• 🚨 29 мая стартует курс «Пентест Active Directory: от теории к практике» от Академии Кодебай

    🔍 Изучите реальные техники атак на инфраструктуру Active Directory: от первоначального доступа до полной компрометации.
    🛠️ Освойте инструменты, такие как BloodHound, Mimikatz, CrackMapExec и другие.
    🧪 Пройдите практические лабораторные работы, имитирующие реальные сценарии атак.
    🧠 Получите знания, которые помогут вам стать востребованным специалистом в области информационной безопасности.

    После старта курса запись открыта еще 10 дней Подробнее о курсе ...

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

Статья Анонимный Pentest [VPN -> TOR -> VPN]

English version of the article: Anonymous pentest VPN – TOR -VPN {Part I}
Network Topology - codeby.png

Приветствую всех. На форуме, я уже довольно продолжительное время и с интересом читаю ваши статьи. Вообще в тему “Информационной безопасности” я начал вникать после знакомства с Codeby, до этого имел только поверхностное представление. И как видите, сегодня я решил написать свою первую статью. Получилась она длинная. Далее вы увидите многократное упоминание слов: vpn, tor и сервер.))))

Речь пойдет о создании цепочки VPN – TOR – VPN с последующей подготовкой конечного сервера к проведению тестов на проникновение. Преимущество такой схемы в том, что наш провайдер (ISP) не видит использования TOR, а конечный сервер, который выступает в качестве контрольного центра, ничего не знает о существовании первого VPN сервера, к которому мы и подключаемся. Потому что соединение между ними проходит через сеть TOR. Еще одна приятная особенность в отличии от использования просто TOR -> VPN, в том что мы можем подключаться к котроллеру с любого места/устройства, без необходимости использования TOR, но в то же время соединение к конечному пункту будет проходить через луковую сеть. Например, соединившись с телефона по ssh к первому серверу, мы можем подключиться ко второму серверу указав IP адрес его tun0 интерфейса и связь будет установлена сквозь туннель проходящий через TOR. Поехали.

Нам нужно арендовать два VPS сервера. Сервисов предоставляющих такие услуги полно, но я приведу два таких: Amazon AWS и DigitalOcean. Рассматривать буду первый вариант, на год “условно бесплатно” если не нарушать ограничений.
Перед нами встает задача, как же арендовать сервер, сохраняя в тайне свою личность, финансы, номер телефона и IP адрес. Для этого нам потребуется некоторое количество криптовалюты, виртуальна карта, левая симка, Whonix Gateway и немного времени.

Начнем с установки Whonix
Я сразу скачал Whonix Gateway и Workstation, но вместо последнего можно использовать любую Linux систему, как было показано в статье: Codeby Whonix …
И так ставим VirtualBox
Идем на сайт и качаем готовые дистрибутивы Whonix. Установка по двойному клику.

VirtualBox_Whonix_ready.png

Стартуем Whonix Gateway. После загрузки, нас встретит мастер настройки, соглашаемся со всеми требованиями и просто кликаем next. По окончанию нажимаем обновить систему.
Теперь приступим к настройке нашей рабочей машины “Workstation”.
Делаем идентично как с Gateway. После обновления, нам предложат установить Tor Browser, соглашаемся.

Далее нам необходимо установить несколько утилит. Скорость в TOR очень низкая, чтобы ускорить процесс установки, временно подключимся к сети напрямую.
Выключаем машину, добавляем второй сетевой адаптер и запускаем.

whonix-workstation-bridge-connect-1.PNG


Настройка интерфейса eth1
Bash:
sudo ifconfig eth0 down
sudo dhclient eth1
sudo ifconfig

whonix-workstation-bridge-connect-2.PNG

Если интерфейс eth1 получил адрес, идем дальше.

Установим кошелок для наших будущих биткоинов.

Зависимости:
Bash:
sudo apt-get update && sudo apt-get dist-upgrade
sudo apt-get install python3-setuptools python3-pyqt5 python3-pip -y

Сам Electrum
Bash:
sudo pip3 install https://download.electrum.org/3.0.6/Electrum-3.0.6.tar.gz

Сражу же обновим Firefox, иначе плагины не будут работать.
Bash:
sudo apt-get install firefox-esr

После этого возвратим все на свое место. ВАЖНО!
Выключаем машину, убираем второй адаптер и снова включаем

whonix-workstation-bridge-disable-1.PNG


Настройка Firefox, предотвращение утечки информации.
Убедимся, что трафик идет через TOR

Чекаем

workstation-firefox-set-1.PNG


Переходим по адресу: и делам все как указано.

workstation-firefox-set-2.PNG

В адресной строке переходим на: about:config
Через поиск находим и выключаем следующие параметры:

media.peerconnection.enabled
media.navigator.enabled

workstation-firefox-set-3.PNG

Обновляем страницу и видим, что ничего не утекает.

workstation-firefox-set-4.PNG

Некоторые сайты, в частности финансовые, могут заблокировать наши аккаунты заметив, что мы юзаем TOR. Во избежание этого будем использовать плагин Browsec VPN поверх TOR.

Заходим в настройки дополнений (about:addons ) и в поиске находим browsec.
Установка и активация плагина Browsec VPN.

workstation-browsec-install-1.PNG

workstation-browsec-install-2.PNG


После чего снова заходим на и видим, что использование TOR скрыто.

workstation-browsec-install-3.PNG


Анонимная почта.

Нам понадобится электронная почта. Это удивительно, но сегодня все известные почтовые сервисы требуют номер мобильного телефона. Единственно, Яндекс позволил регистрацию без номера, но на второй день заблокировал и потребовал смс верификацию.

Я стал искать анонимную почту, наткнувшись на статью на и дальнейшего гугления выбрал два варианта: ProtonMail & Tutanota. И так идем на любой из этих двух сервисов и регаем почту, в дальнейшем будем использовать этот адрес.


Виртуальный номер и Кошелек QIWI

Для создания киви кошелька нужен номер

Был вариант с арендой номера на для qiwi и американский виртуальный номер в программе TextPlus для верификации на Amazon AWS. Но амазон в >90% случаях сразу же блокирует аккаунт. Поэтому нужен другой вариант, я воспользовался обычной сим-картой. (Если кто-то предложит другой вариант, буду рад.)
  • Левая сим-карта, чистый телефончик. Телефон включаем только на время регистрации.
  • Или можно купить готовые QIWI кошельки в интернете. Например у @shifty_wolf в Telegram.


Как использовать Bitcoin анонимно?

Для аренды сервера нужна банковская карта. Конечно мы сделаем виртуальную, но если ее пополнить с нашей реальной карты, ее анонимность теряется. Поэтому нам понадобится криптовалюта, а именно bitcoin. Но и ее можно отследить по анализу блокчейна. Чтобы это избежать, воспользуемся биткоин миксером.


Что такое Биткоин Миксер?

Биткоин транзакции объединяются вместе в постоянную публичную запись. По блокчейн можно отследить транзакции с одного адреса на другой. Биткоин миксер разрывает связь между Вашим старым адресом и новым, отправляя средства от Вас другим людям, а их средства Вам. Таким образом суммы транзакций становятся случайными, и это увеличивает временные задержки.
Благодаря этому отсутствует связь между изначальным и конечным адресом транзакций. Этот процесс защищает Вашу информацию и не позволяет другим людям отследить Ваши платежи в интернете.


Я купил крипту на LocalBitcoins.com, пропустив через coinmixer.se положил его в кошелек Electrum, оттуда потерявшие след биткоины вывел в payeer.com. С него уже можно пополнять кошелек qiwi и сделать виртуальную карточку VISA.

Покупку BTC, создание кошелька Electrum, пропуск крипты через миксер копи-пастить я не буду. Этот процесс понятно описан на самом Coinmixer, вот здесь:
Пункт конфигурации прокси пропускаем, потому что у нас весь трафик уже идет через TOR.

Coinmixer.se берет комиссию в размере 1-3 % и комиссию 0,0001 BTC за выводной адрес. Минимальная сумма перевода на один адрес 0.001 BTC.

Предположим, что мы все сделали и на второй день наш баланс в Electrum пополнился. (Я выбирал 13-16 часов смешивания в миксере).
Идем на payeer.com и регистрируем новый аккаунт. Полученные учетные данные сохраните в надежном месте.

Заходим в аккаунт и кликам на Рубли.

payeer-01.PNG

Водим сумму и жмем пополнить.

Как способ оплаты выберем Bitcoin

payeer-03.PNG


Далее получаем адрес кошелька на который нам нужно отправить наши биткоины

payeer-04.PNG


В Electrum внимательно заполняем все как показано и отправляем.

payeer-05.PNG


Через несколько минут на нашем рублевом счету в Payeer появятся деньги. Отправим немного в кошелек QIWI, чтобы затем воспользоваться виртуальной картой при аренде VPS. Amazon снимет 1$, но чуть позже вернет.
Платежная система: QIWI, номер телефона вводим номер нашего кошелька киви.

payeer-to-qiwi-01.PNG

Наконец то наша банк карта готова. И мы можем приступать к оформлению сервера.


Аренда второго сервера (VPN SRV2) См. самое первое изображение

Amazon AWS проверяет валидность введенного адреса в зависимости от выбранной страны.

На генерируем нужную нам информацию и идем на регистрироваться.

amazon-aws-00.PNG


Рекомендую сохранять регистрационные данные. Может случиться так, что вы забудете пароль или потеряете доступ к аккаунту в следствии других причин и вот тогда эта информация пригодится при восстановлении доступа.

identity_save.PNG

Не забывайте, что мы все еще работаем с VPN поверх TOR. Не спалите свой IP.

Верификация проходит по телефону, мы принимает звонок от бота и вводим 4 цифры появившиеся на сайте.
Как я уже говорил выше нам понадобится левая сим-карта, либо виртуальный номер который принимается амазоном, но я таких не нашел.

amazon-aws-02.PNG

После успешной регистрации придется подождать некоторое время, прежде чем получим доступ к консоли настройки VPS. Спустя 2 часа у меня сервер был готов, но по умолчанию для новых пользователей доступны только 3 региона в США. Сразу после регистрации нам на почту приходи письмо с уведомлением об этом. Для смены региона нужно написать в поддержку.

amazon-aws-13.PNG

Через 6 часов мне сменили доступные регионы.

[Основная/Техническая часть]

Установка OS (Debian 9) на SRV2

И так после того как мы завершили с регистрацией установим операционку на наш VPS. Я предпочел поставить Debian 9. Все еще продолжаем работать в Whonix Workstation. Не заходите со своего IP.

amazon-aws-06.PNG


Находим Debian 9 в AWS Marketplace и жмем Select

amazon-aws-07.PNG

amazon-aws-08.PNG

amazon-aws-09.PNG


Выберем полный доступный объем диска

amazon-aws-10.PNG


По дефолту фаервол закрывет все порты кроме 22 (ssh). Но я предпочитаю здесь разрешить все а в самой Linux октыть только нужные порты, таким образом если вдруг понадобится какой то порт достаточно будет соединиться по ssh и ввести одну команду не лазая в веб интерфейсе. Вместо Type: SSH ставим ALL

amazon-aws-11.PNG


Генерируем и надежно сохраняем ssh ключ. В дальнейшем мы перенесем ее на VPN SRV1. Кликаем Launch и наш Debian 9 готов.

amazon-aws-12.PNG


Если ничего не менять, наш IP адрес будет меняться после каждой перезагрузки сервера. Нам это не нужно, назначим статистический IPv4 (для сведения, нам также доступен IPv6).
В меню Elastics IPs назначаем новый адрес, после чего его нужно присвоить к нашему серверу. ПКМ на адресе -> Associate address. За не присвоенный IP снимают деньги.

amazon-aws-14.PNG

amazon-aws-19.PNG


Также можно изменить настройки DHPC, заменим стандартный dns гугловским.

amazon-aws-16.PNG

amazon-aws-17.PNG


После создания "сета", ее нужно применить к текущей сети

amazon-aws-18.PNG

Установка OpenVPN на SRV2

Подключемся к SRV2. Например мы сохранили ssh ключ в домашней директории /home/user/
Bash:
chmod 400 /home/user/vpnsrv2.pem
sudo ssh admin@5.5.5.5 -i /home/user/vpnsrv2.pem
admin = имя пользователя по дефолту в debian
5.5.5.5 = IP адрес сервера SRV2
-i = путь до ключа ssh

Выключим авто изменения вносимые амазоном в нашу систему
sudo vi /etc/cloud/cloud.cfg.d/01_debian_cloud.cfg

server001.PNG


Меням hostname
Bash:
sudo echo vpnsrv2 | sudo tee /etc/hostname
Если вы смение hostname, подкеректируйте также файлы /etc/hosts и /etc/resolv.conf.

Оффициальный репозиторий debian.
После установки у нас стоят репозитории от амазон, исправим и это. Берем сорсы
sudo vi /etc/apt/sources.list
deb stretch main contrib
deb-src stretch main contrib

deb stretch-updates main contrib
deb-src stretch-updates main contrib

deb stretch/updates main contrib
deb-src stretch/updates main contrib

Чтобы все изменеия вступили в силу делаем рестарт.

Обновление системы
sudo apt update
sudo apt dist-upgrade


Установка OpenVPN


sudo apt install openvpn easy-rsa -y

Создадим отдельного пользователя для OpenVPN
sudo adduser openvpn-ca
sudo usermod -aG sudo openvpn-ca
sudo su - openvpn-ca

Центр сертификации.
make-cadir ~/openvpn-ca
cd ~/openvpn-ca

vi vars

Внутри файла находятся переменные, которые можно отредактировать, и которые задают параметры сертификатов при их создании.
~/openvpn-ca/vars
. . .

export KEY_COUNTRY="DE"
export KEY_PROVINCE="HE"
export KEY_CITY="Frankfurt"
export KEY_ORG="CodeBy"
export KEY_EMAIL="admin@CodeBy.com"
export KEY_OU="Community of CodeBy"

export KEY_NAME="vpnsrv2"

. . .

Создание центра сертификации
cd ~/openvpn-ca
ln -s ~/openvpn-ca/openssl-1.0.0.cnf openssl.cnf
source vars

./clean-all

./build-ca

Создание сертификата, ключа и файлов шифрования для сервера
./build-key-server vpnsrv2

./build-dh

sudo openvpn --genkey --secret keys/ta.key

Создание сертификата и пары ключей для клиента
cd ~/openvpn-ca
./build-key clientsrv2

Настройка сервиса OpenVPN
cd ~/openvpn-ca/keys
sudo mkdir /etc/openvpn/keys
sudo cp ca.crt vpnsrv2.crt vpnsrv2.key dh2048.pem ta.key /etc/openvpn/keys/

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Настройка конфигурационного файла сервера
Полностью описать настройку и значение каждой команды не хватит места, поэтому я решил залить подробную инструкцию на github , также я предоставил готовые файлы конфигурации.

Вот ссылки: и файлы конфигурации.
client.conf у вас должен быть своим, с вашими ключами.

Хочу только обратить ваше внимание на несколько параметров
sudo vi /etc/openvpn/server.conf
На SRV2 адрес сети VPN сервера должен быть именно 10.8.1.0 | А на SRV1 = 10.8.0.0
# ethernet bridging. See the man page for more info.
server 10.8.1.0 255.255.255.0

Необходимо закомментировать следующие директивы. Чтобы весь трафик с SRV1 не перенаправлялся через vpn, иначе ничего не будет работать. | На SRV1 наоборот мы раскомментируем его.
;push "redirect-gateway def1 bypass-dhcp"

Чуть ниже находится секция dhcp-option. Их тоже закомментируем
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

Протокол UDP не работает в tor, поэтому настроим SRV2 ма работу с TCP | SRV1 настроим на UDP
# TCP or UDP server?
proto tcp4

Следующая директива отвечает за рестарт vpn в случае сбоя при работе с протоколом UDP, поэтому для SRV2 ее тоже закоментим
;explicit-exit-notify 1

Перед активацией фаервола не забудьте разрешить порт ssh
sudo ufw allow 22
sudo ufw allow 1194

Остальное делайте все по инструкции, так же можете сразу скачать готовые гонфигурации для серверов командой git clone. Но клиентские файлы вам придется все таки создавать самим, со своими ключами шифрования.

После того как мы настроили VPN SRV2 и добавили его в автозагрузку мы закончили свою работу в Whonix. Ее можно выключать, больше она не понадобится. Перед этим остается только скопировать на наш комп ранее сохраненный ssh ключ от SRV2 и клиентский файл подключения к OpenVPN.

copy vpt to whonix.PNG

copy vpt to whonix 01.PNG

copy vpt to whonix 02.PNG

copy vpt to whonix 03.PNG

Вырубаем Whonix и идем в Kali Linux (с прямым подключением к интернету. Без tor, без vpn.) Но не подлючайтесь пока к SRV2 в Kali, мы еще не готовы, вы спалите свой IP.
Файлы которые мы только что скопировали переносим в Kali в /root/ , делается даже копи пастом.


Регистрация и настойка сервера под SRV1

Не имеет смысла маскироваться при покупке первого сервера (SRV1). Мы будем подключаться к нему с нашего домашнего компа или мобильного телефона, напрямую без TOR. Он все равно будет связан с нами, в конечном счете начальная цель была именно такой.
Нужна вторая виртуальная карта, мы не можем использовать одну и ту же карту с обеими VPS. Это установит прямую связь между нами и “плохим сервером”.
Нам нужен другой номер (можно даже свой личный). Абсолютно другой способ оплаты – т.е. делаем второй qiwi кошелек и пополняем любым удобным и прозрачным способом (терминал и т. д.). С их помощью арендуем «первый сервер» (SRV1).
Это процедура полностью совпадает с SRV2, так что перейдем сразу к настройке. Дальше работем в Kali Linux!

Упрощаем жизнь с SSH Config File

Допустим мы сохранили ssh ключ от SRV1 в /root/


Создадим ssh config file
vi ~/.ssh/config
Host srv1
HostName 2.2.2.2
Port 22
User admin
IdentityFile ~/.ssh/vpnsrv1.pem
w001.PNG
admin = имя пользователя по дефолту в debian
2.2.2.2 = IP адрес сервера SRV1
-i = путь до ключа ssh

Теперь в терминале вводим ssh vpnsrv1 и попадаем на сервер.

Опять же не буду повторять установку OpenVPN и UFW, все тоже самое, просто по инструкции вместо vpnsrv2/clientsrv2 писать vpnsrv1/clientsrv1 и все.
Покажу только то что делается только на SRV1.


Трафик который поступает к нашему впн серверу перенаправим на SRV2.
Создадим скрипт /etc/openvpn/upstream-route.sh содержащий следующие команды:
#!/bin/sh

ip rule add from 10.8.0.0/24 table 120
ip route add default dev tun1 table 120


exit 0

w004.PNG

w005.PNG


Нужно чтобы OpenVPN клиент всегда занимал интерфейс tun1. оставляя tun0 для сервера.
vi /etc/openvpn/client.conf


Установка TOR на SRV1
Bash:
sudo apt update && sudo apt dist-upgrade
sudo apt install tor torsocks
sudo systemctl restart tor

#Проверим работает ли наш tor proxy
sudo apt install git make gcc
git clone rofl0r/proxychains-ng
cd proxychains-ng/
./configure --prefix=/usr --sysconfdir=/etc
make
sudo make install
sudo make install-config

#Если следующие две команду дадут разные IP значит tor proxy работает.
curl ident.me; echo

proxychains4 2>/dev/null curl ident.me;echo

Мне показалось что после следующей настройки у меня чуточку прибалась скорость работы в TOR-е
sudo vi /etc/tor/torsocks.conf

w006.PNG


Настроим openvpn client чтобы подключение к SRV2 всегда шло только через TOR.

sudo vi /etc/openvpn/client.conf
socks-proxy-retry
socks-proxy 127.0.0.1 9050

w008.PNG

Запустим и добавим в автозагрузку OpenVPN Server, Client и TOR Proxy.

sudo systemctl restart openvpn@server && sudo systemctl enable openvpn@server
sudo systemctl restart openvpn@client && sudo systemctl enable openvpn@client
sudo systemctl restart tor && sudo systemctl enable tor

Теперь скопируем ssh ключ от SRV2 на SRV1, и создадим файл в ~/.ssh/config



Создадим ssh config file на SRV1
vi ~/.ssh/config
Host srv1
HostName 10.8.1.1 Указываем именно этот адрес, чтобы подключение шло через VPN (vpn -> tor -> vpn)
Port 22
User admin
IdentityFile ~/.ssh/vpnsrv2.pem

Убеждаемся что подключение прошло через TOR
ssh vpnsrv2
sudo ss -4tulpan

# И если в списке нету вашего адрес все работает как надо.


На этом пожалуй я завершу свою статью, так как она очень затянулась и ю очень устал. Во второй части быстренько постараюсь показать профит от всего этого. Конструктивная критика мной принимается)) До скорого!
English version of the article: Anonymous pentest VPN – TOR -VPN {Part I}
 

Вложения

  • payeer-03.PNG
    payeer-03.PNG
    23,9 КБ · Просмотры: 344
  • w005.PNG
    w005.PNG
    59,1 КБ · Просмотры: 319
  • w004.PNG
    w004.PNG
    61,2 КБ · Просмотры: 324
  • w005.PNG
    w005.PNG
    59,8 КБ · Просмотры: 307
  • w004.PNG
    w004.PNG
    68,3 КБ · Просмотры: 552
  • w005.PNG
    w005.PNG
    55,2 КБ · Просмотры: 508
Последнее редактирование модератором:
Воот, я выше сказал уже что нужно было её разделить на пару частей.
И наконец то хоть кому-то не нравится этот огромный текст под спойлером.
Меня вообще бесит что кучу спойлеров и в спойлере куча текста, а ещё бывает спойлер в спойлере это же п***ец.
Спойлер для ссылки или не большой информации, но не для кучи текстов
Твиттер головного мозга нынче у людей=`[

Спасибо за статью. Какой VPN посоветуете без логов и с регистрацией в банановой республике?
тот который ты сам поднимешь на собственноручно купленном сервере в банановой республике
 
У провайдера на котором будет поднят впн, в логах будет два адреса, откуда пришел и куда ушел. Какой профит можно выжить из того что ты логи соединения на впс отключил? Просветите, в чем хитрость?
 
  • Нравится
Реакции: gushmazuko
Извините что немного не по теме!

Не могу увидеть других клиентов при подключении через vpn pptp через роутер.

Есть роутер, на нем включил vpn pptp, ввел Ip адрес клиента в той же сети 192.168.x.x (в моем случае 192.168.1.60-192.168.1.89 - максимум 30 на асусе) Другие клиенты в той же сети 192.168.x.x.

Подключаюсь нормально. Сканирую сеть на интерфейсе ppoE. Не видит ни одного соседнего клиента.
И в основном меню роутера где лист подключенных устройств я не появляюсь.
Спасибо.
 
Интересная статья, спасибо. Только не совсем понятно, зачем полностью отказываться от дальнейшего использования Whonix. У Whonix-Gateway, как и у Whonix-Workstation, есть свой собственный VPN-Firewall. Можно настроить Whonix-Gateway перед тором подключаться к SVR1, а Workstation настроить на подключение к SRV2 после тора. Такая схема быстрее настраивается (не нужно ставить тор на SRV1), плюс при разрыве соединения к одному из vpn серверов, трафик гарантировано не пойдет в обход наших серверов.
 
Интересная статья, спасибо. Только не совсем понятно, зачем полностью отказываться от дальнейшего использования Whonix. У Whonix-Gateway, как и у Whonix-Workstation, есть свой собственный VPN-Firewall. Можно настроить Whonix-Gateway перед тором подключаться к SVR1, а Workstation настроить на подключение к SRV2 после тора. Такая схема быстрее настраивается (не нужно ставить тор на SRV1), плюс при разрыве соединения к одному из vpn серверов, трафик гарантировано не пойдет в обход наших серверов.

Причины отказа от Whonix
1. Не надобность
2. Практичность (в том числе и возможность управления серверами с любого места, например с телефона.)
3. Скоросоть
4. При разрыве соединения с VPN, трафик и так ни куда не идет.
Прочитай вторую часть.
 
coinmixer отвалился. Есть ещё проверенные миксеры? (:
 
Правильно ли понимаю, что в данном примере client.conf с srv2 надо перенести на srv1?
Если так, то получается, что IP адрес srv2 будет располагаться на сервере srv1.
remote [публичное IP сервера srv2?] 1194

Вторые сутки пытаюсь настроить подобную связку и не получается. Соединение успешно с локальной машины. Сайты не грузятся. Все проверки на srv1 проходит, включая подключение к srv2 с srv1 (с "тюльпаном").
При подключении с локальной машины в трее вижу адрес подключения -> 10.8.0.6
По всей видимости не перебрасывает дальше.
Может кто рабочие файлы vpnsrv1.conf clientsrv2.conf скинуть? По ссылкам в статье проходил. Тщательно изучал, но ясность не пришла. Нашел еще пару хороших статей, но они мне также особо не помогли. Кстати, поднимаю на Vultr(считай тот же диджитал океан) с включенной "галкой" Enable Private Networking.
 
Правильно ли понимаю, что в данном примере client.conf с srv2 надо перенести на srv1?
Если так, то получается, что IP адрес srv2 будет располагаться на сервере srv1.
remote [публичное IP сервера srv2?] 1194

Вторые сутки пытаюсь настроить подобную связку и не получается. Соединение успешно с локальной машины. Сайты не грузятся. Все проверки на srv1 проходит, включая подключение к srv2 с srv1 (с "тюльпаном").
При подключении с локальной машины в трее вижу адрес подключения -> 10.8.0.6
По всей видимости не перебрасывает дальше.
Может кто рабочие файлы vpnsrv1.conf clientsrv2.conf скинуть? По ссылкам в статье проходил. Тщательно изучал, но ясность не пришла. Нашел еще пару хороших статей, но они мне также особо не помогли. Кстати, поднимаю на Vultr(считай тот же диджитал океан) с включенной "галкой" Enable Private Networking.
clientsrv2.conf это конфигурационный файл и распологается он на SRV1, для того чтобы SRV1 мог соединиться с SRV2 на его Public IP.

Что касается второго вопроса, возможно не включена маршрутизация на SRV1 вместе с NAT!?

Conf файлы хранятся у меня на гитхаб: gushmazuko/vpn-tor-vpn
 
Ура!!! Я дочитал все таки... Понравилось... но нужно еще раза 2 прочитать) Спасибо! Тема мне интересна.
 
  • Нравится
Реакции: gushmazuko
Благодарю за ответы
Что касается второго вопроса, возможно не включена маршрутизация на SRV1 вместе с NAT!?
Вот тут не понял. Можно чуть подробнее как в этом убедиться наверняка?

п.с.: в конфигах можно на 100% быть уверенным?

ап. только сейчас заметил в client.conf. В нем указано
Код:
tls-auth ta.key 1
key-direction 1
Но мы эти значения уже включили, когда генерировали файл. И файл ta.key я не копировал с srv2 на srv1. Может тут проблема зарыта?
 
Последнее редактирование:
Вопросы выше неактуальны.
Методом "научного тыка" пришел к понимаю.
 
  • Нравится
Реакции: gushmazuko
Застопорился на этапе настройки Firefox.
Я скачал Firefox, но через него не открываются сайты. При пинге сайтов через консоль пишет "Temporary failure in name resolution".
При этом через тор сайты грузятся.
Как это исправить?
 
Жалко , что при такой цепочти скорость падает достаточно сильно.
Представляю , что есть параноики которые в бушующем будут объединять сети yggdrasil tor ip2p =)

Думаю , если поискать в сети будут готовые сервисы которые вам предложат , примерно такое же на платной основе.
 
Жалко , что при такой цепочти скорость падает достаточно сильно.
Скорость падает из за TOR
Думаю , если поискать в сети будут готовые сервисы которые вам предложат , примерно такое же на платной основе.
Тогда это теряет всякий смысл.
 
С вашего позволения хочу услышать пару комментарием на ответы других мемберов с других площадок по схожему вопросу связки тор и впнов.

А зачем в данной связке первый VPN, который между компьютером и TOR? Входные ноды же не снифают (между тобой и входной нодой 3 слоя шифрования), только выходные.
А в конце добавишь VPN - смогут снифать трафик между VPN и конечным сервером. Пока на конечном сервере нет шифрования - отснифать его смогут.

и еще

вязка VPN-TOR вполне применима, служит для маскировки использования вами TOR.

После TOR точно ничего не должно быть - иначе становится бессмысленным использование TOR.
 
А зачем в данной связке первый VPN
в том числе поэтому:
вязка VPN-TOR вполне применима, служит для маскировки использования вами TOR



После TOR точно ничего не должно быть - иначе становится бессмысленным использование TOR
опять же, смысл есть и потому что:
служит для маскировки использования вами TOR
ибо не все ресурсы любят, когда к ним с ТОR заходят

ТОR вообще такая штука, которой по определению пользуются те, кто ищет анонимности. С точки зрения соответствующих органов, если ты пользуешь тор, то тебе есть что скрывать. Ну, или второй вариант, через тор ты посещаешь ресурсы .onion. А там - одни наркотеки, детская порнография, оружие и кардинг :) Соответственно, лучше не афишировать факт использования тоr ни для провайдера, у которого СОРМ стоит, ни для владельца веб-ресурса.
 
  • Нравится
Реакции: Vertigo и gushmazuko
После TOR точно ничего не должно быть - иначе становится бессмысленным использование TOR.
Если ты внимательно посмотришь, в данной статье обозревается анонимный пентест а не серфинг. Как ты будешь принимать reverse shell в связке VPN - TOR? Конечно такое возможно, но это уже совсем другая история))
 
Если ты внимательно посмотришь, в данной статье обозревается анонимный пентест а не серфинг. Как ты будешь принимать reverse shell в связке VPN - TOR? Конечно такое возможно, но это уже совсем другая история))

Какой смысл реверс себе на комп принимать ?
Я поднимаю тимсервер всегда и на него ревес принимаю , а к нему уже конекчусь как угодно или через ТОР или через ВПН.

И так ребят тоже завелся этой темой , но решил не тратить свое время на сбор такой сложно конструкции и начал искать другие решения уже готовые по такому же принципе.

Встречайте zorrovpn - 15 баксов в месяц и собирайте сами VPN - TOR - VPN

Можете хоть VPN - TOR - VPN - TOR - VPN

Как только захотите , все делается за секунду. Ценник думаю гуманный , не сочтите за рекламу.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Курс AD