SBC+VPN+Tor+obfsproxy в кармане

[Vindicar]

Решение интересное, но что-то не пойму — если вы позиционируете его как портативное, то как вы собираетесь переконфигурировать плату на лету, например, чтобы подцепиться к новому вай-фаю?

[Revery]

Доступно подключение по ssh. Я захожу с ssh-клиента на телефоне, если схемы «wlan-eth» или «wlan-wlan».
Также есть различные веб-формы для администрирования Linux, но я пока не пробовал их использовать, поэтому не могу сказать насколько они удобны для этого.

[lolipop]

проще купить за 14$(включая доставку) китайский роутер, который умеет то же самое(и местами даже лучше)
например, такой:

[aveselov]

А где реф ссылка?

[ionicman]

подробно
первый встретившийся лот на али, ревизию не проверял

Обратите внимание на ревизию в статье на mysku, только такую можно брать.

[lolipop]

регнулись 2 года назад и всё это время молчали, чтобы сейчас спросить это?

[aveselov]

ну я 2 года назад узнал что тут можно регнутся, а комменты тогда нельзя было оставлять

[Revery]

Возможно, мне стоило уточнить, что моё решение и не позиционируется как наилучшее из возможных. Скорее как одно из возможных решений, которое можно перенести на другие платформы (ведь описанная настройка вполне может быть осуществлена на другой платформе, главное, чтобы там был linux и нужные пакеты) и которое можно улучшить, а те у кого уже есть подобные платы могли бы перенастроить её без покупки ещё одного устройства.
Как мне кажется, при использовании упомянутой связки и более-менее активном потоке трафика у этой платы будут ещё большие проседания по производительности, чем с платами типа Raspberry Pi, Banana Pi и прочих (судя по характеристикам).

[chelaxe]

он умеет OpenWRT… а дальше ручками

[rrrav]

В списке потенциальных подводных камней забыли упомянуть «пакет Яровой». Видимо все приватные ключи придется сдавать в органы (а потом они будут выложены в спаммерских базах).

[Liro]

Частное лицо не является организатором распространения информации, ни хранить свой трафик, ни выдавать ключи вы не обязаны. Более того, конечный юзер имеет полное право не знать ни о каком существовании этих ваших криптографий и ключей.

Выдавать могут обязать вашего VPN провайдера ( в случае специализированного сервиса)/TOR. Люди работают в этой сфере не первый год, а РФ не первая страна третьего мира, пытающаяся влезть в личную жизнь граждан. Процедуры мягкого игнорирования правительственных запросов и фокусов с юрисдикциями у таких организаций давно отработаны, выдавать они ничего не будут (в большинстве своем).

В случае частного VPS с поднятым шлюзом удачи им доказать, что он именно ваш и вы владеете ключами, а не дядя Вася с левого форума.

Так что не так все кошмарно. Грустно, противно от отношения к народу, как к скоту — да. Но не смертельно.

[rrrav]

А в карму-то минусовать зачем?

[rrrav]

Пока не КНДР, но стремимся. После выборов вполне могут пойти дальше и резать тор и впн в наружные сети.
Ну и по ходу хотелось бы узнать, насколько надежно обфускатор маскирует поток, или все равно провайдер имеет возможность отловить «нехороший трафик»?
Пардон, ошибся уровнем, не туда ответил…

[simpleadmin]

Привожу пример своих настроек:
/etc/hostapd/hostapd.conf

Заголовок спойлера

interface=wlan0 #Интерфейс
driver=rtl871xdrv #Используемый драйвер
ssid=AP #Название точки доступа
hw_mode=g #Стандарт работы точки доступа
channel=6 #Частотный диапазон
macaddr_acl=0 #Не использовать списки доступа
auth_algs=1 #Использовать WPA
wpa=2 #Версия протокола
wpa_passphrase=raspberry #Пароль для подключения
wpa_key_mgmt=WPA-PSK #Метод аутентификации
wpa_pairwise=TKIP #Алгоритмы работы с ключами и шифрованием
rsn_pairwise=CCMP

Почему не на 40 MHgz?

Как обстоят дела webrtc, flash утечками?

[Revery]

Не на 40 из тех соображений, что у меня вокруг довольно много других точек доступа. Не хотел, чтобы интерферировали, и вроде бы обычный hostapd не дает включить 40, если вокруг есть точки на такой же частоте.

Что касается утечек на уровне браузера или пользовательского ПО, то это уже задача за рамками данной статьи, потому что тут уже зависит от аккуратности пользователя, настроек браузера, плагинов и правильности настройки VPN сервера, поскольку это решение отвечает только за безопасный канал до VPN-сервера. Но если говорить об отрезке от выходного интерфейса платы до VPN сервера, то здесь я не заметил никаких утечек пользовательского трафика.

[simpleadmin]

Не на 40 из тех соображений, что у меня вокруг довольно много других точек доступа. Не хотел, чтобы интерферировали, и вроде бы обычный hostapd не дает включить 40, если вокруг есть точки на такой же частоте.

Да, нужно патчить hostapd, я делал зимой для 2.5, если интересно могу поискать.

[Revery]

Да. Напишите, если сможете найти.
Я добавлю в статью.

[s256]

Было бы интересно оформить подобную сборку в виде docker контейнера

[Maxlinus]

сильно не пинайте но вот я думаю тоже как вариант routerboard.com/RBmAPL-2nD плюс wiki.mikrotik.com/wiki/Use_Metarouter_to_Implement_Tor_Anonymity_Software :)

[chelaxe]

Есть у меня такой. Минус в том что нет USB и один Ethernet порт, а так железка прекрасная.

[simpleadmin]

Если не лень, сделайте тест — https://2ip.ru/privacy/
Лучше из нескольких браузеров.

Особенно интересуют:
— Утечка IP через Flash
— Утечка IP через WebRTC

Совпали ли с реальным?

[simpleadmin]

в идеале должно быть как-то так

Заголовок спойлера

[chelaxe]

А по ссылке они делают прозрачное проксирование 80 порта через TOR. Предлагая TOR поднять на виртуалке в роутере на OpenWRT. Теперь собственно вопрос: а почему не взять роутер с OpenWRT и не сделать на нем это все? Можно и Squid привязать и https прозрачно проксировать. Сделать wpad. И openwpn нормальный или даже SoftEther запустить. Для таких поделок OpenWRT самое то.

[chelaxe]

Спасибо автору за статью. Подправил некоторые моменты в своей подобной реализации.