Статья Этот незаслуженно разрекламированный Whonix-gateway

Префикс "Статья" в заголовке я выставила с провокационной целью. Но сделала это преднамеренно.
Целью написания этого произведения моих мыслей является обсуждение установки и настройки виртуального шлюза Whonix-Gateway в виртуальную машину VMWare.
Установка и настройка упомянутого виртуального шлюза в QEMU-KVM описана здесь.
Мне хочется начать обсуждение и поставить перед читателем некоторые вопросы, ответы на которые не найдены мною на просторах рунета. Они не найдены также на просторах англоязычной части паутины )) Возможно, я плохо искала. Прошу в этом случае не закидывать вашу покорную блондинку камнями, а направить на путь истинный.

Прежде чем начать изливать свои проблемы на растерзание публики, хочется сказать несколько вступительных слов.
Я не понаслышке знакома с темой анонимности, в частности с пропусканием интернет трафика машины под управлением различных операционных систем через различные соксы, прокси, vpn и тор. Периодически у меня возникает желание поэкспериментровать в этой области. Для себя я выбрала оптимальную модель анонимности и стараюсь ею пользоваться, как наиболее приемлемой для себя.
Но время идёт, прогресс не стоит на месте. Появляются новые технологии, новое программное обеспечение. Чтобы оставаться в теме, приходится иногда экспериментировать с тем, куда внутренний голос подсказывает:
"Не лезь туда. Это заведомо неверное решение".

Вчера мне в голову взбрела мысль на деле, а не понаслышке ознакомиться со шлюзом Whonix-Gateway. Вдоволь ознакомившись со статьями русcкоязычных авторов на данную тематику на сторонних площадках, я пришла к выводу, что в в связке Whonix, шлюз играет решающую и основную роль. Рабочая станция Whoenix Workstation может быть успешно заменена любой другой виртуальной машиной под управлением Kali, Windows, Debian.. чем угодно. Для пропускания виртуальной рабочей станции через шлюз хуникс достаточно в настройках виртуальной рабочей станции заменить сетевой адрес на 10.152.152.10
Кроме того, я заметила для себя, что данная тема абсолютно не раскрыта. Все статьи являются как будто клонами. Их содержание сводится к описанию установки шлюза, а также к описанию установки рабочей станции. Но эти процессы никак не связаны с анонимностью. Описание процессов установки виртуальных машин - тема далёкая от анонимности.
Боюсь быть неправильно понятой. Сам по себе способ выхода во внешний мир не с хостовой, а с гостевой системы - замечательный способ анонимизации пользователя.
Но пропустить трафик виртуальной машины с последующим шифрованием можно более простыми и менее ресурсоёмкими способами.
К примеру, я описывала использование с этой целью виртуальный адаптер tortilla
Tortilla Adapter. VmWare весь трафик через TOR.
или пропускание трафика через роутер, на котором запущен ТОР. Где-то на просторах рунета должны быть мои статьи о пропускании трафика через соксы, тонели и прочую лабуду.
Вчера я пробовала whonix.
Виртуальная машина VirtualBox никогда не радовала меня своим внешним видом и функционалом. Бесплатность и открытый код программы никогда не был для меня аргументом в её пользу. Справедливости ради, я смогла переступить свой негатив. Вчера VirtualBox благополучно был установлен на мой Debian.
Мгновение... и упомянутый виртуальный шлюз достойно украшал один из моих мониторов. Но только УКРАШАЛ. Сеть TOR запустилась на нём лишь один раз. Я даже ничего не успела сообразить, я ничего не трогала в настройках гостевой или хостовой машин. Второй и последующие запуски виртуального шлюза были плачевны. Сеть ТОР была недоступна, хостовая машина не пинговалась и не пингуется в настоящее время.
Все эти грехи я списала на глючность программного обеспечения с открытым исходным кодом. VirtualBox с радостью был снесён, а его место заслуженно заняла программа

Ссылка скрыта от гостей

Виртуальная машина благополучно cконвертирована из открытого формата *.ova в *.vmx

VirtualBox OVA в VMware VMX
Качаем VMware OVF Tool отсюда,

Ссылка скрыта от гостей

ставим и конвертим командой
- из windows:
ovftool.exe --lax Whonix-Gateway-CLI-14.0.0.9.9.ova Whonix-Gateway-CLI-14.0.0.9.9.vmx

- из linux:
ovftool --lax Whonix-Workstation-CLI-14.0.0.9.9.ova Whonix-Workstation-CLI-14.0.0.9.9.vmx

Конвертация прошла успешно.
Виртуальный шлюз на виртуальной машине VMware запускается так-же хорошо, что и на VirtualBox.
Но результат был одинаковый. Шлюз запускался, но выхода в Интернет не имел. Не пингуентся даже хостовая машина.

Мой компьютер управляется двумя операционными системами - это очень удобно. Не долго думая, я перезагрузила компьютер и отдала его в распоряжение Windows 10. Виртуальный шлюз нисколько не изменил своё поведение.
Утилита whonixcheck безжалостна ко мне.

Мой файл /etc/network/interfaces.d/30_non-qubes-whonix ничем не отличается от дефолтового ))
Вот и появляются подобные "статьи" с продолжением...

Результат команды ifconfig - дефолтовый для этого шлюза:

Возможно, среди читателей найдутся неравнодушные, желающие подсказать блондинке, куда "копать".

 

[TROOPY]

Тор не работает на шлюзе или на той системе, которая берет с него интернет? Если второе, то в настройках VirtualBox той системы, которая берет интернет с шлюза, во вкладке сеть нужно указать тип подключения внутренняя сеть и выбрать из списка "whonix". А поводу того, почему трафик пропускается через whonix-gateway, а не более простым способом, это из-за того, что whonix-gateway дает тебе защиту в виде изолированной системы, то есть если твоя система с который ты сидишь(та, которая подключается к шлюзу whonix) будет скомпрометирована, то ip злоумышленник все равно не получит. В этом и заключается смысл whonix и его "разрекламированность".

 

[Valkiria]

Тор не работает на шлюзе или на той системе, которая берет с него интернет? Если второе, то в настройках VirtualBox той системы, которая берет интернет с шлюза, во вкладке сеть нужно указать тип подключения внутренняя сеть и выбрать из списка "whonix". А поводу того, почему трафик пропускается через whonix-gateway, а не более простым способом, это из-за того, что whonix-gateway дает тебе защиту в виде изолированной системы, то есть если твоя система с который ты сидишь(та, которая подключается к шлюзу whonix) будет скомпрометирована, то ip злоумышленник все равно не получит. В этом и заключается смысл whonix и его "разрекламированность".

TROOPY, спасибо за ответ и за внимание к теме.
ТОР не запускается на шлюзе.
На картинках - изображения с Whonix Gateway. У меня не наблюдается соединение не только с TOR-ом, но нет и пинга хостовой машины или хоть каким-то устройством в виртуальной сети.
Ведь для коненекта в тор-ом необходим как минимум выход в инет, который проходит через хостовую машину либо мой роутер.
Я думаю, что DHCP сервер на хуникс-шлюзе не сработал. Если он вообще там у кого-то работает ))
Странно, что протокол автоматической настройки IP адресов всем выдаёт одинаковые внутренние адреса сети. Это нелепо ))

Моя хостовая машина выходит в Инет через два роутера.
IP адреса роутеров - 192.168.1.1 и 192.168.8.1
Вот таким способом:
Анонимизация. Начало.
Но я не могу пока разобраться в настройке внутренней сети.

whonix-gateway дает тебе защиту в виде изолированной системы, то есть если твоя система с который ты сидишь(та, которая подключается к шлюзу whonix) будет скомпрометирована, то ip злоумышленник все равно не получит. В этом и заключается смысл whonix и его "разрекламированность".

Вот с этим я и хочу поспорить.
Фактически, мне хочется бросить вызов этой незаслуженной разрекламированности. Мне хочется сказать:
Люди, этот шлюз не стоит того, чтобы о нём писали. Он не заслуживает внимания к себе.
Потому что имеются аналогичные, но более простые решения
Имеются более сложные и надёжные решения

Возможно, это звучит самонадеянно. Но читатели должны понимать, что я преднамеренно провоцирую всех на конструктивный диалог, на обсуждение этой цепочки анонимности.

 

[darklight]

Пользуюсь Whonix. Шлюз иногда отваливается, если интернет канал нестабильный. Нужно перегружать. Обычно это происходит, когда используется схема VPN TOR VPN. Если упал vpn на хосте, либо был включен/отключен, то нужно перегружаться или на шлюзе tor перезапускать. Быстрее перезагрузить, чем логиниться. На шлюзе выставил 256 Мб ОЗУ, - теперь в Х-сы не грузится. Рабочие станции кроме родной использую ХР и 7. VPN на них пускаю по tcp а не по udp. Виртуалбокc иногда вешает всю систему в Ubuntu. Но на убунте и хром течет, причем как то резко начинает жрать память, система уходит в своп и уже даже на попытки переключения в физ консоль не реагирут.

 

[Хлебушек]

Вот с этим я и хочу поспорить.
Фактически, мне хочется бросить вызов этой незаслуженной разрекламированности. Мне хочется сказать:
Люди, этот шлюз не стоит того, чтобы о нём писали. Он не заслуживает внимания к себе.
Потому что имеются аналогичные, но более простые решения
Имеются более сложные и надёжные решения

Меньше слов - больше дела. Пока только демагогия без примеров и агрументов.

ответы на которые не найдены мною на просторах рунета. Они не найдены также на просторах англоязычной части паутины

Может не там ищите? В документации на сколько я помню есть раздел, в котором описываются основные проблемы.

Все эти грехи я списала на глючность программного обеспечения с открытым исходным кодом. VirtualBox с радостью был снесён, а его место заслуженно заняла программа

Ссылка скрыта от гостей

Опять таки отправлю в доку, там есть раздел о VMware, в котором не рекомендовалось использовать данную виртуализацию, так как не стабильна.

 

[Valkiria]

Меньше слов - больше дела. Пока только демагогия без примеров и агрументов.

Шлюз - не работает.
Я вроде привела скриншоты.
Я два дня пыталась подключить его к TOR или хотя-бы получить пинг до хостовой машины.
Я испытала этот шлюз на двух разных операционках, на двух разных системах виртуализации.
Во всех случаях все IP адреса виртуальной сети одинаковы у всех пользователей интернета - бред какой-то.
Нестабильности использования шлюза в VmWare Workstation ровно столько, сколько в VirtualBox
Ничего нигде не работает - вот и вся нестабильность.
Но каким-то чудом в VirtualBox, установленном в Debian, TOR один раз подключился! Я упомянула этот факт в статье.
Как это произошло - я не поняла. Я ничего не успела сообразить.
Я ничего не трогала, ничего не меняла.
Переустановка всего и всея не имела эффекта.
TOR-а на шлюзе нет, пинга хостовой машины - нет.
Графической оболочки - нет.
Память и количество процессоров поменяны многократно во всех мыслимых и не мыслимых вариантах.
Вообще говоря, эта статья не только громкий вызов обществу, не только моя попытка сказать: Whonix - голый король.
Это ещё и небольшое разочарование

В интернет я выхожу при помощи мобильного оператора.
Вот моя схема.
Анонимизация. Начало.
Связь - стабильная.

Я запускала команду whonixcheck от имени user.

Я запускала и перезапускала сервис тор.
sudo service tor@default restart
sudo service tor@default reload

В файле глобальных настроек фаервола нет ничего. Он пуст.
sudo nano /etc/whonix_firewall.d/30_default.conf

Файл пользовательских настроек фаерволла - тоже пуст.
sudo nano /etc/whonix_firewall.d/50_user.conf

Конфигурационный файл ТОР-а выглядит вот так:

Начиталась вот такой инфы:

Arm - мощный инструмент для мониторинга Тор. С помощью него можно контролировать Тор различным образом. Заменяется следующей командой в консоли

arm

Куда ещё мне копнуть ?
Какие скрины предоставить ?
Предоставлю всё, что могу. Только подскажите, ЧТО ))

 

[Хлебушек]

Графической оболочки - нет.

Она есть. Даже если внимательно почитать вывод из вашех скриншотов, можно сделать вывод, что GUI есть.

Ссылка скрыта от гостей

Вы ведь не слишком ознакамливались с продуктом?) Предлагаю решить вашу проблему, вы пару месяцев попользуетесь, а потом быть может в новой статье изложите измененный взгляд?

Я испытала этот шлюз на двух разных операционках, на двух разных системах виртуализации.

Возможно проблема не в whonix? Может в процессе где-то ошиблись?
Можете на gateway выполнить?

traceroute 51.15.13.245

 

[Valkiria]

Можете на gateway выполнить?
traceroute 51.15.13.245

Такой команды не существует на WG ))

Я вроде-бы не пожалела памяти. Для запуска графической оболочки вполне достаточно.

Графическую оболочку можно как-то запустить вручную ?

 

[l3gat]

Такой команды не существует на WG ))

tracepath

пропиши ip route и скинь скрин

 

[Valkiria]

пропиши ip route и скинь скрин

 

[darklight]

Проблема скоре всего в том, что у вас мобилное соединение и почему то в системе неправильно роуты прописаны.
вот, например у меня на бубунте без тора и впн роут выглядит вот так: default dlinkrouter.Dli 0.0.0.0 UG 100 0 0 enp3s0 здесь dlinkrouter.Dli это мой дом маршрутизатор, а дефаул указывает, что весь трафик будет идти по этому маршрутупри включенном впн
default _gateway 0.0.0.0 UG 50 0 0 tun0
10.8.0.0 0.0.0.0 255.255.248.0 U 50 0 0 tun0
24.217.37.114 _gateway 255.255.255.255 UGH 100 0 0 enp3s0
посмотреть свою табл маршрутизации
route -n
а эта команда покажет через какие интерфейсы идет трафик
route | grep '^default' | grep -o '[^ ]*$'
а эта маршрутизацию по интерфейсам
ip r g 94.140.168.105
проблема в том, что в хониксе не будет работать ping и tracepath

 

[Valkiria]

Я тоже думаю, что проблема в маршрутизации.
Но что нужно поправить - не соображу.

Вот эту команду где прописать нужно ?

route -n

На хостовой машине ? На хостовом Дебиане ?
Вот её вывод

Вот вторая

route | grep '^default' | grep -o '[^ ]*$'

**********************************************************************************************************************8

А вот скрины результата этих команд с гостевого шлюза WG.

А вот результат команды
route | grep '^default' | grep -o '[^ ]*$'

 

[memp00l]

Пользюсь whonix больше года. Бывает такая проблема - с синхронизацией времени. И, судя по логам, у тебя именно она. Выполни команду date и сравни его со временем UTC в интернете. Затем выполни от su date --set "Wed Jan 16 20:11:13 UTC 2019" . В кавычках актуальное время UTC.
Инфу брал отсюда

Ссылка скрыта от гостей

 

[Valkiria]

Пользюсь whonix больше года. Бывает такая проблема - с синхронизацией времени. И, судя по логам, у тебя именно она. Выполни команду date и сравни его со временем UTC в интернете. Затем выполни от su date --set "Wed Jan 16 20:11:13 UTC 2019" . В кавычках актуальное время UTC.

Сделала ))
Команда date от рута

Затем перезахожу в систему под user-ом
нет коннекта с TOR-ом.

Вот кусочек скриншота.

 

[memp00l]

Сделала ))

Так был рассинхрон? Если был то потом просто перезапусти сервис тора - sudo systemctl restart tor и глянь journalctl -u tor -xe
Хотя я вижу он на маршруты ругается, хм

 

[Valkiria]

Так был рассинхрон? Если был то потом просто перезапусти сервис тора - sudo systemctl restart tor и глянь journalctl -u tor -xe
Хотя я вижу он на маршруты ругается, хм

Команду date я вбила впервые, ты первый предложил.
Если рассинхронизация и была, то сейчас её уже нет.
Но всё равно, нет контакта с TOR.
Насчёт маршрутов.
Я уже удаляла один сетевой интерфейс - мост.
Оставался только NAT.
Странным является тот факт, что другие виртуальные машины с аналогичными настройками виртуальной сети благополучно выходят в Интернет.
А WG почему-то не выходит: нет ни пинга, TOR не коннектится.
Планирую выставить в WG точно такую же таблицу маршрутизации, что и в соседней виртуалке.
Если при одинаковых настройках другие виртуалки имеют выход в Итет, а WG - не имеет, то дело в незаслуженной разрекламированности шлюза.
WG - голый король.
Я не права ?

 

[darklight]

Я не права ?

нет, альтернатива хониксу либо физический роутер, либо vps настроенные вручную, а это куча времени и возможные косяки при настройке
шлюз, можно сделать на физ машине, у них на сайте даже мануал есть

 

[Valkiria]

нет, альтернатива хониксу либо физический роутер, либо vps настроенные вручную, а это куча времени и возможные косяки при настройке
шлюз, можно сделать на физ машине, у них на сайте даже мануал есть

Только Ваша уверенность даёт мне энергию к дальнейшим исследованиям этого шлюза.
Я уже скачала другой образ.
Благополучно конвертировала его в образ VMWare.
Не нужно писать. что этот образ не предназначен для работы в этой виртуальной машине - пусть работает ))
Тем более, что конвертация проходит успешно, система запускается.
Имеется графический интерфейс.
У меня самый главный вопрос.

Как происходит синхронизация времени ?
Ведь все утверждают, что шлюз не дырявый, что без подключения к ТОР-у нет выхода в инет.

Я сейчас во второй раз наблюдаю картину, что подключения к ТОРу нет.
Его попросту не было с момента запуска виртуального шлюза.

Но время на виртуалке выставлено такое-же, что и на хостовой машине.

Вы утверждаете, что шлюз - не дырявый ?
Ваш WG - отстой, либо я вообще ничего не понимаю в этом шлюзе.

 

[Federer]

Дырявый это как раз скорее всего VMWare, а не whonix. Разработчики же написали понятным языком, что для нормальной функциональности используйте VirtualBox. А если хотите вмваре, то дрочитесь сами. Время твое синхронизировалось не через интернет, а через биос как раз то дырявой VMWare. На виртуал боксе Воникс работает прекрасно.

 

[Valkiria]

На виртуал боксе Воникс работает прекрасно.

Чуток выше описаны мои вчерашние мучения, которые происходили в VirtualBox.
Проблема вовсе не в виртуальной машине.
WG работает одинаково хорошо или одинаково плохо и в VirtualBox и в VMWare.
А если верить постам выше, то и на физической машине.

Тот факт, что шлюз работает у окружающих меня не убеждает.
У меня своя голова на плечах ))

Время твое синхронизировалось не через интернет, а через биос

Возможно, время синхронизируется через bios - я об этом не подумала ))

Справедливости ради следует отметить, что wireshark не фиксирует утечек.