Комментарии 59
IP-адреса точек входа и выхода находятся в разных подсетях
А находятся ли они в разных BGP AS?
Если они в одной принадлежащей ДЦ, то поиск может быть успешным.
Берём внешний, определяем в какой автономке, получаем список префиксов этой автономки, ищем по закромам гражданки Яровой. С большой вероятностью находим, так как таких хитрых пользователей, ходящих в инет через датацентры, не особо много.
В диапазонах этих AS наверняка будут подняты десятки серверов к которым будут подключаться разные пользователи внутри страны. В итоге в логах netflow будет сильно больше одного IP адреса из этой сети.
Представьте себя на месте лица, запрашивающего такую информацию. Допустим вы делаете запрос на выгрузку всех коннектов, допустим, /23 сети. Получаете сотню лог netflow с сотней ip-адресов. Что дальше? Конечно это возможно, просто масштаб работы на несколько порядков увеличивается.
Представьте себе аналитику случайных позиций курсора, в момент чтения материала со страницы поиска + поисковые запросы с этой «печенькой» + аналитику выбора количество анализируемых данных в теле запроса, это позиционирование и выбор пунктуации, скорость набора текста и т.д.
Вызывает ли это проблемы в анализе? Нет не вызывает, что уж тут проанализировать перечень обращений к ДНС, или подменить сам ДНС, получая ДНС запросы напрямую от пользователя.
Столь простой анализ совсем не проблема, для выявления пользователя…
Прелесть strongswan в том, что он использует ipsec ядра и при прочих равных меньше нагружает систему чем тот же openvpn. Самого дешевого сервера вполне хватает, но зависит от числа пользователей, разумеется.
Ставьте скриптом отсюда — github.com/jawj/IKEv2-setup
Вау, спасибо! Благодаря вашей ссылке я узнал про сервис https://sslip.io
Это именно то, что я давно хотел и уже собирался сам делать.
Теперь можно сделать полноценный docker контейнер который будет разворачиваться полностью сам без доменного имени.
Давно использую, обилие протоколов радует.
Существуют также инструменты для перехватывания системных вызовов программ и перенаправления их в прокси: ProxyCap, Proxifier, но они менее стабильны, так как иногда пропускают запросы и они уходят мимо прокси или работают некорректно с некоторыми программами.
Можно подробнее об этом? Я пользуюсь Proxifier чтобы засунуть программу java в SOCKS и вроде бы все работает корректно. В каких случаях могут быть проблемы?
Кстати, в macOS есть возможность указать SOCKS прокси глобально для всей системы и вот тут точно некоторые запросы могут уходить мимо прокси. Вроде графические программы работают через прокси, но какие-то системные запросы могут пройти мимо.
Я сам сталкивался с тем, что при редактировании правил в Proxifier, коннекты могут идти мимо существующих правил. Еще он иногда вылетает и программы начинают так же работать напрямую. Для каких-то маленьких задач, где правила не изменяются, он достаточо неплох, но для всей системы мне не понравилось.
У strongswan есть плагин для RADIUS, нельзя сделать прослойку между RADIUS и AD?
github.com/SoftEtherVPN/SoftEtherVPN
Умеет из коробки L2TP (поверх IPSec и без него), PPTP, OpenVPN UDP/TCP, свой протокол SoftEther.
Есть сервер под Linux и Windows. Управление как через нативное Windows-приложение, так и через CLI (при этом сервер может быть на Linux, а управление осуществляется из Windows). При установке на подключенный к домену AD Windows может авторизовывать пользователей по каталогу AD. При установке на Linux — может авторизовывать через RADIUS. Если есть контроллер домена AD на Windows (не Samba/FreeIPA), там же можно развернуть родной RADIUS (роль сервера политики сети). К сожалению, не умеет работать с внешними группами безопасности (отчасти решается при авторизации через RADIUS — т.к. сервер RADIUS будет решать (на основе настроенной вами политики), кого допускать до сервера VPN, а кого нет). Группы надо создавать на самом SoftEther. Есть встроенный фильтр (ACL) — можно обозначить, какие группы пользователей на какие адреса и по каким протоколам/портам могут ходить. Есть встроенный Virtual NAT с DHCP-сервером, есть push static route для всех поддерживаемых вариантов VPN.
Для групп в strongswan есть rightgroups (docs) но я не пробовал если честно (могу затестить и отписаться)
В принципе ничего сложного там нет (Больше проблем с мобильными девайсами)
Спасибо. Если поделишься конфигами — буду благодарен. Мне не нужны мобильные особо.
Настройки для strongswan (Centos 7)
Этот адрес можно использовать для подключения, а точкой выхода будет адрес сервера.
Подскажите пожалуйста, в ближайшее время на серваках в амстердаме появятся места?
Цитата valdikss, сам про wireguard ничего не знаю:
На текущий момент развития, Wireguard — просто туннель, как GRE или IPIP, который не имеет функциональность передачи настроек клиенту (IP-адрес, маршруты, DNS-сервер, различные опции). Туннель настраивается с обеих сторон, и любые изменения конфигурации (маршрутов, например) будут требовать изменения с обеих сторон. Это совершенно непрактично.
Wireguard не предназначен для VPN-сервисов, и в текущем его виде может быть использован только для создания приватных туннелей.
Вы как-то иначе представляете настройку? Почему вам очень нужен Wireguard?
Практически не влияет на применимость дома для полной инкапсуляции трафика домохозяйства на уровне маршрутизатора.
Кроме того, скорость. Нет, СКОРОСТЬ. Условный Xiaomi MiR 3G за две тыщи вытягивает тунеллить более 200 мегабит, и это можно дополнительно улучшить ценой потери длины ключа.
Иными словами, если не рентить сервис друзьям и знакомым, это более чем вменяемый кейс без недостатков IKE и OpenVPN.
Как я понимаю, правило достаточно простое, и перелопатив кучу данных за достаточный период времени, мы можем выявить такую пару адресов.
То что вы описываете вполне возможно, тут я ответил подробнее. В реальности это предполагает очень сложную работу которую будут делать только в случае, если вы являетесь очень важным объектом для компетентных структур и никаких други способов у них нет. В этом случае намного проще затребовать все данные у хостера или дружественного государства.
И в это же время (с точностью до секунд) у одного из клиентов good.citizen.vpn была активной сессия с исходящим траффиком около 1GB
То эти 2 события могут быть обьединены.
Ну, это легко обойти. Выгружаете ролик на свой VPS, затем, через час-два, выгружаете на видеохостинг, но уже с VPS. Корелляции по времени нет. Более того, при загрузке на VPS ролик можно сжать и разделить на части, а на сервевр распаковать — вот и по размеру никаких совпадений.
1) купил виртуалку с публичным айпи где-нибудь в условной Гаване
2) настроил ssh по ключику с Dynamic Forward на порт, к примеру, 8383 (на винде можно Git Bash или Cygwin'ом)
3) открыл
Все. Зачем VPN-то? Весь ваш траффик будет гулять как обычно, а один (или несколько) нужных браузеров будут показывать чудный внешний мир мимо всяких DPI и прочей мерзоты.
— сертификаты, подписываемые LE, а не свой CA (easy-rsa, модифицированный ValdikSS позволяет так же создавать практически одной командой)
Серьезно?
сертификаты, подписываемые LE, а не свой CA
Серьезно?
Чем по-вашему это угрожает? Вы опасаетесь, что ваш домен появится в логах certificate transparency или что? Можно использовать анонимный поддомен от sslip.io.
К тому же, сертификат вам нужен только для точки входа, для выхода не нужен сертификат.
Никакой дополнительной безопасности от собственного PKI вы не получите, а вот неудобств целую гору:
- Попробуйте добавить в windows свой CA для ipsec, это очень приятный квест, который я не пожелаю никому проходить.
- Держать в системной ключнице самоподписанные сертификаты я считаю плохой практикой, потому что это создает пользовательскую привычку, что непонятные CA в системе это норма. В итоге, со временем, из-за мусора из непонятных сертификатов можно не заметить там что-то постороннее.
- Если вы используете аутентификацию по сертификату, то заблокировать пользователя это тоже непростая задача. Управлять листами отозванных сертификатов куда сложнее чем закомментировать одну строчку в
ipsec.secrets
Ну и банально, скинуть пользователю логин-пароль намного легче чем инструкции по накручиванию сертификатов в системе.
Ничего, будет видно что это ipsec трафик.
А в Китае, например, заблочат?
Обычно блочат. На сколько мне известно, shadowsocks тоже не панацея, потому что в Китае любые неопознанные соединения, через которые идет достаточно много трафика, шейпят так, чо ими потом нельзя пользоваться.
Более подробно можно почитать в whitepaper'e — Examining How the Great FirewallDiscovers Hidden Circumvention Servers
Двойной VPN в один клик. Как легко разделить IP-адрес точки входа и выхода