VPN over Tor

brug af VPN over Tor til en sikker anonym forbindelse til internettet

som vist i tabellen over undersøgelsesressourcer i Leak and Onion Soup guide, der er nogle nyttige internettjenester, der afviser Tor-brugere som et spørgsmål om politik. Hvis du har brug for anonym adgang til disse sider — eller hvis du overhovedet har brug for adgang til dem, mens du bruger Tails — skal dine anmodninger komme fra et andet sted end et kendt Tor-udgangsrelæ. En måde at opnå dette på, mens du stadig nyder de fleste af anonymitetsfordelene ved Tor, er at tilføje et VPN “hop” efter udgangsrelæet i slutningen af dit Tor-kredsløb.

denne metode kaldes ofte ” VPN over Tor “for at skelne den fra” Tor over VPN ” – konfigurationer, der fungerer i den modsatte retning. (Routing Tor over en VPN tilføjer et VPN-hop før dit Tor-indgangsrelæ og bruges undertiden til at nå Tor-netværket fra steder, hvor det er blokeret. Vi vil ikke diskutere denne teknik i detaljer, fordi Tor bridge relæer generelt betragtes som en bedre måde at nå dette mål på.)

risici

det er vigtigt at forstå, at supplerende Tor med en VPN ikke styrker sikkerheden eller anonymiteten af dine online aktiviteter. Faktisk, det reducerer din anonymitet på væsentlige måder, som vi vil diskutere nedenfor. Den eneste grund til, at du skal bruge en VPN over Tor, er at få adgang til tjenester, der blokerer Tor-brugere.Tor-projektet indeholder en forklaring på de risici, der er forbundet med denne konfiguration, men vi vil opsummere de tre hovedpunkter nedenfor.

1. En VPN over Tor understøtter ikke “kredsløbskobling”:

Tor tillader normalt forskellige netværksanmodninger at bruge forskellige stier gennem Tor-netværket, hvilket betyder, at de ofte kommer fra forskellige udgangsrelæer med forskellige Intenet-adresser. I modsætning hertil ser al trafik, der bruger en VPN-forbindelse over Tor, ud til at være kommet fra den samme placering (din VPN-server). Dette er selvfølgelig pointen. Men det giver også de hjemmesider, du besøger for at korrelere din trafik lettere.

Her er et forenklet eksempel:

  • du logger ind på en tjeneste med dit normale brugernavn. En e-mail-konto, sige, eller et diskussionsforum, hvor du har brug for at skrive med din rigtige identitet.

  • i en anden fane logger du ind på en tjeneste med en pseudonym konto. (Se vores domæne spil ressource for en forklaring af pseudonymitet og få konkrete eksempler.)

  • Over tid vil enhver med evnen til at sammenligne trafikregistre eller adgangslogfiler fra begge tjenester have en god chance for at finde ud af, at disse to konti tilhører den samme person. Og det kan være lettere, end det lyder, hvis begge sider er afhængige af den samme reklameplatform eller indholdsleveringsnetværk (CDN), eller hvis de er underlagt løbende passiv overvågning.

2. Anonymiteten af en VPN over Tor afhænger helt af anonymiteten af din VPN:

en af grundene til, at folk bruger Tor, er fordi det giver anonymitet, der ikke kræver tillid til den tekniske kompetence for en bestemt tjeneste eller dens forpligtelse til brugernes privatliv. Men hvis du tilføjer en VPN-server til blandingen på denne måde, vil det være den ting, der forbinder direkte til de tjenester, du får adgang til. Så hvis din VPN-udbyder er kompromitteret (eller sælger dig ud), kan det faktum, at du brugte Tor til at komme dertil, blive irrelevant. Ideelt set bør du:

  • Find en VPN-tjeneste, du stoler på;
  • sørg for, at den understøtterOpenVPN protokol;
  • Opret din konto på den pågældende Tjeneste ved hjælp af Tor-bro. ser eller Tails;
  • registrer dig med et pseudonym og en e-mail-adresse, der ikke kan linkes til dig;
  • brug en anonym betalingsmetode (som beskrevet i Domænespilressourcen), hvis det er nødvendigt; og
  • Forbind ikke via VPN eller Administrer din konto, medmindre du bruger Tor-serveren eller Tails.

3. Du bør kun bruge en VPN over Tor, når du absolut skal

teknikken diskuteret nedenfor giver dig mulighed for at have to versioner af Tor-bro.ser kører på samme tid. Den ene fungerer normalt, og den anden dirigerer din VPN over Tor. Af de ovennævnte grunde skal du bruge ikke-VPN-forekomsten af Tor, hvor det er muligt, selvom det betyder at skulle slog igennem S med jævne mellemrum.

endelig skal du huske på, at nogle hjemmesider også blokerer adgang fra VPN ‘ er. Ifølge en forskers eksperiment blokerer kun 11 af Aleksas “top 1000” hjemmesider VPN-brugere, mens 40 blokerer Tor-brugere. (I en ironisk vri er denne forskers blog i sig selv utilgængelig fra i det mindste nogle Tor-udgangsnoder. Så hvis du bruger haler, skal du muligvis færdigarbejde gennem denne vejledning, før du kan kigge.) Tor-projektet opretholder også en hjemmeside, der viser hjemmesider, der vides at være utilgængelige fra Tor.

konfiguration af en VPN til at arbejde over Tor på Tails

denne vejledning er skrevet til Tails og er ikke blevet testet, når Tor kører på et almindeligt system. Det vil ikke arbejde på vinduer eller Mac OS enheder enten, selv om man sandsynligvis kunne ændre vot.sh script og nedenstående trin for at opnå det samme resultat på disse operativsystemer.

Når du har startet Tails med persistens aktiveret, kræver det fem trin at forberede dit Tails-system til at bruge en VPN over Tor. Du bliver kun nødt til at gennemgå denne proces en gang:

  1. registrer anonymt hos en OpenVPN-udbyder og vælg en stærk adgangssætning
  2. husk denne adgangssætning eller optag den sikkert ved hjælp af
  3. Hent din VPN-udbyders .pem CA-certifikat til det relevante sted og omdøb det
  4. sørg for, at du har et korrekt navngivet og konfigureret .ovpn fil på det relevante sted
  5. Hent vot.sh script, som du vil bruge til at aktivere VPN over Tor

trin 1: Registrer dig hos en OpenVPN-udbyder

for resten af denne vejledning bruger vi VPN “Red” – tjenesten leveret af RiseUp. Dette er en gratis, privatliv orienteret service, der er godt konfigureret og drives af en troværdig organisation. For at oprette en konto skal du bruge en “invitationskode” fra en nuværende RiseUp-bruger. Hvis du har en, kan du gå til den nye kontoside, vælge et brugernavn, der ikke giver nogen tip til din rigtige identitet og indstille en stærk adgangskode. Du skal gøre alt dette gennem Tor-bro.ser eller mens du kører haler.

Hvis du ikke kender nogen RiseUp — brugere, som du kan anmode om en invitationskode fra — eller hvis du er bekymret for at blive set for at bruge en VPN, der tydeligt er forbundet med aktivister-kan du prøve at skræddersy instruktionerne nedenfor til at arbejde med enhver OpenVPN-udbyder. Hvis du vælger en kommerciel tjeneste, kan du henvise til Domænespilressourcen for at få oplysninger om at foretage onlinekøb anonymt.

Trin 2: I stedet for at forsøge at huske endnu et brugernavn og en adgangskode, anbefaler vi, at du gemmer det i KeePass, som kommer forudinstalleret på Tails. Dette vil også hjælpe dig med at huske ikke at bruge denne VPN uden for Tails, hvilket er vigtigt for anonymitet.

Trin 3: Hent din udbyders CA-certifikat

sikkerheden for din VPN-forbindelse afhænger af at få det korrekte CA-certifikat fra din udbyder. Når du henter certifikater, skal du sørge for at bruge et HTTPS-link, der peger på en hjemmeside, der drives af din udbyder. Du kan hente RiseUp-certifikatet her og lære mere om, hvorfor det betyder noget her.

mange kommercielle VPN ‘ er leveres med et installationsprogram, der inkluderer CA-certifikatet sammen med en forudkonfigureret OpenVPN-klient. Vi anbefaler ikke at køre installatører som denne på Tails, men hvis du ændrer denne vejledning til at arbejde på et almindeligt system og ikke kan finde et sikkert overførselslink til din udbyders CA-certifikat, skal du muligvis installere deres program og jage rundt på dit system for at finde certifikatet, så du kan kopiere det til den korrekte placering som vist nedenfor.

Hent RiseupCA.pem filen fra linket ovenfor, gem den til /home/amnesia/Tor Browser, kør derefter kommandoerne nedenfor i Terminal:

mkdir /home/amnesia/Persistent/vpncp /home/amnesia/Tor\ Browser/RiseupCA.pem /home/amnesia/Persistent/vpn/vot-ca.pem

disse kommandoer vil:

  1. Opret en mappe kaldet vpn inde i Tails persistence-mappen,
  2. flyt ca-certifikatet der, og
  3. omdøb det vot-ca.pem.

Trin 4: Opret OpenVPN konfigurationsfil

RiseUp anbefalede konfiguration ishere.Nedenfor er en forenklet version med et par mindre ændringer for at gøre det kompatibelt med vores VPN over Tor-opsætning.

 client cipher AES-256-CBC auth SHA256 dev tun auth-user-pass proto tcp remote vpn.riseup.net 443 ca /etc/openvpn/vot-ca.pem nobind persist-tun persist-key resolv-retry infinite remote-cert-tls server chroot

Kopier teksten ovenfor, kør derefter følgende kommando i Terminal for at åbne en teksteditor og oprette en ny fil kaldetvot.ovpn inde ivpn mappe: 

gedit /home/amnesia/Persistent/vpn/vot.ovpn

indsæt nu i konfigurationen ovenfor, klik og afslut editoren.

Trin 5: Hent vot.SH script

scriptet, der installerer en midlertidig kopi af OpenVPN-klienten og bruger den til at oprette forbindelse til din udbyder via Tor, er her. Kopier indholdet af dette script, og kør derefter følgende kommandoer i Terminal for at oprette en ny mappe kaldet bin inde i Tails persistence-biblioteket og en ny fil kaldet vot.sh inde i den mappe:

mkdir /home/amnesia/Persistent/bingedit /home/amnesia/Persistent/bin/vot.sh

indsæt nu indholdet af scriptet fra linket ovenfor, klik og afslut editoren. Til sidst skal du køre følgende kommando i Terminal for at gøre dette script eksekverbart:

chmod u+x /home/amnesia/Persistent/bin/vot.sh

lancering af en VPN over Tor

når du har gennemført de indledende konfigurationstrin ovenfor, kræver aktivering af din VPN over Tor fire trin:

  1. fra Terminal skal du køre vot.sh script, som vil installere det nødvendige program, konfigurere OpenVPN-klienten til at bruge Tor og anmode om dit brugernavn og adgangskode, så den kan oprette forbindelse til din VPN-tjeneste via Tor;
  2. fra et nyt terminalvindue skal du starte en anden forekomst af Tor-bro. ser med tilladelse til at oprette forbindelse via VPN;
  3. deaktiver en fuldmagtsindstilling i det nye Tor-vindue; og
  4. deaktiver en DNS-konfigurationsindstilling i det nye Tor-vindue.

Trin 1: Kør vot.sh script

Start et nyt terminalvindue, og kør scriptet med:

sudo ~/Persistent/bin/vot.sh

Indtast din Tails administrative adgangssætning, når du bliver bedt om det. Når det er klar til at oprette forbindelse, beder scriptet også om dit VPN-brugernavn og adgangskode.

start TerminalKør vot.shLog ind på VPNVPN kører

Når vot.sh scriptet stopper med at rulle — forudsat at det ikke gik tilbage til prompten — din VPN-forbindelse skal være klar. Dette sker typisk anden gang det står, “initialisering sekvens afsluttet.”

Trin 2: Start en ny Tor-instans

når din VPN-forbindelse er klar, skal du åbne endnu et terminalvindue og starte en anden forekomst af Tor-bro. ser med følgende kommando:

sudo -u vpnuser tor-browser --new-instance

i modsætning til den almindelige Tor-server sender denne forekomst din trafik via en VPN-server, når den forlader Tor-netværket:

Start ny Tor-bro.serny Tor-bro. ser lanceretny Tor-bro. ser

som vist ovenfor vil du sandsynligvis se et antal advarsler og fejl i terminalen, mens denne forekomst af Tor-bro. ser er aktiv.

Trin 3:

før du kan bruge din nye Tor til at besøge hjemmesider, der blokerer adgang fra Tor, skal du ændre dens konfiguration på to måder:

  1. Deaktiver Tor ‘s SOCKS fuldmagt ved hjælp af Tor’ s præferencer skærm
  2. Deaktiver network.proxy.socks_remote_dns konfiguration ved hjælp afabout:config page

disse ændringer ville normalt være en meget dårlig ide, fordi de i det væsentlige fortæller din bro.ser ikke at bruge Tor. Takket værevot.sh scriptet har vi dog nu en VPN-forbindelse, der går gennem Tor. Og denne version af Tor ‘ en vil blive konfigureret til at bruge den.Bare sørg for at du ændrer den korrekte forekomst af Tor bro. ser!

Følg nedenstående trin for at ændre indstillingerne for fuldmagt:

Preferencesgenerelle preferencesavancerede preferencesnetværk preferencesnetværksindstillingerDeaktiver fuldmagt til denne forekomst

skriv derefter about:config i URL-linjen, Søg efter remote_dns og følg nedenstående trin for at ændre, hvordan den håndterer eksterne DNS-forespørgsler:

om:config advarselom:config screenSøg efter remote_dnsIndstil remote_dns til false

Du skal nu kunne besøge hjemmesider — herunder dem, der blokerer adgang fra Tor — ved hjælp af vinduerne og fanerne i din nye Tor-instans.

Bemærk: ved at trykke på <Enter> – tasten efter indtastning af en URL indlæses muligvis ikke siden, som den normalt ville. For at indlæse en URL skal du blot trykke på pileknappen til højre for adresselinjen i stedet for at trykke på <Enter>. Bare rolig, links fungerer stadig normalt, ligesom højreklik*_option til _open Link i Ny fane*. (Hvis det hjælper, tænk på dette som en sikkerhedsfunktion designet til at forhindre dig i at bruge den forkerte bro.ser ved et uheld.)

Tails hjemmeside gennem Tor og en VPNopencorporates hjemmeside gennem Tor og en VPN

Husk, at hvis du besøger Tor Check hjemmeside, vil det indikere, at Tor ikke virker. Dette skyldes, at din forbindelse til denne side ikke kommer direkte fra et Tor-udgangsrelæ. Tilsvarende, hvis du besøger en hjemmeside designet til at vise dig din egen IP-adresse, skal den vise adressen på din VPN-server:

tilsyneladende IP-adresse er ikke et Tor-relætilsyneladende IP-adresse er en VPN

som nævnt tidligere, selvom vot.sh script forhindrer dig i at nå din VPN uden først at gå gennem Tor. Så sørg for at holde styr på, hvilket vindue der er, og brug kun Tor-over-VPN-forekomsten, når du absolut skal.**

Når du er færdig med at få adgang til sider, der blokerer adgang fra Tor, kan du lukke alt ved at genstarte Tails eller ved at:

  1. afslutte den nye Tor-instans,
  2. afslutte vot.sh script ved at trykke på <Ctrl-C> i terminalen, hvor den kører, og
  3. venter på, at Tor opretter forbindelse igen.

først offentliggjort den 20. September 2017

admin

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.