あなたのポケットの中のSBC + VPN + Tor + obfsproxy

この記事では、モバイルデバイス、PC、またはラップトップを接続できるTor、VPN、難読化を備えたポータブルソリューションを取得するためのオプションの1つについて説明します。

問題ステートメント ：ラップトップ/ PC /モバイルデバイスに接続できるシングルボードコンピューターを取得し、最初にVPNでトラフィックをラップし、次にTorでobfs-proxyを使用して難読化し、リモートVPNサーバーに送信します。

ソースデータ：

1）シングルボードコンピューター。 私の場合、これはRaspberry PiモデルB +です。
2）Raspbian OS。 この記事では、Raspbian Jessieを使用し、2016年3月18日からビルドしました。
3）メモリカード（Micro SD）;
4）カードリーダー;
5）USBアダプターへのワイヤレスアダプターまたはイーサネット。
6）リモートOpenVPNサーバー。

配線図：

1）eth-eth

2）wlan-eth

3）wlan-wlan

4）eth-wlan


指定：

1. SBC-シングルボードコンピューター。
2. CR-インターネットアクセスが提供されるデバイス。 デバイスは必ずしもSBCポートに直接接続されるとは限りません。
3. PC-SBCに接続されているコンピューター（またはモバイルデバイス）。
4. VPNサーバー-ターゲットVPNサーバー。
5.入力インターフェイス-クライアントトラフィックが入る物理インターフェイス。
6.出力インターフェイス-トラフィックがインターネットに送信される物理インターフェイス。

仮定：

この記事では、インターネットへのリンクのパラメーターがDHCP経由で送信されるか、静的に設定される場合について説明します。 L2TP、PPPoE、またはその他の状況でリンクのパラメーターを取得する場合、設定は異なります。 また、便利な操作のために、VPNサーバーはDNSリレーとして機能すると想定しています。

システムのインストールと接続

Rasbianの公式Web サイトには、Linux、Mac OS、およびWindows用のイメージを記録するための非常に詳細な手順が含まれているため、記事を煩雑にしないために、OSイメージをメモリカードに記録するプロセスについては説明しません。 私の観察から、将来のメモリ不足の問題を回避するために、16 GBのカードを使用することをお勧めします。

画像を記録してオンにした後、ボードに接続した後、いくつかのオプションがあります。

1）hdmiをサポートする特別な画面/モニター/テレビがある場合は、それをhdmi経由で接続します。
2）画面は表示されないが、パラメータがDHCPを介して物理インターフェイスに届く場合は、別のコンピューターからnmapネットワークをスキャンして、sshで接続できます。 ユーザーpi、パスワードraspberry。
3）DHCPがない場合は、ファイル/ etc / network / interfacesを編集して、そこにアドレスを手動で入力できます。

トラフィック転送

あるインターフェイスから別のインターフェイスにトラフィックを転送するには、対応するLinuxカーネルパラメーターを有効にする必要があります。 これは、次のコマンドを使用して実行できます。

sysctl -w net.ipv4.ip_forward=1 

または

 echo 1 > /proc/sys/net/ipv4/ip_forward 

確認するには、次のコマンドを使用できます。

 cat /proc/sys/net/ipv4/ip_forward 

彼女は「1」を返さなければなりません。

iptables

トラフィックのルーティングを簡素化するには、iptablesを使用してトンネルインターフェイスのマスキングを有効にします。

 iptables -t nat -A POSTROUTING -s 10.5.5.0/24 -o tun0 -j MASQUERADE 

代わりに、クライアントの静的ルートと静的アドレスを作成できます。 または、ccdを使用します。

パッケージのインストール

リポジトリを更新して更新を取得します。

 sudo apt-get update sudo apt-get upgrade 

リポジトリからのインストール：

 sudo apt-get install python2.7 python-pip python-dev build-essential tor openvpn obfs-proxy 

アクセスポイントを使用するスキームが必要な場合は、さらにhostapdとDHCPサーバーをインストールします。

 sudo apt-get install hostapd isc-dhcp-server 

isc-dhcp-serverの代わりに、他のものを使用することもできます。 リポジトリには最新バージョンが含まれていないことが多いため、ソースからパッケージをコンパイルできますが、迅速な解決策が必要な場合は、リポジトリからのインストールも適しています。

ネットワーク接続のセットアップ

eth-ethサーキット

このオプションは最も簡単です。 PCが接続するRaspberry Piの物理インターフェイスでは、静的アドレスを設定するだけで十分です。 PCでも、パラメータを手動で設定します。 パラメータを返すようにisc-dhcp-serverを構成することもできます。 Linuxのクライアントマシンでは、初期設定のために次のコマンドを実行するだけで十分です。

 ip a add 10.5.5.2/24 dev <> ip route add default gw 10.5.5.1 

また、ファイル/etc/resolv.confにエントリを追加します。

 nameserver 10.8.0.1 

Wlan-ethサーキット

このスキームでは、入力インターフェイスはアクセスポイントとして動作するワイヤレスインターフェイスになります。 完全なアクセスポイントモードの代わりに、アドホックモードを設定できます。

DHCPを使用してwi-fiアクセスポイントを整理するには、hostapdとisc-dhcp-serverの束を使用しましたが、この特定の束を使用する必要はありません。 habrには、Linuxのさまざまなオプションのセットアップに関する非常に詳細な記事があります。 ソースのリンクを引用しました。

私の設定の例を挙げます：



ドライバーやアクセスポイントモードでのワイヤレスカードの動作に問題がある可能性があることをすぐに言及する価値があります。 事前にそのようなことについて尋ねることをお勧めします。 リポジトリからhostapdを操作するとき、カードの1つでこのような問題が発生しました。 この問題は、hostapdパッチによって解決されました。

WLAN-WLANスキーマ

入力インターフェイスを構成する部分は、以前のスキームと変わりません。 出力インターフェイスはアクセスポイントに接続する必要があります。 nmcliユーティリティを使用した接続例：

 nmcli d wifi connect <SSID > password <> iface <> 

eth-wlanスキーマ

入力インターフェイスはeth-ethスキームのように構成され、出力インターフェイスはwlan-wlanのように構成されます。

Tor + obfsproxy

Torトラフィックをマスクするには、 obfsproxyを使用します 。

Torのセットアップの例を次に示します。


obfsproxyサーバーに接続するためのデータは、 ここにあります 。

Openvpn

VPNを編成するには、OpenVPN over TCPおよびL3モード（タップインターフェイス）を使用します。 TorがTCPトラフィックでのみ機能するため、TCPによって使用されます。 VPNトンネル自体へのトラフィックを許可できます。 VPNトラフィックをTorに転送するために、Torを介してすべてのVPNトラフィックを「プロキシ」します。 OpenVPNはこの機能をサポートしています。

OpenVPNのクライアント側のセットアップ例を、詳細なコメントとともに示します。


インターネットには、サーバーをセットアップするための非常に多くの指示があります。 記事の最後にある「ソース」のリンクを引用しました。 構成の鍵は、パラメーターの一致と、サーバー構成内のプッシュ「redirect-gateway def」行の存在です。 クライアントは、VPNサーバーを指すトラフィックのデフォルトルートを確立する必要があります。

テスト中

正しい動作をテストするには、接続されたPCからVPNサーバーのtunインターフェースにpingします。tcpdumpを使用してトラフィックを削除し、わかりやすくするためにWiresharkで分析します。

1）ICMP要求がRaspberry Pi入力インターフェイスに到着します。



識別子BE、LE、およびタイムスタンプに注意する価値があります。 さらに、サーバー側のICMP要求を識別するために必要になります。

2）ICMPパケットはOpenVPNの処理手順を経て、ポート9050に向けられ、Torがリッスンします。 スナップショットトラフィックは、Raspberry Piのループバックインターフェイスで発生します。



3）パッケージはRaspberry Piを離れ、obfsproxyサーバー部分を使用してTorネットワークノードの1つに送信されます。



4）そして、トラフィックのスナップショットはすでにVPNサーバーのトンネルインターフェイス上にあります。 サーバーが応答を送信したことがすぐにわかります。



識別子BE、LE、およびタイムスタンプは、送信されたパケットのものと同じです。

5）このスクリーンショットは、ICMP応答を含むVPNサーバーからのパケットを示しています。



また、サーバーへのTCPおよびUDPトラフィックにiperfを使用して、このソリューションの帯域幅をテストしました。 テストは、ホームネットワーク上のRaspberry PiモデルB +とRaspbian OSを使用して実行されたため、異なるOSまたは異なるネットワーク環境を持つ他のシングルボードコンピューターの数は異なる場合があります。

結果：

-Tor + VPN + obfsproxyバンドル
-VPNのみ
-きれいなチャンネル

おわりに

潜在的な落とし穴：

1）時間の同期。 torはタイムスタンプをチェックして暗号化操作を実行するため、時刻を同期する必要があります。 残念ながら、ボードの電源を切った後は毎回時刻を同期する必要があります。

2）mtuサイズ。 送信されたパケットのDFビットにより、パスのどこかでパケットの断片化が禁止され、mtu値が自分のものよりも小さい場合、トラフィックが「カット」されることがあります。

3）VPN throught Torとobfsproxyの使用は、すべての万能薬ではありません。

他の問題を見つけた、または既に発生している場合は、コメントを記入してください-記事に追加します。

ソース

1. habrahabr.ru/post/89420、habrahabr.ru / post / 188274 -AP Linux
2. habrahabr.ru/post/88281-Linuxでのアドホック
3. www.torproject.org -Torプロジェクトの公式サイト。
4. openvpn.net/index.php/open-source/documentation/manuals.html、help.ubuntu.ru / wiki / openvpn -OpenVPNのセットアップ。