Firefox cez VPN

petervg

Firefox cez VPN
« kdy: 04. 11. 2014, 04:56:47 »
Mam server s OpenVPN a klienta Windows s Firefoxom.
Hladam nieco ako Tor Browser Bundle, aby som mohol browsovat cez Firefox sifrovane (nedoveryhodna siet, v ktorej sa nachadza klient) + ina public IP (kvoli obsahu, ktory je country restricted).
Napadlo ma spojazdnit Squid na VPN serveri + FoxyProxy, ale DNS traffic by zostal nesifrovany.
Co by ste navrhovali? Chcem nieco jednoduche a klikatelne a pod Windows.


M.

Re:Firefox cez VPN
« Odpověď #1 kdy: 04. 11. 2014, 08:16:48 »
Co staré dobré SSH? Pustím si ve woknech putty na server, v konfiguraci daného spojení si nezapomenu aktivovat dynamický tunel se zdrojovým portem 1080 a v nastavneí firefoxu v připojení si nastavím socks server na 127.0.0.1:1080?

M.

Re:Firefox cez VPN
« Odpověď #2 kdy: 04. 11. 2014, 08:25:25 »
Jo, k tomu dns, že se resolvuje lokálně a obejtde tak ten tunel, tak about:config -> network.proxy.socks_remote_dns=true. Pak Firefox neresolvuje jména loklně, alo předává to proxině, ať se snaží.

petervg

Re:Firefox cez VPN
« Odpověď #3 kdy: 24. 11. 2014, 21:06:12 »
Jo, k tomu dns, že se resolvuje lokálně a obejtde tak ten tunel, tak about:config -> network.proxy.socks_remote_dns=true. Pak Firefox neresolvuje jména loklně, alo předává to proxině, ať se snaží.
Remote DNS sa da nastavit priamo v GUI - na karte, kde sa konfiguruje proxy.
Aky proxy server by ste navrhovali? Privoxy, Polipo, Tinyproxy...?  Caching nie je potrebny, HTTPS nutnost, najlepsia mala rezia na serveri (spotreba CPU a pamate).

M.

Re:Firefox cez VPN
« Odpověď #4 kdy: 24. 11. 2014, 21:45:00 »
Jo, v novějších Firefoxech je na to klikátko.
Pozor, to remote DNS funguje pouze pro použití socks! Nefunguje v kombinaci s klasickou proxinou.

Tím pádem je to jasné, na serveur potřebujete jen SSH server. U sebe is pustíte SSH klieta, klidně putyho, v něm si zapnete dynamický SSH tunel se zrojovým portem 1080 a firefox pošlete na socks v5 server na adresu 127.0.0.1:1080 a máte hotovo. Vše by mělo jít tím SSH kanálem a SSH server posílá přímo TCP spojení dál k cílům, co si přeloží a nic se na něm neukládá a necachuje.


pet

Re:Firefox cez VPN
« Odpověď #5 kdy: 25. 11. 2014, 08:06:00 »
Já ten dotaz nechápu.

Máš OpenVPN, tak si to nastav tak, aby přesměrovával resolver i default gateway, a bude to vypadat jako by jsi brousil z toho serveru. A OpenVPN i šifruje. Je to jedno ze základních typických nastavení. Nebo snad potřebuješ něco jiného?

Mimochodem, při použití ssh přesměrování ti hrozí TCPinTCP problém pokud je to spojení jen trochu horší než dokonalé.

M.

Re:Firefox cez VPN
« Odpověď #6 kdy: 25. 11. 2014, 08:10:07 »
JEnže ot je co on nechce. On chce vše aby šlo loklně přímo ven a jen web šel skrz tunel s co nejméně práce. Takže tady je to SSH nenednodušší. A pokud si do firefixu dá mídul, co do toho tunelu bude posílat jen vybrané spojneí k serverům s kinderpornem, tak bude asi úkol splněn. Takže tne socjks skrz SSH jenejjednodušší. :-)

Tonda

  • *****
  • 630
    • Zobrazit profil
    • E-mail
Re:Firefox cez VPN
« Odpověď #7 kdy: 25. 11. 2014, 13:35:16 »
Souhlas, pokud to má být pouze pro Firefox, tak VPN je overkill. Stačí SSH server někde venku a na klientu dynamický port forwarding (ssh -D, Putty to umí taky) a ve Firefoxu nastavit jako SOCKS proxy. Nic dalšího není potřeba. Používám to rutinně několik let právě za tímto účelem - některý traffic chci tunelem, některý lokálně. Na přepínání nastavení proxy se mi nejlépe osvědčilo rozšíření MM3 Proxy Switch https://addons.mozilla.org/en-US/firefox/addon/mm3-proxyswitch, DNS překlad mám remotně (lokálně mi to nedává smysl, v síti kde to používám ani překlad venkovních jmen nefunguje)

Kdysi u článku a diskuse kolem TCPinTCP mi bylo vysvětlováno, že u SSH tunelu TCPinTCP nehrozí, protože SSH to vybaluje, tedy to jsou tři na sebe navazující TCP spojení.

M.

Re:Firefox cez VPN
« Odpověď #8 kdy: 25. 11. 2014, 14:10:30 »
Nu, Firefox dělá stejně lokální DNS resoving a pokouší se o něj i když je zvoleno to remote socks DNS. Aby to přestal dělat, musí se mu vypnout DNS prefetch - about:config network.dns.disablePrefetch=true.