VPNを使用せずにTLSを介してすべてのWebトラフィックをリダイレクトする

私はそれを考え出した。 ：Dこのソリューションは、私の要件のallを満たし、私の目標のallを完全に満たしています。これを達成するために必要な間接参照のレベルを考慮すると、パフォーマンスもそれほど悪くはありません。

したがって、一般的なアプローチは次のとおりです。

1. ローカル認証局（CA）をセットアップし、RSA「サーバーキー」と「クライアントキー」を生成します（私は256ビット暗号化を使用しました）。このために、私は Easy-RSA バージョン3.0.0-rc2を使用しました。

2. 「DebianBox」（パブリックインターネット上のサーバー）で任意のbog標準HTTPプロキシを実行し、localhostのみでリッスンするようにします（パブリックインターネットに公開しないでください）。私の目的では Privoxy を使用しましたが、Squidも同様に機能します。ローカルホストでのみリッスンしているため、認証は必要ありません（信頼できないプロセスがボックスで実行されている場合を除きます。その場合、yikes ...）

3. stunnel をダウンロードして、クライアントとサーバーの両方にインストールします。これを行うプロセスはOS固有になります。私の場合、Windows用のソース（パラノイア...）からstunnelをコンパイルすることを選択しました。これは、ここでは詳しく説明しませんが、かなり複雑なプロセスでした。サーバー側では、パッケージマネージャーで利用可能でした:)

4. Stunnelの構成は最初はかなり気が遠くなるようなものでしたが、見た目よりも単純です。基本的に、サーバーには、以下の「サーバーのstunnel.conf」のようなものが必要です。クライアントでは、以下の「クライアントのstunnel.conf」のようなものが必要です。

5. Privoxyを起動します。サーバーでstunnelを起動し、構成ファイルをポイントします。クライアントでstunnelを起動し、構成ファイルをポイントします。 Privoxyの設定について特別なことは何もありません。デフォルトは私にとっては問題ありませんでした。

6. クライアント側で選択したブラウザであるFirefoxでは、HTTPおよびHTTPSプロキシを、クライアントのstunnelがリッスンしているポートと同じになるように設定します（おそらくlocalhost：8080など）。

ローカルネットワークのプロキシが何らかの認証を要求する場合は、stunnelを使用して認証するか、anotherローカルインターセプトプロキシを使用してそれらをチェーンする必要があることに注意してください。 Firefox-> stunnel->ローカル認証プロキシ-> LANプロキシ/ゲートウェイ->インターネット->サーバーのstunnel-> privoxy。

それはたくさんのコピーですが、うまくいきます！

;This is the *client's* stunnel.conf.
[https]
accept = localhost:9020
connect = your.lan.proxy:80
client = yes
protocol = connect
;protocolHost should be the same as the "accept" for the server
protocolHost = 1.2.3.4:443
;Same CAfile, different cert and key pair
CAfile = ca.crt
cert = client.crt
key = client.key
;VERY IMPORTANT!!! Make sure it's really your server and not a MITM attempt by your local network by making sure that the certificate authority "ca.crt" really signed the server's cert
verify = 2
;More performance tweaks...
sessionCachetimeout = 600
sessionCacheSize = 200
TIMEOUTidle = 600

。

;This is the *server's* stunnel.conf.
[https]
;1.2.3.4 is a publicly-routable, static IP address that can be connected to by your box that's under the firewall
accept = 1.2.3.4:443
;localhost:8118 is an example of where your local forwarding HTTP(S) proxy might reside.
connect = localhost:8118
CAfile = ca.crt
cert = server.crt
key = server.key
;VERY IMPORTANT!!! Without this, anyone in the world can use your public stunnel port as an open proxy!
verify = 2
;Set some timeouts higher for performance reasons
sessionCacheTimeout = 600
sessionCacheSize = 200
TIMEOUTidle = 600

すべてが構成されると、最終結果は次のようになります。

1. Webブラウザはlocalhost:9020（stunnel）に接続し、HTTPおよび/またはHTTPS接続を受け入れることができるプロキシのように扱います。
2. Stunnelがブラウザから接続を取得すると、ファイアウォールのプロキシ/ゲートウェイを介して、リモートサーバーとのTLSセッションを確立します。 この時点で、クライアントはサーバーのPKI証明書を検証し、その逆も同様です。
3. リモートサーバーとのTLSセッションが確立されると、stunnelはブラウザからのデータを渡します。ローカルプロキシを介してサーバーに直接送信されるHTTPリクエストまたはSSLトンネルリクエスト。このチャネルは暗号化されているため、ローカルネットワークはデータに何が含まれているかを知ることができず、トラフィック分析を行うことによってのみ推測できます。
4. 実行中のstunnelインスタンスサーバー上がデータの受信を開始すると、たとえば、 localhost:8118。これは、HTTP（S）プロキシサーバー（私の場合はPrivoxy）がリッスンしている場所です。
5. Privoxyは、通常の転送HTTPプロキシサーバーのように機能し、サーバーのISPを介してパブリックインターネットにリクエストを転送します。

関係するソケットとバッファの量により、このメソッドのオーバーヘッドは非常に高くなります。特に、プロキシを介してSSL接続をネストしている場合は、しかしには利点がありますローカルネットワークには、SSL経由でアクセスしていることを知る方法がないことどのサイト。つまり、サーバーにアクセスしていることはわかっていますが、それ以外は、GmailやSuperUserなどにアクセスしているかどうかはわかりません。また、ローカルゲートウェイには、フィルタリングやブロックを行う方法がありません。