rulinux.net - Форум - Talks - Про vpn и сопутствующие товары

Re:Про vpn и сопутствующие товары

Tue, 13 Nov 2012 17:29:48 +0400

В общем, обговорил всё с представителями вышеупомянутой ячейки, прикинул варианты использования, и решил - ставлю всё сразу:)

Сам VPN реализуется через OpenVPN, и является центральной частью схемы. Членам ячейки выдаются сертификаты для доступа. Ну а на сервере уже будут стоять squid и dante, доступные только для тех, кто в этой сети. Сервер vpn-а как шлюз применять не буду, всё только через эти прокси.

Использовать только socks оказалось нерационально, так как не везде есть возможность поставить упомянутые мной врапперы для программ, его не умеющих. В этом случае придётся, скорее всего, ограничить себя только http/https через squid. Задача автоматизации выбора прокси в зависимости от урла возложена на клиента, пусть он сам мучается, так как не нашлось единого удобного способа это устроить централизованно. Я лично для фаерфокса взял foxyproxy, пока вроде ничего, списки умеет, переключается в один клик.

Dante уже настроил и проверил, сквид буду крутить как-нибудь на днях, когда скучно станет.

Re:Про vpn и сопутствующие товары

Tue, 13 Nov 2012 06:32:35 +0400

>ЯННП! Вопрос ещё большего ламера, чем ТC: а нельзя ли на рулинуксе поднять свой прокси-сервер? Вроде как сервер рулина за границей где-то стоит. И можно будет смотреть "запрещённые" сайты через забугорье.
С такими темпами и сам рулинукс попадёт в запретный список. Кстати, может на нас уже настучали?

Re:Про vpn и сопутствующие товары

Tue, 13 Nov 2012 06:09:57 +0400

ЯННП! Вопрос ещё большего ламера, чем ТC: а нельзя ли на рулинуксе поднять свой прокси-сервер? Вроде как сервер рулина за границей где-то стоит. И можно будет смотреть "запрещённые" сайты через забугорье.

Re:Про vpn и сопутствующие товары

Tue, 13 Nov 2012 05:07:26 +0400

Сижу смотрю чудесную книжечку "Обходные инструменты" - по обходу "Великого Русского файрвола".

http://en.flossmanuals.net/_booki/bypassing-ru/bypassing-ru.pdf

Re:Про vpn и сопутствующие товары

Mon, 12 Nov 2012 20:31:41 +0400

Вобщем я нагуглил тебе решение:
1. У себя в локалке для выхода в сеть организуешь прозрачный прокси или просто ставишь проксик, что оставляет пользователям свободу манёвра. Т.е. решение зависит от степени насилия, которое ты готов применить к членам своей террористической ячейки
2. На заграничном сервере тоже ставишь сквид
3. У себя заводишь список сайтов к которым надо ходить через заграницу и делаешь как-то вот так. При этом, я думаю, проксики можно будет связать между собой по https, т.e. VPN тебе даже не нужен.
4. В качестве доп бонуса можно проксёй всем резать рекламу, анонимизировать их бровсеры и т.п.

Re:Про vpn и сопутствующие товары

Mon, 12 Nov 2012 19:28:34 +0400

>Ну вот, мы теперь выйдем в топ яндекса по ключевым словам "революционная ячейка или террористическая группировка" :)
~~А может это и есть часть моего плана~~ Нет, такой популярности нам не надо. Больше так писать не буду.

>Хотя сомнение на предмет а не должно ли это любое приложение уметь общаться с прокси по этому протоколу - небось всё-таки грызёт, а?
Я там в исходном посте писал про вот такую штуку. А ещё такая есть.

Re:Про vpn и сопутствующие товары

Mon, 12 Nov 2012 19:16:47 +0400

> Нет, у нас не революционная ячейка или террористическая группировка:)

Ну вот, мы теперь выйдем в топ яндекса по ключевым словам "революционная ячейка или террористическая группировка" :)

> P.S. Я тут постоянно пишу про этот socks, потому что они обещают любое приложение проксировать, при желании. Если я, конечно, это правильно понимаю.

Хотя сомнение на предмет а не должно ли это любое приложение уметь общаться с прокси по этому протоколу - небось всё-таки грызёт, а?

Re:Про vpn и сопутствующие товары

Mon, 12 Nov 2012 18:36:03 +0400

>Если ты имеешь в виду как на сайты по хттпс через этот прокси ходить
Да, именно это. Спасибо, запомню вариант.

>Да, кстати я уже рассказывал что у меня так и сделан "зарубежный прокси" - дома стоит машинка, которая всё равно работает 24/7. Коннекчусь на неё по SSH (PuTTY) которому в параметрах сказано форварвардить порт 3128 на локалхост на той стороне. В браузере настройки прокси заточены на локалхост. В принципе примерно то же самое что ты хочешь, только по SSH.
Через ssh я знаю, он порты пробрасывать умеет. Но это ничем не отличается от сквида внутри vpn-а, в общем-то. У ssh в данном случае есть недостаток - он только для меня и для созданных там юзеров. А у меня в сети могут быть люди, которым я не хочу давать ssh-доступ, а давать посмотреть интернет могу. Нет, у нас не революционная ячейка или террористическая группировка:)

Тут даже и без сквида можно, кстати. Например, создавать socks через ssh -D 1234 user@host, и подсовывать его фаерфоксу. Но тогда уж проще socks-сервер воткнуть, чтобы не давать ssh тем, кому не надо, и вообще не привязываться к ssh как к программе. И облегчить доступ для людей, у которых слова ssh и PuTTY вызывают животный страх.

Наверное что-то такое и сделаю.

P.S. Я тут постоянно пишу про этот socks, потому что они обещают любое приложение проксировать, при желании. Если я, конечно, это правильно понимаю.

Re:Про vpn и сопутствующие товары (вдогонку)

Mon, 12 Nov 2012 18:30:05 +0400

С SSH это примерно так должно делаться если чо: 'ssh server.name.com -C -L 3128:localhost:3128'

Re:Про vpn и сопутствующие товары

Mon, 12 Nov 2012 18:13:48 +0400

> А, да, ещё уточню - я не очень понимаю, как squid работает с https, который тоже неплохо было бы засунуть в туннель через сервер.

Если ты имеешь в виду как на сайты по хттпс через этот прокси ходить, то просто добавь ~~воды~~ строчку в squid.conf:

acl Safe_ports port 443         # https

А на стороне броузера возможно для https персонально написать чтобы он через проксю гонял запросы.

Или ты имел в виду https как протокол чтобы броузер коннектить к сквиду? Такое тоже есть. Только я не пользуюсь.

Да, кстати я уже рассказывал что у меня так и сделан "зарубежный прокси" - дома стоит машинка, которая всё равно работает 24/7. Коннекчусь на неё по SSH (PuTTY) которому в параметрах сказано форварвардить порт 3128 на локалхост на той стороне. В браузере настройки прокси заточены на локалхост. В принципе примерно то же самое что ты хочешь, только по SSH.

Re:Про vpn и сопутствующие товары

Mon, 12 Nov 2012 16:44:39 +0400

А, да, ещё уточню - я не очень понимаю, как squid работает с https, который тоже неплохо было бы засунуть в туннель через сервер. Не обязательно, но почему бы и нет? Тем более, что никакие кэширующие и фильтрующие возможности сквида мне нафиг не сдались, наоборот, чем проще и прозрачнее всё - тем лучше. Лишь бы выход через сервер.

А вот торренты, например, ни в коем случае нельзя - хостер забанит, да и трафик сожрёт.

Re:Про vpn и сопутствующие товары

Mon, 12 Nov 2012 16:09:44 +0400

>Джаббер вполне можно гонять через http-прокси, пси+ во всяком случае такую возможность имеет.
Это да, я слышал. При желании, в общем-то, можно много что придумать, я даже видел где-то про обратный вариант - ppp-over-jabber:) Но это, увы, костыли, которые я бы не хотел использовать, пока совсем не припрёт. Всё же доступ к серверу у меня есть, и хочется настоящего, прямого и правильного решения. Тем более пока мне нужно только http, но мало ли как сложится, хочется сразу сделать хорошо.

Джаббер тут как пример, ведь может быть и что-то другое. В джаббере ценные разговоры я и так стараюсь шифровать через GPG.

Re:Про vpn и сопутствующие товары

Mon, 12 Nov 2012 16:01:34 +0400

> Недостатки - только http, джаббер уже не завернуть.

Джаббер вполне можно гонять через http-прокси, пси+ во всяком случае такую возможность имеет.

Про vpn и сопутствующие товары

Mon, 12 Nov 2012 15:47:56 +0400

Господа-товарищи, вот тут несколько вопросов нарисовалось.

В связи с тем, что в РФ наступил он,

решил вспомнить про сетевые технологии. Вот, допустим, гипотетически у меня есть VPN между мной и каким-то иностранным сервером (далее - сервер). Ну мало ли, вот так получилось. И на этом сервере, увы, ограничен трафик сотней-другой гигабайт, плюс этот сервер используется для разных дел, не только для VPN-а.

У меня есть стойкое желание использовать этот сервер как выход в интернет, но не для всего трафика (это и ресурсы жрёт, и трафик ограничен), а только для нескольких программ, и то не всегда. Чтобы, грубо говоря, можно было быстро врубить, посмотреть что-то, и выйти обратно. Или запустить отдельно через него какой-нибудь отдельный софт, а остальной софт продолжать гонять через мой стандартный патриотично-российский шлюз.

Что вырисовывается:

1. Сделать, чтобы сервер был для компьютера шлюзом. Я, к сожалению, в сетях и администрировании разбираюсь, аки свинья в балете, так что даже правильного названия данной штуки сказать не могу. В общем, это когда в конфиге сервера что-то такое: push "redirect-gateway def1 bypass-dhcp". В таком случае весь мой трафик идёт через сервер. Достоинства: просто, как бревно. Но, так как трафик ограничен, пользоваться им постоянно нерационально, и придётся постоянно подключаться-отключаться. Это делается легко, но я не уверен, что уже запущенный софт, работающий с сетью, будет этому рад. Может я и ошибаюсь, но постоянная смена шлюзов ради просмотра пары сайтов будет плохо отражаться на других постоянных сетевых соединениях. Не будут ли они разрываться? Да и неприятно, что нельзя вручную выбирать, какая программа какой шлюз использует. Либо все один, либо все другой.

2. Поставить какой-нибудь squid. Тоже просто, и работать легче - в ФФ можно переключать прокси на лету, ну и другой http-софт такое вроде умеет. Недостатки - только http, джаббер уже не завернуть. Как-то не очень, ведь сервер в моём распоряжении, хочется большего.

3. Поставить какой-нибудь socks-сервер. Меня соблазнила программа tsocks, которая, как обещают авторы, позволяет запускать любую программу через эту прокси. Ну и ФФ может сам через socks бегать. Жаль, что на лету не все программы можно переключать, ну да ладно. Вроде бы все задачи решены, но я никогда в жизни эти прокси не трогал, так что не в курсе, как оно в реальности себя ведёт. Стоит ли ставить? Да и какой сервер ставить? Я пока только некий dante нашел, чтобы в репозиториях дебиана был.

4. Может я что-то упустил? Посоветуйте.