Почему не работает браузер Тор на ПК – возможные причины

Почему не работает браузер Тор на ПК – возможные причины

Что нам нужно?

Для начала нам нужен или роутер, или сервер, работающий в качестве прозрачного моста, пропускающего через себя весь трафик. Это может быть и существующий сервер, это может быть и коробочка с Raspberry Pi. Могут подойти и обычные компактные роутеры с Linux, если на них в принципе можно поставить необходимые пакеты.

Если подходящий роутер у вас уже есть, то настраивать отдельно мост не нужно и можно сразу перейти к настройке Tor.

Если же установка Tor на ваш роутер представляет проблему, то вам понадобится любой компьютер с двумя сетевыми интерфейсами и Debian Linux на борту. Его вы в конечном счёте подключите в разрыв сети между роутером, который смотрит во внешний мир, и вашей локальной сетью.

Если не до серверов и роутеров, то возможно получить все то же самое в рамках отдельного компьютера.

А заодно поддержать проект tor без особых затрат

Я – давний поклонник сети Tor и тех возможностей, которые она предоставляет. Я предпочитаю посещение сайтов без надзора сверху, без ограничений, накладываемых некими личностями, пытающимися контролировать мою жизнь. И мне нравится наличие скрытых сервисов, хотя я практически и не пользуюсь ими, — но сам факт возможности запуска такого сервиса радует внутреннего криптоанархиста.

Поэтому у меня всегда запущен набор эксперта, который я настроил на работу промежуточным узлом – таким образом я вношу скромный вклад в поддержку сети Tor. В настройках узла можно ограничить максимальный трафик, который будет отъедаться на нужды сети.

Конечно, наивысшую приватность обеспечивает использование системы Whonix, а кому это неудобно – хотя бы ходят по сайтам через Tor Browser. Но я чту уголовный кодекс, и скрываться так сильно у меня нет причин – просто иногда хочется зайти на сайт, на который мой провайдер закрыл доступ, или же открыть сервис с доменом .onion

Поскольку запускать каждый раз для этой цели Tor Browser не очень удобно, браузерами Opera и Яндекс я не пользуюсь, а распространённые антиблокировочные решения (friGate и проч.) у меня почему-то не заработали — я разработал свою систему, позволяющую открывать как заблокированные сайты, так и скрытые сервисы.

Я использую браузер Firefox, и для работы системы нужно установить всего один плагин – FoxyProxy. Если узел Tor уже запущен и работает, то по умолчанию он будет предоставлять прокси-сервис по адресу 127.0.0.1: 9050. Используя этот прокси, можно ходить на заблокированные сайты и на домены .onion.

Чтобы прокси использовалась только в этих случаях, необходимо настроить плагин FoxyProxy. Он как раз предназначен для выборочного использования прокси-серверов на основе правил. В нашем случае правила будут простыми – включение прокси по маске домена.

В главном окне плагина нужно добавить новый прокси. В окне добавления в первой вкладке нужно лишь придумать имя (я выбрал «onion»), во второй – выбрать ручную настройку и задать ip-адрес и порт (127.0.0.1: 9050), а также отметить галочку SOCKS.В третьей мы добавим несколько правил, при соблюдении которых будет включаться эта прокси, отправляющая запросы через сеть Tor.

Для создания правила нужно придумать ему имя и маску домена. Для скрытых сайтов Tor маска выглядит как *.onion/*. После сохранения правила все сайты с доменом .onion будут открываться через прокси 127.0.0.1: 9050 – то есть, через сеть Tor.

Сейчас ищут техподдержку:  Горячая линия АвтоВАЗ (Лада), как написать в службу поддержки

Аналогичным образом добавляются и сайты, вход на которые заблокирован провайдером (пример: *lurkmore.to/*).

Больше никаких действий не потребуется – при выполнении любого из правил FoxyProxy заставляет Firefox отправлять запросы через сеть Tor. Если вам нужна качественная приватность, то лучше пользоваться браузером Tor – в нём учтено большинство дырок Firefox.

В моей сети используются ip из 10.0.0.0/8

Нет проблем! Во всех директивах выше используйте какую-то другую подсеть из предназначенных для этого, исключая зарезервированные. Серьезно, обратите внимание на резервированные.

Кроме того, не обязательно использовать сразу весь диапазон – можно ограничиться и подсетью. Например, подойдет 10.192.0.0/10.

Вот и все!

Что-то все еще непонятно? Что-то нужно исправить или что-то особенно понравилось? Напишите ниже в комментариях.

Если firefox не видит .onion

Начиная с версии 45.0 в Firefox по умолчанию блокируются запросы к .onion для защиты от случайной деанонимизации, предусмотренной RFC 7686.

Если забыть о серверах…

Окей, скажите вы, ну а что если я хочу получить все тот же удобный доступ к .onion, но без серверов – локально, на одном компьютере?

Нет проблем! В этом случае все даже проще. Хватить добавить эти три строчки в torrc:

Затем эти два правила для iptables:

И можно проверять. Доступ к заблокированным сайтам настраивается по инструкции выше.

Ложка дёгтя

Несмотря на простоту и удобство этот подход наследует часть недостатков сети Tor.

Мобильный safari и .onion

Программы под iOS, включая Safari и Chrome, в принципе игнорирует .onion при работе по такой схеме. Как исправить эту проблему в рамках такой схемы мне неизвестно.

Настроим демон tor

Установка Tor выполняется обычно. Установим также базу данных привязки к странам:

В конец файла конфигурации /etc/tor/torrc нужно дописать директивы для включения функции прокси-сервера:

Перезапустим Tor и проверим что DNS в нашей конфигурации работает на каком-нибудь известном сайте:

Последняя команда должна вывести IP из подсети 10.0.0.0/8.

При перезапуске Tor по делу ругается на использование публичного IP для TransPort и DNSPort, которые в самом деле могут быть доступны посторонним. Исправим это недоразумение, разрешив только соединения из локальной сети (в моём случае это 192.168.1.0/24):

Последние два правила можно пропустить если у вас для цепочки INPUT по умолчанию стоит правило DROP.

Настроим доступ для всей локальной сети

Чтобы все устройства в сети смогли зайти на сайты в Tor нам нужно переадресовать все запросы к выделенной сети 10.0.0.0/8 на порт встроенного прокси-сервера Tor:

Два правила для цепочек PREROUTING и OUTPUT мы добавляем чтобы схем работала не только с устройств в сети, но и с самого сервера. Если не требуется чтобы эта схема работала с самого сервера, то добавления правила в цепочку OUTPUT можно пропустить.

Настроим мост

Настройка моста в Debian проблемы не представляет. Вам понадобится программа brctl, которая есть в пакете bridge-utils:

Постоянная конфигурация для моста задаётся в /etc/network/interfaces. Если вы делаете мост из интерфейсов eth0 и eth1, то конфигурация будет выглядеть так:

Вам нужно выбрать какую-то одну конфигурацию для моста: с динамическим IP или статическим.

Обратите внимание что на этом этапе не обязательно включать сервер в разрыв сети. Можно обойтись и одним подключенным интерфейсом.

Попросим систему применить новые настройки:

Теперь можно проверить существование моста командой brctl show:

Посмотреть выданный IP адрес, и проверить вообще факт выдачи какого-то IP по DHCP или статически, можно командой ip:

Сейчас ищут техподдержку:  «Единая Россия» гонит людей на праймериз, собирая с них данные, которых хватит для получения кредита | Пикабу

Если с IP адресами всё в порядке, то уже можно попробовать включить сервер в разрыв сети…

В конце концов все устройства в вашей сети, будучи включены через сервер, должны иметь полный доступ к глобальной сети будто никакого сервера между ними и внешним роутером нет. То же касается работы DHCP и прочего. Всё это стоит проверить до перехода к настройке Tor.

Если что-то работает не так же, как раньше, или вообще не работает, стоит сначала решить проблемы, лишь потом переходить к настройке собственно Tor.

Обновляем реестр

Реестр не стоит на месте и список заблокированных сайтов пополняется. Потому вам нужно время от времени выгружать актуальный список IP и добавлять его в ipset. Лучше всего это делать не выгружая весь список целиком каждый раз, а выкачивая только изменения, например, отсюда c GitHub.

Возможно удалять и добавлять только изменившиеся в списке IP, для чего вам может пригодится git whatchanged.

Если вам подходит скрипт выше, то ему самое место в /etc/cron.daily/blacklist-update. Не забудьте дать этому файлу права на выполнение.

Открываем заблокированные сайты через tor

Получить список заблокированных адресов можно через API, любезно предоставленное проектом РосКомСвобода. Получим текущий список IP адресов и добавим их в таблицу для разблокировки, предварительно очистив ранее добавленные IP адреса:

Эта операция занимает существенное время, потому ждём спокойно. При этом сам список много памяти не займет – 30 тысяч IP адресов занимают лишь порядка 500 кб.

Проверяем доступность на первом попавшемся запрещенном сайте из списка. Например, на LinkedIn.

Отладка и решение возможных проблем

Если хочется убедиться что никакие DNS запросы к .onion не идут дальше сервера, то их отсутствие можно проверить так:

В норме эта команда, выполненная на сервере, должна показать полное отсутствие пакетов – то есть не выводить ничего, чтобы вы не делали.

Переадресация dns запросов к зоне .onion

Эту проблему можно было бы решить либо заменой DNS сервера на свой в DHCP ответах клиентам, либо, если у вас в сети не принято использовать локальный DNS сервер, перехватом всего DNS трафика. Во втором случае не нужно будет ровным счетом ничего настраивать, но все ваши клиенты, и вы в том числе, потеряете возможность делать произвольные запросы к произвольным серверам. Это очевидное неудобство.

Мы же будем переадресовать лишь DNS запросы, упоминающие домен .onion, на порт встроенного DNS сервера, оставляя все остальные запросы в покое:

Магическая строка 056f6e696f6e00 связана с особенностями передачи точки в DNS запросах: она передаётся в виде длины следующей после неё строки. Потому в начале нашей магической строки стоит 0x05 для пяти символов в слове onion. В конце строки стоит нулевой байт 0x00 потому что корневой домен (точка) имеет нулевую длину.

Такой подход позволяет ваши пользователям (и вам самим) пользоваться какими им удобно DNS серверами, а также запрашивать информацию у любых DNS серверов без посредников. Вместе с тем никакие запросы в зоне .onion не будут попадать в открытый интернет.

Теперь попробуйте достучаться до какого-нибудь популярного сайта в сети Tor с любого устройства в локальной сети. Например, так:

Теперь вы можете прочитать эту же страницу через Tor.

Провайдер подменяет ip в dns

Некоторые провайдеры из экономических соображений, вместо блокировки сайтов по IP или через DPI, лишь подменяют IP для DNS запросов по списку запрещенных сайтов.

Сейчас ищут техподдержку:  12 причин, почему реклама не работает?

Простейшим решением этой проблемы будет переход на сервера Google Public DNS. Если это не помогает, а значит ваш провайдер перенаправляет вообще весь DNS трафик на свой сервер, то можно перейти на использование Tor DNS, в свою очередь переадресовав весь трафик на него:

Проверим переадресацию

Проверим что наша схема с переадресацией в принципе работает. Для этого добавим в черный список IP сайта для проверки настройки Tor.

Теперь зайдите на сам проверочный сайт check.torproject.org и убедитесь что вас поздравляют с успешной настройкой.

Если это не так, то проверьте ещё раз что вы задали все правила для iptables. Это можно сделать такой командой:

Всего у вас должно быть шесть правил в двух цепочках PREROUTING и OUTPUT.

Случай №1: некорректные системные настройки

Нередко Тор не работает только из-за того, что на компьютере неправильно выставлены дата и время. Крайне желательно включить их автоопределение. В случае с Windows это делается следующим образом:

  1. С помощью комбинации Win R вызовите диалоговое окно «Выполнить».
  2. В текстовое поле впечатайте команду timedate.cpl.Вызов timedate.cpl с помощью инструмента Выполнить
  3. Далее, кликните ЛКМ по кнопке подтверждения.
  4. В новом окошке откройте раздел «Время по Интернету».
  5. Активируйте пункт «Изменить параметры…».Изменить параметры для времени и даты в Windows
  6. Здесь нажмите на «Обновить сейчас».
  7. Теперь перезапустите ПК.

Случай №2: блокировка доступ к серверам тора

Если в ходе запуска интернет-обозревателя возникают различные ошибки, то вполне возможно, что его работа была заблокирована, например, на государственном уровне. Выход из данной ситуации – использование мостов для обхода ограничений. Подробная инструкция по настройке данной функции изложена здесь.

Случай №3: работа антивируса или другого защитного по

Основная функция защитного софта – защита компьютера от возможных угроз. И вполне возможно, что антивирус посчитал Тора за вредоносную программу. Соответственно, мы рекомендуем два действенных варианта:

Случай №4: повреждение компонентов программы

Заключительный метод, что мы посоветуем, заключается в полной переустановке Тора. Ведь, скорее всего, в результате какой-либо активности были повреждены компоненты программы, которые не поддаются восстановлению. Сама по себе процедура предельно простая для всех актуальных платформ (Windows, Mac OS и Linux). Но на всякий случай мы разберем ее для «Винды». Предлагаем вам следующую инструкцию:

Сохраняем настройки

Естественно вы захотите сохранить где-то все настройки iptables чтобы не вводить их заново при каждой перезагрузке. Если вы этого уже не делаете как-то ещё, то вам поможет пакет…

При первой установке будет предложено сохранить все текущие правила. Если вы их измените и захотите чтобы после перезагрузки изменения остались, то вам необходимо сохранить их повторно:

К сожалению, такого же удобного пакета для ipset пока нет, но эта проблема решается скриптом /etc/network/if-pre-up.d/ipset:

Обязательно нужно дать и этому скрипту права на выполнение:

При следующей перезагрузке этот скрипт выполнится и восстановит список заблокированных IP.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Оставьте комментарий

Adblock
detector