W internecie trwa wieczna debata: jedni mówią „zawsze używaj VPN z Torem”, drudzy – „VPN z Torem to nonsens”. I obie strony mają rację. Bo odpowiedź brzmi: to zależy od Twojej sytuacji. W tym artykule rozłożę na czynniki pierwsze strategię łączenia VPN z siecią Tor. Pokażę Ci, kiedy ma sens, kiedy jest zbędna i co jest lepszą alternatywą. A na koniec pokażę coś, co możesz zrobić zamiast płacenia za VPN – postawić własny relay Tor i stać się częścią sieci, która chroni prywatność milionów ludzi.
Jak działa konfiguracja Tor + VPN?
Kiedy łączysz się z siecią Tor bez VPN, Twój dostawca internetu (ISP) widzi, że nawiązujesz połączenie z węzłem Tor. Nie widzi, co robisz ani dokąd zmierzasz, ale wie, że korzystasz z Tora. Adresy węzłów wejściowych (entry nodes) są publiczne, więc ISP może je rozpoznać.
Kiedy dodajesz VPN przed Torem (tzw. Tor over VPN), Twój ISP widzi tylko połączenie z serwerem VPN. Nie wie, że za tym VPN-em kryje się sieć Tor. Z jego perspektywy korzystasz po prostu z VPN-a i tyle.
Brzmi jak oczywista poprawa bezpieczeństwa? Nie zawsze.
CYBERGURU • ZAMKNIĘTY KANAŁ
Krąg zaufanych.
Społeczność OSINT i DARKINT
Koniec z domysłami z forów i sprzecznymi poradami z czatów AI. Wchodzisz tam, gdzie praktycy weryfikują źródła, rozkładają realne case’y na czynniki pierwsze i robią to anonimowo.
Wejście pod pseudonimem · bez podawania prawdziwych danych
Kiedy VPN z Torem ma sens?
|
Sytuacja |
Czy VPN jest potrzebny? |
Dlaczego? |
|
Mieszkasz w kraju z cenzurą (Rosja, Iran, Chiny, Korea Płn.) |
Tak lub mostki |
ISP może blokować Tor lub raportować jego użycie rządowi |
|
Twój ISP aktywnie monitoruje i raportuje ruch Tor |
Tak lub mostki |
Ukrycie faktu korzystania z Tora przed dostawcą internetu |
|
Korzystasz z publicznego WiFi (hotel, kawiarnia) |
Warto rozważyć |
Dodatkowa warstwa szyfrowania na niezaufanym łączu |
|
Przeglądasz darknet z ciekawości, uczysz się |
Nie |
Sam Tor + maszyna wirtualna wystarczą |
|
Robisz OSINT, analizę zagrożeń |
Nie (zazwyczaj) |
VM + Tor Browser w trybie „Najbezpieczniejszy” to wystarczający setup |
|
Publicznie mówisz o darknecie (blog, szkolenia) |
Nie |
Twoja aktywność jest publiczna, VPN nic tu nie zmienia |
Podsumowanie jest proste: około 90% osób, które czytają ten artykuł, nie potrzebuje VPN do korzystania z darknetu. Wystarczy im bezpieczne środowisko (maszyna wirtualna lub Tails OS), Tor Browser i zdrowy rozsądek.
Mostki Tor – alternatywa dla VPN
Jeśli Twoim problemem jest ukrycie faktu korzystania z Tora przed ISP, to zamiast VPN możesz użyć mostków (bridges). Mostek to niepubliczny węzeł wejściowy do sieci Tor – jego adres IP nie jest na żadnej publicznej liście, więc ISP nie rozpozna, że łączysz się z Torem.
Mostki konfigurujesz bezpośrednio w Tor Browserze: w ustawieniach połączenia wybierasz „Użyj mostka” i podajesz adres mostka (możesz go uzyskać na bridges.torproject.org) lub korzystasz z wbudowanych mostków obfs4, które dodatkowo maskują ruch.
Dla większości scenariuszy, w których „VPN + Tor” miał sens, mostki są lepszym rozwiązaniem, bo nie wprowadzają dodatkowego pośrednika (dostawcy VPN), któremu musisz zaufać.
POZNAJ CYBERAKADEMIĘ
Skoro już tu jesteś - rozwiń swoje cyberumiejętności!
Podstawy cyberbezpieczeństwa w przystępnej formie. Dowiedz się, jak chronić siebie i swoich bliskich w internecie – od bezpiecznych haseł, przez rozpoznawanie phishingu, po ochronę prywatności online. Idealny start dla początkujących.
DarkINT to praktyczny kurs wejścia na Darknet od zera. Krok po kroku budujesz bezpieczne środowisko, tworzysz tożsamość operacyjną, konfigurujesz komunikację i uczysz się poruszać po ukrytych społecznościach – bez teorii na sucho, z pełną symulacją na koniec.
Zamiast płacić za VPN – postaw relay Tor
Jest coś, co możesz zrobić zamiast wydawania pieniędzy na VPN: stać się częścią sieci Tor. Każdy relay Tor, każdy węzeł pośredni, jest prowadzony przez wolontariusza. Im więcej relay’ów, tym szybsza i bezpieczniejsza jest sieć dla wszystkich.
To nie jest tylko altruistyczny gest. Prowadzenie relay’a daje Ci praktyczną wiedzę o tym, jak działa sieć Tor od środka – coś, co przydaje się w cyberbezpieczeństwie, OSINT i threat intelligence.
Jaki typ relay’a możesz postawić?
|
Typ |
Rola w sieci Tor |
Ryzyko |
Czy polecam? |
|
Guard (strażnik) |
Pierwszy węzeł – zna IP użytkownika, nie zna celu |
Niskie |
Tak, po zdobyciu zaufania |
|
Middle relay (przekaźnik) |
Środkowy węzeł – nie zna ani nadawcy, ani celu |
Minimalne |
Tak – idealny na start |
|
Exit node (wyjściowy) |
Ostatni węzeł – widzi cel, ruch wychodzi z jego IP |
Wysokie (abuse complaints, policja) |
Nie na własną rękę |
|
Bridge (mostek) |
Niepubliczny węzeł wejściowy |
Niskie |
Tak, pomaga użytkownikom w krajach z cenzurą |
Middle relay to najlepszy punkt startowy. Nie widzisz ani kto wysyła, ani dokąd – Twoje ryzyko jest minimalne. Exit node to zupełnie inna sprawa: ruch wychodzi z Twojego IP, więc wszelkie nadużycia (a w sieci Tor zdarzają się) będą wyglądały, jakby pochodziły od Ciebie. Nie stawiaj exit node’a, chyba że wiesz dokładnie, co robisz.
Krok po kroku: Tor relay na DigitalOcean
Wymagania Tor relay (middle/guard)
Oficjalne wymagania z dokumentacji Tor Project:
|
Parametr |
Minimum |
Rekomendowane |
|
Łącze |
10 Mbps |
16+ Mbps |
|
Transfer miesięczny |
100 GB |
2 TB+ |
|
RAM |
512 MB |
1 GB+ |
|
Dysk |
200 MB |
– |
|
Połączenia TCP |
7 000 |
– |
|
Uptime |
2h minimum |
24/7 |
|
Publiczny IPv4 |
Wymagany |
– |
Krok 1: Tworzenie dropleta
Zakładasz konto na DigitalOcean. Tworzysz nowy droplet: Ubuntu 24.04, Amsterdam (lub inna lokalizacja), najtańszy plan z SSD (~6 USD/miesiąc). Dodajesz swój klucz SSH.
Uwaga: DigitalOcean jawnie zabrania w swoim AUP (Acceptable Use Policy) prowadzenia exit node’ów Tor. Middle i guard relay’e są dozwolone.
Krok 2: Instalacja Tor
Łączysz się z serwerem przez SSH i instalujesz Tor:
ssh root@[adres-IP-dropleta]
apt update && apt install tor -y
Krok 3: Konfiguracja torrc
Edytujesz plik konfiguracyjny:
vim /etc/tor/torrc
Kluczowe parametry:
Nickname TwojaNazwa
ContactInfo
ORPort 9001
SocksPort 0
ExitRelay 0
AccountingMax 800 GBytes
AccountingStart month 1 00:00
ControlPort 9051
Nickname – nazwa Twojego relay’a (widoczna publicznie w sieci Tor).
ContactInfo – adres email (rekomendowany alias, nie główna skrzynka).
ORPort 9001 – port, na którym relay nasłuchuje połączeń.
SocksPort 0 – wyłączenie proxy SOCKS (nie chcesz, żeby ktoś korzystał z Twojego serwera jako proxy).
ExitRelay 0 – najważniejsze: nie jesteś exit nodem.
AccountingMax – limit transferu miesięcznego (żeby nie przekroczyć limitu u dostawcy).
ControlPort 9051 – port do monitorowania relay’a.
Krok 4: Uruchomienie i monitoring
systemctl enable tor
systemctl restart tor
systemctl status tor
Jeśli status pokazuje „active (running)” – relay działa. Instalujesz nyx do monitorowania:
apt install nyx -y
nyx
Nyx pokaże Ci w czasie rzeczywistym: nickname relay’a, adres IP, port, zużycie CPU, uptime, ilość przesłanych danych, przychodzące połączenia i flagi (status w sieci Tor).
Co dalej? Zdobywanie zaufania
Nowy relay zaczyna z flagą „Running” i „Valid”. Z czasem, jeśli działa stabilnie 24/7, zdobywa kolejne flagi: „Fast”, „Stable”, a po kilku tygodniach – „Guard”. Cały cykl życia nowego relay’a jest opisany w dokumentacji Tor Project pod hasłem „lifecycle of a new relay”.
FAQ – najczęstsze pytania
1. Czy 90% ludzi naprawdę nie potrzebuje VPN do darknetu?
Tak – jeśli mieszkasz w kraju bez cenzury internetu (np. w Polsce), Twój ISP widzi, że łączysz się z Torem, ale nie ma z tego żadnych konsekwencji prawnych. VPN dodaje warstwę ukrywania tego faktu, ale dla większości osób to zbędna komplikacja. Maszyna wirtualna + Tor Browser to wystarczający setup.
2. Czy prowadzenie middle relay jest bezpieczne?
Tak. Middle relay nie widzi ani nadawcy, ani odbiorcy ruchu. Z Twojego IP nie wychodzi żaden ruch do stron docelowych (to robi exit node). Ryzyko prawne jest minimalne. Tysiące wolontariuszy na świecie prowadzą middle relay’e bez problemów.
3. Ile kosztuje prowadzenie relay’a?
Najtańszy droplet na DigitalOcean to około 6 USD miesięcznie. Jeśli masz w domu serwer, Raspberry Pi lub nieużywaną maszynę – możesz postawić relay za darmo (płacisz tylko za prąd i internet, który i tak masz).
4. Czym mostek (bridge) różni się od VPN w kontekście Tora?
Oba ukrywają przed ISP fakt, że korzystasz z Tora. Różnica: VPN to usługa zewnętrznej firmy, której musisz zaufać. Mostek to niepubliczny węzeł sieci Tor – działa wewnątrz ekosystemu Tor, bez dodatkowego pośrednika. Dla większości scenariuszy mostek jest lepszym rozwiązaniem.
5. Czy DigitalOcean pozwala na Tor relay?
Tak, middle i guard relay’e są dozwolone. Exit node’y są jawnie zakazane w regulaminie (Acceptable Use Policy) DigitalOcean. Inne dostawcy akceptujące non-exit relay’e to Hetzner, Scaleway i BuyVM.
O autorze
Od ponad 15 lat pracuję w branży IT, a od 2018 roku zawodowo zajmuję się cyberbezpieczeństwem, analizą incydentów i testami penetracyjnymi.
Na co dzień mam do czynienia z prawdziwymi danymi, realnymi zagrożeniami i sytuacjami, w których błędne założenie kosztuje czas, pieniądze albo bezpieczeństwo. To doświadczenie bardzo mocno ukształtowało mój sposób myślenia – i dokładnie ten sposób myślenia chcę Ci przekazać w Cyberdetektywie.
Ten kurs powstał dlatego, że przez lata widziałem, jak wiele problemów bierze się z braku umiejętności weryfikowania informacji, łączenia faktów i odróżniania danych od domysłów. W pracy z incydentami i bezpieczeństwem bardzo szybko wychodzi na jaw, kto potrafi analizować sytuację, a kto tylko zgaduje – i ta różnica jest kluczowa również poza światem IT w zupełnie prywatnych warunkach.
Cyberdetektyw nie jest kursem teoretycznym ani zbiorem efektownych trików. To próba przeniesienia podejścia znanego z cyberbezpieczeństwa i pentestów do świata OSINT-u. Pokażę Ci nie tylko narzędzia i techniki, ale przede wszystkim tok myślenia, który wykorzystuję w swojej pracy.