Мениджърът на VPN клиент не се свързва. SoftEther VPN - преминаване през „огнената стена“. Свързване на клиенти към SoftEther VPN сървър
Има два начина за свързване на мрежи с помощта на SoftEther VPN.
1) Мостова връзка, при която мрежите се обединяват в един Ethernet сегмент. Тази опция е неудобна, защото... ако и двете мрежи имат услуги, които изискват едно копие, това ще доведе до конфликти (например DHCP). Освен това, ако има много възли в мрежата, тогава ще има увеличение на излъчвания трафик.
2) Вторият метод се основава на първия. Но тук се създава виртуален OSI слой 3 превключвател, който управлява трафика между мрежите. Създава се и допълнителен виртуален хъб (концентратор), към който се свързва отдалечената мрежа. От минусите: протоколите за динамично маршрутизиране не се поддържат, протоколът IGMP не се поддържа, статичните маршрути трябва да се регистрират на възли със споделени ресурси.
Тази статия разглежда втория метод.
Предимството на тази схема е, че няма нужда да харчите пари за скъпи рутери с VPN, а параноичните хора не трябва да използват пропускащия PPTP протокол. Включих компютъра - и връзката се установи автоматично, ако компютърът от другия край също беше включен. Ефективността на комуникацията зависи от скоростта на вашия интернет канал (включително производителността на маршрутизирането на рутера) и мощността на процесора на компютъра, т.к. Именно те криптират трафика.
Имаме две мрежи с централни възли под формата на рутер с DHCP сървър и WAN. Трябва да инсталирате SoftEther VPN сървър на компютър в една мрежа и SoftEther VPN Bridge в друга мрежа.
Инсталиране на VPN сървър на Windows
Инсталирането на SoftEther VPN сървър е доста просто. Ще го илюстрирам със снимки с малки коментари. Изтеглете разпространението на SoftEther VPN сървър от официалния уебсайт и го стартирайте.
Изберете опцията за инсталиране - VPN сървър и щракнете върху „Напред“.
След това приемаме условията на споразумението и избираме стандартната инсталация.
След стартиране на VPN сървъра ще се появи прозорецът за администриране, щракнете върху бутона „Свързване“. Задайте парола на администратора на сървъра.
Посочете типа на сървъра - Site-to-Site VPN сървър. (Център)
След това динамичната DNS функция е конфигурирана, щракнете върху Изход. По-късно можете да го деактивирате, като промените реда в конфигурационния файл на: “declare DDnsClient ( bool Disabled true “ .
След това трябва да посочите физическа мрежова карта, за да свържете виртуалния хъб към локалната мрежа. Връзката се осъществява на OSI слоя за връзка с данни, така че виртуалният хъб не получава никакъв IP адрес в мрежата. Някои рутери обаче може да забележат появата на IP адреса на подмрежата 172.31.0.0/16 в локалната мрежа. Този адрес се използва за проследяване дали ARP записите съвпадат с IP адреси или нещо подобно.
След това ще бъдете помолени да конфигурирате L2TP достъп и да активирате Azure VPN. Нека пропуснем тези стъпки, защото... те не участват в тази схема. Azure VPN може да бъде деактивиран, ако имате бял IP. Ако адресът е сив, тогава не го деактивирайте и използвайте адреса на домейна на Azure VPN вместо IP.
Настройка на VPN сървър
След като завършим първоначалната настройка, стигаме до прозореца за администриране на сървъра. Първо, нека премахнем ненужните портове (всички с изключение на 5555 - той се използва за връзка с административния панел). Задаваме някакъв нестандартен TCP порт за слушане, например 7710. Ако нямате бял IP адрес, тогава за да използвате Azure VPN, трябва да слушате порт 443.
Сега трябва да създадете втори виртуален хъб, към който ще се свърже отдалечената мрежа. За да създадете втори хъб, щракнете върху бутона „Създаване на виртуален хъб“. Да го наречем например с номера на отдалечената мрежа - 12. Няма нужда да създаваме Локален мост в този виртуален хъб.
След това изберете хъб 12 и щракнете върху „Mange Virtual Hub“, след това върху „Manage Users“, създайте потребител за отдалечената мрежа. Нека го наречем „Мрежа 12“, вместо парола ще използваме самоподписан сертификат с частен ключ.
Кликнете върху „Създаване на сертификат“ и попълнете реда „Общо име“.
Изберете формата на сертификата - X509 (сертификатът отделно, частният ключ отделно).
Запазеният сертификат и частният ключ ще трябва да бъдат заредени в клиента на SoftEther VPN Bridge.
След това трябва да отворите порт в рутера - същият, който сървърът слуша, и да настроите излъчване на порт към компютъра със сървъра. Можете да прочетете повече за това как да отваряте портове в тази статия. .
Например в pfSense правилото за отваряне на порт изглежда по следния начин. pfSense - когато създава правило за NAT, автоматично създава правило за защитната стена. Други рутери може да не правят това, така че трябва да създадете и двете правила ръчно.
Освен това защитната стена на двата рутера трябва да позволява трафик между мрежите. За да позволи преминаването на всякакъв трафик, правилото ще изглежда така:
Ако на вашите компютри е активирана защитна стена, трябва също така да разрешите преминаването на трафика за желаната мрежа.
След това трябва да създадете виртуален рутер. Щракнете върху бутона „Layer 3 Switch Settings“, създайте нов виртуален рутер и щракнете върху бутона „Edit“. След това трябва да създадете виртуални интерфейси за всеки хъб. За хъб с име 10 създаваме интерфейс с адрес 192.168.10.100, за хъб с име 12 - 192.168.12.100. Можете да измислите свои собствени адреси, основното е те да не са заети и всеки да принадлежи към собствената си подмрежа. Разработчиците уверяват, че не е необходимо да добавяте маршрути, но е по-добре да ги добавите за всеки случай. За да стартирате рутера, натиснете бутона "Старт".
Настройка на VPN клиент
Стартираме инсталирането на SoftEther VPN сървър и избираме опцията за инсталиране на SoftEther VPN Bridge. Продължавайте да щракнете върху „Напред“, след което задайте администраторската парола.
На тази стъпка посочваме мрежовата карта, за да създадем мост с локалната мрежа.
След това стигаме до контролния панел на SoftEther VPN Bridge. Както можете да видите, много функции са деактивирани в този режим.
След това трябва да създадете каскадна връзка към SoftEther VPN сървъра. Щракнете върху „Mange Virtual Hub“, след това върху „Mange Cascade Connection“ и попълнете информацията за връзката.
Име на настройките - име на връзката.
Име на хост - бял IP адрес или DDNS име на домейн на мрежовия рутер, където е инсталиран сървърът. Ако нямате бял IP адрес, тогава използвайте услугата Azure VPN и напишете името на домейна, получено в тази услуга (vpn123456789.vpnazure.net). Мисля, че е ясно, че без бял IP адрес няма нужда да отваряте портове на рутера.
Номер на порта - портът, който сървърът слуша.
Име на виртуален хъб - името на виртуалния хъб на сървъра.
User Authentication Settings - настройки за удостоверяване на потребителя. Тъй като решихме да използваме самоподписан сертификат вместо парола, избираме реда „Удостоверяване на клиентски сертификат“. Пишем потребителското име (в примера е Network 12). Щракнете върху „Посочване на клиентски сертификат“, качете сертификата и частния ключ за шифроване.
Сега трябва да конфигурирате параметрите на връзката - щракнете върху „Разширени настройки“. Тук трябва да зададете броя на TCP връзките; за широколентова връзка се препоръчва 8.
Настройка на маршрутизиране
Настройката се състои в регистриране на статични маршрути в рутери на двете подмрежи.
На рутер 192.168.10.1 (виж диаграмата) регистрираме маршрут към мрежа 192.168.12.0. Ще изглежда така: 192.168.12.0 mask 255.255.255.0 gateway 192.168.10.100.
На рутера 192.168.12.1 регистрираме маршрута към мрежата 192.168.10.0: 192.168.10.0 маска 255.255.255.0 шлюз 192.168.12.100.
За по-сигурно рестартирайте компютъра и рутера.
Достъп до споделени папки чрез SoftEther VPN
След горните настройки всички компютри в мрежата трябва нормално да се „пингват“ един към друг (освен ако това не е забранено от защитната стена). Не е възможно обаче достъп до споделени папки на Windows. Този проблем се решава чрез писане на статични маршрути директно на компютри със споделени ресурси. Стартирайте командния ред на Windows като администратор и напишете командата:
за компютри, разположени в мрежата 192.168.10.0:
route -p add 192.168.12.0 mask 255.255.255.0 192.168.10.100
за компютри, разположени в мрежата 192.168.12.0:
route -p add 192.168.10.0 mask 255.255.255.0 192.168.12.100
Това завършва настройката. За да анализирате маршрута на трафика, ви съветвам да използвате командния ред на Windows, командата pathping.
Моля, задавайте въпроси в коментарите.
Тези, които са готови да пожертват основната свобода за малко временна сигурност, не заслужават нито свобода, нито сигурност.
Свързване към SE VPN сървър с помощта на графичен мениджър
Стартираме помощната програма за графичен контрол и се свързваме със сървърната част. Ако се свързвате за първи път, не е необходимо да задавате парола. Системата ще ви помоли да го инсталирате в следващата стъпка.
Задаване на нова парола за сървъра
Създаване на нов потребител в SE VPN
Като малък бонус: SE VPN ви позволява да разрешите не само на един администратор да управлява сървъра, но също така и на редица лица за поддръжка. Можете да свържете отделни администратори към всеки виртуален хъб, които ще бъдат ограничени в настройките само до избрания хъб. Което е много полезно при създаване и поддръжка на големи мрежи, базирани на SE VPN.
Особености
Но SoftEther VPN, въпреки цялата си красота, също има функции, които трябва да бъдат разбрани, в противен случай могат да възникнат сериозни проблеми с конфигурацията. Първото нещо, което искам да отбележа идва именно от факта, че SE VPN работи в User Space. За средата на Windows забележката не е важна, но за Unix/Linux/MacOS стартирането на софтуер в потребителското пространство налага известно ограничение. Колкото и да се опитвате, няма да можете да стигнете до хост машината от тунела. Не, тунелът и всичко свързано с него ще работи. Но няма да имате достъп до компютър с VPN сървър през тунела. Не можете да направите нищо по въпроса, това е поведението на By Design. В този случай разработчиците препоръчват да инсталирате втори физически адаптер на хоста и да организирате тунел към него и едва след това да използвате вътрешно маршрутизиране, за да препратите трафика там, където трябва да бъде.
Предупреждение за безразборен режим
Друго ограничение е необходимостта от използване на т.нар. безразборен режим за мрежовия адаптер. В този режим мрежовият адаптер или по-скоро неговият софтуер няма да отхвърля мрежови пакети, които не са предназначени директно за този компютър, а ще ги предава за по-нататъшна обработка. Като цяло използването на безразборен режим не представлява нито проблем, нито заплаха. В „комутирана“ мрежа, а това са мнозинството в днешно време, вие не получавате пакети от други хора. Въпреки това, в случаите, когато се изисква най-висока производителност от мрежовия адаптер, безразборният режим не се използва. Но в този случай само едно приложение работи на самия компютър, например силно натоварен сървър на приложения или сървър на база данни.
Настройване на безразборен режим във Virtual Box
Коментарът за безразборния режим се отнася и за среди за виртуализация. За да работи SE VPN, трябва да активирате безразборния режим в настройките на виртуалната машина или нейната виртуална мрежова карта. Например в най-новите версии на VirtualBox безразборният режим е активиран в мрежовите настройки. В по-старите версии тази процедура се извършва чрез командния ред.
Когато настройвате SE VPN, много често проверявате функционалността на тунела просто като изпълните командата пингс адреса на колата от другата страна на тунела. Но тук има една особеност. Ако има машина с Windows от другата страна, тогава при създаване на L3 тунел, използващ различни мрежи, няма да е възможно просто да проверите неговата наличност. Факт е, че Windows по подразбиране, използвайки вградената защитна стена, забранява получаването и изпращането на ICMP пакети от мрежи, различни от тази, в която работи самата машина. Следователно ще трябва да си поиграете със защитната стена или политиките за сигурност.
Е, основното нещо, с което трябва да се справите, е, че когато се свързвате от мобилно устройство, трябва да запомните, че в този случай връзките са налични или чрез IPsec, или чрез OpenVPN. В момента няма внедряване на SoftEther VPN, което да работи на Android или iOS, поне не и официалните версии.
При инсталиране на SE VPN на операционна система Windows в системата се инсталират виртуални мрежови адаптери, с помощта на които SE VPN взаимодейства с външния свят. С помощта на стандартни инструменти на Windows можете да управлявате тези адаптери, например да премахвате или добавяте необходимите протоколи, да променяте настройките им. Важно е да не прекалявате, в противен случай могат да възникнат необясними проблеми при работа на SE VPN.
VPN-портал
Особено искам да се съсредоточа върху услугата и технологията VPN-Gate. VPN-Gate е партньорски продукт с SoftEther VPN. Работи изцяло върху SE технологии и е неразделна част от проекта. Но това е де факто, де юре те не са свързани по никакъв начин, освен че проектът VPN-Gate съществува под крилото на същия университет в Цукуба в Япония. VPN-Gate обединява доброволци от цял свят, за да осигури връзки чрез SE VPN на всички страдащи от страни с прекалено контролиран VPN трафик. Ако не можете да стигнете до някой от сайтовете, той просто е блокиран във вашата страна, тогава с помощта на VPN-Gate можете да стигнете до съдържанието му.
Скоростите, осигурени от доброволци, със сигурност не са толкова големи, но такъв достъп е по-добър от липсата на такъв. И всички, които се нуждаят от високоскоростен достъп чрез VPN, могат лесно да закупят платена VPN услуга в юрисдикцията, която ги интересува, тъй като всички кътчета на мрежата са пълни с такива предложения. За да се присъедините към „безплатния VPN облак“, както се нарича на сайта, трябва само да инсталирате SoftEther VPN на компютъра си и да поставите само една отметка. И вашият сървър ще стои наравно с други смелчаци, които разпространяват достъп до мрежата от своите сървъри. В крайна сметка, според законите на много страни, ако киберпрестъплението е извършено чрез такъв добър самарянин, тогава той може да действа като съучастник. От друга страна, трудно мога да си представя как някакъв брадат член на ISIS използва безплатен VPN облак от своя iPhone някъде насред сирийската пустиня и извършва ужасно престъпление.
Проектът VPN-Gate обаче поема много специфична роля в защитата на поверителността на гражданите. А всеки, който не е безразличен към затягането на винтовете в интернет, може да се присъедини към списъка с доброволци. Към момента на писане, февруари 2017 г., почти 9 хиляди доброволци предлагат услугите си за нерегламентиран достъп до мрежата чрез VPN облак безплатно. По време на съществуването на проекта потребителите успяха да изпомпват повече от 67 хиляди терабайта данни през „облака“ над 3 милиарда връзки, а списъкът с отбелязани държави включва 232 държави от.
Присъствието на Китай начело в класацията е съвсем оправдано. Ръководството на партията защитава гражданите от вредното влияние на YouTube, Facebook и Google. Но не мога да обясня първото място за Южна Корея. А САЩ са в челната тройка. Явно управлението на Обама и ексцесиите на NSA предизвикаха фурор в интернет. Русия е на 12-то място в класацията, Украйна е на 21-во място, пред Германия с точка, а Казахстан е на 34-то място.
Можете да се свържете към VPN-Gate VPN облака или чрез самия продукт SoftEther VPN, или можете да използвате услугите на OpenVPN, или да използвате стандартните L2TP/IPsec, MS-SSTP протоколи. Между другото, потребителите на Android или iPhone/iPad могат да използват стандартни инструменти, вградени в операционните системи, или да използват специализиран софтуер, който улеснява процеса на свързване към точки за разпространение във VPN-Gate, например този.
Защитата на данните тревожи все повече хора днес. Тенденциите не само не са обнадеждаващи, а просто са ужасяващи – дори телевизиите започват да ни следват. Най-сигурният начин е винаги да предполагаме, че някой ни слуша и да бъдем проактивно отбранителни. Можете да създавате SSH тунели и SOCKS необходимия трафик през тях, можете да използвате HTTPS, където е възможно, като инсталирате добавки за това. Най-подходящата технология за това обаче беше, е и ще бъде още дълго време.
Къде мога да получа VPN за сигурно свързване от различни устройства в движение и на обществени места? Лесен и бърз начин е да използвате една от многото услуги. Но от гледна точка на сигурността този метод повдига въпроси. Доброволното изпращане на вашия трафик през „чичото“ и дори плащането допълнително за него не е много сигурно. И с анонимността всичко не е толкова добро, голяма услуга ще ви предаде при първа заявка, просто помнете историята на HideMyAss и LulzSec. Малки сенчести компании могат сами да ви грабнат без никакви ограничения. Невъзможно е да се провери вътрешната работа на VPN услуга и да се разчита на гаранции, че не се водят регистрационни файлове, е наивно.
Какво остава за бедния параноик? Настройте VPN сървър сами, за щастие не ви трябва много, за да го направите. Доскоро най-подходящата реализация за вашия собствен сървър беше OpenVPN. Неговият забележим недостатък е доста сложната му настройка и неудобството към обикновения потребител. Само някой с опит в работата в мрежа може да го инсталира и конфигурира сам. Наличието на голям брой ръководства стъпка по стъпка в интернет не помага много на ситуацията. Освен това OpenVPN изисква достъп до TUN/TAP устройства на сървъра, така че не всеки VDS/VPS хостинг е подходящ за него. Въпреки това, наскоро беше открит мощен многопротоколен VPN сървър, SoftEther VPN, под лиценз GPLv2. На пръв, а дори и на втори поглед този сървър изумява с възможностите си.
Той има собствен SSL-VPN протокол, който е неразличим от обикновения HTTPS трафик (OpenVPN трафикът все още може да бъде разграничен с помощта на DPI). Декларира се поддръжка за L2TP/IPsec, MS-SSTP, OpenVPN, L2TPv3 и EtherIP, а за L2TP е посочена стриктна съвместимост с вградени клиенти в iOS и Android. Самият сървър има версии за Windows, Linux, OS X, FreeBSD и Solaris и, както е посочено на уебсайта, е оптимална алтернатива на OpenVPN и работи по-бързо.
Пълен списък на всички екстри можете да намерите на официалния уебсайт. Ще отбележа само основните характеристики. VPN сървърът може да се управлява изцяло чрез много сложен графичен интерфейс и това може да се направи от разстояние. Да, да, сега е възможно да поставите сървърната част на настолни компютри на Windows на Linux и да ги управлявате дистанционно от сладката GUI версия за Windows. SoftEther VPN има вграден NAT и DHCP сървър, тоест под Linux и FreeBSD вече не е необходимо да се занимавате с настройките на iptables и natd. По мое мнение създаването на ваша собствена VPN мрежа никога не е било толкова лесно за изпълнение. Патентованият SSL-VPN протокол може да работи през TCP, като се поддържат множество TCP сесии, UDP и дори ICMP.
нека опитаме
Нека разгледаме тази красота от практическа гледна точка. За да инсталираме, ще ни трябва Dedik или VDS/VPS; SoftEther VPN не изисква TUN/TAP устройства, за да работи, така че дори слабите опции с всякакъв тип виртуализация са подходящи. Инсталирането на сървърната част е доста просто. На страницата www.softether-download.com изберете дистрибуцията на SoftEther VPN сървър за желаната операционна система и архитектура (в *nix архитектурата на ОС може да бъде намерена с помощта на командата uname -m). Например, помислете за Linux като най-често срещаната опция на VDS. Изтеглете дистрибуцията на сървъра, като използвате всеки наличен метод, след което разопаковайте и инсталирайте:
Tar xzvf softether-vpnserver-v4.05-9416.tar.gz && cd vpnserver && make
Ще бъдем помолени да потвърдим, че сме прочели Лицензионното споразумение и сме съгласни с него. След което нашият SoftEther VPN сървър ще бъде инсталиран в тази директория и готов за стартиране. Документацията по избор препоръчва да го преместите в /usr/local/vpnserver, но няма разлика; можете да го стартирате дори от /var/tmp. Чуваш ли къде отивам? 🙂 Да стартираме
./vpnserver стартиране
Това е всичко, нашият собствен VPN сървър е готов и по подразбиране очаква нашата връзка на портове 443, 992, 1194 и 5555. Можете да управлявате сървъра чрез неговия конфигурационен файл или, което е много по-удобно, с помощта на помощни програми за управление. Можете да се свържете с него за управление с помощта на конзолната програма vpncmd, намираща се в същата директория, или с помощта на GUI за Windows, наречен SoftEther VPN Server Manager за Windows. Той е включен в SoftEther VPN сървър за Windows, но можете да го инсталирате отделно, като изберете необходимите квадратчета за отметка в инсталатора или изтеглите отделен ZIP архив от страницата за изтегляне. Нека го считаме за най-приятелски.
За да се свържем със Server Manager, ние посочваме хоста и порта (всеки от слушащите) на нашия сървър. Когато се свържем за първи път, ще бъдем помолени да зададем администраторска парола. Задайте паролата си и започнете настройката. Има смисъл да редактирате списъка с портове, за да не подкопавате очевидно присъствието на VPN на сървъра. Ще оставя само 443, а вие изберете по ваш вкус. SoftEther VPN поддържа така наречените виртуални хъбове, по същество отделни виртуални VPN сървъри, всеки със собствени администратори, VPN потребители, настройки и ACL политики. Създаваме такъв център, ако не съществува по подразбиране, и отиваме в неговите настройки, където трябва да създадем потребител в Управление на потребители. SoftEther VPN поддържа различни методи за удостоверяване, включително удостоверяване на сертификат, RADIUS и NT домейн. Като начало обичайното удостоверяване с парола е достатъчно за нас, така че просто задаваме потребителското име и парола. Можете също да разгледате Политиката за сигурност, където можете да ограничите ширината на канала на потребителя и да забраните други радости.
За да гарантираме, че потребителите, свързани към VPN, имат достъп до интернет, ние използваме NAT. Всички настройки се намират с помощта на съответния бутон в контекста на хъба; На този етап вече можете да се свържете със сървъра с помощта на SoftEther VPN клиента, който работи със собствен SSL-VPN протокол; За да се свържете чрез L2TP и L2TP/IPsec, трябва да ги активирате на сървъра; съответните опции се намират в IPsec / L2TP Settings. Поддръжката за OpenVPN клиенти е активирана по същия начин и в този случай SoftEther дори ще предложи генериране на .ovpn конфигурационен файл за OpenVPN.
Сега можете да се свържете с VPN както от настолни операционни системи, така и от мобилни устройства; инструкциите за настройка на връзката могат да бъдат намерени в интернет; те не се различават от обикновените. Ръководства с илюстрации също са достъпни на уебсайта www.softether.org. Време е да се почувствате като горд собственик на VPN сървър или дори, след като сте закупили дузина сървъри в различни страни, отворете своя собствена VPN услуга :).
Нетрадиционен VPN
Понякога се случва директната връзка между клиента и VPN сървъра да е трудна или невъзможна по някаква причина (локална мрежа, изходът от която е строго защитен на крайния рутер или сървърът няма външен IP и се намира зад NAT или има динамичен адрес). Често срещан случай е, че сме инсталирали VPN сървър у дома и искаме да се приберем през защитен канал, но проблемът е, че домашният ни доставчик не ни дава валиден IP адрес. Но никога не знаете по някаква причина може да няма пряка видимост към сървъра. И тук SoftEther VPN има какво да ни покаже. Патентованият SSL-VPN протокол има редица интересни техники за преодоляване на мрежовите бариери. Освен това те няма да изискват никакви усилия от нас, всичко работи буквално автоматично. В допълнение към обичайната поддръжка на SOCKS/прокси, която вече не е изненадваща след OpenVPN, SoftEther VPN може:
- DDNS услуга;
- NAT Traversal;
- VPN през ICMP;
- VPN през DNS;
- VPN Azure Cloud.
Ако сървърът няма постоянно IP или просто искаме удобство, SoftEther VPN любезно ще ни предостави домейн от трето ниво в домейна *.softether.net. Дори не е необходимо да се регистрирате, всичко, което е необходимо, е да изберете поддомейн по ваш вкус и той ще работи и ще се актуализира сам. Функциите за NAT проникване, ICMP и DNS тунелиране все още са слабо документирани и не могат да бъдат конфигурирани по никакъв начин. Следователно, за да сте сигурни, че работят, може да ви е необходим Wireshark. Въпреки това, дори по подразбиране всичко работи повече от перфектно. Техниката за заобикаляне на NAT Traversal успешно проникна в защитната ми стена на рутера, на който използвах правило за блокиране на изходящи пакети към VPN сървъра за тестване и не по-малко успешно успях да се свържа с VPN сървъра, който се намираше зад Full-Cone NAT . Проблемът с връзката с домашния сървър е решен за мен завинаги :). Струва си да се има предвид, че NAT Traversal изисква трети хост, който SoftEther VPN предоставя в момента.
В текущата версия не можете да повлияете коя техника ще се използва. SoftEther VPN Client ги изпробва един по един, ако директната връзка е неуспешна. Връзките се опитват към 137-ия и 53-ия порт на сървъра, NAT Traversal е активиран и се изпращат ICMP пакети. За VPN през ICMP се използва ICMP ECHO или по-просто обикновен ping.
Заключение
SoftEther VPN се развива много динамично и докато прочетете тази статия, функционалността може да стане още по-вкусна. Никога не е имало толкова мощно и в същото време приятелско решение с отворен код. Проектът определено заслужава внимание.
Колко скоро мога да ви заинтересувам, ако кажа, че тази статия ще говори за VPN сървър, който може да обработва L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP сървъри и също така има свой собствен протокол „SSL-VPN“, който е неразличим от обикновения HTTPS трафик (което не може да се каже за ръкостискането на OpenVPN, например), може да работи не само чрез TCP/UDP, но и чрез ICMP (като pingtunnel, hanstunnel) и DNS (като йод), работи по-бързо (съгласно към разработчиците) текущи реализации, изгражда L2 и L3 тунели, има вграден DHCP сървър, поддържа както режим на ядрото, така и режим на потребител NAT, IPv6, оформяне, QoS, клъстериране, балансиране на натоварването и толерантност към грешки, може да се изпълнява на Windows , Linux, Mac OS, FreeBSD и Solaris и е проект с отворен код под GPLv2?
Това е. Не можете да пропуснете това.
О-о, какво е това нещо?
Най-вероятно не сте чували за този проект преди. Факт е, че Daiyu Nobori (登大遊) започна да го разработва веднага след като отиде в университета Tsukubū, а PPTP не работеше от мрежата на кампуса. През 2003 г., когато беше на 18 години, той пусна първата версия на SoftEther и беше атакуван от японското правителство, което вярваше, че този проект може да се разглежда почти като зловреден софтуер, т.к. тя ви позволява да заобиколите защитните стени (OpenVPN току-що се появи по това време), а също така може да „навреди на имиджа на други VPN продукти“ и забрани разпространението на програмата. Той се опита да се обясни, но... заради това евентуално може да бъде изключен от университета, той не настоя много и премахна програмата от свободен достъп. Мина известно време и Mitsubishi Materials Corporation предлага да закупи SoftEther 1.0 от него и да подпише договор за 10 години (април 2004 г.-април 2014 г.), който дава на корпорацията правото да продава SoftEther и забранява на Daiyu Nobori да продава програмата и/или въз основа на него, но през март 2013 г. той започна да разпространява безплатно SoftEther и съвсем наскоро (4 януари 2014 г.) беше отворен под GPLv2. За съжаление все още има някои проблеми с авторските права, така че в SoftEther до април 2014 г. вероятно няма да е възможно да видите някои важни функции: Radius / Active Directory удостоверяване, RSA ключ удостоверяване, DoS защита, Source IP ACL, Syslog трансфер и Deep - инспектиране на регистриране на пакети.Описание
Малко повече подробности за възможностите на сървъра:- Много виртуални центрове. Тези. не всяко сървърно копие обслужва само своите клиенти, но всичко е в рамките на един сървър.
- Тунели за отдалечен достъп (клиент към LAN) и от сайт към сайт (комбиниране на две или повече LAN мрежи в една).
- Поддържа L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP и собствен протокол
- VPN чрез ICMP и чрез DNS (само чрез собствен протокол)
- Динамично преминаване на DNS и NAT чрез безплатно препредаване ( да, да, можете да настроите VPN сървър със сив IP!)
- Сеч
- Вградена защитна стена
- Поддръжка на IPv6 в режим L3 (и в L2, разбира се)
- Оформяне на трафика по потребителски групи или конкретни потребители
- SecureNAT (потребителско пространство NAT и DHCP сървър). Удобен за несървърни Windows
- VLAN поддръжка
- Поддръжка на QoS с автоматично приоритизиране
Софтуерът се състои от сървър, мостов сървър, клиент, графичен потребителски интерфейс (само за Windows) и помощни програми за администриране на CUI. Необходим е клиент за свързване на един компютър към LAN (Remote Access VPN), а мостов сървър е необходим за свързване на две или повече мрежи (Site-to-Site VPN). За съжаление, CUI все още не е много добре документиран и не успях да стартирам сървъра само от CUI; трябваше да използвам версията на Windows на сървъра и помощната програма за GUI. Трябва да се отбележи, че помощната програма GUI може да работи не само с локалния сървър, т.е. можете да стартирате самия сървър на Linux и да го администрирате чрез GUI помощна програма под Windows. GUI има само основни настройки; ще трябва да отидете в конфигурацията или да използвате CUI.
Ето няколко екранни снимки на GUI, за да ви дадат представа какво може да прави сървърът и колко лесно се конфигурира всичко.
Прозорец за управление на сървъра
Контролен прозорец на хъба
Редактиране на потребител
ACL с възможност за симулиране на загуба на пакети и трептене
Политика за сигурност за потребителя
Настройка на SecureNAT
Настройка на L2TP/IPSec
Настройка на OpenVPN и SSTP
Нека да разгледаме инсталирането и конфигурирането на SoftEther VPN сървъра в Windows. SoftEther VPN ви позволява да свързвате различни устройства в мрежа, тъй като поддържа почти всички популярни мрежови протоколи.
Настройка на SoftEther VPN клиент-сървър топология.
VPN сървърът тук ще бъде централният възел, към който клиентите ще се свързват, за да получат достъп до вътрешната мрежа. Изтеглете най-новата RTM версия и започнете инсталацията. Изберете реда SoftEther VPN сървър и щракнете върху следващия.
Тук поставяме отметка в квадратчето за VPN сървър за отдалечен достъп.
След това въведете името на виртуалния център.
Следва настройването на динамичната DNS функция, която можете да деактивирате по-късно.
След това, ако е необходимо, настройваме L2TP връзка и посочваме споделен IPsec ключ.
Следва настройка на Azure VPN - това е безплатна облачна услуга, която ви позволява да установите VPN връзка със сървъра при липса на външен IP адрес и отворени портове. За да се свържете през него, трябва да посочите ID на домейна на Azure VPN и порт 443.
В последната стъпка трябва да посочите физическия мрежов интерфейс, който е свързан към локалната мрежа.
Вече можете да конфигурирате акаунти и портове за слушане на TCP във виртуалния център. Порт 5555 не може да бъде изтрит, защото Чрез него се свързва клиентът за управление на локалния сървър. Можете да прочетете как да отворите необходимите портове в рутера в статията. 
За да настроите акаунти, щракнете върху Управление на виртуален център, след това върху Управление на потребители, създайте нов потребител. Въведете името и също така задайте типа удостоверяване. Поддържат се следните видове удостоверяване: анонимно, парола, индивидуален сертификат, подписан сертификат, удостоверяване чрез RADIUS сървър и Windows NT домейн контролер. Например, нека създадем потребителски тест със защита с парола. 
Настройка на VPN клиенти.
На клиентския компютър ще конфигурираме връзка с помощта на протокола L2TP/IPsec със споделен ключ.
По подразбиране на клиентите се присвояват IP адреси в същия диапазон на DHCP сървъра, към който е свързан VPN сървърът.
Трябва да се отбележи, че SoftEther VPN има собствен VPN клиент, който според разработчика работи по-бързо и криптира трафика с помощта на SSL. По този начин е трудно да се разграничи от HTTPS, следователно VPN ще работи дори в мрежи, където други протоколи са блокирани.
Инсталирането и конфигурирането на вашия собствен клиент е доста лесно. След стандартната инсталация на клиент щракнете върху Добавяне на VPN връзка и се съгласете да създадете виртуален мрежов адаптер. 
След това пишем името на адаптера. 
След това ще се появи прозорец за създаване на нова VPN връзка; тук посочваме адреса на сървъра, порта, името на виртуалния хъб на сървъра и потребителските идентификационни данни. 
Ако внезапно, когато свързвате VPN връзка, локалната мрежа стане неидентифицирана, тогава трябва да щракнете върху Разширени настройки (вижте снимката по-горе) и да поставите отметка в квадратчето Без корекции на таблицата с маршрути. Можете също да промените приоритетите на мрежовите връзки, повече подробности в статията. 
Това е всичко, благодаря за вниманието.
Търсене
Всички права запазени.