. к серверу SoftEther VPN вы можете подключить клиента OpenVPN или подключиться с использованием встроенных VPN-механизмов Windows. Причем одновременно.

- Сервер может быть установлен на Windows, Linux, OS X, FreeBSD и Solaris.

- И теоретически и практически работает быстрее OpenVPN.

- Имеет GUI через который можно управлять несколькими серверами.

- Ему не нужно TUN/TAP.

- Имеет встроенный NAT и DHCP. Не нужно настраивать iptables.


Нужно понимать, что хотя SoftEther VPN достаточно стабильное и надежное решение, но оно всё еще в стадии beta. А значит, теоретически, в его работе возможны неожиданные ошибки.


Хватит читать, нужно пробовать. Арендуем себе дешёвенький VPS, выполним его предварительную настройку. Исходим из того, что вы подключились к серверу по SSH через putty и WinCSP.


Идём на страницу загрузки SoftEther VPN и выбираем нужный дистрибутив.

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Получив ссылку на нужный дистрибутив, переходим к консоли

cd /tmp/
wget http://www.softether-download.com/files/softether/v4.22-9634...

Также нам понадобиться некоторой набор инструментов:

yum -y groupinstall "Development Tools"
yum -y install gcc zlib-devel openssl-devel readline-devel ncurses-devel
yum -y install system-config-network-tui system-config-firewall-tui
yum -y install policycoreutils-python
yum -y install net-tools

Переведем SELinux в разрешающий (permissive) режим:

setenforce 0

Отключим файрвол:

system-config-firewall-tui

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Убедимся, что в строчке «Firewall: [ ] Enabled нет звездочки *


Если она там есть, то используя кнопку TAB дл перемещения и пробел для «нажатия» убираем её. Затем переходим на кнопку ОК и нажимаем её. Если звёздочки нет, то сразу на ОК. В появившейся форме

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

«нажимаем» Yes.


Создадим папку для нашего сервера:

mkdir /etc/sevpn/

Теперь распакуем скачанный ранее архив с VPN-сервером, установим права на папку и перейдём в неё:

tar xzvf 64bit_-_Intel_x64_or_AMD64/softether-vpnserver-v4.22-9634-beta-2016.11.27-linux-x64-64bit.tar.gz -C /etc/sevpn/
chmod -R 744 /etc/sevpn
cd /etc/sevpn/vpnserver

Скомпилируем наш сервер:

make

На все вопросы о лицензионных соглашениях вводим 1 и жмём Enter.

Сделаем скрипт запуска. Для этого в папке /etc/rc.d/init.d создадим файл sevpnserver со следующим содержимым:

#!/bin/sh
#
# chkconfig: 2345 20 80
# description: SoftEther VPN Server
#
#
#
#
DAEMON=/etc/sevpn/vpnserver/vpnserver
LOCK=/var/lock/vpnserver/vpnserver
test -x $DAEMON || exit 0
case "$1" in
start)
echo Starting SoftEther VPN Server...
$DAEMON start
touch $LOCK
;;
stop)
echo Stopping SoftEther VPN Server...
$DAEMON stop
rm $LOCK
;;
restart|reload)
echo Reloading SoftEther VPN Server...
$DAEMON stop
sleep 3
$DAEMON start
;;
*)
echo Usage: $0 "{start|stop|restart}"
exit 1
esac
exit 0

По традиции пикабу не позволяет выкладывать скрипты и конфиги в нормальном структурированном виде. Работать будет и так, за красотой идём сюда.

И установим ему права 0755


Создадим папку /var/lock/vpnserver

mkdir /var/lock/vpnserver

Проверим работу сервера.

Введём команды:

/etc/sevpn/vpnserver/vpncmd

В появившемся запросе введём 3 и нажмём Enter.

Далее введём команду

check

Будет выполнено шесть тестов и в ответ на каждый мы должны получить Pass

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Отлично. Выходим из VPN Tools командой

exit

Запустим наш сервер

/etc/rc.d/init.d/sevpnserver start

Опять вводим

/etc/sevpn/vpnserver/vpncmd

Вводим 1, а потом два раза жмём Enter. Появится приглашение:

VPN Server>

Вводим

ServerPasswordSet

И вводим два раза пароль. Это административный пароль сервера. Он открывает доступ ко всем настройкам и управлению. Пароль должен быть стойким к перебору: не менее 10 символов, верхний и нижний регистр, цифры, спецсимволы.


Чтобы выйти из режима администрирования (когда приглашение командной строки имеет вид VPN Server> ) введите

exit

Теперь установим на свой компьютер консоль управления для настройки сервера. Опять идём на страницу проекта и выбираем

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Скачиваем Server Manager по получившейся ссылке и запускаем установку.

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост
Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Затем всё время «Далее» и «Готово». В появившемся окне

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Жмём «New Setting» и заполняем параметры Setting Name (любое понравившееся имя) и HostName (IP-адрес вашего сервера)

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Жмём Connect и вводим административный пароль VPN сервера. Если пароль введен правильно, консоль подключится и запросит первоначальную конфигурацию. Выбираем как на скриншоте:

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Соглашаемся

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Придумываем имя виртуальному хабу

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

На следующем шаге мы можем выбрать имя для нашего VPN сервера. Это позволит в дальней, благодаря службе Dynamic DNS, обращаться к нашему серверу не только по IP-адресу, но и по имени (обведено зелёным цветом).

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Выберем протокол и придумаем PSK ключ (т.е. еще один стойкий пароль). Этот ключ, по сути, секретная фраза необходимая для первоначального соединения между клиентом и сервером VPN. SoftEther не рекомендует делать его больше 9 символов, так это вроде вызывает баги в Android.

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

И откажемся от VPN Azure

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

На следующем шаге создадим нового пользователя

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Настраиваем пользователя. Этот пользователь будет у нас для подключения с компьютера/ноутбука (т.е. Windows или Linux). Обязательно заполняем поле User Name. Поля Full Name и Note не обязательны. Выбираем аутентификацию по сертификатам (Individual Certificate Authentication) и жмём Create Certificate

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Заполняем необходимые поля. Поля Organization, Country, State, Locale заполняем любыми значениями. Длительность действия сертификата рекомендую ставить 365 дней (но тут уж как сами захотите), длину ключа 4096 бит.

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Жмём ОК и выбираем формат и место сохранения ключей. Также вы можете указать пароль для сертификата (обведено зелёным). Тогда при каждом подключении клиента к серверу нужно будет вводить пароль. Так, несомненно, лучше, но не очень удобно. Выбирать вам. Я всегда рекомендую делать сертификаты с паролями для тех устройств, которые вы не можете полностью контролировать (рабочий компьютер) или которые можно легко потерять, т.е. носимые устройства (ноутбук, смартфон).

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Нажимаем ОК и указываем имя файла сертификатов (будут сформированы открытый и закрытый сертификаты) и куда сохранить . В окне создания пользователя жмём ОК.


В окне VPN Easy Setup Tasks жмём Close.


Теперь выбираем наш хаб и жмём Manage Virtual Hub

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Зайдем в настройки NAT

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост
Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Проверяем, что SecureNAT выключен (обведённая зелёным кнопка не активна) и жмём SecureNAT Configuration

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Настраиваем как на скриншоте и жмём OK и Exit


Теперь настроим Local Bridge (мост, по которому VPN будет общаться с внешним миром).

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

Если появится предупреждение о недоступности физического LAN адаптера, просто жмём OK

Анонимность в интернете своими руками. Установка и настройка SoftEther VPN Server (Часть1) vpn, linux, vds, SoftEther, инструкция, длиннопост

И жмём Exit

Проверим, что наш виртуальный интерфейс действительно создался. В консоли putty выполним команду

ifconfig tap_softether

Должны получить примерно такой вывод

[root@vps00000 ~]# ifconfig tap_softether
tap_softether: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet6 fe80::2ac:ceff:fec4:484f prefixlen 64 scopeid 0x20<link>
ether 00:ac:ce:c4:49:4f txqueuelen 500 (Ethernet)
RX packets 158 bytes 10938 (10.6 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 136 bytes 11232 (10.9 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Установим DNSMasq

yum -y install dnsmasq

Создадим файл /etc/dnsmasq.conf со следующим содержимым

interface=tap_softether
dhcp-range=tap_softether,10.8.0.2,10.8.0.200,12h
dhcp-option=tap_softether,3,10.8.0.1
server=8.8.8.8

IP адреса вписываете те, которые мы запомнили из настроек SecureNAT (см. выше). Сохраняем и закрываем файл.


Лимит на картинки кончился. Потому конец первой части. Часть вторая.

Показать полностью 25
794
ProtonMail запустила бесплатный VPN-сервис.
131 Комментарий в Лига фрилансеров  

ProtonMail, электронная почта с двойным шифрованием, созданная учеными из ЦЕРНа и МТИ, запустила бесплатный VPN-сервис, пишет Engadget.

ProtonMail запустила бесплатный VPN-сервис. роскомнадзор, блокировка, программирование, vpn

Пробная версия ProtonVPN бесплатна и не имеет ограничений по времени, что делает данный сервис первым в своем роде. Пока он находится в режиме бета-тестирования и способен выдержать только 10 тысяч пользователей, которые меньше, чем за сутки уже успели на нем зарегистрироваться. Новым пользователям сайт предлагает записаться в лист ожидания. Как только компания обзаведется дополнительными серверами, стоящие в очереди тоже получат бесплатный VPN.

У Proton есть и платные VPN-сервисы (€4, €8 и €24 в месяц), которые можно установить без очереди. На сайте утверждается, что бесплатная версия работает медленнее, но ее может оказаться достаточно, так как она шифрует IP-адрес через три страны.

Как говорят представители ProtonMail, компания планирует получать доход только с подписки и не собирается продавать пользователям рекламу, как это делает Google и Facebook. ProtonVPN — это ответ на усиление контроля за интернетом, предпринятого новой администрацией США, а также правительствами некоторых стран Европы, Ближнего Востока и Азии.

ProtonMail была запущена два года назад. Благодаря сквозному шифрованию к переписке пользователей не могут получить доступ даже сотрудники самой компании, а серверы находятся в Швейцарии, вне доступа иностранных спецслужб и надзорных органов. Почта оснащена двумя паролями — один для аутентификации, второй для декодирования содержимого ящика. Если пользователь забывает второй пароль, восстановить его никак нельзя, и все содержимое почтового ящика удаляется.

Почтовый сервис предоставляется бесплатно, но с ограничениями. С него нельзя отправлять более 150 писем в день, а объем ящика не может превышать 500 Мб. Приложение уже доступно для iOS, Android, также есть версия для ПК.

358
Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (Часть 5)
101 Комментарий  

Предыдущие части: 1, 1.1(она же 4), 2, 3


Если вы вдохновились моими статьями и сделали всё, как написано, то у вас уже есть:

1. Сервер, расположенный где-то в дебрях Европы.

2. На сервере настроен вход SSH по сертификату и файрвол.

3. На сервер установлен VPN-сервер, сгенерирован ворох сертификатов для сервера и клиентов.

4. Ваши устройства (компьютеры, смартфоны, планшеты и т.п.) настроены на соединение с VPN-сервером.


Теперь ваш трафик по территории собственной страны идет только в зашифрованном виде, а доступ к ключам шифрования только у вас.


Казалось бы, живи и радуйся. Но не всё так просто. Ваше клиентское устройство, напрямую или косвенно, продолжает многое сообщать о вас: тип устройства, операционная система, внутренний IP адрес, и пр. Так происходит, потому что VPN-ервер не модифицирует полученные от вас пакеты, он просто их расшифровывает и отправляет в сеть.


Хватит это терпеть! Мы запилим свой прокси-сервер с анонимностью и прозрачностью.

Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (Часть 5) инструкция, vpn, openvpn, прокси, vps, 3proxy, squid, настройка Linux, длиннопост

Из статьи в википедии:

Proxy server (Прокси сервер) – промежуточный компьютер, который является посредником между вашим компьютером и Интернетом. Прокси обычно используют либо для ускорения работы в сети Интернет, либо для анонимного прохождения в сети Интернет. Так же использование анонимного прокси, может быть использовано, как дополнительное средство защиты: анонимный прокси (anonymous proxy) подменяет Ваш IP-адрес, и злоумышленник будет пытаться совершить атаку не на Ваш компьютер, а на прокси сервер, у которого, зачастую, максимально мощная система защиты.

Там ещё есть интересное в статье, почитайте.


Нас интересует умение прокси подменять отправителя пакетов и обрезать из них всё лишнее. Т.е. повысить нашу анонимность. Я уже писал в первой части, что 100% анонимности мы не добьёмся, но двигаться в этом направлении мы будем.


Есть over9000 реализаций прокси. Изначально я хотел использовать squid в связке с squidguard + adblock, но с кальмаром возникли проблемы. В разных версиях дистрибутивов он вёл себя по-разному с протоколом https, да и вообще последние его редакции какие-то не удачные. Поскольку данная статья рассчитана на не квалифицированного читателя, то перегружать её всеми возможными костылями для squid я посчитал не целесообразным. Поэтому, после недолгих исканий, был выбран 3proxy. В дальнейшем я всё-таки запили статью про squid.


И да, как вы наверняка помните, наш файрволл настроен таким образом, что прокси будет принимать подключения только от клиентов VPN-сети.


Пока мы еще не сделали анонимный прокси, попробуйте позаходить на сайты, показывающие степень вашей анонимности. Например:


https://do-know.com/privacy-test.html

https://whoer.net/ru

https://2ip.ru/privacy/

http://witch.valdikss.org.ru/

и прочие. Тысячи их. Потом сравните с тем, что будет после настройки прокси.


Хватит читать, открываем консоль. Будем отращивать бороду собирать наш прокси из исходников.

Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (Часть 5) инструкция, vpn, openvpn, прокси, vps, 3proxy, squid, настройка Linux, длиннопост

Установим компилятор

yum -y install gcc

Перейдём в домашнюю папку

cd ~

Быстренько посмотрим, какая версия 3proxy сейчась актуальна на странице загрузок https://www.3proxy.ru/download/

Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (Часть 5) инструкция, vpn, openvpn, прокси, vps, 3proxy, squid, настройка Linux, длиннопост

На момент написания статьи это была версия 0.8.9

Качаем её

wget https://github.com/z3APA3A/3proxy/archive/0.8.9.tar.gz

Распаковываем

tar -xvzf 0.8.9.tar.gz

И переходим в папку с исходниками

cd 3proxy-0.8.9

В опциях исходников делает наш сервер полностью анонимным.

sed -i '1s/^/#define ANONYMOUS 1\n/' ./src/proxy.h

Компилируем (О да! Теперь вы можете хвастаться, что в линуксе компилировали из сырцов. Чувствуете, как на вашем лице начинает пробиваться борода, на спине прорастать свитер?)

make -f Makefile.Linux

Подготовим рабочее место для нашего прокси

mkdir -p /etc/3proxy/bin
touch /etc/3proxy/3proxy.pid

Теперь перенесем скомпилированные исполняемые файлы в рабочую папку

cp ./src/3proxy /etc/3proxy/bin
cp ./src/TransparentPlugin.ld.so /etc/3proxy/bin
cp ./cfg/3proxy.cfg.sample /etc/3proxy/3proxy.cfg

В папке /etc/rc.d/init.d

создаем файл 3proxy следующего содержания

#!/bin/sh
#
# chkconfig: 2345 20 80
# description: 3proxy tiny proxy server
#
#
#
#
case "$1" in
start)
echo Starting 3Proxy
/etc/3proxy/bin/3proxy /etc/3proxy/3proxy.cfg
RETVAL=$?
echo
[ $RETVAL ]
;;
stop)
echo Stopping 3Proxy
if [ /etc/3proxy/3proxy.pid ]; then
/bin/kill `cat /etc/3proxy/3proxy.pid`
else
/usr/bin/killall 3proxy
fi
RETVAL=$?
echo
[ $RETVAL ]
;;
restart|reload)
echo Reloading 3Proxy
if [ /etc/3proxy/3proxy.pid ]; then
/bin/kill -s USR1 `cat /etc/3proxy/3proxy.pid`
else
/usr/bin/killall -s USR1 3proxy
fi
;;
*)
echo Usage: $0 "{start|stop|restart}"
exit 1
esac
exit 0

Сохраняем и устанавливаем права 0755. К сожалению формат пикабу не позволяет разместить тексты скриптов с нормальным форматированием. Можете посмотреть, как он выглядит в нормальном виде здесь. Но и без форматирования работать будет.

Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (Часть 5) инструкция, vpn, openvpn, прокси, vps, 3proxy, squid, настройка Linux, длиннопост

Теперь откроем файл /etc/3proxy/3proxy.cfg

Удалите всё его содержимое и вставьте следующее:

daemon
pidfile /etc/3proxy/3proxy.pid
plugin /etc/3proxy/bin/TransparentPlugin.ld.so transparent_plugin
nserver 8.8.8.8
nserver 8.8.4.4
nscache 65536
timeouts 1 5 30 60 180 1800 15 60
#log /dev/null
log /etc/3proxy/3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
external 123.123.123.123
internal 10.8.0.1
auth none
maxconn 64
allow *
parent 1000 http 0.0.0.0 0
allow *
parent 1000 socks5 0.0.0.0 0
tcppm -i10.8.0.1 8080 127.0.0.1 11111

Здесь, в строчке

external 123.123.123.123

место 123.123.123.123 вписываем IP адрес вашего сервера.


Сохраним и закроем.

Прокси-сервер готов к запуску. Запустим его

service 3proxy start

Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (Часть 5) инструкция, vpn, openvpn, прокси, vps, 3proxy, squid, настройка Linux, длиннопост

Отлично, прокси запустился.


Если пишет ошибки, смотрим, что написано в консоли, что написано в /etc/3proxy/3proxy.log.[дата и время лога]


Если вы всё сделали в точности, как написано выше, ошибок быть не должно.


Теперь нам нужно поправить правила для iptables. Чтобы не настраивать прокси-сервер на всех клиентских устройствах (на смартфонах это зачастую попросту невозможно без рут-прав), мы сделаем наш прокси-сервер прозрачным. Т.е. для клиентов он будет не виден. Однако весь трафик, приходящий по VPN будет заворачиваться на прокси-сервер, а уже потом отправляться в открытую сеть.


Открываем Файл /root/ipt-set и аккуратно вносим следующие исправления:

Находим строчку:

SQUID_PORT=»8080″

и исправляем на

PROXI_PORT=»8080″

Находим строчки

# squid
$IPT -A INPUT -i $IF_OVPN -p tcp —dport $SQUID_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp —dport $SQUID_PORT -j ACCEPT

и исправляем на

# proxi
$IPT -A INPUT -i $IF_OVPN -p tcp —dport $PROXI_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp —dport $PROXI_PORT -j ACCEPT

И сразу, после этих строчек добавляем ещё две:

$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp —dport 80 -j DNAT —to-destination 10.8.0.1:$PROXI_PORT
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp —dport 443 -j DNAT —to-destination 10.8.0.1:$PROXI_PORT

Сохраняем и закрываем файл.

Приведу, на всякий случай, файл /root/ipt-set полностью:

#!/bin/sh
IF_EXT="venet0"
IF_OVPN="tun0"
OVPN_PORT="443"
PROXI_PORT="8080"
IPT="/sbin/iptables"
IPT6="/sbin/ip6tables"
# flush
$IPT --flush
$IPT -t nat --flush
$IPT -t mangle --flush
$IPT -X
$IPT6 --flush
# loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# default
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT6 -P INPUT DROP
$IPT6 -P OUTPUT DROP
$IPT6 -P FORWARD DROP
# allow forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# NAT
# #########################################
# SNAT - local users to out internet
$IPT -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE
# INPUT chain
# #########################################
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ssh
$IPT -A INPUT -i $IF_EXT -p tcp --dport 22 -j ACCEPT
# VPN
$IPT -A INPUT -i $IF_OVPN -p icmp -s 10.8.0.0/24 -j ACCEPT
# DNS
$IPT -A INPUT -i $IF_OVPN -p udp --dport 53 -s 10.8.0.0/24 -j ACCEPT
# openvpn
$IPT -A INPUT -i $IF_EXT -p udp --dport $OVPN_PORT -j ACCEPT
# proxi
$IPT -A INPUT -i $IF_OVPN -p tcp --dport $PROXI_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp --dport $PROXI_PORT -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.8.0.1:$PROXI_PORT
$IPT -t nat -A PREROUTING -i $IF_OVPN -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.8.0.1:$PROXI_PORT
# FORWARD chain
# #########################################
$IPT -A FORWARD -i $IF_OVPN -o $IF_EXT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF_EXT -o $IF_OVPN -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT
# OUTPUT chain
# #########################################
$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Теперь весь трафик из VPN для портов 80 и 443 (т.е. http и https) будет перенаправлен на наш прокси.


Применим правила командой:

/root/ipt-set

Если вы прямо сейчас подключены к VPN-серверу, то уже можете заходить на разные сайты и проверять, что всё работает. Зайдите на один-два любых сайта, убедитесь, что они открываются. Теперь посмотрите в файл лога /etc/3proxy/3proxy.log.[дата и время лога]


В нем вы должны увидеть свою активность. Если всё работает, то остановим наш прокси:

service 3proxy stop

Откроем его конфиг /etc/3proxy/3proxy.cfg и строчки:

#log /dev/null
log /etc/3proxy/3proxy.log D
logformat «- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T»

превратим в:

log /dev/null
#log /etc/3proxy/3proxy.log D
#logformat «- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T»

Теперь прокси-сервер не будет писать логи и сохранять историю посещений сайтов. Сразу удалим уже имеющийся лог /etc/3proxy/3proxy.log.[дата и время лога]


И запустим прокси:

service 3proxy start

И добавим его в автозагрузку:

/sbin/chkconfig 3proxy on

Итак, что мы имеем после выполнения всех инструкций:

1. Арендован и настроен VPS. Вход по сертификату.

2. Установлен и настроен личный VPN-сервер и, в нагрузку, свой удостоверяющий уентр.

3. Настроены клиенты VPN-сети.

4. Установлен и настроен анонимный, прозрачный прокси-сервер.


В следующих статьях мы добавим еще немного анонимности нашему серверу и вообще поговорим за личную информационную безопасность во всемирной паутине. Не переключайтесь.

Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (Часть 5) инструкция, vpn, openvpn, прокси, vps, 3proxy, squid, настройка Linux, длиннопост
Показать полностью 6
449
Про депутатов и интернет (личный опыт)
46 Комментариев  

Прочитал вот этот пост http://pikabu.ru/story/o_zaprete_vpn_obzor_paryi_zakonoproek... про очередной законопроект о запрете VPN, прокси и других страшных вещей, в которых те кто собрались их запретить, абсолютно не разбираются. И вспомнил один случай на эту тему:

В студенческие годы (конец 90х - начало 2k), подрабатывал я компами, ну как это тогда было - покупка на рынке, сборка, установка и настройка, установка софта, ну и объяснение что и как.

В конторах никаких не числился, а "рекламировали" меня по "сарафанному радио". Кстати основной моей "фишкой" было не знания железа, или низкие цены, а именно объяснения как оно работает и куда нажимать... долго, почти всегда до хрипоты и потери голоса, я объяснял свежеиспеченным юзерам, что перед ними такое, как работает и как пользоваться, и чего делать не стоит.

Ну и как-то раз вышли на меня "знакомые знакомых, знакомых через знакомых, со знакомыми знакомых..." и сказали что мой номер дали ... ни много ни мало, а депутату госдумы! И будет он мне звонить по поводу покупки компа. Что надо быть вежливым, чистым, трезвым, подобострастным и тд... Ну и собственно был звонок от депутата и заказ на сборку ПК и подключения интернета по Dial-up.

Приехал я на адрес и смотрю действительно лицо то знакомое, по ТВ в те годы нет нет да мелькало! И вещало то лицо про важную вещь - борьбу с распространением порнографии в интернете. Что детей надо от интернетов защитить, порнографию искоренить, ну и тд. Подумал я тогда что будет депутат теперь прямо из дома с порнухой бороться.

Получил денежку, на думском авто меня довезли до знаменитого "Митино-базара", купил железки (в сборе комп) и поехал домой к депутату собирать.

Собрал, софт поставил, инет по карточке оплатил и собственно начал процесс объяснения.

Показал как счет с карточки пополнить, как подключаться по модему, накидал ссылок на поисковики, почтовики и другие полезные ресурсы... Депутат вникает, но особой уверенности, что все сможет сам, у меня нет.

Попросил проделать все самостоятельно... депутат пробует, нажимает, открывает и тд и тут выдает: "подожди-подожди, так вот это вот окошко, это и есть интернет?!"

Вот так борец с распространением порнографии в интернете и познакомился собственно с самим интернетом. (по тому как действует было видно что видит его впервые).

Вот так и сейчас слуги народа "борются с неведомым и непонятным", непонимая даже не то как оно работает, но и что оно вообще такое.

Спасибо.

1702
О запрете VPN (обзор пары законопроектов)
873 Комментария  

Широко известный в узких кругах специалист по информационной безопасности Алексей Лукаций опубликовал в своём блоге интересную статью. Привожу её целиком.

То, о чем я так долго и упорно не раз на протяжении последних лет писал, все-таки произошло, - депутаты все-таки решили окончательно вбить гвоздь в крышку того, что называлось независимый, никем неуправляемый и свободный Интернет. Три депутата (Кудрявцев, Рыжак, Ющенко) внесли в Госдуму два законопроекта - о запрете VPN, анонимайзеров и прокси, а также о штрафе за их рекламу и использование.

О запрете VPN (обзор пары законопроектов) интернет, запрет, госдума, законопроект, vpn, прокси, политика, информационная безопасность

Как это часто бывает у людей, которые с Интернетом знакомы только по тому, что видят в браузере, DNS путают с ДПС, а VPN приравнивает к Tor, законопроект получился настолько широким, что под него может попасть все, что угодно, а именно:

- VPN-сервисы и VPN-решения, применяемые для обеспечения конфиденциальности в сети Интернет,

- браузеры с функцией использования динамических прокси-серверов, которые могут быть применены не только для облегчения и ускорения доступа к отдельным Интернет-ресурсам, но и для обхода блокировок, введенных властями разных стран,

- анонимные сети Tor, I2P и др.,

- анонимайзеры,

- прокси-сервера,

- CDNы, кеширующие запрещенный контент,

- DNS-сервисы (да-да, они тоже, так как в зависимости от механизма реализации блокировок тоже могут быть использованы для доступа к запрещенным ресурсам).


Все это депутаты называют “информационно-телекоммуникационными сетями, информационными системами и программами для электронных вычислительных машин для получения доступа к информационным ресурсам, в том числе к сайтам и (или) страницам сайтов в сети “Интернет”, которые могут использоваться на территории Российской Федерации для обхода ограничения доступа“ (дальше для сокращения написания этой длинной фразы я буду использовать слово “ХРЕНЬ”, написанное прописными буквами).


Важно: могут, а не используются. Поэтому я и вынес в список выше столь широкий набор сервисов, систем и приложений, которые и не используются для обхода блокировок, но могут.


Что же говорит новый законопроект, вероятность принятия которого, достаточно высока? Во-первых, он запрещает использовать ХРЕНЬ, а также ХРЕНЬ, которая обеспечивает доступ к ХРЕНИ (например, магазины приложений для мобильных устройств, которые распространяют браузеры Opera, Chrome, Puffin, а также программные клиенты для VPN-сервисов). Операторам поисковых систем также предписано ограничивать в выдаче ресурсы, которые предоставляют ХРЕНЬ или рекламируют ХРЕНЬ, обеспечивающую доступ к ХРЕНИ.


Во-вторых, контроль ХРЕНИ возложен на регулятора, который и так занимается всякой хренью (уже с маленькой буквы), то есть Роскомнадзор, сотрудники которого настолько часто блещут своими познаниями в юриспруденции, что я, считавший раньше, что в свои 40 с гаком уже перестал удивляться, не перестаю удивляться, читая то очередное интервью руководителей РКН, то акты проверок терорганов (от слова "территориальные", а не "терроризирующие") по различным направлениям их деятельности - от контроля СМИ до проверок операторов персональных данных.


В-третьих, для обеспечения своей деятельности РКН должен создать реестр (мля, превращаемся в страну непрерывно создаваемых реестров) заблокированных на территории России информационных ресурсов (вроде у них такая система и так есть), а также разработать методику мониторинга выявления ХРЕНИ и ХРЕНИ, обеспечивающей доступ к ХРЕНИ.


В-четвертых, РКН обязан идентифицировать провайдеров хостинга ХРЕНИ, обеспечивающей доступ к ХРЕНИ, и получать от них (на руском и английском языке) список лиц, которые пользуются ХРЕНЬЮ. Это важный пункт. Он говорит о том, что в России не просто хотят блокировать использования ХРЕНИ, но и хотят выявлять всех тех несознательных граждан, которые эту ХРЕНЬ используют для доступа к запрещенной информации, подрывая тем самым национальную безопасность и обороноспособность нашей, не побоюсь этого слова, великой державы, которой доступ к сайту kinogo или LinkedIn может нанести непоправимый ущерб. Получив эту информацию, РКН требует от несознательных (или сознательных) нарушителей российского законодательства отказаться от свободного доступа к информации с помощью ХРЕНИ, а от владельцев ХРЕНИ, обеспечивающей доступ к ХРЕНИ, перестать обеспечивать этот доступ.


Наконец, РКН направляет операторам связи требование о блокировании нерадивых пользователей и владельцев ХРЕНИ в случае отказа последних от использования ХРЕНИ.


Единственный положительный момент в этом законопроекте, который (законопроект, а не момент) будет сильно мешать становлению и развитию цифровой экономики, о которой так ратуют наши чиновники во главе с Президентом России, - отсутствие необходимости блокировки ХРЕНИ, если ХРЕНЬ используется в рамках трудовых отношений. То есть представительства иностранных компаний, работающих в России, а также российские компании, имеющие представительства зарубежом, смогут использовать ХРЕНЬ в своей работе. Вспоминается история с советскими “Березками”, в которых продавались самые изысканные яства и недоступные обывателю товары, доступ к которым был разрешен только иностранцам или советским гражданам, имеющим право на выезд за границу.


Второй законопроект устанавливает административную ответственность за нарушение требований закона в виде денежного штрафа.

P.S. Надеюсь у многих, после прочтения статьи Алексея, появится немного ясности по существу вопроса. Я говорил и говорю: только ваша личная грамотность в этом вопросе поможет вам пользоваться свободным интернетом и дальше. Читайте мои статьи (1, 1.1, 2, 3) или статьи других авторов, учитесь пользоваться имеющимися инструментами, учитесь находить и анализировать.

О запрете VPN (обзор пары законопроектов) интернет, запрет, госдума, законопроект, vpn, прокси, политика, информационная безопасность
Показать полностью 1
396
Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (часть 4)
126 Комментариев  

На самом деле это кусок 1-й части. Он про настройку файрволла и маршрутизации. Я только сейчас с ужасом обнаружил, что его там не хватает.

Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (часть 4) инструкция, vpn, iptables, vps, настройка Linux, длиннопост

Прошу прощения и поехали.


В правой панели WinCSP открываем папку /root. На пустом месте правой панели жмём правую кнопку мыши, выбираем New -> File. В появившемся окошке вместо “New file” пишем “ipt-set” (без кавычек) и жмём ОК. Будет создан файл с именем ipt-set и откроется окно для его редактирования. Вписываем следующее содержимое:

#!/bin/sh

IF_EXT="venet0"

IF_OVPN="tun0"


OVPN_PORT="443"

SQUID_PORT="8080"


IPT="/sbin/iptables"

IPT6="/sbin/ip6tables"


# flush

$IPT --flush

$IPT -t nat --flush

$IPT -t mangle --flush

$IPT -X

$IPT6 --flush


# loopback

$IPT -A INPUT -i lo -j ACCEPT

$IPT -A OUTPUT -o lo -j ACCEPT


# default

$IPT -P INPUT DROP

$IPT -P OUTPUT DROP

$IPT -P FORWARD DROP

$IPT6 -P INPUT DROP

$IPT6 -P OUTPUT DROP

$IPT6 -P FORWARD DROP



# allow forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward


# NAT

# #########################################

# SNAT - local users to out internet

$IPT -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE


# INPUT chain

# #########################################

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



# ssh

$IPT -A INPUT -i $IF_EXT -p tcp --dport 22 -j ACCEPT

# VPN

$IPT -A INPUT -i $IF_OVPN -p icmp -s 10.8.0.0/24 -j ACCEPT

# DNS

$IPT -A INPUT -i $IF_OVPN -p udp --dport 53 -s 10.8.0.0/24 -j ACCEPT

# openvpn

$IPT -A INPUT -i $IF_EXT -p udp --dport $OVPN_PORT -j ACCEPT


# squid

$IPT -A INPUT -i $IF_OVPN -p tcp --dport $SQUID_PORT -j ACCEPT

$IPT -A INPUT -i $IF_OVPN -p udp --dport $SQUID_PORT -j ACCEPT


# FORWARD chain

# #########################################

$IPT -A FORWARD -i $IF_OVPN -o $IF_EXT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i $IF_EXT -o $IF_OVPN -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT


# OUTPUT chain

# #########################################

$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Нужно обратить внимание на следующие моменты:

- сетевой интерфейс называется venet0. Это особенность сборки операционной системы конкретного хостера. Возможно у вас он называется eth0. Узнать, как же правильно в вашем случае можно введя в консоли команду

ip a

В получившемся выводе команды будет список сетевых интерфейсов. Один из них носит название lo , это локальная петля. А вот второй, тот, что вам нужен.


- OVPN_PORT="443" это порт используется для нашего VPN сервера. Почему именно 443? Мы же настроим VPN и для домашнего компьютера/ноутбука, и для смартфона и, возможно, для рабочего компьютера/ноутбука. Вполне возможно, что ваше устройства окажется в сети (например, корпоративный Wi-Fi), где все порты кроме самых базовых запрещены. 443 точно будет разрешен, а VPN серверу без разницы на каком порту «висеть». Да и активность на этом порту не будет подозрительной.


- SQUID_PORT="8080"

$IPT -A INPUT -i $IF_OVPN -p tcp --dport $SQUID_PORT -j ACCEPT

$IPT -A INPUT -i $IF_OVPN -p udp --dport $SQUID_PORT -j ACCEPT

подключения к прокси-серверу мы будем принимать на порт 8080 и только от тех, кто уже подключился к VPN, мамкины кулхацкеры идут лесом.


- $IPT -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT

клиенты VPN будут видеть друг друга. Т.е. ваш смартфон будет видеть ваш компьютер если оба они подключились к VPN. Это удобно для расшаривания контента.

Сохраняем получившийся файл. Кликаем на нём правой кнопкой мыши, выбираем Properties и отмечаем галочками все квадратики с буквой X (третий столбик квадратиков). Обратите внимание, в поле Octal получится число 0755. Можно задать свойства файла введя сразу нужное чиасло в это поле, а не выбирая свойства галочками. В дальнейшем мы так и бедуем делать. Я просто буду писать число, которое вам нужно будет вписать в это поле.

Жмём ОК. В консоли PuTTY выполняем команду:

/root/ipt-set

а затем команду:

iptables -L -n

Хотим свободы и анонимности в сети или еще раз про свой VPN сервер для чайников (часть 4) инструкция, vpn, iptables, vps, настройка Linux, длиннопост

Наши правила применились. Закрываем окно putyy, открываем заново и пробуем подключится. Если подключились, значит вы нигде выше не ошиблись и правила работают. Но работать они будут до перезагрузки сервера. Если что-то не так, ребутим сервер из консоли управления и пробуем заново.

Добавим правила в автозапуск. В правой панели WinCSP переходим к папке /etc/systemd/system/ и создаем файл с именем ipt-settings.service со следующим содержимым:


[Unit]

Description=Iptables Settings Service

After=network.target


[Service]

Type=oneshot

User=root

ExecStart=/root/ipt-set


[Install]

WantedBy=multi-user.target

В свойствах файла (см. выше) указываем права 0644.

Теперь в консоли вводим команду

systemctl enable ipt-settings

В ответ получим:

Created symlink from /etc/systemd/system/multi-user.target.wants/ipt-settings.service to /etc/systemd/system/ipt-settings.service.

Таким образом мы создали службу, которая будет применять наши правила при каждой перезагрузке системы.

Проверим, что всё работает как задумано. Перезагрузим сервер командой reboot, подключимся к нему и введем команду

iptables -L -n


Должны получить то, что было на последнем скриншоте (см. выше).

Показать полностью 1
333
Всё не уймутся
34 Комментария  
Всё не уймутся


Пожалуйста, войдите в аккаунт или зарегистрируйтесь