Статья Этот незаслуженно разрекламированный Whonix-gateway

V

Valkiria

Префикс "Статья" в заголовке я выставила с провокационной целью. Но сделала это преднамеренно.
Целью написания этого произведения моих мыслей является обсуждение установки и настройки виртуального шлюза Whonix-Gateway в виртуальную машину VMWare.
Установка и настройка упомянутого виртуального шлюза в QEMU-KVM описана здесь.
Мне хочется начать обсуждение и поставить перед читателем некоторые вопросы, ответы на которые не найдены мною на просторах рунета. Они не найдены также на просторах англоязычной части паутины )) Возможно, я плохо искала. Прошу в этом случае не закидывать вашу покорную блондинку камнями, а направить на путь истинный.

Прежде чем начать изливать свои проблемы на растерзание публики, хочется сказать несколько вступительных слов.
Я не понаслышке знакома с темой анонимности, в частности с пропусканием интернет трафика машины под управлением различных операционных систем через различные соксы, прокси, vpn и тор. Периодически у меня возникает желание поэкспериментровать в этой области. Для себя я выбрала оптимальную модель анонимности и стараюсь ею пользоваться, как наиболее приемлемой для себя.
Но время идёт, прогресс не стоит на месте. Появляются новые технологии, новое программное обеспечение. Чтобы оставаться в теме, приходится иногда экспериментировать с тем, куда внутренний голос подсказывает:
"Не лезь туда. Это заведомо неверное решение".

Вчера мне в голову взбрела мысль на деле, а не понаслышке ознакомиться со шлюзом Whonix-Gateway. Вдоволь ознакомившись со статьями русcкоязычных авторов на данную тематику на сторонних площадках, я пришла к выводу, что в в связке Whonix, шлюз играет решающую и основную роль. Рабочая станция Whoenix Workstation может быть успешно заменена любой другой виртуальной машиной под управлением Kali, Windows, Debian.. чем угодно. Для пропускания виртуальной рабочей станции через шлюз хуникс достаточно в настройках виртуальной рабочей станции заменить сетевой адрес на 10.152.152.10
Кроме того, я заметила для себя, что данная тема абсолютно не раскрыта. Все статьи являются как будто клонами. Их содержание сводится к описанию установки шлюза, а также к описанию установки рабочей станции. Но эти процессы никак не связаны с анонимностью. Описание процессов установки виртуальных машин - тема далёкая от анонимности.
Боюсь быть неправильно понятой. Сам по себе способ выхода во внешний мир не с хостовой, а с гостевой системы - замечательный способ анонимизации пользователя.
Но пропустить трафик виртуальной машины с последующим шифрованием можно более простыми и менее ресурсоёмкими способами.
К примеру, я описывала использование с этой целью виртуальный адаптер tortilla
Tortilla Adapter. VmWare весь трафик через TOR.
или пропускание трафика через роутер, на котором запущен ТОР. Где-то на просторах рунета должны быть мои статьи о пропускании трафика через соксы, тонели и прочую лабуду.
Вчера я пробовала whonix.
Виртуальная машина VirtualBox никогда не радовала меня своим внешним видом и функционалом. Бесплатность и открытый код программы никогда не был для меня аргументом в её пользу. Справедливости ради, я смогла переступить свой негатив. Вчера VirtualBox благополучно был установлен на мой Debian.
Мгновение... и упомянутый виртуальный шлюз достойно украшал один из моих мониторов. Но только УКРАШАЛ. Сеть TOR запустилась на нём лишь один раз. Я даже ничего не успела сообразить, я ничего не трогала в настройках гостевой или хостовой машин. Второй и последующие запуски виртуального шлюза были плачевны. Сеть ТОР была недоступна, хостовая машина не пинговалась и не пингуется в настоящее время.
Все эти грехи я списала на глючность программного обеспечения с открытым исходным кодом. VirtualBox с радостью был снесён, а его место заслуженно заняла программа
Виртуальная машина благополучно cконвертирована из открытого формата *.ova в *.vmx
VirtualBox OVA в VMware VMX
Качаем VMware OVF Tool отсюда,

ставим и конвертим командой
- из windows:
ovftool.exe --lax Whonix-Gateway-CLI-14.0.0.9.9.ova Whonix-Gateway-CLI-14.0.0.9.9.vmx

- из linux:
ovftool --lax Whonix-Workstation-CLI-14.0.0.9.9.ova Whonix-Workstation-CLI-14.0.0.9.9.vmx
Конвертация прошла успешно.
Виртуальный шлюз на виртуальной машине VMware запускается так-же хорошо, что и на VirtualBox.
Но результат был одинаковый. Шлюз запускался, но выхода в Интернет не имел. Не пингуентся даже хостовая машина.

Мой компьютер управляется двумя операционными системами - это очень удобно. Не долго думая, я перезагрузила компьютер и отдала его в распоряжение Windows 10. Виртуальный шлюз нисколько не изменил своё поведение.
Утилита whonixcheck безжалостна ко мне.

Whonix-Gateway-CLI-14.0.0.9.9 - VMware Workstation 2019-01-15 20.07.20.png
ничем не отличается от дефолтового ))
Вот и появляются подобные "статьи" с продолжением... :)

Результат команды ifconfig - дефолтовый для этого шлюза:

Whonix-Gateway-CLI-14.0.0.9.9 - VMware Workstation 2019-01-15 20.11.22.png



Возможно, среди читателей найдутся неравнодушные, желающие подсказать блондинке, куда "копать".
 
Последнее редактирование модератором:
T

TROOPY

Премиум
16.02.2017
112
96
Тор не работает на шлюзе или на той системе, которая берет с него интернет? Если второе, то в настройках VirtualBox той системы, которая берет интернет с шлюза, во вкладке сеть нужно указать тип подключения внутренняя сеть и выбрать из списка "whonix". А поводу того, почему трафик пропускается через whonix-gateway, а не более простым способом, это из-за того, что whonix-gateway дает тебе защиту в виде изолированной системы, то есть если твоя система с который ты сидишь(та, которая подключается к шлюзу whonix) будет скомпрометирована, то ip злоумышленник все равно не получит. В этом и заключается смысл whonix и его "разрекламированность".
 
  • Нравится
Реакции: gushmazuko и Valkiria
V

Valkiria

Тор не работает на шлюзе или на той системе, которая берет с него интернет? Если второе, то в настройках VirtualBox той системы, которая берет интернет с шлюза, во вкладке сеть нужно указать тип подключения внутренняя сеть и выбрать из списка "whonix". А поводу того, почему трафик пропускается через whonix-gateway, а не более простым способом, это из-за того, что whonix-gateway дает тебе защиту в виде изолированной системы, то есть если твоя система с который ты сидишь(та, которая подключается к шлюзу whonix) будет скомпрометирована, то ip злоумышленник все равно не получит. В этом и заключается смысл whonix и его "разрекламированность".
TROOPY, спасибо за ответ и за внимание к теме.
ТОР не запускается на шлюзе.
На картинках - изображения с Whonix Gateway. У меня не наблюдается соединение не только с TOR-ом, но нет и пинга хостовой машины или хоть каким-то устройством в виртуальной сети.
Ведь для коненекта в тор-ом необходим как минимум выход в инет, который проходит через хостовую машину либо мой роутер.
Я думаю, что DHCP сервер на хуникс-шлюзе не сработал. Если он вообще там у кого-то работает ))
Странно, что протокол автоматической настройки IP адресов всем выдаёт одинаковые внутренние адреса сети. Это нелепо ))

Моя хостовая машина выходит в Инет через два роутера.
IP адреса роутеров - 192.168.1.1 и 192.168.8.1
Вот таким способом:
Анонимизация. Начало.
Но я не могу пока разобраться в настройке внутренней сети.

whonix-gateway дает тебе защиту в виде изолированной системы, то есть если твоя система с который ты сидишь(та, которая подключается к шлюзу whonix) будет скомпрометирована, то ip злоумышленник все равно не получит. В этом и заключается смысл whonix и его "разрекламированность".
Вот с этим я и хочу поспорить.
Фактически, мне хочется бросить вызов этой незаслуженной разрекламированности. Мне хочется сказать:
Люди, этот шлюз не стоит того, чтобы о нём писали. Он не заслуживает внимания к себе.
Потому что имеются аналогичные, но более простые решения :)
Имеются более сложные и надёжные решения :)

Возможно, это звучит самонадеянно. Но читатели должны понимать, что я преднамеренно провоцирую всех на конструктивный диалог, на обсуждение этой цепочки анонимности.
 
Последнее редактирование модератором:
darklight

darklight

Well-known member
18.10.2018
46
60
Пользуюсь Whonix. Шлюз иногда отваливается, если интернет канал нестабильный. Нужно перегружать. Обычно это происходит, когда используется схема VPN TOR VPN. Если упал vpn на хосте, либо был включен/отключен, то нужно перегружаться или на шлюзе tor перезапускать. Быстрее перезагрузить, чем логиниться. На шлюзе выставил 256 Мб ОЗУ, - теперь в Х-сы не грузится. Рабочие станции кроме родной использую ХР и 7. VPN на них пускаю по tcp а не по udp. Виртуалбокc иногда вешает всю систему в Ubuntu. Но на убунте и хром течет, причем как то резко начинает жрать память, система уходит в своп и уже даже на попытки переключения в физ консоль не реагирут.
 
Х

Хлебушек

Well-known member
19.11.2018
53
52
Вот с этим я и хочу поспорить.
Фактически, мне хочется бросить вызов этой незаслуженной разрекламированности. Мне хочется сказать:
Люди, этот шлюз не стоит того, чтобы о нём писали. Он не заслуживает внимания к себе.
Потому что имеются аналогичные, но более простые решения :)
Имеются более сложные и надёжные решения :)
Меньше слов - больше дела. Пока только демагогия без примеров и агрументов.
ответы на которые не найдены мною на просторах рунета. Они не найдены также на просторах англоязычной части паутины
Может не там ищите? В документации на сколько я помню есть раздел, в котором описываются основные проблемы.
Все эти грехи я списала на глючность программного обеспечения с открытым исходным кодом. VirtualBox с радостью был снесён, а его место заслуженно заняла программа
Опять таки отправлю в доку, там есть раздел о VMware, в котором не рекомендовалось использовать данную виртуализацию, так как не стабильна.
 
V

Valkiria

Меньше слов - больше дела. Пока только демагогия без примеров и агрументов.
Шлюз - не работает.
Я вроде привела скриншоты.
Я два дня пыталась подключить его к TOR или хотя-бы получить пинг до хостовой машины.
Я испытала этот шлюз на двух разных операционках, на двух разных системах виртуализации.
Во всех случаях все IP адреса виртуальной сети одинаковы у всех пользователей интернета - бред какой-то.
Нестабильности использования шлюза в VmWare Workstation ровно столько, сколько в VirtualBox :)
Ничего нигде не работает - вот и вся нестабильность.
Но каким-то чудом в VirtualBox, установленном в Debian, TOR один раз подключился! Я упомянула этот факт в статье.
Как это произошло - я не поняла. Я ничего не успела сообразить.
Я ничего не трогала, ничего не меняла.
Переустановка всего и всея не имела эффекта.
TOR-а на шлюзе нет, пинга хостовой машины - нет.
Графической оболочки - нет.
Память и количество процессоров поменяны многократно во всех мыслимых и не мыслимых вариантах.
Вообще говоря, эта статья не только громкий вызов обществу, не только моя попытка сказать: Whonix - голый король.
Это ещё и небольшое разочарование :):):)

В интернет я выхожу при помощи мобильного оператора.
Вот моя схема.
Анонимизация. Начало.
Связь - стабильная.

Я запускала команду whonixcheck от имени user.

2019-01-16_14-05.png


2019-01-16_14-10.png



Я запускала и перезапускала сервис тор.
sudo service tor@default restart
sudo service tor@default reload

В файле глобальных настроек фаервола нет ничего. Он пуст.
sudo nano /etc/whonix_firewall.d/30_default.conf

2019-01-16_13-58.png


Файл пользовательских настроек фаерволла - тоже пуст.
sudo nano /etc/whonix_firewall.d/50_user.conf


2019-01-16_14-00.png



Конфигурационный файл ТОР-а выглядит вот так:

2019-01-16_14-03.png


Начиталась вот такой инфы:
Arm - мощный инструмент для мониторинга Тор. С помощью него можно контролировать Тор различным образом. Заменяется следующей командой в консоли
arm

2019-01-16_14-18.png



Куда ещё мне копнуть ?
Какие скрины предоставить ?
Предоставлю всё, что могу. Только подскажите, ЧТО ))
 
Последнее редактирование модератором:
Х

Хлебушек

Well-known member
19.11.2018
53
52
Графической оболочки - нет.
Она есть. Даже если внимательно почитать вывод из вашех скриншотов, можно сделать вывод, что GUI есть.

Вы ведь не слишком ознакамливались с продуктом?) Предлагаю решить вашу проблему, вы пару месяцев попользуетесь, а потом быть может в новой статье изложите измененный взгляд?

Я испытала этот шлюз на двух разных операционках, на двух разных системах виртуализации.
Возможно проблема не в whonix? Может в процессе где-то ошиблись?
Можете на gateway выполнить?
Код:
traceroute 51.15.13.245
 
  • Нравится
Реакции: Valkiria
V

Valkiria

Можете на gateway выполнить?
traceroute 51.15.13.245
Такой команды не существует на WG ))

2019-01-16_17-27.png


Я вроде-бы не пожалела памяти. Для запуска графической оболочки вполне достаточно.

2019-01-16_17-32.png


Графическую оболочку можно как-то запустить вручную ?
 
Последнее редактирование модератором:
darklight

darklight

Well-known member
18.10.2018
46
60
Проблема скоре всего в том, что у вас мобилное соединение и почему то в системе неправильно роуты прописаны.
вот, например у меня на бубунте без тора и впн роут выглядит вот так: default dlinkrouter.Dli 0.0.0.0 UG 100 0 0 enp3s0 здесь dlinkrouter.Dli это мой дом маршрутизатор, а дефаул указывает, что весь трафик будет идти по этому маршрутупри включенном впн
default _gateway 0.0.0.0 UG 50 0 0 tun0
10.8.0.0 0.0.0.0 255.255.248.0 U 50 0 0 tun0
24.217.37.114 _gateway 255.255.255.255 UGH 100 0 0 enp3s0
посмотреть свою табл маршрутизации
route -n
а эта команда покажет через какие интерфейсы идет трафик
route | grep '^default' | grep -o '[^ ]*$'
а эта маршрутизацию по интерфейсам
ip r g 94.140.168.105
проблема в том, что в хониксе не будет работать ping и tracepath :)
 
  • Нравится
Реакции: Valkiria
V

Valkiria

Я тоже думаю, что проблема в маршрутизации.
Но что нужно поправить - не соображу.

Вот эту команду где прописать нужно ?
На хостовой машине ? На хостовом Дебиане ?
Вот её вывод

2019-01-16_19-30.png


Вот вторая

route | grep '^default' | grep -o '[^ ]*$'

2019-01-16_19-32.png


**********************************************************************************************************************8

А вот скрины результата этих команд с гостевого шлюза WG.

2019-01-16_19-34.png


А вот результат команды
route | grep '^default' | grep -o '[^ ]*$'

2019-01-16_19-38.png
 
M

memp00l

Member
16.01.2019
10
2
Пользюсь whonix больше года. Бывает такая проблема - с синхронизацией времени. И, судя по логам, у тебя именно она. Выполни команду date и сравни его со временем UTC в интернете. Затем выполни от su date --set "Wed Jan 16 20:11:13 UTC 2019" . В кавычках актуальное время UTC.
Инфу брал отсюда
 
Последнее редактирование:
  • Нравится
Реакции: Valkiria
V

Valkiria

Пользюсь whonix больше года. Бывает такая проблема - с синхронизацией времени. И, судя по логам, у тебя именно она. Выполни команду date и сравни его со временем UTC в интернете. Затем выполни от su date --set "Wed Jan 16 20:11:13 UTC 2019" . В кавычках актуальное время UTC.
Сделала ))
Команда date от рута
Whonix-Gateway-CLI-14.0.0.9.9 - VMware Workstation 2019-01-16 22.21.25.png

Затем перезахожу в систему под user-ом
нет коннекта с TOR-ом.

Вот кусочек скриншота.


Whonix-Gateway-CLI-14.0.0.9.9 - VMware Workstation 2019-01-16 22.27.17.png
 
V

Valkiria

Так был рассинхрон? Если был то потом просто перезапусти сервис тора - sudo systemctl restart tor и глянь journalctl -u tor -xe
Хотя я вижу он на маршруты ругается, хм
Команду date я вбила впервые, ты первый предложил.
Если рассинхронизация и была, то сейчас её уже нет.
Но всё равно, нет контакта с TOR.
Насчёт маршрутов.
Я уже удаляла один сетевой интерфейс - мост.
Оставался только NAT.
Странным является тот факт, что другие виртуальные машины с аналогичными настройками виртуальной сети благополучно выходят в Интернет.
А WG почему-то не выходит: нет ни пинга, TOR не коннектится.
Планирую выставить в WG точно такую же таблицу маршрутизации, что и в соседней виртуалке.
Если при одинаковых настройках другие виртуалки имеют выход в Итет, а WG - не имеет, то дело в незаслуженной разрекламированности шлюза.
WG - голый король.
Я не права ?
 
darklight

darklight

Well-known member
18.10.2018
46
60
нет, альтернатива хониксу либо физический роутер, либо vps настроенные вручную, а это куча времени и возможные косяки при настройке
шлюз, можно сделать на физ машине, у них на сайте даже мануал есть
 
  • Нравится
Реакции: TROOPY
V

Valkiria

нет, альтернатива хониксу либо физический роутер, либо vps настроенные вручную, а это куча времени и возможные косяки при настройке
шлюз, можно сделать на физ машине, у них на сайте даже мануал есть
Только Ваша уверенность даёт мне энергию к дальнейшим исследованиям этого шлюза.
Я уже скачала другой образ.
Благополучно конвертировала его в образ VMWare.
Не нужно писать. что этот образ не предназначен для работы в этой виртуальной машине - пусть работает ))
Тем более, что конвертация проходит успешно, система запускается.
Имеется графический интерфейс.
У меня самый главный вопрос.

Как происходит синхронизация времени ?
Ведь все утверждают, что шлюз не дырявый, что без подключения к ТОР-у нет выхода в инет.

Я сейчас во второй раз наблюдаю картину, что подключения к ТОРу нет.
Его попросту не было с момента запуска виртуального шлюза.


1.png



Но время на виртуалке выставлено такое-же, что и на хостовой машине.


2.png



Вы утверждаете, что шлюз - не дырявый ?
Ваш WG - отстой, либо я вообще ничего не понимаю в этом шлюзе.
 
F

Federer

New member
16.01.2019
2
0
Дырявый это как раз скорее всего VMWare, а не whonix. Разработчики же написали понятным языком, что для нормальной функциональности используйте VirtualBox. А если хотите вмваре, то дрочитесь сами. Время твое синхронизировалось не через интернет, а через биос как раз то дырявой VMWare. На виртуал боксе Воникс работает прекрасно.
 
V

Valkiria

На виртуал боксе Воникс работает прекрасно.
Чуток выше описаны мои вчерашние мучения, которые происходили в VirtualBox.
Проблема вовсе не в виртуальной машине.
WG работает одинаково хорошо или одинаково плохо и в VirtualBox и в VMWare.
А если верить постам выше, то и на физической машине.

Тот факт, что шлюз работает у окружающих меня не убеждает.
У меня своя голова на плечах ))

Время твое синхронизировалось не через интернет, а через биос
Возможно, время синхронизируется через bios - я об этом не подумала ))

Справедливости ради следует отметить, что wireshark не фиксирует утечек.

4.png
 
Мы в соцсетях: