LINUX.ORG.RU
ФорумAdmin

Почему команда `curl ifconfig.me` выполняется через TOR игнорируя VPN соединение на Whonix Workstation

 , , , ,


0

1

Поднял openvpn соединение на Whonix Workstation. В firefox показывает айпишник впн-сервера. Но если пробить его через консоль командой curl ifconfig.me, то появляется торовский айпи. Можете объяснить пожалуйста механизм? Разве не должен отображаться впновский айпи, ведь через него должен идти весь траффик системы?

И ещё вопрос: если подключаться к впну с Workstation, в логах сервера, к которому совершается подключение, будет айпи выходной ноды тор как клиента, или мой домашний айпи? Насколько я понимаю, обращение к серверу vpn производится с айпишника tor, т.к. траффик строго изолирован в Whonix, но после этой ситуации с curl ifconfig.me закралось подозрение, что при подключении к vpn траффик игнорирует прокси тора…



Последнее исправление: Tomohyeah (всего исправлений: 3)

Ответ на: комментарий от undef_lib

ну вот смотрю, не очень понимаю что к чему…

0.0.0.0/1 via 10.12.0.21 dev tun3 
default via 10.152.152.10 dev eth0 onlink 
10.12.0.1 via 10.12.0.21 dev tun3 
10.12.0.21 dev tun3 proto kernel scope link src 10.12.0.22 
10.152.128.0/18 dev eth0 proto kernel scope link src 
10.152.152.11 
128.0.0.0/1 via 10.12.0.21 dev tun3 
<ip_моего_впн> via 10.152.152.10 dev eth0

Весь траффик получается идёт через 10.12.0.21, насколько я понимаю это шлюз TOR, tun3 это сетевой интерфейс впн? И как это читать? Что траффик проходит сначала через сервера впн, а потом тор?

Что вообще следует из этого вывода? Я амёба.

Tomohyeah
() автор топика
Ответ на: комментарий от Tomohyeah

Покажи: 

nslookup ifconfig.me

Сдаётся мне что у тебя там torify или что-то подобное настроено.

А вообще конечно здорово браться за дистрибутив, заточенный на безопасность без понимания как он работает

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte 
Server:		10.152.152.10
Address:	10.152.152.10#53

Non-authoritative answer:
Name:	ifconfig.me
Address: 34.160.111.145
Name:	ifconfig.me
Address: 2600:1901:0:b2bd::

Сдаётся мне что у тебя там torify или что-то подобное настроено.

Тэк получается что curl ifconfig.me таки не должен давать в выводе айпи tor, если включен vpn, и забеспокоился не зря?

А вообще конечно здорово браться за дистрибутив, заточенный на безопасность без понимания как он работает

Не понял замечание. В топике я прямым текстом прошу объяснить механизм, и помочь разобраться в том, как он работает. Здорово конечно пытаться понять что-то, чего не понимаешь… В документацию лазил, конкретно за это объяснение не нашёл, либо не понял. Если сошлётесь на конкретный абзац/страницу, в которой объясняется механизм, определяющий через что будет ходить curl ifconfig.me и почему, буду лишь признателен :)

Tomohyeah
() автор топика
Последнее исправление: Tomohyeah (всего исправлений: 1)
Ответ на: комментарий от Tomohyeah

https://www.whonix.org/wiki/Whonix-Workstation

All user applications, such as Tor Browser, should be launched from Whonix-Workstation to ensure they utilize the Tor network, as only Tor connections are permitted.

https://www.whonix.org/wiki/Features

Most applications in Whonix can be routed to the internet over the Tor anonymity network instead of clearnet access. This process is called torification or torify

https://www.whonix.org/wiki/Protocol-Leak-Protection_and_Fingerprinting-Prote...

Whonix protects against the most dangerous leak categories outlined below, which would otherwise divulge the user's real identity (remotely or directly):

The real, external, non-Tor IP address is hidden due to the fundamental Whonix design, use of an isolated proxy, and the Whonix-Gateway Firewall.

TL;DR - твоё VPN-подключение с Whonix Workstation скорее всего тоже через tor идёт, точнее можно сказать только глянув tcpdump на участке, где трафик покидает твой десктоп. Сделано это для того чтобы что ты там не нафигачил из кастомных приложений - чтобы твой реальный IP не утёк. «Отломать» заворачивание всего в Tor там безусловно можно, гугли в сторону iproute2 policy based routing.

OpenVPN у тебя стартует из под отдельного пользователя - промаркируешь трафик и кинешь его по другому маршруту.

Можно ли это будет всё проделать? Да.
Просто ли это будет, учитывая специфику дистрибутива и упор на безопасность? Скорее всего нет.

Общий принцип по IP-адресам «кто на ком стоит» в Whonix можно почерпнуть ну например здесь

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 7)
Admin