VPN -> Proxy -> Tor -> Internet

Discussion in 'Linux' started by anonymous1, Jul 5, 2014.

  1. a

    anonymous1 Junior Member

    Hi,
    Ich suche nach einer Moeglichkeit fuer folgende Konfiguration.
    VPN -> Proxy -> Tor -> Internet

    VPN wuerde mit openvpn laufen.
    Proxy kann man ja auch direkt in den verschiedenen Programmen einstellen.
    Mir gehts da auch um den JDownloader.
    Welchen Proxy nimmt man am besten? Socks5?
    Das Hauptproblem ist als letztes Tor zu schalten. Ich habe keine Ahnung wie man das Anstellen koennte.

    Ich Spiele mit dem Gedanken mir einen Router mit openWRT zuzulegen. Auf diesem wuerde ich dann auch Tor laufen lassen.
    Aktuell nutze ich eine FritzBox 7490. Den openWRT Router will ich dann vor die FritzBox schalten. Ausnahmen sollte auch moeglich sein.
    Da ich z.b. fuer OnlineBanking kein Tor nutzten moechte. Aktuell nutzte ich dafuer eine Virtuelle Maschine die per Netzwerkbridge direkten Zugang, am VPN vorbei, zum Internet hat. Ist das moeglich mit den Ausnahmen usw.?

    Bevor ich mir aber den Router hole, will ich die Konfiguration gerne erstmal testen.
    Als OS nutzte ich Debian.

    Koennt ihr mir da witerhelfen?
     
  2. JackCarver

    JackCarver Junior Member

  3. a

    anonymous1 Junior Member

    Was genau versteht man unter Kaskadieren?
    Wird das nur durch den anderen Port umgesetzt?
    Ich dachte jetzt das ich z.b. im Iceweasel, Thunderbird, JDownloader... in den Verbindungseinstellungen einfach einen Proxy eintrage.
    WIrd da Automatisch was Kasakdiert? Oder wie muss ich mir das vorstellen?

    Und ich habe meine torrc die unter etc/tor/torrc modifiziert um schnellere Server zu bekommen.
    Siehe hier http://keksa.de/pimpmytor
    In deinem Link zum Torproject soll man ja Vidalia nutzen.
    Wird totzdem weiterhin die config von torrc gelesen?

    Edit: Ich habe gerade in der Member-Section gesehen, das dort auch ein Port fuer Tor angeboten wird. Was hat es damit auf sich?
     
  4. JackCarver

    JackCarver Junior Member

    Kaskadieren bedeutet, dass man Verbindungen in Reihe schaltet, dh man verbindet sich zuerst zu nem bel VPN Server und danach zu nem Proxy Server. Dann sieht die Verbindung insgesamt so aus:

    @Home -> VPN-Server -> Proxy-Server

    Da allerdings die Verbindung zu dem Proxy über den VPN hinaus im Klartext abläuft, sollte man diese Verbindung per SSH absichern, dh man verbindet sich zu nem SSH Server und bindet den Squidport desselben Servers an nen lokalen Port. Dann trägt man im Browser/JD/Thunderbird usw einfach als IP die 127.0.0.1 und als Port diesen lokalen Port an dem der Squid lauscht ein.
    Die Verbindung zum Squid geht dann verschlüsselt durch den SSH Tunnel.

    Automatisch wird also nichts kaskadiert aber sobald du per VPN verbunden bist und danach nen Proxy zb im JD einstellst hast du bereits ne Kaskade.

    Wie das mit torrc aussieht bin ich überfragt, da ich Tor nicht nutze, da musst du Google um Rat fragen.
     
  5. a

    anonymous1 Junior Member

    d.h. ich trage in JD z.b. einfach 127.0.0.1 ein un den Port von ssh?
    dort sind ja 2 Ports nagegeben. Spielt es eine Rolle welchen ich nutze?
    Bin Netzwerktechnisch nicht so wirklich fit :)
     
  6. JackCarver

    JackCarver Junior Member

    Nein, du trägst nicht den SSH Port ein, sondern den Port an dem der Proxy lauscht, als Beispiel für Linux, da du ja Debian nutzt. Du verbindest dich zu VPN (zb Erfurt), danach öffnest du die Konsole und gibst folgendes ein:

    ssh -N username@amsterdam.perfect-privacy.com -L 8011:127.0.0.1:3128

    Mit diesem SSH Befehl bindest du den Squid Port 3128 an den lokalen Port 8011. Jetzt trägst du zb in JD als HTTP/HTTPS Proxy folgendes ein:

    IP: 127.0.0.1
    Port: 8011

    Damit hast du im JD nun ne Kaskade @home -> Erfurt -> Amsterdam und die Verbindung Erfurt -> Amsterdam ist SSH gesichert. Der Exil Point dieser Kaskade ins Internet ist der Squid.

    Den username im Befehl natürlich durch deinen PP Username ersetzen.
     
  7. PP Daniel

    PP Daniel Staff Member

    Hi anonymous1,

    dass du dein Online-Banking und ähnliches nicht über TOR laufen lassen willst ist schon der richtige Gedanke. Am einfachsten realisierst du das, indem du für TOR Nutzung das TOR Browser Bundle installierst und verwendest, und für alles was dann nicht über TOR laufen soll, einen anderen Browser verwendest. Du kannst auch mehrere verschiedene Browser nehmen und in einem davon dann ohne Proxy arbeiten und in einem anderen mit Proxy (so wie Jack es beschrieben hat). Unabhängig davon laufen dann trotzdem alle Verbindungen erstmal durch den OpenVPN Tunnel, sofern dieser aktiv ist. Das ist evtl. für Online Banking, Amazon etc. auch nicht immer gut, da diese Anbieter im Normalfall Ihre Sicherheitsabfragen anwerfen wenn du dich da auf einmal mit ner IP aus $Sonstwo anmeldest. Da solltest du also ggf. für einen Endpunkt (nach aussen sichtbare IP Adresse) sorgen, der in dem Land liegt aus dem du üblicherweise solche Verbindungen machst, oder aber direkt ohne VPN arbeiten. Letzteres geht z.B. über eine virtuelle Maschine mit passendem Netzwerksetup.

    Zu deiner Frage bzgl. des TOR Zugangs und des Ports den wir hierfür anbieten, sei gesagt dass wir Grundsätzlich empfehlen das TOR Browser Bundle einzusetzen, auch wenn es ohne geht. Ich verweise dich hier mal auf unsere diesbezügliche Anleitung: https://www.perfect-privacy.com/german/anleitungen/tor-ueber-vpn-mit-firefox-unter-windows-7/
     
  8. a

    anonymous1 Junior Member

    Habe es gerade mal ausprobiert mit der Kaskade.
    Zuerst bekam ich dort die Meldung:The authenticity of host 'zurich.perfect-privacy.com (176.10.116.169)' can't be established.

    Dann habe ich mir aus der Downloadsection die neusten ssh_fingerprints geladen.
    Nur weiss damit nichts anzufangen. Habe diese dann einfach mit in den Ordner gepackt wo ich auch die ganzen Server configs von PP habe.

    Danach habe ich den Befehl im terminal erneut ausgefuehrt.
    Das sah dann suo aus:
    ----------@debian:~$ ssh -N anonymous1@Zurich.perfect-privacy.com -L 8011:127.0.0.1:3128
    anonymous1@zurich.perfect-privacy.com's password:

    Dort habe ich dann mein PP passwort eingegeben.
    Danach kam nichts mehr.
    Ich bin mir jetzt nicht sicher ob es funktioniert. Weil es kommt auch keine Bestaetigungsmeldung.
    Normalerweise wenn etwas im Terminal abgeschlossen ist, kommt ja wider das Standart eingabefeld.
    Also Name@debian: und das kommt ja auch nicht.

    @PP Daniel:
    Ich nutze fuer OnlineBaking, Bestellungen, usw. bereits eine virtuelle Maschine mit Debian inkl. Netzwerkbruecke.
    Zuerst hatte mir Jack dort auch geholfen das ganze mit Ausnahmen ueber iptables un iprouten zu realisieren.
    Da das aber nicht so ganz funktioniert, hatte er mir zu einer virtuellen Maschine geraten.
    Im nachhinein muss ich zugeben das das wirklich die beste Loesung war.

    Edit: Ist es auch moeglich mehrere Kskaden zu nutzen?
    z.b. im Browser Zuerich un im JD Amsterdam?
     
  9. PP Frank

    PP Frank Staff Member

    Das ist auch richtig so. Einfach das Terminal offen lassen(nicht schliessen) und die entsprechenden Ports nutzen.....
     
  10. PP Daniel

    PP Daniel Staff Member

    Hi anonymous1,

    das mit den SSH Fingerprints funktioniert nicht automatisch, dein SSH Client gibt dir beim ersten Verbindungsversuch aber einen SSH Fingerprint aus, dieser muss mit dem entsprechenden aus der Liste übereinstimmen. Das muss man aber manuell abgleichen. So stellt man sicher, dass man sich auch mit dem gewünschten Server verbindet und nicht mit einem Anderen weil da gerade jemand in der Leitung sitzt (Man In The Middle, MITM Angriff) und sich als der Host ausgibt. Den Fingerprint merkt sich dein Client und schreit dann nur noch wenn sich der mal ändert, dann sollte man stutzig werden...

    Und ja, du kannst auch mehrere SSH Tunnel gleichzetig zu unterschiedlichen Servern aufbauen und mit unterschiedlichen Clients/Browsern an verschiedenen Orten rauskommen :)
     
  11. a

    anonymous1 Junior Member

    Also das mit der Kaskade im Browser klappt jetzt.
    Mir ist nur nicht ganz klar wie das funktioniert mit mehreren Kaskaden gleichzeitig.
    bzw. ich bräuchte 3 gleichzeitig.

    Und noch eine Frage zu Vidalia/Tor.
    Es laufen doch dann alle Verbindungen ueber Tor, wo ich den Proxy eingetragen habe??
    Also nicht nur Browser sondern auch JD z.b.
    Ich habe dort in den Verbindungseinstellungen 127.0.0.1:8011 eingetragen.
    Wenn ich dann Tor starten will reagiert das Programm nicht mehr.
    Ich weiss nicht so recht wodran das liegen koennte.
     
  12. JackCarver

    JackCarver Junior Member

    Du nimmst jeweils nen anderen Port und baust die Verbindungen wie gezeigt, zb 8011 für Amsterdam und 8012 für Zürich. Trägst du dann im FF zb localhost mit Port 8011 ein so surfst du über Amsterdam und trägst du im JD localhost mit Port 8012 als Proxy ein surfst du über Zürich. JD und Tor ist keine gute Idee, das Tor Netz ist grottig was Speed angeht, mach das über nen gescheiten PP Proxy. Zum Surfen über Tor gibt's ja das Tor Browser Paket.
     
  13. a

    anonymous1 Junior Member

    Im JD klappts mit dem Proxy nicht.
    Bekomme die Meldung: Momentan nicht pruefbar bzw. plugin defekt.
    Ohne Proxy klappts wider.
    Und das ganze nur bei Share-Online links. Uploaded klappt auch mit Proxy.

    Und bei Tor habe ich ja die torrc modifiziert.
    Speedtest.net mit Standart torrc ca 300kb/s mit modifizierter ca 1mb/s.
    Wenn denn der Proxy im JD funktionieren sollte, und ich dann mit Tor einen Downloadspeed von ueber 700kb/s habe,
    waere das fuer mich ein guter Kompromiss zwischen Sicherheit und Geschwindigkeit.

    Vidalia bekomme ich nicht ans Laufen. Sobald ich irgendwo hinklicken will, reagiert nichts mehr.
    Momentan nutze ich fuer Tor Privoxy + FoxyProxy-Addon.
    Vielleicht kann man Tor ja auch ueber Privoxy realiesieren und dann uebers Terminal laufen lassen?
    So wie es momentan auch mit VPN un der Kaskade laeuft.

    Edit: In icedove funktiniert der Proxy auch nicht.
    Habe Luxemburg und Zuerich gestestet.
    Ist zwar jetzt nicht so wichtig nur der Vollständigkeit halber.
     
  14. JackCarver

    JackCarver Junior Member

    Welchen Proxy nimmst du denn? Squid oder Socks?
     
  15. a

    anonymous1 Junior Member

    Im JD?
    Den Squid. Da es ja im Idealfall ueber die Kaskade laufen soll oder??
    Hatte dort port 8011 - Zurich und 8012 - Steinsel ausprobiert.
     
  16. PP Daniel

    PP Daniel Staff Member

    Hi,

    der Squid ist dafür der falsche Proxy, für sowas (eigentlich alles ausser Webbrowsern) musst du den SOCKS5 nehmen. Der SOCKS5 kann als protokollunabhängiger Proxy mit allen Programmen genutzt werden, die die Nutzung eines SOCKS5 Proxies gestatten.

    Die Kaskade baust du dann analog zu der für den Squid Proxy auf, nur eben mit einem anderen lokalen Port, den selben zu nehmen wie für den Squid geht (zumindest gleichzeitig) logischerweise nicht.
     
  17. a

    anonymous1 Junior Member

    Irgendwie klappts nicht.
    Habe jetzt folgendes eingegeben
    ssh -N Name@Steinsel.perfect-privacy.com -L 8013:127.0.0.1:5080
    Name natuerlich durch meine nutzernamen ersetzt.
    Habe ich etwas falsch gemacht?
    Im Downloadfenster kommt immer "Disconnect?"
     
  18. PP Daniel

    PP Daniel Staff Member

    Hi,

    sieht für mich auf den ersten Blick richtig aus, mit Downloadfenster meinst du den JD, oder? Was ist denn dort eingestellt?
     
  19. a

    anonymous1 Junior Member

    Ja, meinte den JD.
    Habs gerade nochmal probiert. Jetzt kommt "Plugin defekt"
    Habe in den Proxyeinstellungen IP: 127.0.0.1 Port: 8012 eingegeben.
    (habe dann natuerlich im terminalbefehl auch port 8012 und nicht 8013 geschrieben)
    Habs sowohl im normalen Proxy als auch bei Socks probiert.
    vlt. sollte ich noch erwaehnen, das ich nicht den JD2 sondern 0.9 nutze.
     
  20. a

    anonymous1 Junior Member

    Muss ich vielleicht noch irgendwelche Pakete installieren?
    Ich habe Debian auch mit dem iptables Regeln von jack abgesichert. https://board.perfect-privacy.com/f...itungen/6162-linux-absichern-mit-den-iptables
    Wird dadurch vielleicht ein Socks5-port blockiert??
    Als Router nutze ich eine Fritzbox 7490. muessen dort irgendwelche ports freigegeben werden? Habe dort saemtliche Freigaben bis aufs Webinterface geloescht.
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice