Статья Этот незаслуженно разрекламированный Whonix-gateway

Префикс "Статья" в заголовке я выставила с провокационной целью. Но сделала это преднамеренно.
Целью написания этого произведения моих мыслей является обсуждение установки и настройки виртуального шлюза Whonix-Gateway в виртуальную машину VMWare.
Установка и настройка упомянутого виртуального шлюза в QEMU-KVM описана здесь.
Мне хочется начать обсуждение и поставить перед читателем некоторые вопросы, ответы на которые не найдены мною на просторах рунета. Они не найдены также на просторах англоязычной части паутины )) Возможно, я плохо искала. Прошу в этом случае не закидывать вашу покорную блондинку камнями, а направить на путь истинный.

Прежде чем начать изливать свои проблемы на растерзание публики, хочется сказать несколько вступительных слов.
Я не понаслышке знакома с темой анонимности, в частности с пропусканием интернет трафика машины под управлением различных операционных систем через различные соксы, прокси, vpn и тор. Периодически у меня возникает желание поэкспериментровать в этой области. Для себя я выбрала оптимальную модель анонимности и стараюсь ею пользоваться, как наиболее приемлемой для себя.
Но время идёт, прогресс не стоит на месте. Появляются новые технологии, новое программное обеспечение. Чтобы оставаться в теме, приходится иногда экспериментировать с тем, куда внутренний голос подсказывает:
"Не лезь туда. Это заведомо неверное решение".

Вчера мне в голову взбрела мысль на деле, а не понаслышке ознакомиться со шлюзом Whonix-Gateway. Вдоволь ознакомившись со статьями русcкоязычных авторов на данную тематику на сторонних площадках, я пришла к выводу, что в в связке Whonix, шлюз играет решающую и основную роль. Рабочая станция Whoenix Workstation может быть успешно заменена любой другой виртуальной машиной под управлением Kali, Windows, Debian.. чем угодно. Для пропускания виртуальной рабочей станции через шлюз хуникс достаточно в настройках виртуальной рабочей станции заменить сетевой адрес на 10.152.152.10
Кроме того, я заметила для себя, что данная тема абсолютно не раскрыта. Все статьи являются как будто клонами. Их содержание сводится к описанию установки шлюза, а также к описанию установки рабочей станции. Но эти процессы никак не связаны с анонимностью. Описание процессов установки виртуальных машин - тема далёкая от анонимности.
Боюсь быть неправильно понятой. Сам по себе способ выхода во внешний мир не с хостовой, а с гостевой системы - замечательный способ анонимизации пользователя.
Но пропустить трафик виртуальной машины с последующим шифрованием можно более простыми и менее ресурсоёмкими способами.
К примеру, я описывала использование с этой целью виртуальный адаптер tortilla
Tortilla Adapter. VmWare весь трафик через TOR.
или пропускание трафика через роутер, на котором запущен ТОР. Где-то на просторах рунета должны быть мои статьи о пропускании трафика через соксы, тонели и прочую лабуду.
Вчера я пробовала whonix.
Виртуальная машина VirtualBox никогда не радовала меня своим внешним видом и функционалом. Бесплатность и открытый код программы никогда не был для меня аргументом в её пользу. Справедливости ради, я смогла переступить свой негатив. Вчера VirtualBox благополучно был установлен на мой Debian.
Мгновение... и упомянутый виртуальный шлюз достойно украшал один из моих мониторов. Но только УКРАШАЛ. Сеть TOR запустилась на нём лишь один раз. Я даже ничего не успела сообразить, я ничего не трогала в настройках гостевой или хостовой машин. Второй и последующие запуски виртуального шлюза были плачевны. Сеть ТОР была недоступна, хостовая машина не пинговалась и не пингуется в настоящее время.
Все эти грехи я списала на глючность программного обеспечения с открытым исходным кодом. VirtualBox с радостью был снесён, а его место заслуженно заняла программа

Ссылка скрыта от гостей

Виртуальная машина благополучно cконвертирована из открытого формата *.ova в *.vmx

VirtualBox OVA в VMware VMX
Качаем VMware OVF Tool отсюда,

Ссылка скрыта от гостей

ставим и конвертим командой
- из windows:
ovftool.exe --lax Whonix-Gateway-CLI-14.0.0.9.9.ova Whonix-Gateway-CLI-14.0.0.9.9.vmx

- из linux:
ovftool --lax Whonix-Workstation-CLI-14.0.0.9.9.ova Whonix-Workstation-CLI-14.0.0.9.9.vmx

Конвертация прошла успешно.
Виртуальный шлюз на виртуальной машине VMware запускается так-же хорошо, что и на VirtualBox.
Но результат был одинаковый. Шлюз запускался, но выхода в Интернет не имел. Не пингуентся даже хостовая машина.

Мой компьютер управляется двумя операционными системами - это очень удобно. Не долго думая, я перезагрузила компьютер и отдала его в распоряжение Windows 10. Виртуальный шлюз нисколько не изменил своё поведение.
Утилита whonixcheck безжалостна ко мне.

Мой файл /etc/network/interfaces.d/30_non-qubes-whonix ничем не отличается от дефолтового ))
Вот и появляются подобные "статьи" с продолжением...

Результат команды ifconfig - дефолтовый для этого шлюза:

Возможно, среди читателей найдутся неравнодушные, желающие подсказать блондинке, куда "копать".

 

[darklight]

Откопал свой старый модем Huawei. Не пользовался им лет 5. Решил проверить как будет виртуалка с ним работать. Воткнул, убунта подхватила. Соединился, попробовал - хоникс выходит в сеть. Не смог протестировать как будет через впн, у меня сигнал оч слабый, соединение постоянно рвется. Так что зря вы на него бочку катите.
Или у вас модем в роутере?

 

[Valkiria]

Или у вас модем в роутере?

Да, модем в роутере.
Мой модем перепрошит и имеет сетевой адрес.
Сетевой адрес машины - 192.168.1.2
Сетевой адрес роутера 192.168.1.1
Сетевой адрес модема - 192.168.8.1

Так что зря вы на него бочку катите.

Я бочку не качу, пишу что вижу.

 

[darklight]

Да, модем в роутере.

Новые вводные данные. Так у вас весь трафик на модем через роутер идет? Или в роутере есть какая то маршрутизация дополнительная?
Я думал, что проблема с маршрутизацией из-за модема, но раз он вынесен, теперь даже не знаю.
То есть у вас две подсети получается.
Одна 192.168.1.* вторая 192.168.8.* на одном физическом интерфейсе роутера?
Я думал, что модем, воткнутый в роутер, используется как usb устройство. На видео автор говорит, что ему не удалось этот модем в режиме hilink запустить.

 

[Valkiria]

что ему не удалось этот модем в режиме hilink запустить.

Удаётся, запускается.
Модем легко перепрошивается в режим hilink по этой видеоинструкции и хорошо работает с роутерами ASUS.

 

[darklight]

Прямо с вами детективная история. Еще раз посмотрел ваши роуты. Там по умолчанию все на 192.168.1.1 идет. Как трафик на модем на *.*.8.1 заворачивается не пойму. И машина получает адрес в подсети *.*.1.1. Она не может видеть *.*.8.1, если только роутер не пробразывает маршрут к 8 подсети.

 

[Valkiria]

По этой видеоинструкции я перепрошила несколько модемов, два из них принадлежит мне.
У меня несколько роутеров с USB -портами, на которые можно вешать WAN.
ASUS RT-AC51U
ASUS RT-N18U
DLink-320.
Все эти модели гарантированно работают с Huawey E3372h без изменений сетевых адресов.
Есть небольшие нюансы из-за разнообразия прошивок, но они к теме не имеют значения.
Наверное, как-то трафик заворачивается ))
Шлюзом в Интернет я назначаю роутер с адресом 198.162.1.1

 

[Valkiria]

Прямо с вами детективная история. Еще раз посмотрел ваши роуты. Там по умолчанию все на 192.168.1.1 идет. Как трафик на модем на *.*.8.1 заворачивается не пойму. И машина получает адрес в подсети *.*.1.1. Она не может видеть *.*.8.1, если только роутер не пробразывает маршрут к 8 подсети.

Откровенно, я не пойму, почему Вас смутила подсеть *.*.8.1
Мне кажется. что в такой маршрутизации нет ничего выходящего за рамки.
Ведь IP-адреса виртуальных адаптеров также находятся НЕ в сети *.*.1.1

WG имеет два виртуальных сетевых интерфейса: NAT и Мост.
Они соответствуют витруальным адаптерам VMnet1 и VMnet8


192.168.1.1 - это мой роутер.
192.168.1.2 - это мой компьютер.
192.168.138.1 - это VMNET1 - МОСТ
192.168.70.1 - это VMNET8 - NAT

Все адаптеры находятся не в подсети *.*.1.1
Ничего странного в том, что трафик заворачивается на 192.168.8.1 - нет.
Более того, если модему Huawey E3372h назначить адрес 192.168.1.*, то с огромной долей вероятности работать такая конструкция не будет.

 

[imposibru]

тыщу раз разворачивал whonix-gateway и всегда он пахал "из коробки" безо всякого геммора
просто запускал в VB и все
первый раз слышу о таких проблемах)

 

[Triton]

А никак не получится использовать другой тип подключения? Пробовали на хостовой машине VPN поднять. У меня было такое, что провайдер блокировал подключение к TOR. Решалось поднятием VPN или настройкой тора на использование мостов.

 

[Ralink]

Тоже были проблемы с whonix-gateway первое время. Не подключался к сети TOR...
Причина очень банальная: не совпадение времени на WG!
Решилось все таким способом:
Установлен Виртуалбокс, в настройках виртуальной машины память 512
в настройках система-материнская плата-часы в системе UTC
сеть-тип подключения NAT
на рабочей машине ос Manjaro (где установлен виртуалбокс) выставленно время UTC-5 (если в Москве 12:50, то у меня 04:50)
дистрибутив скачен Whonix-Gateway-XFCE-14.0.0.9.9.ova
До WG стоит VPN протокол UDP
Все работает и подключается как на прямую на LTE модем, так и через VPN, протоколы пробовал tcp, udp и порты разные перепробовал. Полет нормальный!

 

[Valkiria]

А никак не получится использовать другой тип подключения? Пробовали на хостовой машине VPN поднять. У меня было такое, что провайдер блокировал подключение к TOR. Решалось поднятием VPN или настройкой тора на использование мостов.

Вы имеете ввиду блокировку TOR провайдером ?
Выше я привожу скриншоты, на которых видно, что для выхода в инет я пользуюсь услугами мобильного оператора МЕГАФОН.
Мегафон не блокирует Tor.
Для того, чтобы ни у кого впоследствии не возникало подобных вопросов, привожу скриншот .

На скриншоте видно, что скачанный по

Ссылка скрыта от гостей

не блокируется оператором связи. Очевидно же )) Подключение с сетью ТОР на хостовой машине происходит быстро и благополучно.

Тоже были проблемы с whonix-gateway первое время. Не подключался к сети TOR...
Причина очень банальная: не совпадение времени на WG!

Я пытаюсь показать, что WG - незаслуженно разрекламированный шлюз.
Естественно, покопавшись в каких-то настройках и проделав при активной поддержке форумчан АК**ЕННУЮ работу вместо разработчиков, мы вместе найдём какое-то решение. мы попросту разберём этот линукс под названием WhonixGatavey на запчасти, разберём каждую строчку кода и получим положительный результат.

Но , господа ! Это работа разработчиков. Это работа тех, кто возложил на этот напрасно разрекламированный шлюз свою анонимность. Я не отношусь ни к одной из перечисленых групп. И я занимаюсь решением проблем шлюза не "первое время". Я посвятила этом шлюзу четыре дня своей жизни.
За эти четыре дня я :

• синхронизировала время
• меняла сетевые интерфейсы виртуального шлюза WG во всех мыслимых и немыслимых комбинациях.
• конвертировала и переконвертировала образы
• устанавливала и переустанавливала программы (VmWare & VirtualBox)
• Проделывала свои эксперименты под Windows 10 и Debian
• разбиралась в маршрутизации
• ещё много чего делала...

В результате с некоторой долей уверенности я могу заявить.

• У вуртуального шлюза WG имеются проблемы с маршрутизацией. По крайней мере, протокол (сервер) DHCP работает криво.
• Разработчики предусмотрели выход в Интернет шлюза WG через NAT, который повесили на интерфейс eth1. Возможно, где то в настройках конфигурационных файлов можно изменить это значенте на eth0 - ?? Я не нашла, но такая настройка смогла бы изменить хоть что-то. Этой настройки не хватает в шлюзе.

Вместе с этим, нужно учитывать, что обыкновенный человек со своими интересами, у меня есть жизнь. Улыбка ))
В мои планы не входит выпрямлять кривое ПО ))

 

[Triton]

Да не. Тут по любому какая то простая фиговина. Дело не в WG. Т.е его используют тысячи человек и все норм, а тут так. Не туда смотрим все. Как там с подюлючением? Пробовали другой выход в сеть.

 

[Valkiria]

Да не. Тут по любому какая то простая фиговина. Дело не в WG. Т.е его используют тысячи человек и все норм, а тут так. Не туда смотрим все. Как там с подюлючением? Пробовали другой выход в сеть.

У меня установлены восемь виртуальных машин.
Даже Windows 98 не испытывала проблем с маршрутизацией.
А WG - не имеет коннекта с Инетом.
Какой ещё выход в сеть вы имеете ввиду.
Можно немного конкретики ?
"Другой выход в сеть" - ЭТО ЧТО ?
Ещё один провайдер ?
В настоящий момент у меня нет проводного провайдера.
Вполне возможно, что если бы я воткнула провод провайдера в сетевую карту системного блока, то и проблемы исчезли.
Я даже уверена в этом.
Ну и что ?
Разве от этого WG стал-бы менее кривым ?

 

[memp00l]

Ах вот оно что, Whonix крутится на вмваре. Там надо настройки сетевого адаптера поправить и все будет отлично. Я прото уже как с полгода пешел на VB. Могу глянуть конфиг, как буду за десктопом с виндой. Но там ничего сложного. Все задокументировано.

 

[Valkiria]

Ах вот оно что, Whonix крутится на вмваре.

Почитайте внимательнее тему с самого начала.
Прежде, чем продолжить свои эксперименты на VMware, я экспериментировала на Virtual Box.
Виртуальная машина не меняет ровным счётом ничего.

Но всё равно, выкладывайте свои конфиги.
Посмотрим, чего они стоят ))
Не забывайте уважать чужое время.
Учтите, что за четыре дня я перепробовала все мыслимые и немыслимые комбинации. Выше я перечислила этот список.

Все задокументировано.

Что и где задокументировано ?
Вы имеете ввиду какую-то ссылку на WiKi ?
Выкладывайте ссылку, почитаем вместе.
Исправим ))

 

[memp00l]

Мой файл /etc/network/interfaces.d/30_non-qubes-whonix ничем не отличается от дефолтового ))

Вот его и надо поправить в соответствии с адаптером NAT в vmware

 

[Valkiria]

Вот его и надо поправить в соответствии с адаптером NAT в vmware

Как он должен выглядеть на ваш взгляд ?
Выкладывайте Ваш вариант ))

 

[memp00l]

я экспериментировала на Virtual Box.

Сорри, я в логи сразу уткнулся, увидел вмварь и таймсинк проблем.
На vbox с командой таймсинк все должно работать. Был у меня еще один косяк на вмваре (на вбокс пока не всплывал) пропадала возможность соединения со входной нодой тор, будь то обычная нода или бридж. Помогала смена в гуе на obfs3 bridge. Вот этот косяк я так и не нагуглил.

Как он должен выглядеть на ваш взгляд ?

Я могу точный ответ дать лишь когда буду за старым пк с вмварью, может на неделе заеду, тогда будет точный рабочий конфиг. Пока лишь могу сказать что надо узать какой пул адресов у вашего адаптера и присвоить wonix адрес из этого диапазона.

 

[Valkiria]

Признаюсь, я испытываю сомнения по поводу того, что с дефолтовым файлом
Whonix/whonix-gw-network-conf
на виртуальной машине VirtualBox вы не испытывали проблем, а на VmWare - нужно было редактировать этот файл и проблемы исчезали.
Я уверена, что данный файл оказывает одинаковое влияние на шлюз вне зависимости от виртуализации.
Если работает в VBOX, то и в VmWare должно работать.
Это-ж и есть файл, где прописывается маршрутизация шлюза.

Пока лишь могу сказать что надо узать какой пул адресов у вашего адаптера и присвоить wonix адрес из этого диапазона.

Вся эта информация выложена выше.
Приглядитесь, не поддавайтесь своим эмоциям ))

 

[l3gat]

Для VMWare решение такое:
На хосту прописываем ip a

Запоминаем ip vmnet8

Запускаем Whonix Gateway на VMWare
в терминале прописываем sudo nano /etc/network/interfaces.d/30_non-qubes-whonix

Найти строчки:

auto eth0
iface eth0 inet static
    address 10.0.2.15
    netmask 255.255.255.0
    gateway 10.0.2.2

И прописать в них

auto eth0
iface eth0 inet static
    address 192.168.150.(3-254)#Первые 3 байта вашего ip интерфейса vmnet8
    netmask 255.255.255.0
    gateway 192.168.150.2      #Первые 3 байта вашего ip интерфейса vmnet8