Tor konfiguration als LAN Gateway und relay

  • Hallo,


    wie im topic beschrieben versuche ich gerade tor server auf raspberry basis als relay und entry node ( brigde ) zu konfigurieren. Als einfacher Gateway ist es kein Problem .... aber als server ...


    Mir wird die Geschichte mit den Ports und was diese machen bzw. welcher traffic/verbindungen darüber laufen nicht so ganz klar.


    meine torrc sieht folgendermaßen aus



    ControlPort 9051 => funktion ist klar, wird für arm benötigt ==>> muss der Port für ein relay oder eine brigde auf den server geleitet werden ? ( denke nicht da das relay und die bigde keine kontrolle über den torserver haben sollen )
    SocksPort 12345 => keine Ahung ob der nur für den Browser relevant ist oder für alle Verbindungen
    ORPort 23456 => keine Ahnung was damit passiert - der muss aber wohl zum raspberry durchgeleitet werden ( wie beim FTP der port 21 ?! )
    DirPort 34567 => keine Ahnung was damit passiert - der muss aber wohl zum raspberry durchgeleitet werden ( wie beim passiven FTP der transferport ? )


    Mir ist auch nicht so ganz klar wie das ganze tor an sich funktioniert ( verschlüsselung, welcher alghorhythmus, was passiert beim realy; werden die ankommenden daten entschlüsselt und von realy mit anderen datenpaketen verschlüsselt wieder weitergeleitet ? )


    Wenn ich jetzt einen Tor Relay einrichten möchte :
    1. Geht das überhaupt wenn ich eth0 als gateway ins clearweb für die verbindung ins tornetzwerk nutze ?
    2. Oder muss ich mich auf die netzwerkkarte beziehen, die als Tor Gateway konfiguriert ist ? ( WLAN mit hostap für Zugang zum Tor netzwerk, verbindungen mit iptables von wlan0 an die virtuelle tor-netzwerkarte )
    3. gibt es eine Möglichkeit den TOR server als TOR-Gateway von einer Netzwerkkarte (eth1) sowie einer 2ten netzwerkarte ( wlan0 ) über eine Dritte ( eth0 ) laufen zu lassen ? ( eth1 TOR-GW LAN // wlan0 TOR-GW WLAM // eth0 Gateway des ISP routers ( fritzbox easybox etc )
    4. Von welchem welcher Netzwerkkarte zu welcher Netzwerkkarte läuft der relay ?
    5. Muss für ein relay überhaupt etwas an den Netzwerkkarten einstellungen geändert werden oder läuft empfang und weiterleitung der tor daten über die virtuelle tor-netzwerkarte ?

    Edited once, last by speefak ().

  • Ich betreibe ein reines Tor-Relay seit ca. 3 Wochen im Dauerbetrieb. Im Grunde nutze ich den Raspberry nur dafür. Die Bandbreite habe ich beschränkt, das Volumen (up/down) auf auf jeweils 500 MB- also zusammen 1 GB pro Tag. Es läuft sehr gut. Zur Zeit experimentiere ich noch mit der Temperatursenkung durch cpu-frequenzsenkung. Auch das läuft sehr stabil. Betreibe den Raspberry übrigens headless. Er hängt unter meinem Schreibtisch - das Gehäuse habe ich zusätzlich angebohrt zwecks Durchlüftung. Ich kann die die config ja mal als jpeg zuschicken.
    Gruss aus Bielefeld

  • namt ;)


    ich habe mein torberry als wlan AP am laufen und per Ethernet an meinen clearweb Router angeschlossen ( Stromversorgung läuft über ein Y USB kabel - einen stecker in den router ( strom ); einen für die Wlan karte und einen in den pi - netzteil und sonsitge kabellage bis aufs Lan kabel brauch ich somit nicht ;) ). verbindet man sich per ssh aus dem LAN auf den pi kann man sich nicht auf ein weiteren Rechner vom pi ausgehend verbinden. das TOR wlan und das LAN sind somit nicht gekoppelt ( so wie es auch sein sollte ). ich denke um mein pi als relay nutzen zu können muss ich wohl übers wlan gehen, bzw mir ein 2ten pi zulegen. Als wlan AP habe ich einfach die Karten im torberry web Interface geändert und den hostap treiber für die wlan karte installiert. die Geschichte mit ip tables und dem eingliedern einer weiteren Netzwerkkarte im pi zur tor nutzunh hab ich mir noch nicht so genau angeschaut; es scheint aber nicht anders zu gehen.

    Edited once, last by speefak ().

  • Hallo,


    ich versuche den pi als internetgateway einzurichten. Leider habe ich nur sehr grundlegende Kenntnisse.


    Ich beschreibe mal kurz was ich haben möchte :)


    - Raspberry nur per LAN an meinen Router angeschlossen
    - DHCP etc. alles über den Router
    - Standardgateway an alle Netzwerkgeräten soll der Router sein (bleibt eifnach so)


    Wenn ich nun den Standardgateway z.B. an meinem PC ändere und die IP vom PI eintrage, möchte ich, dass aller Internettraffic über den PI läuft. Auf dem Pi sollen dabei folgende Dinge installiert sein:


    - Erstmal ADBLOCK
    - Später OPENVPN oder TOR


    Dies müsste eigentlich alles recht einfach lösbar sein, oder? :D


    Ich habe bereits folgende Anleitung studiert: http://learn.adafruit.com/rasp…ing-access-point/overview
    Aber besonders der Teil mit dem, DHCP Server will ich nicht haben und habe ich auch nicht verstanden ;)



    Quote


    Als einfacher Gateway ist es kein Problem .... aber als server ...


    - Mir reicht es ja als Gateway. Also wäre super, wenn du (speefak) mit kurz sagen könntest wie es geht. :danke_ATDE:


    .

  • ohne dhcp werden im 2ten torwlan keine ip vergeben :geek:wenn die nezte nicht getrennt sind kannste doch einfach den raspberrypi als gateway angeben. DNS muss auch mit rein. am einfachsten ist es du nimmt das torberry immage da ist schon das meiste eingestellt.

  • hi,


    ich möchte ja gar kein wlan haben.


    Derzeit hängt mein PC einfach per LAN am Router. Der Router hat WLAN und darüber sind handy und tablet verbunden.
    Ich möchte nun einfah noch den PI an Lan anschließen und Adblock darauf installieren.
    Das mache ich nach besagter anleitung: http://learn.adafruit.com/rasp…ss-point/install-software


    Ich habe das noch nicht gemacht, weil ich keinen zweiten DHCP server erstellen wollte. Diesen Teil der Anelitung kann ich also einfach weglassen?


    Reicht es dann, wenn ich zB am PC einfach den Standardgateway die IP vom PI einstelle?


    Danke.

  • Hier ne Anleitung mit openvpn und einem Rechner (SAT-Receiver).
    Der SAT-Receiver kommt dann nur noch über das VPN ins Internet.



    Den Raspberry als Gateway einrichten:
    sudo echo 1 > /proc/sys/net/ipv4/ip_forward
    dann sudo nano /etc/sysctl.con und da bei net.ipv4.ip_forward=1 Kommentar entfernen.
    sudo reboot
    Nun sollte er bereits als Gateway funktionieren. Als Test mal in den Netzwerkeinstellungen bei einem Rechner in Eurem Netz die IP Adresse des raspverry als Gateway eintragen und testen ob ihr ins Internet kommt.


    Openvpn installieren:
    sudo apt-get install openvpn


    Openvpn konfigurieren:
    Die Dateien (Zertifikate usw.) von eurem VPN Anbieter nach /etc/openvpn kopieren.
    Nun eine Verbindung aufbauen: openvpn --config dieconfigdatei.conf
    Eine zweite ssh Verbindung zum raspberry aufmachen und mit "curl "http://www.networksecuritytoolkit.org/nst/cgi-bin/ip.cgi"" die IP Adresse überprüfen. Nun sollte die IP Adresse von Eurem VPN Anbieter angezeigt werden.


    Iptables:
    Leider sehr kryptisch. Dies ist die Unix Firewall.
    Nehmen wir mal an unser SAT Receiver hat die IP Adresse 192.168.0.215.
    Mit diesen Regeln verhindern wir das der Receiver über eine "normale" Verbindung
    ins Internet gehen kann. Falls das VPN mal zusammenbricht oder ähnliches.
    Alles von dieser Adresse in das VPN leiten:
    sudo iptables -t nat -A POSTROUTING -s 192.168.0.215 -o tun+ -j MASQUERADE
    Alles was an den rapberry geht und weitergeleitet werden soll blocken:
    iptables -P FORWARD DROP
    Alle was weitergeleitet werden soll nur auf dem VPN erlauben:
    iptables -A FORWARD -o tun+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT



    Damit beim Nächsten reboot nicht alles weg ist:
    mkdir /home/pi/router
    cd /home/pi/router
    sudo iptables-save > ./iptables.tbl - da werden die aktuelllen IPTABLES gespeichert


    sudo nano /etc/network/if-pre-up.d/iptables
    Inhalt:
    #!/bin/sh
    #Iptables wiederherstellen
    iptables-restore < /home/pi/router/iptables.tbl
    exit 0


    sudo chmown root:root /etc/network/if-pre-up.d/iptables
    sudo chmod +x /etc/network/if-pre-up.d/iptables
    sudo chmod 755 /etc/network/if-pre-up.d/iptables
    sudo reboot


    sudo nano /etc/default/openvpn
    hier autostart all einschalten
    und softlink von openvpn.conf auf DEINEVPN_PROVIDER-conf.xy...