os-tor

[pumuckl]

Hallo,
Ich muss leider schon wieder eine Frage stellen.

Was muss ich bei os-tor alles konfigurieren, wenn ich ausgehenden Datenverkehr anonymisieren will?

Bin ich auf dem Richtige weg?

Code Select Expand


Aktivieren x
Hörende Schnittstellen LAN

Faschistenmodus      ?????

Faschistenfirewallports 80 443


Was ist der "Faschistenmodus " ?
Sollte ich unter den erweiterten einstellunegneinen proxy einrichten?

Code Select Expand



Onion dienste
ativieren   x
Name  test
Authentifizierungstyp einfach
Autorisierte Clients   "leer für alle clients?"


Code Select Expand


onion dienst routing
Aktivieren   x
Onion-Dienst  test
Port 80
Target Host 127.0.0.1
Zielport 80

Aktivieren   x
Onion-Dienst  test
Port 443
Target Host 127.0.0.1
Zielport 443


Was fehlt noch bzw wie kann ich die Einstellungen Testen?

grüsse

[fabian]

Hallo,
Ich muss leider schon wieder eine Frage stellen.

Was muss ich bei os-tor alles konfigurieren, wenn ich ausgehenden Datenverkehr anonymisieren will?

Im großen und ganzen musst du die ACL anlegen welche Hosts Tor nutzen dürfen und das Plug-In aktivieren.Dazu musst du in der FW den Port öffnen, den du für SOCKS konfiguriert hast.
Alternativ kannst du das auch transparent machen. Das bedeutet, dass du zusätzlich zu den schritten vorher noch eine NAT-Regel konfigurieren musst und DNS in dem Netz über TOR auflösen solltest.

Bin ich auf dem Richtige weg?

Code Select Expand


Aktivieren x
Hörende Schnittstellen LAN

Faschistenmodus     ??
   
Faschistenfirewallports 80 443


Was ist der "Faschistenmodus " ?
Sollte ich unter den erweiterten einstellunegneinen proxy einrichten?

Code Select Expand


[/quote]
Der ist für den Betrieb hinter restriktiven Firewalls. Dann probiert Tor sich ausgehend nur über Port 80 und 443 zu verbinden und eingehend ist nicht möglich. Könnte in gewissen Ländern notwendig sein, dadurch verlierst du allerdings die Möglichkeit der Onion-Services. Nachdem du das fragen musst, nehme ich an, dass du das besser deaktiviert lässt.

[quote author=pumuckl link=topic=15659.msg71643#msg71643 date=1580375959]
Onion dienste
ativieren   x
Name  test
Authentifizierungstyp einfach
Autorisierte Clients   "leer für alle clients?"


Code Select Expand


onion dienst routing
Aktivieren   x
Onion-Dienst  test
Port 80
Target Host 127.0.0.1
Zielport 80

Aktivieren   x
Onion-Dienst  test
Port 443
Target Host 127.0.0.1
Zielport 443


Was fehlt noch bzw wie kann ich die Einstellungen Testen?

grüsse

Onion services sind Dienste hinter .onion domains. Damit kannst du Zum Beispiel Webseiten versteckt hosten. Wenn deine Services laufen (PS: Die FW-Gui sollte man damit nicht betreiben). Hast du in den Statusinfos deine Onion-Domain stehen, mit der du von extern drauf zugreifen kannst. Das geht über einen Host mit TOR drauf oder mit proxy services wie zum Beispiel onion.to. Die Onion-Services kannst du dir fast wie ein Port-Forward vorstellen, nur dass du halt nicht weißt, wo etwas her kommt. Clientauthorisierung verlangt eine Art Passwort, damit du dich mit dem Onion-Service verbinden kannst. Das solltest du wenn der Service öffentlich ist, nicht ausfüllen (einfach heißt es ist in einer Art DNS im Klartext drin, im Fall von  Stealth ist der DNS Eintrag verschlüsselt)

[pumuckl]

Danke Fabian

Ich glaub wir müssen weiter vorne anfangen.

ich möchte den Datenverkehr von einem Client  über das tor Netzwerk leiten, ohne auf den Client tor zu installieren.

Wie mach ich das mit os-tor plugin?

[fabian]

Willst du den Client konfigurieren oder den Proxy transparent haben?

[pumuckl]

ich möchte einen transparenten Proxy einrichten um den Client anonym zu machen

[fabian]

Dann musst du

ein /16 Netz definieren (irgendein privater Adressbereich)
Das Netz in dem der Client ist zulassen
NAT vom DNS traffic auf den Tor DNS port
NAT vom restlichen TCP Traffic auf den transparenten Port
Restliches wie zb UDP blockieren
das Plugin aktivieren

Das sollte es im groben sein.

[pumuckl]

thx

ich glaub meine Regeln sind Falsch
Tor: Konfiguration

Code Select Expand

Transparenten Proxy aktivieren
Transparenter Port    9040
Transparenter DNS-Port  9053
Transparenter IP-Pool  172.39.10.0/16
Map Host To IP Pool   x


Firewall: NAT: Portweiterleitung

Code Select Expand


Schnittstelle Protokoll Adresse Ports Adresse Ports IP Ports Beschreibung

LAN TCP 15.15.15.5 53 (DNS) WAN Adresse 53 (DNS) 15.15.15.1 9053 tor proxy dns    
LAN TCP 15.15.15.5 *         WAN Adresse *        15.15.15.1 9040 tor proxy


Firewall: Regeln: LAN

Code Select Expand


Protokoll            Quelle    Port     Ziel   Por  Gateway Zeitplan Beschreibung
Block IPv4 UDP 15.15.15.5 * * * * *                   tor UDP blockieren



15.15.15.1 is meine FW


der Client  kann so keinen dns auflösen

[fabian]

Die NAT-Regeln brauchen zugehörige Pass-Regeln und der NAT Zielhost ist 127.0.0.1.

Originales Ziel ist eigentlich alles außer die FW selbst.

[pumuckl]

ich hab die Regeln angepasst:
Firewall: NAT: Portweiterleitung

Code Select Expand


Schnittstelle  Protokoll  Adresse   Ports      Adresse         Ports            IP    Ports
LAN       TCP 15.15.15.5 53 (DNS) * 53 (DNS) 127.0.0.1 9053       
LAN      TCP 15.15.15.5 *                  * *       127.0.0.1 9040     


Firewall: Regeln: LAN

Code Select Expand


Protokoll Quelle      Port         Ziel   Port Gateway
  IPv4 TCP 15.15.15.5 53 (DNS) 127.0.0.1 9053 * *
  IPv4 TCP 15.15.15.5 *         127.0.0.1 9040 * *
  IPv4 TCP 15.15.15.5 *        127.0.0.1  * * *    
  IPv4 UDP 15.15.15.5 *           * *  * *                  


Dienste: Tor: Konfiguration
allgemein

Code Select Expand


aktivieren    x
Hörende Schnittstellen LANWAN
SOCKS-Portnummer 9050
Steuerungsport  9051
Faschistenmodus  x
Faschistenfirewallports  80 443

Transparenten Proxy aktivieren
Transparenter Port    9040
Transparenter DNS-Port  9053
Transparenter IP-Pool  172.39.10.0/16
Map Host To IP Pool   x


socks proxy acl

Code Select Expand


Aktiviert Aktion       Protokoll Netzwerk
x        Akzeptieren IPv4 15.15.15.0/24
x        Akzeptieren IPv4 15.15.15.5



sonst habe ich bei tor nichts konfiguriert

bei mir darf aus dem lan alles raus

Fehlt mir jetzt ein dns server?


2 Fehlermeldungen

Code Select Expand

curl ifconfig.me
curl: (6) Could not resolve host: ifconfig.me

Code Select Expand

Error: Abrufen der Release-Liste ist fehlgeschlagen: 500 Can't connect to api.github.com:443 (Temporary failure in name resolution)


fehlt noch was?


gruss

[fabian]

DNS ist UDP im Normalfall, du musst beides erlauben.

[pumuckl]

mit  TCP/UDP  funktioniert es

aber nur wenn ich die block udb any regel deaktiviere.

jetzt läuft nur tcp über den proxy

Code Select Expand

Firewall: NAT: Portweiterleitung
Code: [Select]
Schnittstelle  Protokoll  Adresse   Ports      Adresse         Ports            IP    Ports
LAN       TCP 15.15.15.5 53 (DNS) * 53 (DNS) 127.0.0.1 9053       
LAN      TCP 15.15.15.5 *                  * *       127.0.0.1 9040 

kann ich udp auch über den proxy leiten?

[fabian]

Transparent vermutlich nicht. SOCKS5 könnte es - ob tor es kann ist eine andere Frage.

[pumuckl]

Wenn udp nicht über  tor läuft bin ich dann  anonym?


ich ahbe einige befehle zum ip testen gefunden:
diese leifern die tor ip

Code Select Expand

curl ifconfig.me
curl ident.me
curl v4.ident.me


aber der befehl meine echte ip

Code Select Expand

dig +short myip.opendns.com @resolver1.opendns.com


[fabian]

UDP solltest du nicht durch lassen und ICMP auch nicht. UDP brauchst du derzeit am PC nur für DNS und NTP. In Zukunft wird auch HTTPS über UDP (QUIC) laufen, aber das dauert noch. Da wird es noch irgendein Problem mit deiner DNAT Regel fürs DNS geben.

[pumuckl]

Guten Morgen,

Ich habe einiges ausprobiert.
Wenn ich vor die "deny any  UDP" Regel, udp(53) auf der  fiere wall erlaube funktioniert der Webseiten Aufruf.

sieht jetzt so aus:

Code Select Expand

Protokoll Quelle Port    Ziel Port Gateway
IPv4 TCP/UDP tor  53 (DNS)   127.0.0.1 9053 * * tor proxy dns nat
IPv4  TCP tor  *      127.0.0.1 9040 * * tor proxy nat
IPv4  UDP tor  * Diese Firewall 53 (DNS) * *
IPv4 UDP tor  * * * * * tor UDP blockieren

kann es sein das opendns oder Unbound DNS dazwischenfunkt?

gruss