Whonix>VPN>Tor

По антеннам уже много раз обсуждали. Ищи на форуме..

Как пустить асолютно весь трафик по этому каналу? Ведь если я буду просто писать в Jabber или Brosix это не пойдет по такой цепочке!?

gerc, какой смысл в VPN по середине?  Обычно VPN используют для того, чтобы скрыть факт использования TOR. А тут зачем?

Видимо чтобы защитить траффик от первого выходного узла тор, хотя второй то все равно видит.

Нет. Настройка iproute2/iptables, причём такая же железная, как и виртуальные машины.
В системе всегда прописан default gateway 127.0.0.1, и инета просто нет. Правильный маршрут знает только Tor1. OpenVPN поднимается (через сокс порт), заменяет 127.0.0.1 на свой. Но инета тоже не будет, т.к. в фаерволе прописано, что всё через Tor2. Tor2 поднимается уже под openvpn. Если openvpn отвалится, то tor2 работать не будет, вернётся старый нерабочий gateway 127.0.0.1, ничего вообще работать не будет.
Это всё прекрасно работает при подключении к любому вайфаю. модему и т.п. Он забирает default gateway из DH***** и подставляет левый.

Попробуй банку от кофе и меняй угол направленности Хотя это лучше работает если две точки имеют банки, но можно попробовать.
А вообще антенна это вещь тонкая, я когда вайфаем занимался поназаказывал с ебая всяких антенн, и 16dbi, и 19dbi, и всё это оказалось дешёвой китайской залипухой. Даже усилок на 1W заказывал. Прикольная штука, но толку мало, т.к. чувстительность невысокая.
Попробуйте сами сделать или заказать какую-то более-менее брендовую, чтобы не нонейм.

Пойдёт. Всё благодаря TransProxy в TOR и iptables  Но лучше настраивать отдельные сокс-порты на каждый софт, так надёжнее.

Доверять всю свою жизнь 3-м узлам, которые как русская рулетка, могут выпасть в ненужном порядке (все будут принадлежать службам и т.п.)? Доверять вообще никому не стоит. Tor из коробки это хороший анонимайзер, но никак готовый продукт для приватности и безопасности. Даже разрабы так утверждают. Вообще на оф сайте есть интересная инфа, каким атакам подвержен Tor.
В этой цепочке если первые три или последние три ноды будут скомпрометированы, то тут VPN нас и выручит. Даже если все 6 будут (почти нереально), то от первых трёх идёт шифротрафик в впн (а туда идёт куча куча одновременных подлючений), а на выходе инет с впна через tor. Узнать, что входной и выходной трафик ваш (при наличии мусорных скриптов) нельзя, тем более когда у впна entry ip отличается от out ip.
Также у меня в системе есть сокс-порт, который выходит через Tor1 -> OpenVPN+, а это даёт возможность юзать UDP-проги, IP-телефонию  и заходить на сайты, которые блокируют TOR (и из-за долбанного вонючего cloudflare, который даже капчу не показывает)

Не надо сравнивать письку с жопой. Tails для анонимного серфинга. Все сохраняет в оперативной памяти. При выходе чистит. Whonix - обычная, ну почти, линукс система, которая весь трафик шлют на свой шлюз, а тот в тор соответственно.

Таилс может работать с любого носителя. Вхониксу нужна виртуалка.

Короче, если нужен только анонимный выход в инет и шоб все терлось после сеанса, используем таилс. Если подразумевается работа (ну например хак сайтов), то определенно вхоникс.

Ты немого не понял, я задавал вопрос насчет работы в Tails, откуда весь траф будет идти на шлюз whonix-gateway.

Через тор..

Ты хочешь запустить Таилс, там поставить виртуалку, на нее поставить вхоникс... А нахуя?

Во первых, в Таилс ничего не сохраняется. Чтобы сохранялось нужно делать зашифрованный диск, но это норм, если тебе нужно туда сохранять какие нить рабочие файлы, заметки и прочее. И это возможно только если, Таилс запускаешь с флешки, с сд карты или жестака. Если с двдюшника, то зашифрованный раздел не создать.

Таилс не поддерживает установку большинства софта. В репозитариях таилса нет многих нужных компонентов для разного софта. Для работы вхоникса нужна виртуалка, виртуалбокс например. И туда импортировать образы вхоникса.

Короче получается какая то нереализуемая хуйня. Можешь попробовать, если сможешь запустить из под Таилса виртуалбокс и вхоникс, да ты гений )))

Если тебе нужно просто анонимный серфинг и чат, юзай таилс. Если нужно работать с различным софтом, типа сканеров и других прог, юзай линукс + вхоникс и будет тебе счастье

Мне нужно максимально обезопасить себя общаясь при этом через джаббер или бросикс с хуй знает кем.

Можно взять Whonix или Tails и допилить до этого состояния, чтобы интернет шёл таким образом (Tor->OpenVPN->Tor2), без виртуалок.
Но можно взять и обычный линукс и хорошенько его настроить.
Несмотря на то, что Whonix или Tails настроены на безопасную работу, полностью доверять только Tor'у нельзя.

Ребята, подскажите:
Скачал Whonix последний.
Импортировал подпись производителя:

X:\GnuPG>gpg --import X:\WNX\patrick.asc
gpg: ключ 2EEACCDA: открытый ключ "Patrick Schleizer <[email protected]>" импортирован
gpg: Всего обработано: 1
gpg:                  импортировано: 1  (RSA: 1)
gpg: 3 ограниченных необходимо, 1 выполненных необходимо, PGP модель доверия
gpg: глубина: 0  корректных:   5  подписанных:   0  доверия: 0-, 0q, 0n, 0m, 0f, 5u

X:\GnuPG>gpg --fingerprint 916B8D99C38EAF5E8ADC7A2A8D66066A2EEACCDA
pub   4096R/2EEACCDA 2014-01-16 [годен до: 2016-10-05]
Отпечаток ключа = 916B 8D99 C38E AF5E 8ADC  7A2A 8D66 066A 2EEA CCDA
uid                  Patrick Schleizer <[email protected]>
sub   4096R/CE998547 2014-01-16 [годен до: 2016-10-05]
sub   4096R/119B3FD6 2014-01-16 [годен до: 2016-10-05]
sub   4096R/77BB3C48 2014-01-16 [годен до: 2016-10-05]

Попытался верифицировать подпись файла:

X:\GnuPG>gpg --verify X:\WNX\Whonix-Gateway-9.3.ova.asc
gpg: Подпись создана 10/17/14 17:36:16 ключом RSA с ID 77BB3C48
gpg: Действительная подпись от "Patrick Schleizer <[email protected]>"
gpg: ВНИМАНИЕ: Данный ключ не заверен доверенной подписью!
gpg:          Нет указаний на то, что подпись принадлежит владельцу.
 Отпечаток главного ключа: 916B 8D99 C38E AF5E 8ADC  7A2A 8D66 066A 2EEA CCDA
         Отпечаток подключа: 6E97 9B28 A6F3 7C43 BE30  AFA1 CB8D 50BB 77BB 3C48

Но при этом sha512 совпадает с версией скачанной с сайта:

X:\GnuPG>gpg --print-md SHA512 L:\WNX\Whonix-Gateway-9.3.ova
X:\WNX\Whonix-Gateway-9.3.ova: A4255BFC 12A952FF D2C35329 CBDEA333 E057FDEE
                               A9B63881 D89DD732 6DBD158C 8878297E C1BBAE9B
                               C51F07DD 309E8B62 7392B53D 3C418506 EA029892
                               B12F2872

Кому верить? Может что-то не так делаю?

Разобрался,

gpg: ВНИМАНИЕ: Данный ключ не заверен доверенной подписью!
gpg:          Нет указаний на то, что подпись принадлежит владельцу.

To remove this warning you would have to personally sign Whonix signing key with your own key.

Запустил Whonix

Не могу разобратся как разрешение экрана увеличить в workstation?
В системе не дает поставить выше чем 1024х768
если растягивать на весь монитор, то картинка таки страдает качеством

Какая виртуалка у вас запущена? В линуксе лучше всего работает KVM, для этого нужно установить virt-manager.
Если другая, то попробуйте выбрать vmvga/cirrus как драйвер видеокарты (еслит там есть такая возможность)
Если голое железо, то какая видео-карта?

напишите в консоли
xrandr
и посмотрите, если есть нужное разрешение в списке. Если есть, то
xrandr --output VGA1 --mode 1280×1024 #VGA1 нужно заменить на свой из пред команды
если нет, то дело в драйвере, или может помочь этот мануал:
https://www.ubuntugeek.com/how-change-di … randr.html

Там нет нужного разрешения. Но на их официальном сайте Whonix есть костыль, как сделать необходимое..

Нашел в доках на оффсайте Higher_Screen_Resolution, сработало, картинка стала получше (но все равно чуть чуть хуже чем без виртуалки)

Юзаю щас whonox на virtualbox запущеном из под винды (почитал уже про анб-шные трояны в винде но на линукс еще не перебрался полностью)

А есть готовые дистрибутивы чтоб как Tails на флешку разворачивались и можно было запускать без виртуалбокса?

Но чтоб там сразу было настроено весь траф в тор заворачивать а не просто тор-браузер

Прямо совсем готового дистрибутива нет, но вы можете поставить Хуникс ( по-русски оно даже лучше пишется ) на голое железо, а в нём уже поставить виртуалку с Хуникс-гейтом.
Тогда сетевой интерфейс  в Хуникс-воркстэйшн не настраиваем вообще, а сразу пробрасываем в Хуникс-гейт.
У вас получится - не запущена виртуалка с тором - нет инета совсем, как запустили - появился, но только через тор.

Вообще, конечно, это всё баловство, и гейт с воркстэйшеном лучше пускать на разном железе. Можно не есть пару дней и купить себе Нетбук за 5тыр для гейта.

Можно для гейта взять нетбук lemote самый простой одноядерный за 200 евро (полностью открытое железо на MIPS). И заодно nfs pxe boot замутить, чтобы нихера не инфецировалось. И пускать инет только по сокс порту с паролем, чтобы всякая малварь не коннектилась напрямую из биоса. И DH***** нахер отключить.

Кто не в курсе:

Редактировался gerc (2014-11-13 11 ч.)

ну разве что нфс от вирусов никак не спасёт - всё равно на запись будет доступно, просто по сети и медленно
И мипс на современных сайтах может не хватить, даже без яваскрипта.
Кроме того, тут встаёт вопрос  поиска дистриба под этот мипс, да ещё поддержки pxe на этом железе ...
х86 наше всё