Tor на Keenetic

[TheBB]

прим.: варианты между собой молосовместимые

Вариант 1

Заходим по ssh на Keenetic и выполняем следующие команды:

opkg update
opkg install tor polipo

Редактируем файл /opt/etc/tor/torrc (пример базовой настройки)

SOCKSPort 9050 # Default: Bind to localhost:9050 for local connections.
SOCKSPort 192.168.1.1:9100 # Bind to this address:port too.
RunAsDaemon 1
DataDirectory /opt/var/lib/tor
#User tor

Редактируем файл /opt/etc/polipo/config (пример базовой настройки)

proxyAddress = "0.0.0.0"    # IPv4 only
allowedClients = 127.0.0.1, 192.168.1.0/24
socksParentProxy = "localhost:9050"
socksProxyType = socks5
dnsQueryIPv6 = no
dnsUseGethostbyname = yes

Стартуем сервисы

/opt/etc/init.d/S28polipo
/opt/etc/init.d/S35tor

Настраиваем браузер (в примере FireFox)

Для проверки идем по адресу. Должны увидеть нечто подобное

Можно посмотреть через кого идет выход, напр., на 2ip.ru

И вместо этого

наблюдаем

 

Вариант 2. за-tor-енная точка доступа

прим.:

TOR - имя интерфейса (произвольное, задаем любое свое)

pass-tor - пароль доступа к сети (мин. 8 символов, задаем любой свой, если надо)

tor-net - имя Wi-Fi сети (произвольное, задаем любое свое)

172.16.2.1 - IP-адрес точки доступа (произвольный, задаем любой свой, не должен пересекаться с существующими)

 

Подключаемся к CLI Keenetic`a

Выбираем интерфейс беспроводной сети

interface WifiMaster0/AccessPoint2

Переименовываем интерфейс в TOR

name TOR

Устанавливаем уровень безопасности сети - private

security-level private

Устанавливаем алгоритм безопасности WPA2 (если надо)

encryption wpa2 

Включаем шифрование Wi-Fi-трафика (если установили алгоритм безопасности)

encryption enable

Устанавливаем ключ доступа к сети (если выполнили 2 предыдущих комманды, что выше)

authentication wpa-psk pass-tor

Устанавливаем ip-адрес точки доступа

ip address 172.16.2.1 255.255.255.0

Устанавливаем SSID беспроводной сети

ssid tor-net

Активация интерфейса TOR

up

Для автоматической раздачи IP создаем DHCP pool и привязываем его к интерфейсу TOR. Создаем DHCP-пул

ip dhcp pool TOR

Устанавливаем диапазон IP адресов

range 172.16.2.50 172.16.2.100

Привязываем созданный пул к интерфейсу TOR

bind TOR

Для применения всех настроек нужно отключить и включить модуль Wi-Fi

Отключить

interface WifiMaster0 down

Включить

interface WifiMaster0 up

Сохраняем

system configuration save 

Заходим по ssh на Keenetic и выполняем следующие команды:

opkg update
opkg install tor iptables

Редактируем файл /opt/etc/tor/torrc:

SOCKSPort 9050
SOCKSPort 192.168.1.1:9100

RunAsDaemon 1

DataDirectory /opt/var/lib/tor

#User tor

AutomapHostsOnResolve 1
DNSListenAddress 172.16.2.1
DNSPort 9053
TransListenAddress 172.16.2.1
TransPort 9040
VirtualAddrNetwork 10.192.0.0/10

Создаем файл /opt/etc/ndm/netfilter.d/010-tor-net.sh со следующим содержанием:

#!/opt/bin/sh

iptables -t nat -A PREROUTING -i ra2 -p udp --dport 53 -j REDIRECT --to-ports 9053
iptables -t nat -A PREROUTING -i ra2 -p tcp --syn -j REDIRECT --to-ports 9040

прим.: ra2 - имя созданного интерфейса (просмотреть можно командой ifconfig)

Делаем файл исполняемым

chmod +x /opt/etc/ndm/netfilter.d/010-tor-net.sh

Перезагружаем Keenetic и пробуем...

to be continued...

[miltt]

TheBB, эта реализация больше нравится, но всё равно, большое спасибо.

2all, для обхода различных блокировок по национальному признаку вполне, а тем кого хоть немного волнует безопасность в интернете рекомендую прочесть. Оригинал статьи не искал, кому надо - сам найдёт.

[TheBB]

TheBB, эта реализация больше нравится...

чем конкретно?

... 2all, для обхода различных блокировок по национальному признаку вполне...

... можно использовать расширения для браузера (напр., browsec)

... а тем кого хоть немного волнует безопасность в интернете...

"ave novie – nostra ales"

[miltt]

TheBB, эта реализация больше нравится...

чем конкретно?

Гибкостью и удобством пользования.

Нет необходимости гнать ВЕСЬ трафик ч-з Tor. Для IPTV, даже вредно. Тогда уже проще подымать при необходимости Tor локально, да и JAP подойдёт. А если реально сильно надо - VPN.

[TheBB]

... Нет необходимости гнать ВЕСЬ трафик ч-з Tor. Для IPTV, даже вредно. Тогда уже проще подымать при необходимости Tor локально, да и JAP подойдёт. А если реально сильно надо - VPN.

трафик идет через tor по LAN/Wi-Fi только для настроенных клиентов... в keenetic`e можно настроить до 4 АР. если касательно статьи с хабра, то одну из АР можно отдать под tor, напр.

[TheBB]

... использую кинетик гига 2 на первой прошивке V1.11.RU.NDMS ...

Чем вас не устраивает NDMSv2? Ставите прошивку из этой темы, дальше сюда, после, можете вернуться в эту тему и повторить... Если же нужна NDMSv1* - тогда вам сюда

[r13]

... И что это за адрес назначения (192.168.2.1) в тих правилах?

запрет доступа к морде управления кинетиком. скрин снят с устройства, к-рый подключен к основному (исправим)...

Для запрета доступа к кинетику думаю достаточно создавать точку доступа в режиме protected вместо private.

или то сделано для варианта связки из 2х роутеров?

[REVERSE]

Странная штука, не первый раз настраиваю Тор и Полипо, но тут какой-то затык. ФФ говорит, что таймаут наступил почти сразу. Это если через Полипо лезть. Если напрямую в тор лезть, как сокс прокси, то ФФ говорит, что прокси отказывается принимать коннекты.

А ведь он слушает на порту, всё вроде верно:

~ # netstat -anp | grep LISTEN
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      458/nqcs
tcp        0      0 192.168.1.1:9100        0.0.0.0:*               LISTEN      5667/tor
tcp        0      0 127.0.0.1:41230         0.0.0.0:*               LISTEN      138/ndm
tcp        0      0 127.0.0.1:41231         0.0.0.0:*               LISTEN      138/ndm
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      330/ag
tcp        0      0 127.0.0.1:41232         0.0.0.0:*               LISTEN      138/ndm
tcp        0      0 78.47.125.180:8081      0.0.0.0:*               LISTEN      230/nhtproxy
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      267/ndnproxy
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      16340/dropbear
tcp        0      0 127.0.0.1:9050          0.0.0.0:*               LISTEN      5667/tor
tcp        0      0 0.0.0.0:8123            0.0.0.0:*               LISTEN      5741/polipo
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      458/nqcs
tcp        0      0 0.0.0.0:50590           0.0.0.0:*               LISTEN      14909/miniupnpd
tcp        0      0 :::53                   :::*                    LISTEN      267/ndnproxy
tcp        0      0 :::22                   :::*                    LISTEN      16340/dropbear
tcp        0      0 :::23                   :::*                    LISTEN      331/telnetd
tcp        0      0 ::1:5567                :::*                    LISTEN      464/dhcp6s

И что это за строка, кто-нибудь знает?

tcp        0      0 78.47.125.180:8081      0.0.0.0:*               LISTEN      230/nhtproxy

[REVERSE]

Хм, сейчас протестировал еще Тор просто как сокс-прокси, получается, что его слушающий сокет закрывается сразу после попытки обращения к нему.

То есть, после перезапуска есть такая строка в нетстате:

tcp        0      0 192.168.1.1:9100        0.0.0.0:*               LISTEN      5667/tor

А после попытки открыть любой торовский сайт её нет

[Le ecureuil]

И что это за строка, кто-нибудь знает?

tcp        0      0 78.47.125.180:8081      0.0.0.0:*               LISTEN      230/nhtproxy

Это наш transparent proxy чтобы работало обращение к устройству по адресу my.keenetic.net и чтобы на ненастроенном устройстве при попытке доступа в Интернет сперва перебрасывало в веб-интерфейс для настройки.

[REVERSE]

А по поводу Тора что-нибудь можно узнать?

Прошивка у меня v2.05(AAFS.0)C4, entware поставился нормально...

[REVERSE]

После прочтения темы viewtopic.php?f=4&t=333 узнал много нового. Оказывается, ветка Entware неактуальна, и надо было устанавливать entware-keenetic.

С ним завелось всё отлично по этой же инструкции.

[hardable]

помогите
что я делаю не так?

Цитата

 

Jul 23 02:13:57ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-tor-net.sh: Bad argument `53'.

Jul 23 02:13:57ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-tor-net.sh: Try `iptables -h' or 'iptables --help' for more information.

Jul 23 02:13:57ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-tor-net.sh: /opt/etc/ndm/netfilter.d/010-tor-net.sh: line 4: -to-ports: not found.

Jul 23 02:13:57ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-tor-net.sh: iptables v1.4.21: host/network `yn' not found.

Jul 23 02:13:57ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-tor-net.sh: Try `iptables -h' or 'iptables --help' for more information.

Jul 23 02:13:57ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-tor-net.sh: /opt/etc/ndm/netfilter.d/010-tor-net.sh: line 6: 9040: not found.

Jul 23 02:13:57ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/010-tor-net.sh: exit code 127.

 

 

[zyxmon]

5 часов назад, hardable сказал:

что я делаю не так?

Предположительно создали файл 010-tor-net.sh  в винде с концами строк не unix. Пересоздайте прямо на роутере встроенным редактором. Или выполните

dos2unix /opt/etc/ndm/netfilter.d/010-tor-net.sh

Возможно забыли установить пакет iptables

opkg update
opkg install iptables

 

[hardable]

4 часа назад, zyxmon сказал:

dos2unix /opt/etc/ndm/netfilter.d/010-tor-net.sh

спасибо, помогло

[Павел Степурин]

Подскажите - а можно сделать, чтобы подключаясь к роутеру через VPN я мог воспользоваться подключением TOR на keenetic-е?

[Александр Рыжов]

VPN — труба, если упрощённо. Один конец доступен на клиенте, другой на роутере. Всё, что влетело в один конец — вылетает на другом и наоборот. Трубе при этом абсолютно всё равно что по ней летает.

Я, скажем, с помощью PPTP-сервера получаю доступ к домашним сетевым папкам, а вам ничего не мешает пользоваться TOR'ом на роутере. После установления VPN-соединения укажите в настройках клиента (браузера?) внутренний IP-адрес роутера и порт, на котором TOR работает.

[Victor]

Кстати, если у кого-то нормально не заводится relay, и как следствие не появляется на https://atlas.torproject.org/, то в этом случае нужно отрубить интерфейс ezcfg0 - почему-то TOR всегда подхватывает IP именно с этого интерфейса, даже если явно задавать ORPort TARGET_IP:PORT.

[Akama]

Пошёл по первому пути - закрытые сайты открылись, но сайты .onion всё ещё не доступны.

Что нужно доделать в первом способе, чтобы был доступ на сайты .onion не пользуясь TOR Browser?

[tremor]

В 23.09.2016 в 14:27, Akama сказал:

Пошёл по первому пути - закрытые сайты открылись, но сайты .onion всё ещё не доступны.

Что нужно доделать в первом способе, чтобы был доступ на сайты .onion не пользуясь TOR Browser?

Нужно направить DNS запросы на прокси сервер. Если сидишь в Firefox'e, то поставь галочку в настройках прокси напротив "Удалённый DNS".

[tremor]

Никто не сталкивался с тем, что невозможно запустить прозрачный прокси Tor'a на вторую созданную точку Wi-Fi? Ошибка Could not bind to 192.168.10.1: Cannot assign requested address. В частности и ifconfig не показывает ip адрес интерфейся ra2. Назначил через ifconfig ip для этого интерфейса, Tor запустился, но толку нет.

[tremor]

1 час назад, tremor сказал:

Никто не сталкивался с тем, что невозможно запустить прозрачный прокси Tor'a на вторую созданную точку Wi-Fi? Ошибка Could not bind to 192.168.10.1: Cannot assign requested address. В частности и ifconfig не показывает ip адрес интерфейся ra2. Назначил через ifconfig ip для этого интерфейса, Tor запустился, но толку нет.

Итак, разобрался. Сбросил всё на заводские настройки, для новой точки назначил адрес 172.16.1.1 и всё заработало согласно инструкции. В журнале роутера увидел что адреса 192.168.10.ХХ используются для чего-то, видимо из-за этого был конфликт.

Edited October 22, 2016 by tremor
Недопечатал

[colimp]

С последними пунктами варианта 2 возникли проблемы.

На команды 

iptables -t nat -A PREROUTING -i ra2 -p udp --dport 53 -j REDIRECT --to-ports 9053
iptables -t nat -A PREROUTING -i ra2 -p tcp --syn -j REDIRECT --to-ports 9040

приходит ответ:

Nov 04 08:54:22ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/010-tor-net.sh: iptables: No chain/target/match by that name.
Nov 04 08:54:22ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/010-tor-net.sh: exit code 1.

Скрытый текст

~ # iptables -t nat --list
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
_NDM_DNAT  all  --  anywhere             anywhere
_NDM_UPNP_REDIRECT  all  --  anywhere             anywhere

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
_NDM_IPSEC_POSTROUTING_NAT  all  --  anywhere             anywhere
_NDM_SNAT  all  --  anywhere             anywhere
_NDM_NAT_UDP  udp  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
_NDM_NAT_UDP  udp  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere

Chain SL_PRIVATE (0 references)
target     prot opt source               destination
_EZ_DNAT   all  --  anywhere             anywhere
_EZ_DNAT   all  --  anywhere             anywhere
_EZ_DNAT   all  --  anywhere             anywhere

Chain _EZ_DNAT (3 references)
target     prot opt source               destination

Chain _NDM_DNAT (1 references)
target     prot opt source               destination
_NDM_STATIC_DNAT  all  --  anywhere             anywhere

Chain _NDM_IPSEC_POSTROUTING_NAT (1 references)
target     prot opt source               destination

Chain _NDM_NAT_UDP (2 references)
target     prot opt source               destination
MASQUERADE  udp  --  anywhere             anywhere             udp spts:35000:65535 masq ports: 1024-34999
MASQUERADE  udp  --  anywhere             anywhere             udp spts:1024:34999 masq ports: 35000-65535
MASQUERADE  udp  --  anywhere             anywhere             udp spts:0:411 masq ports: 412-1023
MASQUERADE  udp  --  anywhere             anywhere             udp spts:412:1023 masq ports: 0-411

Chain _NDM_SNAT (1 references)
target     prot opt source               destination
_NDM_STATIC_LOOP  all  --  anywhere             anywhere
_NDM_VPNSERVER_NAT  all  --  anywhere             anywhere
_NDM_STATIC_SNAT  all  --  anywhere             anywhere
_NDM_STATIC_SNAT  all  --  anywhere             anywhere
_NDM_STATIC_SNAT  all  --  anywhere             anywhere

Chain _NDM_STATIC_DNAT (1 references)
target     prot opt source               destination

Chain _NDM_STATIC_LOOP (1 references)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere

Chain _NDM_STATIC_SNAT (3 references)
target     prot opt source               destination

Chain _NDM_UPNP_REDIRECT (1 references)
target     prot opt source               destination

Chain _NDM_VPNSERVER_NAT (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
 

Сам tor работает, потому в браузере можно использовать socks5-прокси (192.168.10.1:9100), а вот проброс iptables ругается.

Скрытый текст

~ # ifconfig
br0       Link encap:Ethernet  HWaddr EC:43:F6:DF:8E:8C
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::ee43:f6ff:fedf:8e8c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13609 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:1778914 (1.6 MiB)

eth2      Link encap:Ethernet  HWaddr EC:43:F6:DF:8E:8C
          inet6 addr: fe80::ee43:f6ff:fedf:8e8c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:75242 errors:0 dropped:0 overruns:0 frame:0
          TX packets:83274 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:49045595 (46.7 MiB)  TX bytes:48864894 (46.6 MiB)
          Interrupt:22 Base address:0x8000

eth2.1    Link encap:Ethernet  HWaddr EC:43:F6:DF:8E:8C
          inet6 addr: fe80::ee43:f6ff:fedf:8e8c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13613 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:1779214 (1.6 MiB)

eth2.2    Link encap:Ethernet  HWaddr 00:25:11:AB:46:2F
          inet addr:176.194.189.94  Bcast:176.194.191.255  Mask:255.255.192.0
          inet6 addr: fe80::225:11ff:feab:462f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:75240 errors:0 dropped:1896 overruns:0 frame:0
          TX packets:69503 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:48976677 (46.7 MiB)  TX bytes:46583022 (44.4 MiB)

ezcfg0    Link encap:Ethernet  HWaddr D6:38:61:0A:74:7D
          inet addr:78.47.125.180  Bcast:78.255.255.255  Mask:255.255.255.255
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:479 errors:0 dropped:0 overruns:0 frame:0
          TX packets:479 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:94348 (92.1 KiB)  TX bytes:94348 (92.1 KiB)

ra0       Link encap:Ethernet  HWaddr EC:43:F6:DF:8E:8C
          inet6 addr: fe80::ee43:f6ff:fedf:8e8c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:25

ra2       Link encap:Ethernet  HWaddr E6:43:F6:DF:8E:8C
          inet addr:172.16.2.1  Bcast:172.16.2.255  Mask:255.255.255.0
          inet6 addr: fe80::e443:f6ff:fedf:8e8c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

vpn1      Link encap:Point-to-Point Protocol
          inet addr:192.168.10.1  P-t-P:172.16.1.3  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1350  Metric:1
          RX packets:30239 errors:0 dropped:0 overruns:0 frame:0
          TX packets:42609 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:3117400 (2.9 MiB)  TX bytes:41073981 (39.1 MiB)
 

Еще в журнале часто встречаются сообщения: 

pptpd[493]MGR: dropped small initial connection

Giga II, Entware-3x,  v2.08(AAFS.2)A9

[colimp]

Еще забыл добавить, что после данных действий у меня отвалился один из pptp-клиентов на v2.08. Подключается и тут же разрывается. Диапазоны не пересекаются, для pptp используется 172.16.1.Х. Клиент с 2.07 работает нормально на соседнем IP.

upd: Проблему решил установкой компонента IPv6. С pptp проблема тоже ушла.

 

Edited November 4, 2016 by colimp

[Mamont]

1. Все сделал по второму варианту, но при попытке ввода адреса на клиенте получаю: "Hostname lookup for "****************.onion" failed". Как это лечится? Для нормальных адресов и сервисов tor работает. Клиент смарт на android.

2. Можно как-то управлять tor'ом на кинетике, например заставить его сменить цепочку подключения? Никак, даже из консоли arm'а нет в репозитории.

3. Сегмент сети должен быть виден в веб-интерфейсе? У меня его там нет.

4. Как, в случае если надоест или не понравится, вернуть настройки сети в роутере к первоначальному состоянию? Сброс до заводских не предлагать (об этом я и сам догадался).

no ip dhcp pool TOR
no interface TOR

Так?

Edited November 13, 2016 by Mamont

[Sky-er]

1. Ответ прямо в этой же теме.

В 23.10.2016 в 00:53, tremor сказал:

Нужно направить DNS запросы на прокси сервер. Если сидишь в Firefox'e, то поставь галочку в настройках прокси напротив "Удалённый DNS".

4. Достаточно отключить интерфейс, либо подключиться к другому интерфейсу.

[Mamont]

4 часа назад, Sky-er сказал:

1. Ответ прямо в этой же теме.

Вы свое сообщение написали лишь бы что-то написать? Еще раз для особо "одаренных": сделано по варианту номер 2!!! Зачем по вашему сделана эта группа настроек в torrc?

Скрытый текст

AutomapHostsOnResolve 1
DNSListenAddress 172.16.2.1
DNSPort 9053
TransListenAddress 172.16.2.1
TransPort 9040
VirtualAddrNetwork 10.192.0.0/10

Зачем тогда нужны вот эти правила в iptables? Если вы предлагаете юзать жесткое указание proxy из интерфейса программ.

Скрытый текст

iptables -t nat -A PREROUTING -i ra2 -p udp --dport 53 -j REDIRECT --to-ports 9053
iptables -t nat -A PREROUTING -i ra2 -p tcp --syn -j REDIRECT --to-ports 9040

 

Edited November 15, 2016 by Mamont

[Sky-er]

Для начала перестаньте  хамить, тут вам никто ничего не должен (!) И показывать, что вы хамло не нужно, это и так понятно из вашего стиля общения (!!)

Если вы не особо одаренный, то должны понимать, что DNS-сы используются не зависимо от Proxy.

[Mamont]

1 час назад, Sky-er сказал:

Если вы не особо одаренный, то должны понимать, что DNS-сы используются не зависимо от Proxy.

Корона не жмет? Если нечего написать по существу, то может и писать не стоит? Может это вам стоит погуглить что такое iptables и что такое маршрутизация внутри хоста?

Специально для вас: Создаем порт, который tor будет слушать на предмет dns-запросов, и по дефолту он должен разрешать имена в доменах .onion и .exit (согласно документации).

DNSListenAddress 172.16.2.1
DNSPort 9053

А теперь заворачиваем 53 UDP порт (domain), на который прилетают dns-запросы внутри vlan 172.16.2.0/24 в порт 9053, который слушает tor.

iptables -t nat -A PREROUTING -i ra2 -p udp --dport 53 -j REDIRECT --to-ports 9053

По идее все должно работать, но не работает по факту. Правило ibtables есть, срабатывает. Резлова .onion как не было, так и нет. Кэш на устройствах скидывался. Сеть настроена правильно, DNS в vlan 172.16.2.0/24, раздается по DHCP, 172.161.2.1.

[nik222]

Здравствуйте. На 2.08 с  Entware 3 при настройке по первому способу те же проблемы, что и у REVERSE. На портах службы висят, но в браузерах отвал по timeout. Не подскажет в какую сторону двигаться ?