Tor Роутер анонимайзер Onion Pi + настройка 3G роутера

Всем привет. Давно читаю Рунион, скажу так форум дал мне многое, . И вот, я тоже решил внести свой небольшой вклад в жизнь нашего любимого форума. Хочу представить вам материал о том как собрать и настроить свой 3g tor роутер на плате raspberry pi. Данный девайс придумал не я, а ребята из Adafruit   ( learn.adafruit.com/onion-pi/overview ) . Я только добавил 3g модем . Получается 3g-tor-дальше на ноуте уже vpn ssh  и т.д. Вообще мне это напоминает операционную систему Whonix . Для того чтобы собрать роутер нам понадобятся: 

1. платa Raspbeery pi Model B или новее

2. sd карта 4Гб минимум

3. провод microUSB ( для питания от разетки или usb порта)

4. wi-fi адаптер ( я изспользовал d-link dwa 125 и именно под него буду устанавливать драйвера, если у вас другой адаптер то google.com  в помощь

5. 3G модем ( в моем случае Билайн ZTE MF 180 )

6. сетевой кабель для подключения к домашнему роутеру

Глава 1. Подготовка

1. Первое что нами нужно сделать это скачать образ raspbian c сайта ( raspberrypi.org/downloads/raspbian/)

2. После того как скачали образ вставляем нашу sd карту в кардридер и с помощью Win32DiskImager записываем его на карту. Ну вот, мы готовы к первому запуску.

3. Будем подключаться по SSH. Для этого подключаем Raspberry pi с помощью сетевого кабеля к роутеру,  тем самым мы получим ip по DH*****. Чтобы узнать ip нужно скачать и запустить IpScan. Скачали, запустили, видим нашу raspberry, копируем ip и  подключаемся с помощью Putty. По умолчанию логин pi, пароль raspberry.

4. Как только подключились первым делом нужно выполнить команду

   sudo raspi-config

   далее Expand file system  (увеличение памяти на всю карту). Далее в главном меню
   выбираем internationalisation options далее  change locale  и выбираем нужный нам язык ( я ставил ru UTF 8 ),выходим из меню и перезагружаемся

    sudo reboot

   .

5. Далее нам нужно определяем версию ядра и переписываем ( в моем случае 3.12.28+ # 709 )  для правильного подбора драйверов командой,

   sudo uname -a

6. Когда версия ядра известна далее нужно подобрать драйвера по версии ядра для wi fi адаптера на сайте fars-robotics.net/ . Ищем в списке нужную нам версию. P.S. Тут есть один нюанс, если скачивать отсюда то там в архиве почему то нет и файла rtl8188eufw.bin , его нужно будет скачать отдельно и положить в папку командой

   sudo wget https://raw.githubusercontent.com/lwfinger/rtl8188eu/c83976d1dfb4793893158461430261562b3a5bf0/rtl8188eufw.bin -O /lib/firmware/rtlwifi/rtl8188eufw.bin

7. Далее нужно скачать драйвер в зависимости от версии ядра

    sudo wget https://dl.dropboxusercontent.com/u/80256631/8188eu-201xyyzz.tar.gz  # где xyyzz здесь и далее это дата версии ядра)

   .

8. далее распаковываем

   sudo tar -zxvf 8188eu-201xyyzz.tar.gz

9. далее

   sudo install -p -m 644 8188eu.ko /lib/modules/$(uname -r)/kernel/drivers/net/wireless # вместо $(uname -r) пишем версию ядра)

    

10. Далее

    sudo insmod /lib/modules/$(uname -r)/kernel/drivers/net/wireless/8188eu.ko # так же вставляем свою версию ядра как в примере выше)

11. и последняя команда 

     sudo depmod -a

12. перезагружаем

    sudo reboot

13. Затем вытаскиваем и сразу же вставляем wi fi адаптер обратно,  через несколько секунд он заморгает показывая тем самым что всё сделано правильно.

14. Далее командой

    ifconfig -a

    проверяем появилась ли wlan0, если да то переходим к главе 2

Глава 2. Настройка Wi fi точки доступа

Итак, сначала установим нужный софт для настройки нашей точки доступа.

1. Сначала обновимся

   sudo apt-get update

2. Далее устанавливаем

   sudo apt-get install hostapd isc-dh*****-server

3. Собираем свой hostapd. Скачиваем исходники с сайта realtek.com.tw/downloads/downloadsView.aspx?Langid=1&PNid=21&PFid=48&Level=5&Conn=4&DownTypeID=3&GetDown=false&Downloads=true  вводом команды

   sudo wget https://12244.wpc.azureedge.net/8012244/drivers/rtdrivers/cn/wlan/0001-RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911.zip

4. Далее распаковываем

   sudo unzip 0001-RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911.zip

5. cd RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911

6. далее

   cd wpa_supplicant_hostapd

7. далее

   sudo tar -xvf wpa_supplicant_hostapd-0.8_rtw_r7475.20130812.tar.gz

8. далее

   cd wpa_supplicant_hostapd-0.8_rtw_r7475.20130812

9. далее

   cd hostapd 

10. далее

    sudo make

11. далее

    sudo make install

12. sudo mv hostapd /usr/sbin/hostapd

13. sudo chown root.root /usr/sbin/hostapd

14. sudo chmod 755 /usr/sbin/hostapd

Когда с hostapd всё готово то идем дальше.
Будем устанавливать DH***** server:

sudo nano /etc/dh*****/dh*****d.conf

, в файле находим строки

option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;

  нам нужно закомментироватьих поставив #   перед ними чтобы получилось

  #option domain-name "example.org";
#option domain-name-servers ns1.example.org, ns2.example.org; 

далее находим ниже строки

 # If this DH***** server is the official DH***** server for the local
# network, the authoritative directive should be uncommented.
#authoritative; 

и убираем #   чтобы получилось

 # If this DH***** server is the official DH***** server for the local
# network, the authoritative directive should be uncommented.
authoritative; 

далее прокручиваем файл в самый конец вниз и добавляем в самом конце оставив пробел в одну строку между кодом и последней строкой (это важно, т.к. просто не будет работать ничего)

 
subnet 192.168.42.0 netmask 255.255.255.0 {
range 192.168.42.10 192.168.42.50;
option broadcast-address 192.168.42.255;
option routers 192.168.42.1;
default-lease-time 600;
max-lease-time 7200;
option domain-name "local";
option domain-name-servers 8.8.8.8, 8.8.4.4;
}

Затем сохраняем изменения нажав ctrl+x , затем y для потдверждения.

Теперь нам нужно запустить наш сервер командой

sudo nano /etc/default/isc-dh*****-server

  и  в самом низу в строчке

INTERFACES=""  

вписать wlan0 , чтобы получилось

INTERFACES="wlan0"

   сохраняем изменения нажав ctrl+x , затем y для потдверждения.

Теперь нам нужно сделать ip адрес статическим
Для это сначала отключаем wlan0   командой

sudo ifdown wlan0

далее нам нужно отредактировать файл

sudo nano /etc/network/interfaces

... 
  удаляем весь текст и приводим к такому виду копируя и вставляя весь выделенный ниже текст:

auto lo

iface lo inet loopback
iface eth0 inet dh*****

allow-hotplug wlan0

iface wlan0 inet static
  address 192.168.42.1
  netmask 255.255.255.0

#iface wlan0 inet manual
#wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
#iface default inet dh***** 

Сохраняем файл  и выходим нажав ctrl+x , затем y для подтверждения.

Далее присвоим нашему wi fi адаптеру статический ip адрес  введя команду

sudo ifconfig wlan0 192.168.42.1

  .

Теперь нужно собрать свою точку доступа. Мы будем делать защищенную сеть , доступ к которой будет по паролю. Хотя в принципе вы можете сделать и открытую сеть.
Вводим команду

sudo nano /etc/hostapd/hostapd.conf 

   
и редактируем : нужно вставить текст написанный ниже:

interface=wlan0
driver=rtl871xdrv
ssid=Pi_AP
hw_mode=g
channel=6
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=Raspberry
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP

Далее

sudo nano /etc/default/hostapd

там ищем строку

#DAEMON_CONF=""

 
должно получиться (не забываем убрать перед строкой # )   .

DAEMON_CONF="/etc/hostapd/hostapd.conf"

  .

Далее будем настраивать NAT трансляцию. Пишем команду

sudo nano /etc/sysctl.conf

,  спускаемся в самый низ текста и в новой строке вставляем

 net.ipv4.ip_forward=1 

Сохраняем файл  и выходим нажав ctrl+x , затем y для подтверждения.
Далее пишем

sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

Далее настроим IP tables введя по очереди строки ниже :

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT

sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

Потом настраиваем автозапуск вместе с системой введя команду

sudo sh -c "iptables-save > /etc/iptables.ipv4.nat"

Далее пишем

sudo nano /etc/network/interfaces

   и добавляем в конец всего текста

 up iptables-restore < /etc/iptables.ipv4.nat 

чтобы между вставленным текстом и текстом выше был пустая строка. Сохраняем файл  и выходим нажав ctrl+x , затем y для подтверждения.
Далее скачиваем hostapd  c сайта adafruit 

sudo wget https://adafruit-download.s3.amazonaws.com/adafruit_hostapd_14128.zip

Далее распаковываем

sudo unzip adafruit_hostapd_14128.zip

Потом пишем

 sudo mv /usr/sbin/hostapd /usr/sbin/hostapd.ORIG 

Затем

sudo mv hostapd /usr/sbin

Потом

sudo chmod 755 /usr/sbin/hostapd

Далее запускаем

sudo /usr/sbin/hostapd /etc/hostapd/hostapd.conf

  После этой команды наша точка доступа будет видна . Вы можете попробовать подключиться к ней, но интернета пока нету .
Далее для запуска точки доступа при загрузке вводим

sudo service hostapd start
sudo service isc-dh*****-server start
sudo update-rc.d hostapd enable
sudo update-rc.d isc-dh*****-server enable

Теперь убираем следы изменения

sudo mv /usr/share/dbus-1/system-services/fi.epitest.hostap.WPASupplicant.service ~/ 

Теперь подключимся к нашей точке доступа с другого ноутбука , а в командной строке Raspberry пишем

tail -f /var/log/syslog

тем самым мы сможем проверить подключение к нашей точке доступа. Подключаемся, всё работает, но интернета пока нет.. Теперь переходим к  следующей главе.

Глава 3. Установка и настройка TOR

Обновляемся командой

sudo apt-get update 

Скачиваем и устанавливаем TOR 

sudo apt-get install tor

  нажимаем Y для подтверждения
Далее будем настраивать файл torrc, вводим

sudo nano /etc/tor/torrc

И редактируем вставив выделенный текст между строками как на скрине  s019.radikal.ru/i620/1602/f8/d7682b0ac753.png

Log notice file /var/log/tor/notices.log
VirtualAddrNetwork 10.192.0.0/10
AutomapHostsSuffixes .torify.net,.exit
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress 192.168.42.1
DNSPort 53
DNSListenAddress 192.168.42.1

Сохраняем файл  и выходим нажав ctrl+x , затем y для подтверждения.
Далее очистим Iptables

sudo iptables –F
sudo iptables -t nat –F

далее оставим доступ по ssh

sudo iptables -t nat -A PREROUTING -i wlan0 -p t***** --dport 22 -j REDIRECT --to-ports 22

Затем пустим udp пакеты на 53 порт

sudo iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j REDIRECT --to-ports 53

Затем пустим t***** пакеты на торовский порт 9040 

sudo iptables -t nat -A PREROUTING -i wlan0 -p t***** --syn -j REDIRECT --to-ports 9040

Проверяем что ip tables настроились правильно

sudo iptables -t nat –L 

 
и после пишем команду 

sudo sh -c "iptables-save > /etc/iptables.ipv4.nat" 

  .
Далее пишем по очереди три команды ниже

sudo touch /var/log/tor/notices.log

sudo chown debian-tor /var/log/tor/notices.log

sudo chmod 644 /var/log/tor/notices.log

Проверяем  командой

 ls -l /var/log/tor

Запускаем Тор вручную командой

sudo service tor start

Проверяем вводом команды

sudo service tor status

Ставим Тор на автозапуск при старте системы

sudo update-rc.d tor enable

Далее проверяем подключившись нашему роутеру с ноутбука . Если всё сделали правильно то в результате  подключившись мы получим TOR  ip  . Если нет то проверяем еще раз каждый пункт, т. к. если где то есть пропущенный пробел между строками то он не даст работать всей системе в целом. Как настроить 3g модем напишу на днях, уже сил нет писать, засыпаю на ходу.
Спасибо за внимание, надеюсь моя статья окажется полезной. Буду рад услышать от вас вопросы, предложения, замечания.

Интересно, спасибо.

Amdbrr, raspberry для такого не самый дешевый способ. ИМХО на любом роутере, поддерживающем OpenWRT, это можно дешевле сделать.

Не самый дешевый, согласен, особенно с сегодняшним курсом. Но есть альтернатива из Китая это Orange Pi  orangepi.ru/ , geektimes.ru/post/260912/   и цена в 15$  .

Возможно да, на других роутерах не пробовал сделать что-либо похожее. Про raspberry скажу так, для меня только плюсы: 1) мобильность-в машине с ним работается на ура, не нужно точки доступа всякие искать, 2) компактность-размер не больше смартфона,  3) анонимность-абсолютно весь траффик с ноута идет через узлы tor по умолчанию ( даже если слетит vpn, ssh, proxy etc. на ноуте, максимум спалишь ip tora )

blaxblox, реквестирую тебе статью о роутере с OpenWRT и настройкой его так, чтобы торренты и некоторые другие приложения (адреса) пускал в клирнет, тор в тор через VPN, остальное в VPN.

Amdbrr, тоже смотрел в сторону OrangePI. Но говорят его еще руками доводить надо, решил пока не брать.
Маркс, вот как приедет моя коробочка - так сразу.

А что там конкретно доводить нужно ? В плане физически что то или настраивать ?  На raspberry если делать тоже много чего нужно дорабатывать в зависимости от целей, например вот habrahabr.ru/company/xakep/blog/183760/ , или вот  lifehacker.com/5978098/turn-a-raspberry-pi-into-a-personal-vpn-for-secure-browsing-anywhere-you-go 
  Можно туда же добавить vpn (tun0) между eth0 - ppp0(3g модем) и wlan0 тем самым шифрануть траффик( скрыть использование tor) от оператора.

Маркс, интересная мысль. Не знаю как в OpenWRT , в raspbian/debian думаю нужно смотреть в сторону iptables, чтобы настроить всё движение траффика.  Есть похожая идея в статье на хабре habrahabr.ru/post/245435/    только там реализуется всё на VPS и конечные цели:
1. Мой компьютер должен по нажатию одной кнопки переходить в режим «весь трафик — не русский».
2. По нажатию второй кнопки он должен переходить в режим «весь траффик идет через TOR»
3. Третья кнопка — для I2P.

Amdbrr, не могу найти где читал срачик по поводу.  Жаловались что охлаждение ему нужно, потребляет много, корпуса нет.
Типа если все докупить-доделать, то по цене выходит почти как Raspbery.

К сожалению не читал особо отзывы да и вообще.. Orange Pi  это Китай, может и заблуждаюсь,но как-то нет доверия к китайцам.

Еще добавь к  этому sd карту, wi fi адаптер, usb провод, модем. На авито если брать raspberry можно сэкономить, я там брал осенью последний раз, около 1200р плата вышла, плюс остальное там же, в 2500 примерно вышло всё, точно не помню уже.

Дьявол всегда в мелочах.

Главная проблема OpenWRT - это старые и экзотические версии самых обычных пакетов, которые в отличии от обычных линуксов в OpenWrt почему-то вечно работают с какими-то эзотерическими ключами и вообще не имеют документации. На что только не пойдешь ради миниатюризации. Короче, torbox я на openwrt поднимал, правда года полтора назад. Овчинка не стоит выделки, т.к. даже на не совсем бюджетных роутерах он очень сильно грузит процессор, даёт в 3-4 раза более низкую скорость по сравнению с нынешнем Raspberry Pi, а в-третьих, все эти проблемы, отсутствующие в Raspberry, требуют детального анализа исходных кодов и долгой переписки с мейнтейнерами пакетов.

Мое мнение - да, сделать можно, я пробовал. Если перезагружть его 2-4 раза в сутки по cron'у, то в принципе, почти всегда работает... но лучше все-таки выбрать другое решение. На raspberry (правда, под Arch, because Raspbian is NOT Debian) у меня аналогичная поделка работает с аптаймом в 250+ дней.

Более того, в половине стран мира (вне зависимости от их цивилизованности) купить Raspberry Pi сейчас проще и дешевле, чем перепрошиваемый роутер со сравнимыми аппаратными характеристиками. Другое дело, что подходящий роутер может достаться вообще бесплатно.

miser, 
Ну тогда хакбокс из него сделаю и буду подкидывать в места потенциальных скоплений любителей фри-вайфая.

Неплохая идея,схожие мысли возникали..например в торговом центре заложить или в том же Маке )

Огромное спасибо вам за данный мануал.
Потратил кучу времени на настройку, но на каком-то этапе была ошибка, не понял где.
Теперь ваш мануал проверю.

У меня тор работает на tv box DEXP AL10T2 (потребление до 8 ватт, система андроид, 2 ядра Allwinner A20, 512мб оперативки, wifi, ethernet) через несколько мной подправленный Orbot (заменил в java-исходнике строку ExitPolicy с " reject * " на " accept * ") в качестве Exit Relay. Правда, android его периодически закрывает (через 3-6 дней в зависимости от нагрузки) из за нехватки оперативки - 512мб всего. Так что до Stable сервера тор добирается, а до Guard нехватает полосы по тарифному плану...

Мораль - нужен девайс с минимум 1GB оперативки для нормального сервера. Кому интересно - тема на форуме 4pda.ru ( искать в поиске на форуме по фразе: "dexp al" )

Вот как с него wifi раздавать в android-e не знаю... Там такого пункта, как в планшетах, "точка доступа" нету в настройках.

Возможно. Давайте я вам помогу разобраться, да и самому интересно тоже . Что именно за ошибка, можете описать ?

Глава 2 пункт 6.7,  потом в 8. 9 тоже самое

Понял в чем дело, извините, это мой косяк, два раза записал  пункты 6 , 7 в Главе 2 не нужно выполнять, ТОЛЬКО 8 , 9 .

Поправил.

Спасибо

Он отрицательный.

Через 3g тор работает плохо, скачка файлов обрывается. Нужен менеджер докачек.

Не обязательно так заморачиваться. Большинству свистков достаточно apt-get install firmware-linux-nonfree firmware-ralink и т.д.

Точку доступа использовать нельзя.

whonix работает без этого, потому что он нормальная система и стоило бы изучить его прежде чем браться за построение аналога.

Почему нет подмены mac адреа? Ты хочешь всему миру рассказать, каким устройством ты пользуешься? Впрочем тут настолько все запущено, что подмена macа не спасет.

Почему в правилах firewall одни ACCEPT и редиректы? Где фильтрация поврежденных пакетов?

Зачем качать второстепенный софт в архивах и нарушать структуру дистрибутива, обновлять как будешь? Достаточно того, что есть в штатном репозитарии.

А вот тор наоборот необходимо устанавливать с официального сайта последнюю версию, подклключив для этого репозитарии, специально созданные разработчиками тор для дебиана. Потому что тор, это критичный сервис, который должен  быть актуальной версии с самыми последними багфиксами.

Так нельзя настраивать тор, это ведет к деанону. Где изоляция разных пунктов назначения друг от друга?

Анонимность равна нулю. Ты подключаешь тот же ноут,  который ранее выходил в клирнет, был засвечен и попал в базы. Теперь ты своей виртуальной личностью выходишь через него же, что тут же идентифицирует ее как твою настоящую. Но это еще не самое тупое, что здесь сделано. Самое тупое, это wifi. Ты используешь обычные браузеры, которые сливают не только уникальный профиль  железа, но и информацию о wifi сети, к которой подключен ноутбук. Эту же точку wifi видит огромное количество смартфонов с установленными гуглапс и яндекс сервисами. Яндекс сливает ее по каналам, перехватываемым ФСБ, т.е. ты сам сообщаешь в ФСБ местоположение своей виртуальной личности с точностью до нескольких метров. Если ты ездишь с этим на машине, ты сообщаешь типичные маршруты своего передвижения.

Хочу обратить внимание, что никаких перечисленных уязвимостей не имеет просто установленный на обычный windows 7 штатный Tor Browser, скаченный с официального сайта.  Этим отличается профессиональное изделие от самопальной поделки.

Если все таки хочется использовать мини коробку, то рекомендации к исправлению следующие
1. Выкинуть wifi и подключаться проводом.
2. Сменить мак адрес у сетевой карты raspberry pi.
3. К новому мак адресу подключать новый ноутбук, купленный с рук на рынке. Перед тем как первый раз включить ноутбук дома, вытащить из него модуль wifi. Никогда не подключать raspberry pi со смененым мак адресом в домашнюю сеть.
4. Написать нормальные правила firewall. За основу взять правила из whonix. Для этого изучить whonix.
5. Установить тор с официального сайта. Настроить тор по аналогии с whonix.
6. Использовать на ноутбуке Tor Browser, перенастроив его на тор из raspberry pi.
7. Блокировать собственный трафик windows в сеть Tor. Это важно для всех windows, но особенно если установлена windows 10. Также это может спасти от некоторых троянов (не всех), которыми будет заражен ноутбук при попытке деанона.
8. Кроме wifi, физически извлечь из ноутбука микрофон и камеру.
9. Никогда не втыкать в ноутбук ни одного устройства, включая флешки, клавиатуру, мышь и монитор, которые хоть раз были воткнуты в компьютер с чистым интернетом и системой windows. Соответственно наоборот тоже.
10. Молиться, что человек, у которого вы купили ноутбук, вас не запомнил.