VPN över Tor

använda VPN över Tor för en säker anonym anslutning till internet

som visas i tabellen över undersökande resurser i Leak and Onion Soup guide finns det några användbara webbtjänster som avvisar Tor-användare som en fråga om politik. Om du behöver anonym åtkomst till dessa webbplatser — eller om du behöver komma åt dem alls när du använder Tails — behöver dina förfrågningar komma från någon annanstans än ett känt tor-utgångsrelä. Ett sätt att uppnå detta, medan du fortfarande njuter av de flesta anonymitetsfördelarna med Tor, är att lägga till en VPN ”hop” efter utgångsreläet i slutet av din Tor-krets.

denna metod kallas ofta ” VPN över Tor ”för att skilja den från” Tor över VPN ” – konfigurationer, som fungerar i motsatt riktning. (Routing Tor över en VPN lägger till ett VPN-hopp före ditt tor-ingångsrelä och används ibland för att nå Tor-nätverket från platser där det är blockerat. Vi kommer inte att diskutera denna teknik i detalj eftersom tor bridge-reläer i allmänhet anses vara ett bättre sätt att uppnå det målet.)

risker

det är viktigt att förstå att komplettering av Tor med en VPN inte stärker säkerheten eller anonymiteten för dina onlineaktiviteter. Faktiskt, det minskar din anonymitet på betydande sätt som vi kommer att diskutera nedan. Den enda anledningen till att du bör använda en VPN över Tor är att få tillgång till tjänster som blockerar Tor-användare.

Tor Project wiki innehåller en förklaring av riskerna med denna konfiguration, men vi kommer att sammanfatta de tre huvudpunkterna nedan.

1. En VPN över Tor stöder inte ”kretskoppling”:

Tor tillåter normalt olika nätverksförfrågningar att använda olika vägar genom Tor-nätverket, vilket innebär att de ofta kommer från olika utgångsreläer med olika Intenet-adresser. Däremot verkar all trafik som använder en VPN-anslutning över Tor ha kommit från samma plats (din VPN-server). Detta är naturligtvis poängen. Men det gör det också möjligt för de webbplatser du besöker att korrelera din trafik lättare.

här är ett förenklat exempel:

  • du loggar in på någon tjänst med ditt vanliga användarnamn. Ett e-postkonto, säg, eller ett diskussionsforum där du behöver posta med din riktiga identitet.

  • i en annan flik loggar du in på en tjänst med ett pseudonymt konto. (Se vår domän spel resurs för en förklaring av pseudonymity och några konkreta exempel.)

  • med tiden kommer alla med förmågan att jämföra trafikposter eller åtkomstloggar från båda tjänsterna att ha en god chans att räkna ut att dessa två konton tillhör samma person. Och det kan vara enklare än det låter om båda sidorna är beroende av samma reklamplattform eller Content delivery network (CDN), till exempel, eller om de är föremål för pågående passiv övervakning.

2. Anonymiteten för en VPN över Tor beror helt på anonymiteten fördin VPN:

en av anledningarna till att människor använder Tor är att det ger anonymitet som inte kräver förtroende för den tekniska kompetensen hos en viss tjänst eller dess engagemang för användarnas integritet. Men om du lägger till en VPN-server i mixen på detta sätt kommer det att vara det som ansluter direkt till de tjänster du får tillgång till. Så om din VPN-leverantör äventyras (eller säljer dig), kan det faktum att du använde Tor för att komma dit bli irrelevant. Helst bör du:

  • hitta en VPN-tjänst du litar på;
  • se till att den stöder protokollet OpenVPN;
  • skapa ditt konto på den tjänsten med Tor-webbläsaren eller Tails;
  • registrera dig med en pseudonym och en e-postadress som inte kan länkas till dig;
  • använd en anonym betalningsmetod (som diskuteras i Domain Games-resursen) om det behövs; och
  • Anslut inte via VPN eller administrera ditt konto om du inte använder Tor-webbläsaren eller Tails.

3. Du bör bara använda en VPN över Tor när du absolut måste

tekniken som diskuteras nedan låter dig ha två versioner av Tor-webbläsaren som körs samtidigt. En kommer att fungera normalt och den andra kommer att dirigera din VPN över Tor. Av de skäl som nämns ovan bör du använda Tor browsers icke-VPN-instans där det är möjligt, även om det innebär att du måste slå igenom s regelbundet.

Tänk slutligen på att vissa webbplatser också blockerar åtkomst från VPN. Enligt en forskares experiment blockerar dock bara 11 av Alexas ”Topp 1000” webbplatser VPN-användare, medan 40 blockerar Tor-användare. (I en ironisk twist är denna forskares blogg själv otillgänglig från åtminstone några tor-utgångsnoder. Så om du använder Tails kan du behöva avsluta arbetet genom den här guiden innan du kan ta en titt.) Tor-Projektetunderhåller också en wiki-sida som listar webbplatser som är kända för att vara otillgängliga från Tor.

konfigurera en VPN för att fungera över Tor på Tails

den här guiden skrevs för Tails och har inte testats med Tor-webbläsaren som körs på ett vanligt Linux-system. Det fungerar inte heller på Windows – eller Mac OS X-enheter, även om man förmodligen kan ändra vot.sh script, och stegen nedan, för att uppnå samma resultat på dessa operativsystem.

När du har startat Tails med persistens aktiverat, förbereder ditt Tails-system för att använda en VPN över Tor kräver fem steg. Du behöver bara gå igenom denna process en gång:

  1. registrera anonymt hos en OpenVPN-leverantör och välj en stark lösenfras
  2. memorera den lösenfrasen eller spela in den säkert med KeePassX
  3. ladda ner din VPN-leverantörs .pem CA-certifikat till rätt plats och byt namn på det
  4. se till att du har ett korrekt namngivet och konfigurerat .ovpn fil på lämplig plats
  5. ladda ner vot.sh skript som du kommer att använda för att aktivera VPN över Tor

steg 1: Registrera dig hos en OpenVPN-leverantör

för resten av den här guiden kommer vi att använda VPN ”Red” – tjänsten som tillhandahålls av RiseUp. Detta är en gratis, integritetsorienterad tjänst som är väl konfigurerad och drivs av en pålitlig organisation. För att skapa ett konto behöver du en ”inbjudningskod” från en aktuell RiseUp-användare. Om du har en kan du gå till sidan nytt konto, välja ett användarnamn som inte ger några tips till din riktiga identitet och ange en stark lösenfras. Du bör göra allt detta via Tor-webbläsaren eller när du kör Tails.

om du inte känner till några RiseUp-användare från vilka du kan begära en inbjudningskod – eller om du är orolig för att du ska använda en VPN som tydligt är associerad med aktivister — kan du försöka skräddarsy instruktionerna nedan för att arbeta med någon OpenVPN-leverantör. Om du väljer en kommersiell tjänst kanske du vill hänvisa till Domain Games-resursen för information om hur du gör onlineköp anonymt.

steg 2: Spela in din nya kontoinformation i KeePassX

istället för att försöka memorera ännu ett användarnamn och lösenfras rekommenderar vi att du sparar det i KeePassX, som kommer förinstallerat på Tails. Detta hjälper dig också att komma ihåg att inte använda denna VPN utanför Tails, vilket är viktigt för anonymitet.

steg 3: Ladda ner leverantörens CA-certifikat

säkerheten för din VPN-anslutning beror på att du får rätt CA-certifikat från din leverantör. När du hämtar certifikat, se till att använda en HTTPS-länk som pekar på en webbsida som drivs av din leverantör. Du kan ladda ner riseup-certifikatet här och lära dig mer om varför det är viktigt här.

många kommersiella VPN-tjänster levereras med ett installationsprogram som inkluderar CA-certifikatet tillsammans med en förkonfigurerad OpenVPN-klient. Vi rekommenderar inte att du kör installatörer så här på Tails, men om du ändrar den här guiden för att arbeta på ett vanligt Linux-system och inte kan hitta en säker nedladdningslänk för din leverantörs CA-certifikat, kan du behöva installera programvaran och jaga runt på ditt system för att hitta certifikatet så att du kan kopiera det till rätt plats som visas nedan.

ladda ner filen RiseupCA.pem från länken ovan, spara den till /home/amnesia/Tor Browser, kör sedan kommandona nedan i Terminal:

mkdir /home/amnesia/Persistent/vpncp /home/amnesia/Tor\ Browser/RiseupCA.pem /home/amnesia/Persistent/vpn/vot-ca.pem

dessa kommandon kommer att:

  1. skapa en mapp som heter vpn inuti Tails persistence-katalogen,
  2. flytta ca-certifikatet dit och
  3. byt namn på det vot-ca.pem.

steg 4: Skapa OpenVPN-konfigurationsfilen

Riseups rekommenderade konfiguration ärhär.Nedan följer en förenklad version med några mindre ändringar för att göra denkompatibel med vår VPN över Tor-inställning.

 client cipher AES-256-CBC auth SHA256 dev tun auth-user-pass proto tcp remote vpn.riseup.net 443 ca /etc/openvpn/vot-ca.pem nobind persist-tun persist-key resolv-retry infinite remote-cert-tls server chroot

kopiera texten ovan, kör sedan följande kommando i Terminal för att öppna en textredigerare och skapa en ny fil som hetervot.ovpn inutivpn mapp: 

gedit /home/amnesia/Persistent/vpn/vot.ovpn

klistra nu in i konfigurationen ovan, Klicka och avsluta redigeraren.

Steg 5: Ladda ner vot.sh script

skriptet som installerar en tillfällig kopia av OpenVPN-klienten och använder den för att ansluta till din leverantör via Tor finns här. Kopiera innehållet i det skriptet och kör sedan följande kommandon i Terminal för att skapa en ny mapp som heter bin inuti Tails persistence-katalogen och en ny fil som heter vot.sh inuti den mappen:

mkdir /home/amnesia/Persistent/bingedit /home/amnesia/Persistent/bin/vot.sh

klistra nu in innehållet i skriptet från länken ovan, Klicka och avsluta redigeraren. Slutligen kör följande kommando i Terminal för att göra detta skript körbart:

chmod u+x /home/amnesia/Persistent/bin/vot.sh

starta en VPN över Tor

När du har slutfört de första konfigurationsstegen ovan kräver aktivering av din VPN över Tor fyra steg:

  1. från terminalen kör du skriptetvot.sh, som installerar nödvändig programvara, konfigurerar OpenVPN-klienten för att använda Tor och begär ditt användarnamn och lösenord så det kan ansluta till din VPN-tjänst via Tor;
  2. från ett nytt terminalfönster, starta en andra instans av Tor-webbläsaren med tillstånd att ansluta via VPN;
  3. inaktivera en proxyinställning i det nya Tor-webbläsarfönstret; och
  4. inaktivera ett DNS-konfigurationsalternativ i det nya Tor-webbläsarfönstret.

Steg 1: Kör vot.sh script

Starta ett nytt terminalfönster och kör skriptet med:

sudo ~/Persistent/bin/vot.sh

Ange din Tails administrativa lösenfras när du uppmanas. När det är klart att ansluta kommer skriptet att be om ditt VPN-användarnamn och lösenfras också.

starta Terminalkör vot.shlogga in på VPNVPN running

När skriptetvot.sh slutar rulla — förutsatt att det inte gick tillbaka till prompten — bör din VPN-anslutning vara klar. Detta händer vanligtvis andra gången det står, ” Initialiseringssekvens avslutad.”

steg 2: Starta en ny Tor-Webbläsarinstans

När din VPN-anslutning är klar måste du öppna ännu ett terminalfönster och starta en andra instans av Tor-webbläsaren med följande kommando:

sudo -u vpnuser tor-browser --new-instance

Till skillnad från den vanliga Tor-webbläsaren skickar denna instans din trafik via en VPN-server efter att den lämnat Tor-nätverket:

Starta ny Tor-webbläsareny Tor-webbläsare lanseradny Tor-webbläsare

som visas ovan kommer du sannolikt att se ett antal varningar och fel i terminalen medan denna instans av Tor-webbläsaren är aktiv.

steg 3: Konfigurera om din nya Tor-Webbläsarinstans

innan du kan använda din nya Tor-webbläsare för att besöka webbplatser som blockerar åtkomst från Tor måste du ändra dess konfiguration på två sätt:

  1. inaktivera Tor ’ s SOCKS-proxy med Tor-webbläsarens inställningsskärm
  2. inaktivera network.proxy.socks_remote_dns konfiguration med about:config sida

dessa ändringar skulle normalt vara en mycket dålig ide eftersom de i huvudsak säger till din webbläsare att inte använda Tor. Tack vare skriptet vot.sh har vi nu en VPN-anslutning som går igenom Tor. Och den här versionen av Tor-webbläsaren kommer att konfigureras för att använda den.Se bara till att du ändrar rätt instans av Tor Browser!

Följ stegen nedan för att ändra dess proxyinställningar:

InställningarAllmänna inställningaravancerade inställningarnätverksinställningarnätverksinställningarinaktivera proxy för den här instansen

skriv sedan about:config I URL-fältet, Sök efter remote_dns och följ stegen nedan för att ändra hur det hanterar fjärr DNS-frågor:

om:config varningom:config screenSök efter remote_dnsStäll remote_dns till false

Du bör nu kunna besöka webbplatser — inklusive de som blockerar åtkomst från Tor — med hjälp av fönstren och flikarna i din nya Tor-webbläsarinstans.

Obs: i den här nya webbläsaren kan det hända att du inte laddar sidan som vanligt genom att trycka på <Enter> – tangenten efter att du har skrivit in en URL. För att ladda en URL, tryck bara på pilknappen till höger om adressfältet istället för att trycka på <Enter>. Oroa dig inte, länkar fungerar fortfarande normalt, liksom högerklicka*_option till _open länk i ny flik*. (Om det hjälper, tänk på detta som en säkerhetsfunktion som är utformad för att förhindra att du av misstag använder fel webbläsare.)

Tails-webbplatsen via Tor och en VPNOpenCorporates-webbplatsen via Tor och en VPN

Tänk på att om du besöker tor Check-webbplatsen kommer det att indikera att Tor inte fungerar. Detta beror på att din anslutning till den sidan inte kommer direkt från ett Tor-utgångsrelä. På samma sätt, om du besöker en webbplats som är utformad för att visa din egen IP-adress, ska den visa adressen till din VPN-server:

uppenbar IP-adress är inte ett Tor-reläuppenbar IP-adress är en VPN

som tidigare nämnts, även om vot.sh script hindrar dig från att nå din VPN utan att först gå igenom tor, den här inställningen är fortfarande mindreanonymous än att använda Tor-webbläsaren normalt. Så se till att hålla reda på vilket fönster som är Vilket, och använd bara tor-over-VPN-instansen när du absolut måste.**

När du är klar med att komma åt webbplatser som blockerar åtkomst från Tor kan du stänga av allt genom att starta om Tails eller genom att:

  1. avsluta den nya Tor-webbläsarinstansen,
  2. avsluta vot.sh script genom att trycka på <Ctrl-C> I terminalen där den körs och
  3. väntar på tor att återansluta.

publicerades först den 20 September 2017

admin

Lämna ett svar

Din e-postadress kommer inte publiceras.