OpenVPN не шифрует трафик? Здравствуй toolbar.beeline.ru?

Question

[taurus90]

Cегодня вышел в интернет через свой OpenVPN-сервер, сам сижу на WIndows 8.1. Шифрование - Triple DES. Но мой правый глаз начал дергаться, когда 10 минут назад, посещая один ресурс я увидел обращение своего браузера (Opera) к... toolbar.beeline.ru.....

Как это возможно? Я уже успел погуглить и найти возмущения людей о неком тулбаре от билайна, который часто мешает. Я понимаю, что это некоторое врезание HTML/JS-кода в HTTP-фреймы, однажды я увидел его, и нажал "отключить навсегда" - больше я его не видел, но постоянное обращение браузера к toolbar.beeline.ru наблюдал...

Я не могу понять, почему я увидел это, работая через OpenVPN. Сервер моей сети - крупный уважаемый хостинг, к билайну никакого отношения не имеет.

Открыв сейчас исходник произвольной страницы, Ctrl+U, ничего связанного с неким toolbar не нашел...
Если кто-нибудь детально может объяснить, почему мой трафик может находясь внутри OpenVPN-сети не шифроваться (как условие, что бы в него билайн что-либо добавлял), или я чего-то не понимаю в этом?
Ubuntu server, openvpn самой обыкновенной конфигурации (использовал типичные инструкции по развертыванию, разбросанные по сети)
Спасибо!!

UPDATE
Немного поработав еще, нашел этого гадкого мальчишку. (лишь на некоторых страницах проскакивает)

<!-- [start] toolbar body -->
<script name="ets-anchor" type="text/javascript" src="http://toolbar.beeline.ru/ets/scripts/Anchor.js"></script>
<!-- [end] toolbar -->

Ну и почему это происходит с OpenVPN? Как избавиться от того, что мой траффик по-прежнему доступен провайдеру??

Конечно же, я даже не сомневаюсь в том, что если я посмотрю трафик своего реального интернет-подключения через WireShark, все там будет снифферу понятно и читабельно, как и оператору. Почему так?

Конфиг клиента OpenVPN: pastebin.com/q6Pb8684 (upd: убрал pull в конце, не вижу смысла)
Конфиг сервера OpenVPN (ubuntu 12.04): pastebin.com/bSLK63CU (upd: убрал две push "route)

UPDATE 2
/etc/rc.local

#iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
#iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
bash /etc/openvpn/start.sh
exit 0
/usr/bin/setterm -blank 0 -powerdown 0

Наверное еще нужно рассказать о необычной особенности запуска openvpn (start.sh). После установки openvpn на чистую систему, сервер не хотел заводится, выдавая ошибку (в логе, по service start ничего не пишется).

Sun Oct 19 00:10:34 2014 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Sep 30$
Sun Oct 19 00:10:34 2014 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sun Oct 19 00:10:34 2014 Diffie-Hellman initialized with 1024 bit key
Sun Oct 19 00:10:34 2014 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Oct 19 00:10:34 2014 Socket Buffers: R=[124928->131072] S=[124928->131072]
Sun Oct 19 00:10:34 2014 ROUTE default_gateway=a.b.c.d
Sun Oct 19 00:10:34 2014 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Sun Oct 19 00:10:34 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Oct 19 00:10:34 2014 /sbin/ifconfig  10.8.0.1 pointopoint 10.8.0.2 mtu 1500
SIOCSIFADDR: No such device
: ERROR while getting interface flags: No such device
SIOCSIFDSTADDR: No such device
: ERROR while getting interface flags: No such device
SIOCSIFMTU: No such device
Sun Oct 19 00:10:34 2014 Linux ifconfig failed: external program exited with error status: 1
Sun Oct 19 00:10:34 2014 Exiting

Поэтому был написал небольшой скрипт start.sh - с каким-то костылем (найден на каком-то форуме).

mkdir /dev/net 
mknod /dev/net/tun c 10 200 
chmod 666 /dev/net/tun
sysctl -w net.ipv4.ip_forward=1 # забавно, что без этой строки тоже не запускалось, после каждого ребута приходится делать, настройка в /etc/sysctl.conf игнорируется словно.
sysctl -p
service openvpn restart

Если честно, я понятия не имею почему это происходит, это может быть связано с проблемой...

UPDATE 3: забыл все же упомянуть, оставляю на будущее. Toolbar.beeline.ru - это нечто, вставляемое во все страницы, которые вы открываете через телефон с симкой от Билайна. В моем случае я выходил в интернет через телефон как модем. Подробнее о тулбаре писали на хабре: habrahabr.ru/post/230921

UPDATE 4: bad news Проблема не решена. Никакого кэша у меня уже нет 100%. i65.fastpic.ru/big/2014/1020/29/c5021d3ac5caa2524e...

Comments

[Vladimir Zhurkin]

Вы уверены, что у вась весь трафик , включая интернет заворачивается в openvpn ? Можно пример таблицы роуминга до включения openvpn и после.

[taurus90]

@icCE если вы мне подскажите, как это проверить, я буду благодарен. Интернет подключается по wi-fi к ноутбуку, вот скрин из ПУ: i67.fastpic.ru/big/2014/1019/67/9268fefb43460739dc... Заходя на IPchicken.com, вижу адрес vpn-сервера, а не реальный IP от билайна.

[Vladimir Zhurkin]

@taurus90 Открываем меню "Пуск", в строке поиска вводим cmd и выбираем cmd в появившемся списке . В консоле набрать route print. Сделать трасеровку tracert 8.8.8.8

[taurus90]

@icCE pastebin.com/qncNAhrR (a.b.c.d - server ip), я к тому что я на чужом "чистом" компьютере с установленным openvpn и ключами с флешки.

[taurus90]

@icCE добавил еще важную информацию в вопрос, может вы знаете, что это значит. Спасибо в любом случае

[Vladimir Zhurkin]

@taurus90 Я завтра посмотрю все. По трейсу видно, что трафик идет через oversan. Так, что настройки с виду конечно кривые, но работают. Может быть была ситуация, что вы зашли на сайт без включенного openvpn или он не успел подняться ? На тему скрипта "sysctl -w net.ipv4.ip_forward=1
sysctl -p" Это не надо, сделайте исправление в нужном для этого месте /etc/systcl.conf . Не поднимается tun из за кривых настроек скорее всего. Надо детально смотреть. rc.local не лучшие место для iptables правил. Возьмите на заметку пакет для debian/ubuntu iptables-persistent . Правила будет доступно тут /etc/iptables/rules.v4 . Это просто правило хорошего тона. (вдруг этот сервер будет передан по наследству :) )

[taurus90]

@icCE ок, я через какое-то время перепроверю все. нет, vpn был включен.. меня больше правда настораживает, почему tun не хочет без костыля работать.

[Vladimir Zhurkin]

@taurus90 Кстати, а dns вы чей используете :) ?

[taurus90]

@icCE проверил наверное уже несколько десятков страниц, нет тулбара. Проверил через WireShark, хотя вообще нельзя было его на чужой пк ставить, там на wifi-интерфейсе одни непонятные QUIC, а на TAP'е нормальные пакеты, что я думаю и есть норма? Может и показалась. чей DNS? гугловский.

[taurus90]

@icCE спасибо за советы насчет iptables, я еще проверю позже, у меня после этого случая паранойя началась. насет ipv4 forwarding - настройка в конфиге стоит, но она как будто игнорируется системой, и интернет не проходит без этого костыля. а смысл костыля с tun я вообще не понимаю. Система чистенкая была, с мускулом только. Кстати, а не подскажете еще какие-нибудь иностраные DNS, но не гугловские?

[Vladimir Zhurkin]

@taurus90 Если стоит впереди решетка, то да, она будет игнорироваться системой. net.ipv4.ip_forward=1 в файле раскомментировать и сделать sysctl -p это применить параметры без перезагрузки. DNS вот например
Level 3 Communications (Broomfield, CO, US)
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6

[taurus90]

@icCE Спасибо! Неудивительно, я был не внимателен и забыл про кэш.

[taurus90]

@icCE решетка не стоит, но включение форвардинга через sysctl.conf не действует просто.

[Vladimir Zhurkin]

@taurus90 что выводит sysctl -p ? (read values from file) Он должен вывести net.ipv4.ip_forward = 1 .

[taurus90]

@icCE :)) у меня была включена маршрутизация ipv6, а не ipv4 ( Во как, надо было только проверить. Сейчас все работает и без вызова sysctl при старте системы

[taurus90]

@icCE Проблема не решена. Никакого кэша у меня уже нет 100%. i65.fastpic.ru/big/2014/1020/29/c5021d3ac5caa2524e...

[АртемЪ]

@taurus90 отключи ipv6, и еще раз убедись что трафик действительно идет через впн.
Банально зайди на какой нибудь ресурс типа 2ip.ru и посмотри свой айпишник, совпадает он с ip адресом vpn сервера?

[Vladimir Zhurkin]

@taurus90 Покажите еще трасеровку до и после включение openvpn с роутингом (тогда вы дали только после включения). что говорит myip.ru + давайте попробуем другой браузер + включаем запись http пакетов wareshark.

[taurus90]

@icCE pastebin.com/Du4sVr3p
Сейчас использую браузер Chrome, тулбар перестает вставляться при включении OpenVPN - это увидел теперь, но для полной уверености нужно время на проверку. Всю информацию оставил в пасте, ...

[taurus90]

@icCE: Жесть какая-то. Проблемы не видел. Наверное все-таки кэш у оперы не до конца очищается ? ох...

[taurus90]

@icCE: спасибо)

[Vladimir Zhurkin]

@Taurus90 я бы вам посоветовал бы еще поднять свой dns сервер и использовать его. На нем к примеру прописать адрес toolbar на вашу страницу пустую, и все остальные такие подозрительные вещи. Самый простой это dnsmasq (он же DHCP, но вам оно не надо),PDNS recursor и Unbound. Что использовать решать вам.

Answer 1

[АртемЪ]

Если вы настроили шифрование то OpenVPN однозначно шифрует трафик.
А даже если бы и не шифровал, билайн все равно бы никак не смог модифицировать тарфик внутри VPN тоннеля, даже не шифрованного. Т.е технически это возможно в случае нешифрованного но сильно уж сложно и ресурсоемко.

Скорее всего те страницы которые обращаются к тулбару были взяты из кэша, а в кэш они попали до включения тоннеля.
Есть еще вариант, менее вероятный, - установленная надстройка к браузеру, это конечно уж совсем наглость, но учитывая какие фокусы ОпСОСы творят пытаясь заработать лишнюю копейку я бы тоже не стал полностью исключать такую вероятность.

В общем проверить просто - почистите кэш, или в идеале поставьте другой браузер, и ходите через него только с поднятым тоннелем.

Comments

[taurus90]

Чувствую себя неловко :) Действительно, на данный момент объяснение только одно - я видел кешированные страницы. Проверка WireShark'ом показала что трафик действительно зашифрован.

Answer 2

[oia]

m.geektimes.ru/post/76663