XMPP s2s скрытый сервер.

[Pendalf]

В общем вопрос, как обстоят дела с s2s в джабере? Обычно сервак имеет доменное имя 2го уровня и зеркало в тор.
Как я понимаю, для s2s требуется сертификат для TLS протокола, а получить не самоподписанный сертификат на онион домен не возможно. Да и клирнет сервера не резольвят onion адреса.
У просоди есть модуль, для мапинга доменных имен с onion адресами, но скорее всего s2s не будет работать через тор, так как запрещен. Хотелось бы не светить IPv4 адрес сервера, но чтоб-бы работало s2s и можно было писать юзерам.
Какого-то очевидного решения кроме проксирования я не вижу. Есть идеи?

 

[Джедай]

В общем вопрос, как обстоят дела с s2s в джабере? Обычно сервак имеет доменное имя 2го уровня и зеркало в тор.
Как я понимаю, для s2s требуется сертификат для TLS протокола, а получить не самоподписанный сертификат на онион домен не возможно.

Почему невозможно? Фсбук же получил его, значит возможно

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Да и клирнет сервера не резольвят onion адреса.
У просоди есть модуль, для мапинга доменных имен с onion адресами, но скорее всего s2s не будет работать через тор, так как запрещен. Хотелось бы не светить IPv4 адрес сервера, но чтоб-бы работало s2s и можно было писать юзерам.
Какого-то очевидного решения кроме проксирования я не вижу. Есть идеи?

А зачем вообще всё это нужно? Не проще ли использовать токс или bitmessage, если нужна такая секретность?

Сообщение обновлено: 4 Фев 2022

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Дороговато правда за EV будет, но все-таки возможно

 

[Pendalf]

Дороговато правда за EV будет, но все-таки возможно

Это не совсем то. Нам бы типа let's encrypt
Вот нарыл статейку

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Вот регистратор

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

30 баксов в год.
Летс энкрипт вроде ведут проект по сертификатам для onion

Но все равно проблему резольвинга мы не решаем никак. Домен нужен в клирнете для коннекта.
Вот есть для просоди скрипт 2018 года. Но это в ручную надо добавлять домены. И вряд ли кто добавит твой домен. Да и толку то?

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[Genryl]

В общем вопрос, как обстоят дела с s2s в джабере? Обычно сервак имеет доменное имя 2го уровня и зеркало в тор.
Как я понимаю, для s2s требуется сертификат для TLS протокола, а получить не самоподписанный сертификат на онион домен не возможно. Да и клирнет сервера не резольвят onion адреса.
У просоди есть модуль, для мапинга доменных имен с onion адресами, но скорее всего s2s не будет работать через тор, так как запрещен. Хотелось бы не светить IPv4 адрес сервера, но чтоб-бы работало s2s и можно было писать юзерам.
Какого-то очевидного решения кроме проксирования я не вижу. Есть идеи?

Я видел жабы с тор адресом.

 

[Pendalf]

Я видел жабы с тор адресом.

Их много. Вопрос не в этом.

 

[Pendalf]

тебя вопрос безопасности интересует

Именно, не палить айпи сервака. При этом иметь связь с другими серверами.

 

[Pendalf]

какую задачу ты хочешь решить этим сертификатом?
или ты просто за принципиальную возможность спрашиваешь?

Ну смотри, вроде на пальцах все показал, может как-то не так объясняю.

Вариант 1
Берем VPSку за натом или с белыйм айпи, стартуем на нем Тор и сервисы тора, запускаем сервак XMPP, получаем досупный только в onion жабер сервак. Ну классно, свой жабер сервак, допустим blablabla.onion. Пытаемся написать на [email protected] со своего клиента user1@blablabla@onion. Наш сервак пытается сконнектится с xmpp.jp по s2s, но так как его айпишник допустим торовский, и все завернуто в тор на нашем серваке, то отрезольвить его xmpp.jp не сможет и коннект не состоится.
Теперь сертификат, он нам ничего не даст, кроме шифрования по TLS, опять же, в сертификате прописан домен, и думаю если домен не совпадет с айпи по DNS, то скорее всего коннект будет отвергнут.
Теперь с другой стороны заглянем, нам пишет [email protected] на наш user1@blablabla@onion сервак пытается отрезольвить blablabla.onion и если админ не настроил выход в тор, то домен blablabla.onion не будет найден, соответсвенно хрен что выйдет.


Я вот сталкиваюсь с тем, что некоторые серваки друг-друга не видят в клирнете. Например xim.ca не может связаться с 404.city

Вариант 2
Делаем сервак в клирнете с белым IP со всеми вытекающими соответственно. Проблем с s2s нет. Можем и сертификаты навесить. Но будет известно местоположение сервака.
Здесь появляется куча проблем с компроментацией этого сервера, которые я и хотел бы избежать.

 

[Pendalf]

ты хочешь сделать сервак в onion, но с выходом в клир. надо будет всё равно доменное имя клировское отдельно присваивать. логика +- такая же, как у рутора, который полностью стоит в онион, но через шлюзы может собирать коннекты клира.

Да, и сертификаты тут не помогут. Уязвимость сервера, либо проксирование или впн. Я к этому логически пришел давно, но вот интересовался, может что-то новое появилось.

 

[Undestiny]

В теории можно так: берем сервер онион с jabber, внутри создаем модуль или решение стороннее, которое будет соотносить юзеров нашего сервера и некоего другого чужого(при их отсутствии регистрировать их, при занятости добавлять, предположим цифру). То есть vasya.onion = vasya@neko. Взаимодействие с этим сервером делать через тор, как обычный КЛИЕНТ jabber. Таким образом люди которые будут получать сообщения в клирнете будут их получать с этого клиентского сервера(чужого, но с связанной с нашим учеток). Ответ же будет транслироваться обратно через тор в обычный сервер onion. Тогда палится лишь клирнет сервер(но он и так чужой).

 

[Pendalf]

UP

s2s с обязательнымм TLS сертификатами не работает с большинством публичных серверов.
Так что ваши сообщения летают открытым текстом между серверами.
С сертификатами для ТОР в этом случае все плохо, да и вообще все плохо с ТОРом в жабе. Сервера не могут отрезольвить ТОР домен, и s2s сдыхает. Так что сделать скрытым в IPv4 и доступным для s2s через ТОР XMPP сервер не выйдет, сервер может обслуживать клиентов из ТОР сети, но должен иметь домен, и работать без обязательного коннеста s2s через TLS сертификаты, иначе он не будет работать с другими серверами.