Hallo,
Ich muss leider schon wieder eine Frage stellen.
Was muss ich bei os-tor alles konfigurieren, wenn ich ausgehenden Datenverkehr anonymisieren will?
Bin ich auf dem Richtige weg?
Aktivieren x
Hörende Schnittstellen LAN
Faschistenmodus ?????
Faschistenfirewallports 80 443
Was ist der "Faschistenmodus " ?
Sollte ich unter den erweiterten einstellunegneinen proxy einrichten?
Onion dienste
ativieren x
Name test
Authentifizierungstyp einfach
Autorisierte Clients "leer für alle clients?"
onion dienst routing
Aktivieren x
Onion-Dienst test
Port 80
Target Host 127.0.0.1
Zielport 80
Aktivieren x
Onion-Dienst test
Port 443
Target Host 127.0.0.1
Zielport 443
Was fehlt noch bzw wie kann ich die Einstellungen Testen?
grüsse
Quote from: pumuckl on January 30, 2020, 10:19:19 AM
Hallo,
Ich muss leider schon wieder eine Frage stellen.
Was muss ich bei os-tor alles konfigurieren, wenn ich ausgehenden Datenverkehr anonymisieren will?
Im großen und ganzen musst du die ACL anlegen welche Hosts Tor nutzen dürfen und das Plug-In aktivieren.Dazu musst du in der FW den Port öffnen, den du für SOCKS konfiguriert hast.
Alternativ kannst du das auch transparent machen. Das bedeutet, dass du zusätzlich zu den schritten vorher noch eine NAT-Regel konfigurieren musst und DNS in dem Netz über TOR auflösen solltest.
Quote from: pumuckl on January 30, 2020, 10:19:19 AM
Bin ich auf dem Richtige weg?
Aktivieren x
Hörende Schnittstellen LAN
Faschistenmodus ??
Faschistenfirewallports 80 443
Was ist der "Faschistenmodus " ?
Sollte ich unter den erweiterten einstellunegneinen proxy einrichten?
[/quote]
Der ist für den Betrieb hinter restriktiven Firewalls. Dann probiert Tor sich ausgehend nur über Port 80 und 443 zu verbinden und eingehend ist nicht möglich. Könnte in gewissen Ländern notwendig sein, dadurch verlierst du allerdings die Möglichkeit der Onion-Services. Nachdem du das fragen musst, nehme ich an, dass du das besser deaktiviert lässt.
[quote author=pumuckl link=topic=15659.msg71643#msg71643 date=1580375959]
Onion dienste
ativieren x
Name test
Authentifizierungstyp einfach
Autorisierte Clients "leer für alle clients?"
onion dienst routing
Aktivieren x
Onion-Dienst test
Port 80
Target Host 127.0.0.1
Zielport 80
Aktivieren x
Onion-Dienst test
Port 443
Target Host 127.0.0.1
Zielport 443
Was fehlt noch bzw wie kann ich die Einstellungen Testen?
grüsse
Onion services sind Dienste hinter .onion domains. Damit kannst du Zum Beispiel Webseiten versteckt hosten. Wenn deine Services laufen (PS: Die FW-Gui sollte man damit nicht betreiben). Hast du in den Statusinfos deine Onion-Domain stehen, mit der du von extern drauf zugreifen kannst. Das geht über einen Host mit TOR drauf oder mit proxy services wie zum Beispiel onion.to. Die Onion-Services kannst du dir fast wie ein Port-Forward vorstellen, nur dass du halt nicht weißt, wo etwas her kommt. Clientauthorisierung verlangt eine Art Passwort, damit du dich mit dem Onion-Service verbinden kannst. Das solltest du wenn der Service öffentlich ist, nicht ausfüllen (einfach heißt es ist in einer Art DNS im Klartext drin, im Fall von Stealth ist der DNS Eintrag verschlüsselt)
Danke Fabian
Ich glaub wir müssen weiter vorne anfangen.
ich möchte den Datenverkehr von einem Client über das tor Netzwerk leiten, ohne auf den Client tor zu installieren.
Wie mach ich das mit os-tor plugin?
Willst du den Client konfigurieren oder den Proxy transparent haben?
ich möchte einen transparenten Proxy einrichten um den Client anonym zu machen
Dann musst du
ein /16 Netz definieren (irgendein privater Adressbereich)
Das Netz in dem der Client ist zulassen
NAT vom DNS traffic auf den Tor DNS port
NAT vom restlichen TCP Traffic auf den transparenten Port
Restliches wie zb UDP blockieren
das Plugin aktivieren
Das sollte es im groben sein.
thx
ich glaub meine Regeln sind Falsch
Tor: Konfiguration
Transparenten Proxy aktivieren
Transparenter Port 9040
Transparenter DNS-Port 9053
Transparenter IP-Pool 172.39.10.0/16
Map Host To IP Pool x
Firewall: NAT: Portweiterleitung
Schnittstelle Protokoll Adresse Ports Adresse Ports IP Ports Beschreibung
LAN TCP 15.15.15.5 53 (DNS) WAN Adresse 53 (DNS) 15.15.15.1 9053 tor proxy dns
LAN TCP 15.15.15.5 * WAN Adresse * 15.15.15.1 9040 tor proxy
Firewall: Regeln: LAN
Protokoll Quelle Port Ziel Por Gateway Zeitplan Beschreibung
Block IPv4 UDP 15.15.15.5 * * * * * tor UDP blockieren
15.15.15.1 is meine FW
der Client kann so keinen dns auflösen
Die NAT-Regeln brauchen zugehörige Pass-Regeln und der NAT Zielhost ist 127.0.0.1.
Originales Ziel ist eigentlich alles außer die FW selbst.
ich hab die Regeln angepasst:
Firewall: NAT: Portweiterleitung
Schnittstelle Protokoll Adresse Ports Adresse Ports IP Ports
LAN TCP 15.15.15.5 53 (DNS) * 53 (DNS) 127.0.0.1 9053
LAN TCP 15.15.15.5 * * * 127.0.0.1 9040
Firewall: Regeln: LAN
Protokoll Quelle Port Ziel Port Gateway
IPv4 TCP 15.15.15.5 53 (DNS) 127.0.0.1 9053 * *
IPv4 TCP 15.15.15.5 * 127.0.0.1 9040 * *
IPv4 TCP 15.15.15.5 * 127.0.0.1 * * *
IPv4 UDP 15.15.15.5 * * * * *
Dienste: Tor: Konfiguration
allgemein
aktivieren x
Hörende Schnittstellen LANWAN
SOCKS-Portnummer 9050
Steuerungsport 9051
Faschistenmodus x
Faschistenfirewallports 80 443
Transparenten Proxy aktivieren
Transparenter Port 9040
Transparenter DNS-Port 9053
Transparenter IP-Pool 172.39.10.0/16
Map Host To IP Pool x
socks proxy acl
Aktiviert Aktion Protokoll Netzwerk
x Akzeptieren IPv4 15.15.15.0/24
x Akzeptieren IPv4 15.15.15.5
sonst habe ich bei tor nichts konfiguriert
bei mir darf aus dem lan alles raus
Fehlt mir jetzt ein dns server?
2 Fehlermeldungen
curl ifconfig.me
curl: (6) Could not resolve host: ifconfig.me
Error: Abrufen der Release-Liste ist fehlgeschlagen: 500 Can't connect to api.github.com:443 (Temporary failure in name resolution)
fehlt noch was?
gruss
DNS ist UDP im Normalfall, du musst beides erlauben.
mit TCP/UDP funktioniert es
aber nur wenn ich die block udb any regel deaktiviere.
jetzt läuft nur tcp über den proxy
Firewall: NAT: Portweiterleitung
Code: [Select]
Schnittstelle Protokoll Adresse Ports Adresse Ports IP Ports
LAN TCP 15.15.15.5 53 (DNS) * 53 (DNS) 127.0.0.1 9053
LAN TCP 15.15.15.5 * * * 127.0.0.1 9040
kann ich udp auch über den proxy leiten?
Transparent vermutlich nicht. SOCKS5 könnte es - ob tor es kann ist eine andere Frage.
Wenn udp nicht über tor läuft bin ich dann anonym?
ich ahbe einige befehle zum ip testen gefunden:
diese leifern die tor ip
curl ifconfig.me
curl ident.me
curl v4.ident.me
aber der befehl meine echte ip
dig +short myip.opendns.com @resolver1.opendns.com
UDP solltest du nicht durch lassen und ICMP auch nicht. UDP brauchst du derzeit am PC nur für DNS und NTP. In Zukunft wird auch HTTPS über UDP (QUIC) laufen, aber das dauert noch. Da wird es noch irgendein Problem mit deiner DNAT Regel fürs DNS geben.
Guten Morgen,
Ich habe einiges ausprobiert.
Wenn ich vor die "deny any UDP" Regel, udp(53) auf der fiere wall erlaube funktioniert der Webseiten Aufruf.
sieht jetzt so aus:
Protokoll Quelle Port Ziel Port Gateway
IPv4 TCP/UDP tor 53 (DNS) 127.0.0.1 9053 * * tor proxy dns nat
IPv4 TCP tor * 127.0.0.1 9040 * * tor proxy nat
IPv4 UDP tor * Diese Firewall 53 (DNS) * *
IPv4 UDP tor * * * * * tor UDP blockieren
kann es sein das opendns oder Unbound DNS dazwischenfunkt?
gruss
PF macht kein NAT wenn der Port lokal in Verwendung ist wenn du das meinst.
dns sollte per NAT von dem Client auf 127.0.0.1 gehen
aber die deny any regel blockt dns vom client an der ip der firewall, wenn ich dns nicht extra erlaube.
es sieht so aus aus wenn dns nicht über tor läuft
edit:
ist der Client dann noch anonym, die tor ip hat er?
Du sollst nur !Diese Firewall blocken.
sorry verstehe gerade nicht was du meinst?
Vielen dank Fabian für deine Hilfe hier im Forum
eine frage häte ich noch
Wie erstelle ich ein Exit Node für Deutschland
Ist das so korrekt?
Ziel netzwerk eingeben und die lokalen ports?
Action Protocol Network Start Port End Port
Accept ip4 1xx.xx0.1xx.0/20 9040 9070
kann ich mehrere nodes anlegen?
nochmal vielen dank
edit1:__________________________
ich ahbe versucht das in das torrc file einzufügen:
ExitNodes {DE}
StrictNodes 1
aber am Anfang von dem file steht:
##
## OPNsense autogenerated config file.
## Don't change it because your changes get lost.
##
##
das eingeben von der Exit Node ip in der plugin Konfiguration funktioniert anscheinen nicht, oder ist falsch.
habe es auch so probiert, ohne erfolg :
Enabled
Action Protocol Network Start Port End Port Commands
Accept IPv4 185.220.100.240
Reject IPv4 any
Einen Exit Node würde ich dir in DE nicht empfehlen. Schau einfach mal nach dem Fall der Zwiebelfreunde nach, was da passiert ist. Funktioniert an sich ganz einfach - du musst nur ACLs anlegen, auf welche Ports und IP-Adressen man drauf darf. Außerdem musst du das relay aktivieren. Du kannst keinen Exit Node haben, wenn du Onion-Services hast und das hast du laut deiner vorherigen Postings.
Und die genannte Direktive kannst du soweit ich weiß gar nicht übers UI setzen.
Dei Onion-Services habe ich alle wieder gelöscht,ich habe nur Clients die Tor benützen um anonym zu bleiben.
Ich möchte kein Exit anbieten, sondern Tor von einen bestimmten land verlassen, Das kann auch Polen sein.
Mein client,der tor benutz, soll mit curl ipinfo.io immer das selbe vorherdefinierte Land anzeigen.
Wenn man Tor Browser benützt, muss man für Polen das:
ExitNodes {PL}
StrictNodes 1
in das torrc file eintragen.
https://www.informatiqua.de/tor-exit-knoten-festlegen-l%C3%A4ndersspezifische-ip-adresse/ (https://www.informatiqua.de/tor-exit-knoten-festlegen-l%C3%A4ndersspezifische-ip-adresse/)
wie funktioniert das mit dem plugin ?
gruss
Gar nicht.