Что можно сделать при помощи TOR. Что нам нужно

Задумались над тем, как работать в сети анонимно? Не желаете, чтобы вас «узнавали по IP». Для этого существует решение – the onion router (TOR). Эта программка поможет вас защитить от наблюдения за вами в Internet при помощи анализа потока данных. Т.е., при использовании этого приложения никто, кроме вас, ни сможет узнать, кто вы, где вы находитесь и что посещаете в Internet.

В этой статье рассматриваются основные моменты работы данной технологии, ее настройка и интеграция в браузер.

Как это работает и зачем это нужно

TOR (луковый роутинг) представляет из себя сеть виртуальных тоннелей, при помощи которых отдельные лица или группы людей могут улучшить свою приватность и безопасность пребывания в сети. При помощи этой технологии пользователи могут быть анонимными при «серфинге» веб-сайтов, размещении различных материалов, отправке электронных сообщений и в работе с приложениями, требующими доступа в интернет. Данная технология может обеспечить защиту от механизма анализа трафика, который грозит не только анонимности пользователя, а и его конфиденциальности бизнес данных, сохранения деловых контактов и других важных сведений.

Анонимность пользователя обеспечивается при помощи распределенной сети серверов, которые называются многослойными маршрутизаторами. Пользователь, запустивший TOR на своем компьютере, подключается к серверам TOR и периодически создает цепочку через сеть TOR, которая применяет криптографию многоуровневым способом. Каждый пакет данных вначале шифруется тремя ключами и проходит через три разных прокси-сервера.

Работа технологии TOR

Что можно сделать при помощи TOR:

• Посещение сайтов, которые заблокировало ваше правительство, провайдер или системный администратор.
• Можно работать через прокси-сервер.
• Если у вас заблокирован трафик ваших IM (ICQ, Mailru-агент, джоббер и д.р.), то с помощью TOR их можно запустить.
• TOR не нужно устанавливать. Поэтому не стоит бояться запрета на установку программ, выставленную вашим системным администратором.

Работа с TOR

Скачиваем приложение

TOR, как и любое другое приложение лучше скачать с официального сайта – torproject.org.

Заходим на сайт, находим картинку с надписью – Download Tor и жмем по ней.

Кнопка для скачивания TOR

На странице, которая откроется, в правом нижнем углу выбираем нужный вам язык меню программы.

Жмем кнопку оранжевого цвета с надписью – Download. Размер установочного файла примерно 22 мБ.

Устанавливаем приложение

Программа представляет из себя самораспаковывающийся архив. Поэтому при установке, ему нужно указать путь, куда распаковаться.

Выбор места распаковки

Нажимаем кнопку выбора папки для распаковки (обведена красным прямоугольником на картинке выше) и выбираем нужное вам место.

Т.к. программа не требует установки то ее можно распаковать на любой носитель информации и в дальнейшем производить запуск с любого компьютера.

Выбрав нужный каталог, жмем кнопку – Extract. Ждем какое-то время, пока архив распакуется.

Распаковка приложения

По завершению распаковки в выбранном вами месте должна появиться папка – Tor Browser.

Папка – Tor Browser

Внутри этой паки находится файл – Start Tor Browser. Он и используется для запуска программы.

Файл запуска программы

Запускаем приложение

Здесь все просто. Дважды клацаем на – Start Tor Browser. Ждем пока программа будет выполнять нужные ей действия.

Процесс запуска программы

Первый запуск программы происходит довольно таки долго, поэтому наберитесь терпения. После окончания запуска должно появиться окошко как на картинке ниже.

Меню программы

Надпись обведенная синей рамкой говорит о том, что приложение заработало. Для удобства можно снять галочку с пункта – Показывать это окно при запуске (обведена красным прямоугольником), т.к. после начала своей работы приложение будет запускать браузер – Mozilla Firefox (он идет совместно с программой).

Теперь при запуске, программа будет находиться в трее и будет иметь три значения:

• «Желтая луковица» – приложение запускается.
• «Зеленая луковица» – приложение работает.
• «Зачеркнутая луковица» – приложение остановлено.

Браузер – Mozilla Firefox должен показывать окно как на картинке ниже.

Работа Mozilla Firefox

Если вы видите у себя такое окно, значит TOR работает. Но его действие будет распространяться лишь на браузер – Mozilla Firefox. И если его закрыть, то и TOR завершит свое действие. Поэтому, «мозилу» можно свернуть в трей и настроить другой браузер на работу с TOR.

Настройка браузера Opera для работы с TOR

Для того чтобы понять работает ли TOR на вашем браузере, следует перейти по ссылке – https://check.torproject.org/?lang=ru.

Вот что должна показать Opera.

Сообщение браузера Opera

Чтобы заставить Opera работать с TOR, зайдите в ее настройки.

Настройка Opera

Для этого нажимаем кнопочку – Opera (обведена синим прямоугольником, картинка выше), в выпадающем меню выбираем пункт – Настройки (обведен красным прямоугольником), а в нем – Общие настройки (обведен зеленым прямоугольником). Также можно нажать сочетание клавиш – Ctrl + F12.

Попадаем в настройки Opera.

Меню настроек Opera

Здесь выбираем вкладку – Расширенные, затем пункт – Сеть.

Меню – Сеть

В меню – Сеть, жмем кнопку – Прокси-серверы. В появившемся окне заполняем все, как показано на картинке ниже.

Меню – Прокси-серверы

Заполнив необходимые поля, жмем – Ок и перезагружаем браузер.

Производим проверку браузера на работу с TOR (переходим по ссылке указанной выше). Должна быть такая картинка.

Работа Opera

Все, теперь работать в сети можно анонимно. Учитывайте, лишь, то, что скорость работы будет не слишком высокой, т.к. ваши запросы будут идти не по прямому пути, а через сервера TOR.

The Onion Router

В последнее время интерес к анонимной сети постоянно растёт. И этому есть немало причин..

«Демократические реформы» в мире идут полным ходом. Правительства практически всех стран теперь искренне считают себя вправе решать, куда ходить своим гражданам, что смотреть и что читать. Пачки законов, «из самых лучших побуждений» штампуемые думами, радами и парламентами, всё резче определяют границы резерваций, в рамках которых теперь только и возможно существование пользователей в глобальной Сети.

«Ты туда не ходи - сюда ходи. А то снег башка попадёт - совсем мёртвый будешь» ©«Джентльмены удачи».

Ещё одним напрягающим моментом становятся не прекращающиеся разоблачения Эдварда Сноудена, из которых ясно, что тотальная слежка спецслужб за всеми и каждым приобрела уже поистине всемирный размах. Разумеется, подавляющему числу людей нечего скрывать, но крайне неприятно осознавать, что ты находишься под постоянным колпаком спецуры, каждый твой шаг отслеживается и фиксируется, и кто-то регулярно пытается поковыряться своими шкодливыми ручонками в твоём «грязном белье». И абсолютно наплевать, с какой целью он это делает, благие или нет у него намерения.

Зачем он нужен, этот Tor?

Всё больше людей пытаются сохранить неприкосновенность своей частой жизни от длинного носа спецслужб. Всё больше людей пытаются избавиться от «отеческой заботы» чиновников от государства и хотят реализовать своё конституционное право самостоятельно решать, куда ходить, что выбирать, куда смотреть и что делать.

И тут на помощь им приходит анонимная сеть Tor. Поскольку она может обеспечить отдельно взятому индивидууму значительное ослабление навязчивого внимания, попутно снимая почти все ограничения на перемещения по Всемирной Паутине. Tor скроет вашу личность в Сети, скроет всё то, что вы делали в Интернете и куда ходили.

Кроме того, сеть Tor имеет и ещё один небольшой практический бонус. Она достаточно часто позволяет обойти такую досадную вещь, как бан по IP на различных сайтах. Мелочь, а приятно.

Что такое Tor, и как оно работает

Итак, что же такое анонимная сеть Tor. Tor - это аббревиатура The Onion Router (не знающим буржуйского, но любопытным - смотреть перевод в ). Если кого-то интересуют нудные технические подробности, пусть топает на страницу Tor-а в Википедии и разбирается. Хочется чуток попроще - на такую же страницу на Луркоморье. Я же попытаюсь наскоро объяснить «на пальцах».

Хоть эта сеть и функционирует на базе обычного интернета, но в ней все данные не идут напрямую от тебя к серверу и обратно, как в «большой» сети, а всё прогоняется через длинную цепочку специальных серверов и многократно шифруется на каждом этапе. В результате конечный получатель, то есть ты, для сайтов становится полностью анонимен - вместо твоего реального адреса высвечивается абсолютно левый IP, не имеющий к тебе никакого отношения. Все твои перемещения становится невозможно отследить, как и то, что ты делал. И перехват твоего трафика тоже становится совершенно бесполезным.

Это в теории. На практике иногда не всё так радужно. Но обо всех возможных проблемах поговорим чуть позже. Тебе ведь уже надоело длинное и занудное вступление, правда? Не терпится поскорее поставить и попробовать это чудо? Ну что ж, поехали!

Начнём использовать Tor?

Tor - достаточно сложное в плане установки и настройки приспособление. И во времена не столь стародавние подключение к ней обычного «чайника» становилось задачей отнюдь не тривиальной. Однако сегодня всё гораздо проще. Умные и добрые люди взяли все необходимые модули, собрали их в согласованную кучку, настроили всё как надо и запихали это в единый пакет. Пакет этот называется . И после скачивания вся возня с ним сводится к обычной распаковке и последующему топтанию кнопки «Хочу Tor!». И Tor появляется.

Разумеется, компьютерные гики и те, кому нечем заняться либо хочется потешить своё ЧСВ, как и прежде могут скачать все нужные модули по отдельности и грызть многостраничную техническую «камасутру», пытаясь связать всё это в единое целое, и хоть как-то настроить и запустить полученную конструкцию. Пожелаем им удачи, а сами займёмся более благодарным делом.

Советую на этой вкладке обратить внимание на ссылку «Проверка интернет-настроек Tor ». Щелчок по ней поможет тебе окончательно убедиться, что ты на самом деле теперь в анонимной сети. Кстати, там же есть и линк на краткое руководство.

Итак, ты теперь невидим. Однако, пока у тебя голова окончательно не закружилась от анонимности и мнимой безнаказанности, поспешу слегка испортить тебе настроение. Просто так, исключительно из личной вредности.

Я просто обязан рассказать тебе о некоторых «подводных камнях» сети Tor, чтобы в поисках приключений на свои «нижние полушария» ты не ушиб их об эти камни.

Немногоо безопасности в Tor

Итак, от чего Tor не сможет защитить. Tor не сможет защитить человека от собственной глупости. Если у человека в шейном наросте вместо мозгов одни опилки, либо он целенаправленно ищет себе проблемы, то эти проблемы он найдёт обязательно. И никакой Tor тут не поможет. Учись пользоваться мозгом и соблюдать элементарную осторожность. Ещё Tor не сможет защитить тебя от болтливых программ на твоём компьютере. Любой плагин или дополнение в браузере может в один момент всю твою анонимность «помножить на ноль». Да и сам браузер...

Именно поэтому в рассматриваемом нами пакете и используется специально допиленная версия Огнелиса. Кстати, о том, что и сама Windows представляет из себя один громадный троян и спайварь, кому-то ещё напоминать надо? (Линуксоиды тут могут вздохнуть свободно - их подобные детские проблемы «форточек» не волнуют ни разу ). Ещё Tor не сможет защитить тебя от вирусов и хакеров. Ну не предназначен он для этого! Заведи себе нормальный антивирус и фаервол, правильно настрой их и научись пользоваться - и спи себе спокойно.

Основные проблемы анонимной сети Tor

Ладно, заканчиваю лирическое отступление и перехожу непосредственно к проблемам самой сети Tor. Первое, что бросается в глаза - это скорость. Скорость загрузки страниц. Хотя слова «скорость» и «бросается» здесь явно неуместны. Страницы загружается намного медленнее, чем обычно. Это плата за анонимность. Запрошенная тобой страница перед тем, как попасть к тебе в браузер, долгое время болтается между серверами по всему миру. Следует, однако, признать, что ситуация сейчас много лучше, чем пару-тройку лет назад, и с такой скорость вполне уже можно жить. Если чуть привыкнуть. Не смотря ни на что, сеть развивается и крепнет.

Спецслужбы

Ещё одной - и, пожалуй, главной - проблемой сети Tor являются спецслужбы. Они никак не могут смириться с тем, что толпы юзеров свободно и бесконтрольно бродят по сети без их «всевидящего ока». И постоянно предпринимают всевозможные попытки изменить ситуацию. Попытки самые разные, вплоть до откровенно криминальных. До вирусных, хакерских атак и взломов, целенаправленного заражения софта и серверов троянами. Хоть и нечасто, но иногда их усилия заканчиваются успешно для них, И из «луковой» сети выпадают целые сегменты, а к кому-то из самых несчастливых (или самых глупых, либо самых наглых) выезжает «пативэн». Но ты ведь не собираешься заниматься в Tor-е чем-то криминальным, правда? Это всё к тому, чтобы ты не расслаблялся слишком уж откровенно и постоянно помнил, что Tor - не панацея, и любая анонимность относительна. А если уж решил играть в азартные игры с государством, то вопрос твоей поимки - лишь вопрос времени.

Чиновники

Кроме спецслужб, представляющих интересы государств, часто проблему для анонимной сети Tor представляют и чиновники от государства. Желание «держать и не пущать» в людях, дорвавшихся до власти, неистребимо. Изредка по отношению к некоторым вещам это желание вполне оправдано и справедливо, однако чаще всего - нет. И толика свободы, даруемая Tor-ом, действует на них как красная тряпка. В некоторых странах сеть Tor уже запрещена. Законодательно. Была такая попытка и в России. Пока лишь в варианте проекта. Станет ли этот проект законом и когда, мне неизвестно. На данный момент сеть Tor в России работает без ограничений. Запретят - найдётся вместо неё что-то ещё. Не буду тут выкладывать дословно народную мудрость на этот счёт, а скажу чуток помягче и обтекаемее: «На каждое действие найдётся своё противодействие».

Хакеры

Ещё одной напастью для Tor-а бывают хакеры. Некоторые из них идейные. а некоторые просто обкуренные до*** (пардон за непарламентское выражение). Периодически, чаще всего во время весеннего или осеннего обострения они устраивают «крестовые походы», пытаясь «очистить мир от скверны». При этом мнение самого мира их абсолютно не волнует. Им кажется, что они вправе решать за всех. Не так давно устраивался «поход» против, скажем так, нетрадиционного порно, в сети Tor. Дело в данном случае вполне богоугодное. Однако, вместе с порно была выпилена и куча абсолютно белых сайтов. Просто так, мимоходом. Да и кто сказал, что в следующий раз они ограничатся только этим? Так что знай, если твой любимый «луковый» сайт вдруг перестал открываться, то вполне возможно, что это действия одного из этих с воспалёнными мозгами.

Заражённые файлы

К хакерам вплотную примыкает проблема с заражёнными файлами самого Tor Browser-а. И здесь частенько проглядывают уши различных спецслужб, пытающихся вместо анонимной сети подсадить тебе своего трояна. Например, в App Store до сих пор предлагают скачать заражённый Tor Browser. Причём, администрация App Store извещалась об этом неоднократно ещё осенью. Однако, троян по-прежнему всё ещё там. Странная ситуация и странная медлительность. Правда, вся странность мигом пропадает, когда вспоминаешь, что нежная и трепетная дружба между корпорацией Apple и АНБ США крепнет день ото дня. Так что качай файлы самого Tor-а исключительно с официального сайта, либо - наш движок, фактически, тоже выдаст тебе файл напрямую с официального сайта.

Мелкие недостатки Tor

С обзором более-менее серьёзных проблем сети Tor покончено. Перейдём к мелким неприятностям. Про периодически пропадающие сайты я уже говорил. Теперь о русских сайтах в этой анонимной сети. Их мало. Но они уже есть, и их становится всё больше. И даже на многих иноговорящих форумах появляются разделы для русских. Так что где побродить и с кем там пообщаться ты найдёшь. Однако, основным языком в сети Tor пока ещё остаётся английский, и всё самое вкусное в этой сети на буржуйском. Хотя к твоим услугам всегда всевозможные словари и .

Далее. Следует помнить, что сеть Tor принципиально никем не модерируется и никем не контролируется. Иногда кое-какой контроль встречается на отдельных сайтах, когда их владельцы устанавливают правила для своих посетителей. Но не более. Поэтому ты вполне можешь наткнуться на вещи, которые тебя шокируют. Будь к этому готов. Также в этой сети встречаются различные отморозки, откровенные шизоиды, маньяки и прочие уроды. Их полно и в «большом» инете, но в анонимной сети они чувствуют себя комфортнее и особо не стесняются. Их процент гораздо меньше, чем об этом нам пытаются вещать чиновники от власти, но они есть. И если у тебя имеются несовершеннолетние дети, я рекомендую оградить их от Tor-а.

И вообще, я настоятельно требую оградить Интернет от детей! Интернету это пойдёт только на пользу. Он от этого станет гораздо безопаснее.

Ну вот, в общем-то все страшилки рассказал. Напомню лишь про вирусы, от которых Tor тебя не защитит - предохраняйся сам. Ну и про анонимность ещё раз - стопроцентной она никогда не бывает, чаще используй своё серое вещество.

А на десерт небольшой список «луковых» сайтов, так сказать, для разгона.

Вкусности и бонусы - маленький список «луковых» сайтов

Кстати, если ты ещё не понял, то в Tor Browser можно открывать как обычные сайты «большого» Интернета, обходя некоторые неудобства, так и особые сайты анонимной «луковой» сети. Эти сайты находятся в специальной псевдодоменной зоне .onion (внимательно смотри на адрес). Из обычного инета они не открываются. Вообще. Только из запущенного и подключенного к сети Tor Browser-а.

• Tor Wiki (http://torwikignoueupfm.onion/) - Каталог Tor-ссылок.
• The Hidden Wiki (http://kpvz7ki2v5agwt35.onion/wiki/index.php/Main_Page) - первый сайт, куда должен заглянуть каждый новый юзер сети Tor. Содержит ссылки почти на все ресурсы «луковой» сети. Часто недоступен из-за огромного наплыва посетителей.
• The Uncensored Hidden Wiki (http://zqktlwi4fecvo6ri.onion/wiki/index.php/Main_Page) - зеркало The Hidden Wiki. Модерация минимальна.
• TORDIR (http://dppmfxaacucguzpc.onion/) - большой каталог «луковых» сайтов.
• Tor Search (http://kbhpodhnfxl3clb4.onion/), Torgle (http://zw3crggtadila2sg.onion/torgle), TORCH (http://xmh57jrzrnw6insl.onion/) и The Abyss (http://nstmo7lvh4l32epo.onion/) - поисковики по сети Tor, хоть один из них, да работает.
• Флибуста (http://flibustahezeous3.onion/) - зеркало знаменитой библиотеки в «луковой» сети (язык RU).
• OnionNet (http://onionnetrtpkrc4f.onion/) - IRC сеть. Основной язык общения - английский. Разные каналы для обсуждения, вплоть до нелегала. Дополнительные сервера: ftwircdwyhghzw4i.onion, renko743grixe7ob.onion, nissehqau52b5kuo.onion.
• vTOR“e (http://da36c4h6gxbckn32.onion/) - социальная сеть. клубы по интересам, блоги, форум.
• RAMP (http://ramp2bombkadwvgz.onion/) - крупнейшая на сегодня торговая площадка в русскоязычном сегменте сети Tor. В последнее время очень много нареканий на действия администрации и участившиеся случаи кидалова. (Так что не щёлкай клювом и держи глаза и уши открытыми) При этом самый большой выбор во всей сети. И самые высокие цены.
• RUForum (http://ruforumqewhlrqvi.onion/) - русскоязычный форум с общением и продажей всего, чего нельзя. С недавнего времени закрыт для посторонних. Регистрация платная - 10$.
• Amberoad (http://amberoadychffmyw.onion/) - одна из крупнейших площадок теневой торговли.
• Assassination Market (http://assmkedzgorodn7o.onion/) - тотализатор на угадывании даты смерти всяких нехороших людей. Любой желающий может внести человека в список или повысить ставку по уже существующим позициям. В данный момент лидируют Барак Обама и Бен Бернанке.
• Hack IT (http://tuwrg72tjmay47uv.onion/) - живой сервис по найму хакеров.
• WikiLeaks (http://zbnnr7qzaxlk5tms.onion/) - надеюсь, не надо объяснять, что это такое? Зеркало в «луковой» сети (ENG).
• Онион-Портал (http://ximqy45aat273ha5.onion/) - гид по «луковой» сети (RU).
• http://k4bmdpobhqdguh2y.onion/ - блог о новых скрытых сервисах сети (ENG).
• Лукочан (http://562tqunvqdece76h.onion/Lukochan/) - крупная борда (ENG, RU).
• Silk Road (http://silkroadvb5piz3r.onion) - ещё одна крупная анонимная торговая площадка (ENG).
• Keys open doors (http://wdnqg3ehh3hvalpe.onion/) - сайт о взломе игровых консолей и всевозможных гаджетов (ENG).
• http://n2wrix623bp7vvdc.onion/hackingservices.html - ресурс о взломе социальных сетей и т.п. (ENG).

Всяческие политико-революционно-партизанские ресурсы здесь не привожу намеренно. Кому надо, сам найдёт.

Многие современные домашние роутеры по сути представляют собой мини-компьютер - у которого разве что нет монитора и мыши/клавиатуры. Впрочем, учитывая назначение этих самых железяк, последнее - вовсе не проблема.

Как правило, в базовой прошивке роутер умеет раздавать интернет на один или несколько LAN-портов, а также обслуживать собственную беспроводную сеть. Более продвинутые модели зачастую включают один или несколько портов USB, куда можно подключить, например, принтер или флэшку с файлами.

Однако всё богатство возможностей этого железа открывается при использовании открытых прошивок. Для новичков - dd-wrt, для более продвинутых - серия open-wrt и прочие wrt-based.
В настоящей статье речь пойдёт о настройке анонимизированной wifi-точки на базе роутера Asus RT-N16 с прошивкой dd-wrt и optware.

Изначальная идея не нова - она давно витает в воздухе, и одна из реализаций даже как-то анонсировалась на Хабре. Тем не менее, что касается деталей - то их, как правило, не найти. В рядовых «how-to» я этого не нашёл, а явно знающим гуру, видимо, не до написания подобных инструкций. Поэтому пришлось во всём разбираться самому. Ну и заодно фиксировать сделанное - на будущее.

Итак, имеем роутер с прошитым dd-wrt. У этой специфической модели, увы, нет поддержки Open-wrt (или, по крайней мере, не было на тот момент, когда это потребовалось. Сейчас уже появилась бета, но она пока что не претендует на стабильность).

Что потребуется ещё? Если ограничиться только лишь tor, то, возможно, ничего. Можно обойтись без всего optware и даже без внешней флэшки. Нужно лишь найти, куда упихать в роутер около 1,5Мб бинарника. Я, тем не менее, поднимал у себя не только лишь точку доступа, а полноценный домашний сервер, основной задачей которого было поддерживать сеть (основные службы - DNS, DHCP), раздавать интернет, содержать небольшую (гигабайт этак на 500) файлопомойку с доступом по NFS (ну, звиняйте. Windows не использую, поэтому SAMBA не нужна), самостоятельно пополнять эту файлопомойку свежими торрентами, хостить несколько веб-морд для разных поделок (весь фарш: - lighttpd, php, mysql и даже sphinx), служить failsafe-сервером для загрузки Ubuntu по сети (чтобы при надобности в «мёртвое тело» вставлять не флэшку с образом, а сетевой кабель). И, видимо, всё (а может и забыл чего). Для того, чтобы внешне всё было красиво и с минимумом проводов - жёсткий диск на 640гб для всего задуманного был помещён прямо внутрь роутера, и свободного места тем самым существенно прибавилось. А tor на роутере ставился, скорее, из любопытства. Однако - прижился и стабильно работает.

Для установки и настройки необходим доступ к роутеру через telnet или (что гораздо безопаснее) через ssh. Доступ можно устроить (или подсмотреть) в веб-интерфейсе dd-wrt.
Сперва устанавливаем tor:

Root@DD-WRT:~# ipkg install tor

Затем правим его конфиг. В случае с optware он располагается в /opt/etc/torrc. Опять же, замечу, что путь к конфигу по умолчанию вовсе не является обязательным. Программу всегда можно запустить с другим файлом конфигурации, но его придётся явно указывать в опциях запуска. В этом плане путь по умолчанию всё же проще, покуда делает запуск программы более лаконичным.

Конфиг по умолчанию хорошо прокомментирован, и основную настройку можно произвести, просто читая эти комментарии, без всяких сторонних руководств. В моём случае роутер обслуживает домашнюю сеть 192.168.1.0/24. В ней я решил сделать классический tor с доступом как через прокси socks5 на порту 9100. Помимо этого я решил сделать анонимизированную точку доступа, которая пустит пользователей в сеть 192.168.2.0/24, где вся связь с внешним миром будет лишь через tor (прозрачный прокси), либо просто обрублена. Иными словами - мы имеем wifi-точку, подключившись к которой мы никак не попадём ни к соседям из той же сети (192.168.2.0/24), ни в мою домашнюю сеть (192.168.1.0/24), ни на локальные сервисы роутера. А можем попасть только в интернет, причём только анонимным образом (через tor).

Для этого в конфиге прописаны следующие локальные параметры:
Для домашней сети:

SockListenAddress 192.168.1.5:9100

По сути это означает, что для того, чтобы попасть анонимно в интернет я должен настроить браузер на подключение через socks5-прокси с указанным адресом (это внутренний адрес роутера).

Для анонимной сети:

TransPort 9040
TransListenAddress 192.168.2.1
DNSPort 9053
DNSListenAddress 192.168.2.1

В анонимной сети клиенты никуда подключаться не будут, а указанные порты и адрес нужны лишь для настройки правил iptables.

Помимо этих настроек также имеет смысл назначить адрес виртуальной сети:

VirtualAddrNetwork 10.192.0.0/10

Этот адрес необходим в случае перехода по внутренним анонимным сервисам (т.н. "hidden service") тор-сети. Это адреса сайтов, располагающиеся в домене.onion. Такого домена в реальной жизни нет; однако будучи в tor, их собственный DNS распознаёт такие адреса и выводит вас к нужному ресурсу, спрятанному где-то в глубине сети. При этом фактический ip-адрес такого сайта скрыт, и узнать его невозможно. В этом случае для программ, которые сперва разрешают адрес узла через DNS, а потом подключаются к полученному ip-адресу, tor-демон создаёт временный адрес из указанной маски виртуальной сети. Иными словами, при попытке подключиться к какому-нибудь узлу superpuper.onion он «разрешится» в адрес, например, 10.192.0.1. И программа, подключаясь к этому адресу, будет через «луковые слои» tor-шифрования достигать нужного ресурса.

Что касается настройки «публичной» части конфига - там всё, согласно комментариям в самом файле.
В результате этих настроек мы получим демона, который
1) является proxy-socks с адресом 192.168.1.5:9100
2) является прозрачным proxy с адресом 192.168.2.1, причём помимо tcp-трафика умеет обрабатывать DNS-запросы.

С локальным socks-прокси всё ясно. Просто настраиваем любой браузер в домашней сети на выход в интернет через указанный прокси - и всё работает.

Ничуть не сложнее доступ с удалённой машины (у нас же есть ssh-консоль на роутер - значит, ничего не мешает просто пробросить порт:

Ssh -L localhost:9100:192.168.1.5:9100 homerouter

И после этого на той машине заработает Socks5 по адресу localhost:9100.

Теперь настраиваем точку доступа.

Для этого в gui dd-wrt заходим во вкладку wireless и там добавляем виртуальный интерфейс. Имя придумайте сами (я назвал бесхитростно: tor_network). Конфигурация сети - unbridged (т.е. точка не имеет связи с другими интерфейсами и как бы образует свой собственный замкнутый мирок). Запрещаем там же маскарадинг и мультикаст и назначаем адрес сети: 192.168.2.1/255.255.255.0. Затем на вкладке wireless security настраиваем, если нужно, доступ к точке. Я в своём случае поставил «disabled», т.е. создал открытую точку.

Таким образом у нас на роутере работают одновременно две разные сети: домашняя (защищённая WPA2) и вновь созданная tor_network, которая изначально открыта. Впрочем, это не даёт никому никаких привилегий, поскольку подключившись к этой открытой сети мы никуда не попадём:)

Двигаемся дальше. На вкладке Setup/Networking ищем в самом низу раздел DHCPD и добавляем запись для интерфейса wl0.1 (это, собственно, и есть железячное имя нового виртуального wifi-интерфейса), чтобы он назначал адреса из подсети 192.168.2.0/24. Скажем, 50 адресов начиная со 100 вполне хватит.

Теперь подключаясь к нашей открытой точке мы получим внутренний ip-адрес.
Осталось лишь подключить эту точку к прозрачному tor.
Это делается с помощью iptables:

CRNET="192.168.2.0/24"
TORCMD="iptables -t nat -A PREROUTING -i wl0.1"
TORPORT="9040"
TORDNS="9053"

# transparent tor for tor_network wireless
$TORCMD -p udp --dport 53 -j REDIRECT --to-ports $TORDNS
$TORCMD -p udp --dport 67 -j RETURN
$TORCMD -d $CRNET -j DROP
$TORCMD -p tcp --syn -j REDIRECT --to-ports $TORPORT
$TORCMD -j DROP

Что делаем?
1. Редиректим весь udp-трафик на 53-й порт (dns) на порт нашего демона.
2. Пропускаем спокойно весь udp-трафик на 67-й порт (там висит dhcp)
3. Весь остальной трафик во внутреннюю открытую сеть, откуда бы он ни был, отсекаем.
4. Редиректим весь tcp-трафик на порт прозрачного прокси нашего демона.
5. Весь остальной трафик открытой сети отсекаем.

Этот скрипт можно вставить в Administration/commands и сохранить как firewall-скрипт.

Проверяем работу: подключаемся к точке tor_network и открываем адрес

Вообще мне это напоминает операционную систему Whonix . Для того чтобы собрать роутер нам понадобятся:

1. платa Raspbeery pi Model B или новее
2. sd карта 4Гб минимум
3. провод microUSB (для питания от разетки или usb порта)
4. wi-fi адаптер (я изспользовал d-link dwa 125 и именно под него буду устанавливать драйвера, если у вас другой адаптер то google.com в помощь
5. 3G модем (в моем случае Билайн ZTE MF 180)
6. сетевой кабель для подключения к домашнему роутеру

Глава 1. Подготовка

1. Первое что нами нужно сделать это скачать образ raspbian c сайта (raspberrypi.org/downloads/raspbian/ )
2. После того как скачали образ вставляем нашу sd карту в кардридер и с помощью Win32DiskImager записываем его на карту. Ну вот, мы готовы к первому запуску.
3. Будем подключаться по SSH. Для этого подключаем Raspberry pi с помощью сетевого кабеля к роутеру, тем самым мы получим ip по DHCP. Чтобы узнать ip нужно скачать и запустить IpScan. Скачали, запустили, видим нашу raspberry, копируем ip и подключаемся с помощью Putty. По умолчанию логин pi, пароль raspberry.
4. Как только подключились первым делом нужно выполнить команду

   Sudo raspi-config
   далее Expand file system (увеличение памяти на всю карту). Далее в главном меню
   выбираем internationalisation options далее change locale и выбираем нужный нам язык (я ставил ru UTF 8),выходим из меню и перезагружаемся

   Sudo reboot
   .

5. Далее нам нужно определяем версию ядра и переписываем (в моем случае 3.12.28+ # 709) для правильного подбора драйверов командой,
6. Когда версия ядра известна далее нужно подобрать драйвера по версии ядра для wi fi адаптера на сайте fars-robotics.net/ . Ищем в списке нужную нам версию. P.S. Тут есть один нюанс, если скачивать отсюда то там в архиве почему то нет и файла rtl8188eufw.bin , его нужно будет скачать отдельно и положить в папку командой
7. Далее распаковываем

   Sudo unzip 0001-RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911.zip

8. cd RTL8188C_8192C_USB_linux_v4.0.2_9000.20130911
9. далее
10. далее

    Cd wpa_supplicant_hostapd-0.8_rtw_r7475.20130812

11. далее
12. далее
13. далее

    Sudo make install

14. sudo mv hostapd /usr/sbin/hostapd
15. sudo chown root.root /usr/sbin/hostapd
16. sudo chmod 755 /usr/sbin/hostapd

Когда с hostapd всё готово то идем дальше.
Будем устанавливать DHCP server:

Sudo nano /etc/dhcp/dhcpd.conf
, в файле находим строки

Option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;
нам нужно закомментироватьих поставив # перед ними чтобы получилось

#option domain-name "example.org";
#option domain-name-servers ns1.example.org, ns2.example.org;
далее находим ниже строки

#authoritative;
и убираем # чтобы получилось

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;
далее прокручиваем файл в самый конец вниз и добавляем в самом конце оставив пробел в одну строку между кодом и последней строкой (это важно, т.к. просто не будет работать ничего)

Subnet 192.168.42.0 netmask 255.255.255.0 {
range 192.168.42.10 192.168.42.50;
option broadcast-address 192.168.42.255;
option routers 192.168.42.1;
default-lease-time 600;
max-lease-time 7200;
option domain-name "local";
option domain-name-servers 8.8.8.8, 8.8.4.4;
}
Затем сохраняем изменения нажав ctrl+x , затем y для потдверждения.

Теперь нам нужно запустить наш сервер командой

Sudo nano /etc/default/isc-dhcp-server
и в самом низу в строчке

INTERFACES=""
вписать wlan0 , чтобы получилось

INTERFACES="wlan0"
сохраняем изменения нажав ctrl+x , затем y для потдверждения.

Теперь нам нужно сделать ip адрес статическим
Для это сначала отключаем wlan0 командой

...
удаляем весь текст и приводим к такому виду копируя и вставляя весь выделенный ниже текст:

Iface lo inet loopback
iface eth0 inet dhcp

Allow-hotplug wlan0

Iface wlan0 inet static
address 192.168.42.1
netmask 255.255.255.0

#iface wlan0 inet manual
#wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
#iface default inet dhcp
ctrl+x , затем y для подтверждения.

Sudo ifconfig wlan0 192.168.42.1
.

Теперь нужно собрать свою точку доступа. Мы будем делать защищенную сеть, доступ к которой будет по паролю. Хотя в принципе вы можете сделать и открытую сеть.
Вводим команду

Sudo nano /etc/hostapd/hostapd.conf

И редактируем: нужно вставить текст написанный ниже:

Interface=wlan0
driver=rtl871xdrv
ssid=Pi_AP
hw_mode=g
channel=6
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=Raspberry
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP
Далее

Sudo nano /etc/default/hostapd
там ищем строку

#DAEMON_CONF=""

Должно получиться (не забываем убрать перед строкой # ) .

DAEMON_CONF="/etc/hostapd/hostapd.conf"
.

Sudo nano /etc/sysctl.conf
, спускаемся в самый низ текста и в новой строке вставляем

Net.ipv4.ip_forward=1
Сохраняем файл и выходим нажав ctrl+x , затем y для подтверждения.
Далее пишем

Sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

Sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
Потом настраиваем автозапуск вместе с системой введя команду

Sudo sh -c "iptables-save > /etc/iptables.ipv4.nat"
Далее пишем

Sudo nano /etc/network/interfaces
и добавляем в конец всего текста

Up iptables-restore < /etc/iptables.ipv4.nat
чтобы между вставленным текстом и текстом выше был пустая строка. Сохраняем файл и выходим нажав ctrl+x , затем y для подтверждения.
Далее скачиваем hostapd c сайта adafruit

Sudo wget http://adafruit-download.s3.amazonaws.com/adafruit_hostapd_14128.zip
Далее распаковываем

Sudo unzip adafruit_hostapd_14128.zip
Потом пишем

Sudo mv /usr/sbin/hostapd /usr/sbin/hostapd.ORIG
Затем

Sudo mv hostapd /usr/sbin
Потом

Sudo /usr/sbin/hostapd /etc/hostapd/hostapd.conf
После этой команды наша точка доступа будет видна. Вы можете попробовать подключиться к ней, но интернета пока нету.
Далее для запуска точки доступа при загрузке вводим

Sudo service hostapd start
sudo service isc-dhcp-server start
sudo update-rc.d hostapd enable
sudo update-rc.d isc-dhcp-server enable
Теперь убираем следы изменения

Sudo mv /usr/share/dbus-1/system-services/fi.epitest.hostap.WPASupplicant.service ~/
Теперь подключимся к нашей точке доступа с другого ноутбука, а в командной строке Raspberry пишем

Tail -f /var/log/syslog
тем самым мы сможем проверить подключение к нашей точке доступа. Подключаемся, всё работает, но интернета пока нет.. Теперь переходим к следующей главе.

Глава 3. Установка и настройка TOR
Обновляемся командой

Sudo apt-get update
Скачиваем и устанавливаем TOR

Sudo apt-get install tor
нажимаем Y для подтверждения
Далее будем настраивать файл torrc , вводим

Sudo nano /etc/tor/torrc
И редактируем вставив выделенный текст между строками как на скрине s019.radikal.ru/i620/1602/f8/d7682b0ac753.png

Log notice file /var/log/tor/notices.log
VirtualAddrNetwork 10.192.0.0/10
AutomapHostsSuffixes .onion,.exit
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress 192.168.42.1
DNSPort 53
DNSListenAddress 192.168.42.1
Сохраняем файл и выходим нажав ctrl+x , затем y для подтверждения.
Далее очистим Iptables

Sudo iptables –F
sudo iptables -t nat –F
далее оставим доступ по ssh

Sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 22 -j REDIRECT --to-ports 22
Затем пустим udp пакеты на 53 порт

Sudo iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j REDIRECT --to-ports 53
Затем пустим tcp пакеты на торовский порт 9040

Sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn -j REDIRECT --to-ports 9040
Проверяем что ip tables настроились правильно

Sudo iptables -t nat –L

И после пишем команду

Sudo sh -c "iptables-save > /etc/iptables.ipv4.nat"
.
Далее пишем по очереди три команды ниже

Sudo touch /var/log/tor/notices.log
sudo chown debian-tor /var/log/tor/notices.log
sudo chmod 644 /var/log/tor/notices.log
Проверяем командой

Ls -l /var/log/tor
Запускаем Тор вручную командой

Sudo service tor start
Проверяем вводом команды

Sudo service tor status
Ставим Тор на автозапуск при старте системы

Sudo update-rc.d tor enable
Далее проверяем подключившись нашему роутеру с ноутбука. Если всё сделали правильно то в результате подключившись мы получим TOR ip . Если нет то проверяем еще раз каждый пункт, т. к. если где то есть пропущенный пробел между строками то он не даст работать всей системе в целом. Как настроить 3g модем напишу на днях, уже сил нет писать, засыпаю на ходу.
Спасибо за внимание, надеюсь моя статья окажется полезной. Буду рад услышать от вас вопросы, предложения, замечания.

Мы уже писали что использовать TOR не есть хорошо но пользователи все равно спрашивают как его лучше настроить. Исходя из таких просьб я решил выложить статью как установить и настроить TOR на роутер. Для этого необходимо купить любой роутер на который можно установить OpenWRT, многие роутеры серии TP-Link, которые имеют свободное место в памяти, позволяют это сделать. Сам много писать не люблю поэтому сделаю копипаст))

Установка TOR на OpenWRT

Для установки tor на OpenWrt достаточно выполнить

Opkg install tor

Если вы собираете пакеты для себя вручную, либо хотите встроить этот пакет прямо в прошивку то на этапе конфигурации прошивки OpenWRT нужно выбрать:

Network ---> tor

Для сборки в виде пакета, или

Network ---> <*> tor

Для того чтобы встроить пакет прямо в прошивку.

Несколько подводных камней, которые могут возникнуть после инсталляции пакета.

1. Обязательно настройте и синхронизируйте время чеpез ntp. Tor использует системное время для каких то своих действий. Неправильная дата может привести к проблемам при старте tor или к его не корректной работе.

2. При установке tor должен создать пользователя tor и группу tor. При создании группы инсталлятор у меня допустил ошибку и в файле /etc/group не поставил перенос строки для группы tor. Скорее всего это у меня единичный баг, однако будьте внимательны.

3. Проверьте все права на файлы необходимые tor они должны иметь маску 755 и принадлежать tor:tor
Настройка TOR.

Открываем конфигурационный файл /etc/tor/torrc и правим:

1. Если вы хотите чтобы все компьютеры которые подключены к роутеру (неважно по кабелю или wifi) имели возможность получить доступ к TOR через SOCKS proxy необходимо раскоментировать и проправить строку:

SocksListenAddress 192.168.120.1:9100 # listen on this IPort also

Где 192.168.120.1 – ip адрес вашего роутера для локальной сети, а 9100 – порт на котором будет socks сервер для сети tor.

2. Опциями SocksPolicy можно явно указать какие ip адреса будут иметь (или не иметь) доступ к socks серверу. В файле конфигурации эти опции закомментированы – рекомендую их раскомментировать и настроить под себя.

3. Если по каким то причинам tor не стартует воспользуетсь опцией Log для выяснения проблемы.

Собственно больше никаких настроек не нужно, и можно запускать tor.
Запуск Tor

Запускаем тор следующей командой:

/etc/init.d/tor start

Если tor уже запущен либо при старте возникают ошибки вида:

Could not bind to 127.0.0.1:9050: Address already in use. Is Tor already running?

Необходимо остановить tor:

И запустить его заново как написано выше.

Если лог включен, то признаком успешного запуска и подключения к сети tor будет строка:

Feb 21 19:12:17.034 Tor has successfully opened a circuit. Looks like client functionality is working.
Feb 21 19:12:17.035 Bootstrapped 100%: Done.

Однако есть ряд программ которые не умеют работать с socks протоколом. Эту проблему можно решить средствами самого tor + iptables. Для этого необходимо включить в tor режим прозрачного проксирования. В таком случае на подключенных к роутеру машинах вообще никаких настроек делать не нужно. Весь трафик будет сразу проходить через tor.
Использование прозрачного прокси в Tor

Для этого в конфигурационном файле /etc/tor/torrc правим:

AutomapHostsOnResolve 1
TransPort 9040
DNSPort 53

Тем самым прозрачный прокси будет слушать порт 9040.

Перезапускаем tor:

Killall -9 tor
/etc/init.d/tor start

Настройка iptables

Далее необходимо весь трафик завернуть на этот порт. Для этого необходимо использовать iptables с опцией REDIRECT –to-port. Для использования этой опции необходимо дополнительно собрать и установить пакет iptables-mod-nat-extra. В противном случае вы получите ошибку вида:

Iptables v1.4.6: unknown option `--to-ports"

Установить пакет можно тривиально выполнив

Opkg install kmod-ipt-nat-extra

А можно собрать в своем репозитории или включить этот пакет сразу в прошивку. В конфигураторе OpenWrt этот пакет находится в

-> Network
-> iptables
iptables-mod-nat-extra

После установки пакета необходимо “завернуть” трафик на прозрачный прокси сервер:

Iptables -t nat -A PREROUTING -p tcp -d ! 192.168.120.1 --dport 80 -j REDIRECT --to-ports 9040

Что означает – перебрасывать весь трафик идущий на 80-й порт (и не адресованый для 192.168.120.1) на порт 9040, на котором как раз и находится прозрачный прокси.

Тоже делаем и для dns запросов:

Iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53

Остальной udp трафик прийдется либо пропускать без анонимизации, либо резать.

Собственно все. Весь трафик приходящий на роутер будет перенаправлен в сеть tor без каких – либо настроек компьютеров в вашей локальной сети! Все ваши действия в сети будут анонимны.