Existujú dva spôsoby pripojenia sietí pomocou SoftEther VPN.
1) Mostové pripojenie, v ktorom sú siete spojené do jedného ethernetového segmentu. Táto možnosť je nepohodlná, pretože... ak obe siete majú služby, ktoré vyžadujú jednu kópiu, povedie to ku konfliktom (napríklad DHCP). Okrem toho, ak je v sieti veľa uzlov, dôjde k zvýšeniu vysielania.
2) Druhá metóda je založená na prvej. Tu je však vytvorený virtuálny prepínač OSI vrstvy 3, ktorý riadi prevádzku medzi sieťami. Vytvorí sa aj dodatočný virtuálny hub (koncentrátor), ku ktorému je pripojená vzdialená sieť. Z mínusov: nie sú podporované dynamické smerovacie protokoly, protokol IGMP nie je podporovaný, statické cesty musia byť registrované na uzloch so zdieľanými zdrojmi.

Tento článok sa zaoberá druhou metódou.

Výhodou tejto schémy je, že nie je potrebné míňať peniaze na drahé routery s VPN a paranoidní ľudia nemusia používať deravý protokol PPTP. Zapol som PC - a spojenie sa nadviazalo automaticky, ak bol zapnuty aj PC na druhom konci. Komunikačný výkon závisí od rýchlosti vášho internetového kanála (vrátane smerovacieho výkonu smerovača) a výkonu procesora PC, pretože... Sú to oni, kto šifruje prevádzku.

Máme dve siete s centrálnymi uzlami v podobe routera s DHCP serverom a WAN. Musíte nainštalovať SoftEther VPN Server na PC v jednej sieti a SoftEther VPN Bridge v inej sieti.

Inštalácia servera VPN v systéme Windows

Inštalácia servera SoftEther VPN Server je pomerne jednoduchá. Dokreslím to obrázkami s malými komentármi. Stiahnite si distribúciu SoftEther VPN Server z oficiálnej webovej stránky a spustite ju.
Vyberte možnosť inštalácie - VPN Server a kliknite na „Ďalej“.

Potom prijmeme podmienky zmluvy a vyberieme štandardnú inštaláciu.

Po spustení servera VPN sa zobrazí okno správy, kliknite na tlačidlo „Pripojiť“. Nastavte heslo správcu servera.

Zadajte typ servera - Site-to-Site VPN Server. (v strede)

Potom je nakonfigurovaná funkcia dynamického DNS, kliknite na tlačidlo Ukončiť. Neskôr ho môžete zakázať zmenou riadku v konfiguračnom súbore na: „deklarovať DDnsClient ( bool Disabled true “ .

Ďalej musíte zadať fyzickú sieťovú kartu na pripojenie virtuálneho rozbočovača k lokálnej sieti. Pripojenie sa uskutočňuje na vrstve dátového spojenia OSI, takže virtuálny rozbočovač neprijíma žiadnu IP adresu v sieti. Niektoré smerovače si však môžu všimnúť výskyt adresy IP podsiete 172.31.0.0/16 v lokálnej sieti. Táto adresa sa používa na sledovanie toho, či položky ARP zodpovedajú IP adresám alebo niečomu podobnému.

Ďalej sa zobrazí výzva na konfiguráciu prístupu L2TP a povolenie Azure VPN. Preskočme tieto kroky, pretože... nezúčastňujú sa tejto schémy. Azure VPN je možné deaktivovať, ak máte bielu IP. Ak je adresa sivá, nevypínajte ju a namiesto IP použite adresu domény Azure VPN.

Nastavenie servera VPN

Po dokončení úvodného nastavenia sa dostaneme do okna správy servera. V prvom rade odstránime nepotrebné porty (všetky okrem 5555 – ten slúži na pripojenie k administračnému panelu). Nastavili sme nejaký neštandardný TCP port na počúvanie, napríklad 7710. Ak nemáte bielu IP adresu, tak na použitie Azure VPN potrebujete počúvať port 443.
Teraz musíte vytvoriť druhý virtuálny rozbočovač, ku ktorému sa pripojí vzdialená sieť. Ak chcete vytvoriť druhý rozbočovač, kliknite na tlačidlo „Vytvoriť virtuálny rozbočovač“. Nazvime to napríklad číslom vzdialenej siete - 12. V tomto virtuálnom hube nie je potrebné vytvárať Local Bridge.

Ďalej vyberte hub 12 a kliknite na „Spravovať virtuálny rozbočovač“, potom na „Spravovať používateľov“, vytvorte používateľa pre vzdialenú sieť. Nazvime to „Network 12“, namiesto hesla použijeme certifikát s vlastným podpisom so súkromným kľúčom.

Kliknite na „Vytvoriť certifikát“ a vyplňte riadok „Bežné meno“.

Vyberte formát certifikátu - X509 (certifikát samostatne, súkromný kľúč samostatne).

Uložený certifikát a súkromný kľúč bude potrebné nahrať do klienta SoftEther VPN Bridge.
Ďalej musíte v smerovači otvoriť port – ten istý, ktorý server počúva, a nastaviť vysielanie portov do počítača so serverom. Viac o tom, ako otvoriť porty, si môžete prečítať v tomto článku. .
Napríklad v pfSense pravidlo pre otvorenie portu vyzerá asi takto. pfSense - pri vytváraní pravidla pre NAT automaticky vytvorí pravidlo pre Firewall. Iné smerovače to nemusia robiť, takže obe pravidlá musíte vytvoriť manuálne.

Firewall na oboch smerovačoch tiež musí umožňovať prenos medzi sieťami. Ak chcete povoliť prechod akejkoľvek premávky, pravidlo bude vyzerať takto:

Ak je na vašich počítačoch povolená brána firewall, musíte tiež povoliť prenos dát cez požadovanú sieť.
Ďalej musíte vytvoriť virtuálny smerovač. Kliknite na tlačidlo „Nastavenia prepínača vrstvy 3“, vytvorte nový virtuálny smerovač a kliknite na tlačidlo „Upraviť“. Ďalej musíte vytvoriť virtuálne rozhrania pre každý hub. Pre hub s názvom 10 vytvoríme rozhranie s adresou 192.168.10.100, pre hub s názvom 12 - 192.168.12.100. Môžete si vymyslieť vlastné adresy, hlavné je, že nie sú zaneprázdnené a každá patrí do vlastnej podsiete. Vývojári ubezpečujú, že nie je potrebné pridávať trasy, ale je lepšie ich pridať pre každý prípad. Ak chcete spustiť smerovač, stlačte tlačidlo „Štart“.

Nastavenie klienta VPN

Spustíme inštaláciu SoftEther VPN Server a vyberieme možnosť inštalácie SoftEther VPN Bridge. Kliknite na tlačidlo „Ďalej“ a potom nastavte heslo správcu.

V tomto kroku špecifikujeme sieťovú kartu na vytvorenie mosta s lokálnou sieťou.

Potom sa dostaneme na ovládací panel SoftEther VPN Bridge. Ako vidíte, mnohé funkcie sú v tomto režime vypnuté.

Ďalej musíte vytvoriť kaskádové pripojenie k serveru SoftEther VPN. Kliknite na „Spravovať virtuálny rozbočovač“, potom na „Spravovať kaskádové pripojenie“ a vyplňte informácie o pripojení.
Názov nastavení – názov pripojenia.
Názov hostiteľa – biela IP adresa alebo názov domény DDNS sieťového smerovača, kde je server nainštalovaný. Ak nemáte bielu IP adresu, použite službu Azure VPN a napíšte názov domény získaný v tejto službe (vpn123456789.vpnazure.net). Myslím, že je jasné, že bez bielej adresy IP nie je potrebné otvárať porty na smerovači.
Číslo portu – port, na ktorom server počúva.
Virtual Hub Name – názov virtuálneho hubu na serveri.
User Authentication Settings – nastavenie overenia používateľa. Keďže sme sa rozhodli použiť namiesto hesla certifikát s vlastným podpisom, vyberieme riadok „Autentifikácia certifikátu klienta“. Napíšeme meno používateľa (v príklade je to Sieť 12). Kliknite na „Zadať certifikát klienta“, nahrajte certifikát a súkromný šifrovací kľúč.

Teraz musíte nakonfigurovať parametre pripojenia - kliknite na „Rozšírené nastavenia“. Tu je potrebné nastaviť počet TCP spojení, pre širokopásmové pripojenie sa odporúča 8.

Nastavenie smerovania

Nastavenie pozostáva z registrácie statických trás v smerovačoch oboch podsietí.
Na smerovači 192.168.10.1 (pozri diagram) registrujeme cestu do siete 192.168.12.0. Bude to vyzerať takto: 192.168.12.0 maska ​​255.255.255.0 brána 192.168.10.100.
Na routeri 192.168.12.1 registrujeme cestu do siete 192.168.10.0: 192.168.10.0 maska ​​255.255.255.0 brána 192.168.12.100.
Pre istotu reštartujte PC aj router.

Prístup k zdieľaným priečinkom cez SoftEther VPN

Po vyššie uvedených nastaveniach by sa mali všetky počítače v sieti za normálnych okolností navzájom „pingnúť“ (pokiaľ to nezakazuje firewall). Nie je však možné získať prístup k zdieľaným priečinkom systému Windows. Tento problém je vyriešený písaním statických trás priamo na počítačoch so zdieľanými prostriedkami. Spustite príkazový riadok systému Windows ako správca a napíšte príkaz:
pre počítače umiestnené v sieti 192.168.10.0:
trasa -p pridať 192.168.12.0 maska ​​255.255.255.0 192.168.10.100
pre počítače umiestnené v sieti 192.168.12.0:
trasa -p pridať 192.168.10.0 maska ​​255.255.255.0 192.168.12.100
Tým je nastavenie dokončené. Na analýzu dopravnej trasy vám odporúčam použiť príkazový riadok systému Windows, príkaz pathping.

Pýtajte sa prosím v komentároch.

Tí, ktorí sú ochotní obetovať základnú slobodu pre trochu dočasnej bezpečnosti, si nezaslúžia ani slobodu, ani bezpečnosť.

Pripojenie k serveru SE VPN pomocou grafického manažéra

Spustíme grafický ovládací nástroj a pripojíme sa k serverovej časti. Ak sa pripájate prvýkrát, nemusíte zadať heslo. Systém vás v ďalšom kroku požiada o jeho inštaláciu.

Nastavenie nového hesla pre server

Vytvorenie nového používateľa v SE VPN

Ako malý bonus: SE VPN vám umožňuje spravovať server nielen jednému správcovi, ale aj viacerým podporným osobám. Ku každému Virtuálnemu Hubu môžete pripojiť jednotlivých administrátorov, ktorí budú v nastaveniach obmedzení len na vybraný Hub. Čo je veľmi užitočné pri vytváraní a údržbe veľkých sietí založených na SE VPN.

Zvláštnosti

SoftEther VPN má však aj napriek svojej kráse funkcie, ktoré je potrebné pochopiť, inak môžu vzniknúť vážne problémy s konfiguráciou. Prvá vec, na ktorú chcem poukázať, vychádza práve zo skutočnosti, že SE VPN funguje v užívateľskom priestore. Pre prostredie Windows táto poznámka nie je dôležitá, ale pre Unix/Linux/MacOS predstavuje spustenie softvéru v užívateľskom priestore určité obmedzenie. Bez ohľadu na to, ako veľmi sa snažíte, z tunela sa k hostiteľskému stroju nedostanete. Nie, tunel a všetko s ním spojené bude fungovať. Cez tunel však nebudete mať prístup k počítaču so serverom VPN. S tým sa nedá nič robiť, toto je správanie By Design. V tomto prípade vývojári odporúčajú nainštalovať druhý fyzický adaptér na hostiteľa a zorganizovať k nemu tunel a až potom použiť interné smerovanie na presmerovanie prevádzky tam, kde má byť.

Upozornenie na promiskuitný režim

Ďalším obmedzením je nutnosť používania tzv. promiskuitný režim pre sieťový adaptér. V tomto režime sieťový adaptér, respektíve jeho softvér nebude zahadzovať sieťové pakety, ktoré nie sú určené priamo pre tento počítač, ale prenesie ich na ďalšie spracovanie. Vo všeobecnosti používanie promiskuitného režimu nepredstavuje problém ani hrozbu. V „prepínanej“ sieti, a tých je v súčasnosti väčšina, nedostávate pakety iných ľudí. V prípadoch, keď sa od sieťového adaptéra vyžaduje najvyšší výkon, sa však promiskuitný režim nepoužíva. V tomto prípade však na samotnom počítači beží iba jedna aplikácia, napríklad vysoko zaťažený aplikačný server alebo databázový server.

Nastavenie promiskuitného režimu vo Virtual Box

Komentár o promiskuitnom režime sa týka aj virtualizačných prostredí. Aby SE VPN fungovalo, musíte povoliť promiskuitný režim v nastaveniach virtuálneho počítača alebo jeho virtuálnej sieťovej karty. Napríklad v najnovších verziách VirtualBoxu je v nastaveniach siete povolený promiskuitný režim. V starších verziách sa tento postup vykonáva cez príkazový riadok.

Pri nastavovaní SE VPN veľmi často skontrolujete funkčnosť tunela jednoduchým spustením príkazu ping s adresou auta na druhej strane tunela. Je tu však jedna zvláštnosť. Ak je na druhej strane počítač so systémom Windows, potom pri vytváraní tunela L3 pomocou rôznych sietí nebude možné jednoducho skontrolovať jeho dostupnosť. Faktom je, že systém Windows štandardne pomocou vstavanej brány firewall zakazuje prijímanie a odosielanie paketov ICMP z iných sietí, ako je tá, v ktorej samotný stroj pracuje. Preto sa budete musieť pohrať s firewallom alebo bezpečnostnými politikami.

No, hlavná vec, s ktorou sa musíte vysporiadať, je, že pri pripájaní z mobilného zariadenia si musíte pamätať, že v tomto prípade sú pripojenia dostupné buď cez IPsec alebo OpenVPN. V súčasnosti neexistuje žiadna implementácia SoftEther VPN na spustenie na Android alebo iOS, aspoň nie na oficiálnych verziách.

Pri inštalácii SE VPN na operačný systém Windows sú v systéme nainštalované virtuálne sieťové adaptéry, pomocou ktorých SE VPN interaguje s vonkajším svetom. Pomocou štandardných nástrojov Windows môžete tieto adaptéry spravovať, napríklad odstraňovať alebo pridávať potrebné protokoly, meniť ich nastavenia. Je dôležité to nepreháňať, inak môžu pri prevádzke SE VPN nastať nevysvetliteľné problémy.

Brána VPN

Osobitne sa chcem zamerať na službu a technológiu VPN-Gate. VPN-Gate je pridružený produkt s SoftEther VPN. Beží výhradne na SE technológiách a je neoddeliteľnou súčasťou projektu. Ale to je de facto, de iure nie sú žiadnym spôsobom prepojené, okrem toho, že projekt VPN-Gate existuje pod krídlami tej istej univerzity Tsukuba v Japonsku. VPN-Gate spája dobrovoľníkov z celého sveta, aby poskytovali pripojenia cez SE VPN všetkým postihnutým z krajín s príliš kontrolovanou VPN prevádzkou. Ak sa nemôžete dostať na niektorú zo stránok, je vo vašej krajine jednoducho zablokovaná, potom sa k jej obsahu dostanete pomocou brány VPN-Gate.

Rýchlosti poskytované dobrovoľníkmi určite nie sú také veľké, ale takýto prístup je lepší ako žiadny. A všetci, ktorí potrebujú vysokorýchlostný prístup cez VPN, si môžu ľahko kúpiť platenú službu VPN v jurisdikcii, o ktorú majú záujem, keďže všetky zákutia siete sú plné takýchto ponúk. Ak sa chcete pripojiť k „bezplatnému cloudu VPN“, ako sa nazýva na stránke, stačí si do počítača nainštalovať SoftEther VPN a zapnúť iba jedno začiarkavacie políčko. A váš server bude stáť na rovnakej úrovni ako ostatní odvážlivci, ktorí distribuujú prístup do siete zo svojich serverov. Koniec koncov, podľa zákonov mnohých krajín, ak je počítačový zločin spáchaný prostredníctvom takého dobrého Samaritána, môže sa stať spolupáchateľom. Na druhej strane si len ťažko viem predstaviť, ako nejaký bradatý člen ISIS niekde uprostred sýrskej púšte využije bezplatný VPN cloud zo svojho iPhonu a spácha strašný zločin.

Projekt VPN-Gate však preberá veľmi špecifickú úlohu pri ochrane súkromia občanov. A do zoznamu dobrovoľníkov sa môže pridať každý, komu nie je ľahostajné uťahovanie skrutiek na internete. V čase písania tohto článku, február 2017, ponúka svoje služby pre neregulovaný prístup do siete cez VPN cloud zadarmo takmer 9 tisíc dobrovoľníkov. Počas existencie projektu mohli používatelia prečerpať viac ako 67 tisíc terabajtov dát cez „cloud“ cez 3 miliardy pripojení a zoznam známych krajín zahŕňa 232 krajín.

Prítomnosť Číny na vrchole zoznamu je celkom opodstatnená. Vedenie strany chráni občanov pred škodlivými vplyvmi YouTube, Facebooku a Google. Ale neviem vysvetliť prvé miesto pre Južnú Kóreu. A USA sú v prvej trojke. Obamova vláda a excesy NSA zrejme vyvolali na internete rozruch. Rusko je v zozname na právoplatnom 12. mieste, Ukrajina je na 21. mieste pred Nemeckom o bod a Kazachstan je na 34. mieste.

K VPN-Gate VPN cloudu sa môžete pripojiť buď cez samotný produkt SoftEther VPN, alebo môžete využiť služby OpenVPN, prípadne využiť štandardné protokoly L2TP/IPsec, MS-SSTP. Mimochodom, používatelia Androidu alebo iPhonu/iPadu môžu využívať štandardné nástroje zabudované v operačných systémoch alebo použiť špecializovaný softvér, ktorý uľahčuje proces pripojenia k distribučným bodom vo VPN-Gate, napríklad v tomto.

Ochrana údajov dnes znepokojuje čoraz viac ľudí. Trendy nielenže nie sú povzbudivé, sú jednoducho desivé – začínajú nás sledovať aj televízie. Najistejším spôsobom je vždy predpokladať, že nás niekto počúva a byť proaktívni pri obrane. Môžete vytvoriť SSH tunely a SOCKS cez ne potrebnú návštevnosť; HTTPS môžete použiť všade, kde je to možné, nainštalovaním doplnkov. Na to však bola, je a ešte dlho bude najvhodnejšia technológia.

Kde môžem získať sieť VPN na bezpečné pripojenie z rôznych zariadení na cestách a na verejných miestach? Jednoduchý a rýchly spôsob je využiť niektorú z mnohých služieb. Z bezpečnostného hľadiska však táto metóda vyvoláva otázky. Dobrovoľné posielanie návštevnosti cez „strýka“ a dokonca za to platiť navyše nie je príliš bezpečné. A s anonymitou nie je všetko také dobré, veľká služba vás odovzdá na prvé požiadanie, stačí si spomenúť na históriu HideMyAss a LulzSec. Malé tienisté firmy si vás môžu uchmatnúť samy bez akýchkoľvek obmedzení. Nie je možné skontrolovať interné fungovanie služby VPN a spoliehať sa na záruky, že sa neuchovávajú žiadne protokoly, je naivné.

Čo zostáva úbohému paranoikovi? Nastavenie servera VPN sami, našťastie na to nepotrebujete veľa. Až donedávna bola najvhodnejšia implementácia pre váš vlastný server OpenVPN. Jeho citeľnou nevýhodou je pomerne komplikované nastavenie a neprívetivosť voči bežnému používateľovi. Iba niekto, kto má skúsenosti so sieťovaním, si ho môže sám nainštalovať a nakonfigurovať. Prítomnosť veľkého množstva návodov krok za krokom na internete situácii veľmi nepomáha. Okrem toho OpenVPN vyžaduje prístup k zariadeniam TUN/TAP na serveri, takže nie všetok hosting VDS/VPS je preň vhodný. Nedávno bol však pod licenciou GPLv2 otvorený výkonný multiprotokolový VPN server SoftEther VPN. Na prvý a aj na druhý pohľad tento server udivuje svojimi schopnosťami.

Disponuje vlastným protokolom SSL-VPN, ktorý je na nerozoznanie od bežnej HTTPS premávky (prenos OpenVPN je stále možné rozlíšiť pomocou DPI). Deklarovaná je podpora pre L2TP/IPsec, MS-SSTP, OpenVPN, L2TPv3 a EtherIP a pre L2TP je uvedená prísna kompatibilita so vstavanými klientmi v iOS a Androide. Samotný server má verzie pre Windows, Linux, OS X, FreeBSD a Solaris a ako je uvedené na webovej stránke, je optimálnou alternatívou k OpenVPN a funguje rýchlejšie.

Kompletný zoznam všetkých vychytávok nájdete na oficiálnej stránke. Poznamenám len hlavné vlastnosti. Server VPN je možné úplne spravovať prostredníctvom veľmi sofistikovaného grafického rozhrania, a to na diaľku. Áno, áno, teraz je možné preniesť serverovú časť na plochy Windows v systéme Linux a ovládať ich na diaľku z roztomilej verzie GUI pre Windows. SoftEther VPN má vstavaný NAT a DHCP server, to znamená, že pod Linuxom a FreeBSD sa už nemusíte zaoberať nastaveniami iptables a natd. Podľa môjho názoru nebolo vytvorenie vlastnej siete VPN nikdy také jednoduché na implementáciu. Proprietárny protokol SSL-VPN môže fungovať cez TCP s podporou viacerých TCP relácií, UDP a dokonca aj ICMP.

Vyskúšajme

Pozrime sa na túto krásu z praktického hľadiska. Na inštaláciu budeme potrebovať Dedik alebo VDS/VPS; SoftEther VPN na fungovanie nevyžaduje zariadenia TUN/TAP, takže stačia aj slabé možnosti s akýmkoľvek typom virtualizácie. Inštalácia serverovej časti je pomerne jednoduchá. Na stránke www.softether-download.com vyberte distribúciu SoftEther VPN Server pre požadovaný operačný systém a architektúru (v *nix možno architektúru OS nájsť pomocou príkazu uname -m). Zvážte napríklad Linux ako najbežnejšiu možnosť na VDS. Stiahnite si distribúciu na server pomocou akejkoľvek dostupnej metódy, potom ju rozbaľte a nainštalujte:

Tar xzvf softether-vpnserver-v4.05-9416.tar.gz && cd vpnserver && make

Budeme vyzvaní, aby sme potvrdili, že sme si prečítali Licenčnú zmluvu a súhlasíme s ňou. Potom bude náš SoftEther VPN Server nainštalovaný do tohto adresára a pripravený na spustenie. Dokumentácia voliteľne odporúča presunúť ho do /usr/local/vpnserver , ale nie je v tom žiadny rozdiel; môžete ho spustiť aj z /var/tmp . Počuješ kam idem? 🙂 Začnime

./vpnserver štart

To je všetko, náš vlastný VPN server je pripravený a štandardne očakáva naše pripojenie na portoch 443, 992, 1194 a 5555. Server môžete spravovať cez jeho konfiguračný súbor alebo, čo je oveľa pohodlnejšie, pomocou správcovských utilít. Môžete sa k nemu pripojiť na správu pomocou konzoly vpncmd, ktorá sa nachádza v rovnakom adresári, alebo pomocou grafického rozhrania pre Windows s názvom SoftEther VPN Server Manager pre Windows. Je súčasťou SoftEther VPN Server pre Windows, ale môžete si ho nainštalovať samostatne začiarknutím potrebných políčok v inštalačnom programe alebo si stiahnuť samostatný archív ZIP zo stránky sťahovania. Považujme to za najpriateľskejšie.


Ak sa chcete pripojiť k Správcovi servera, špecifikujeme hostiteľa a port (akýkoľvek z počúvajúcich) nášho servera. Pri prvom pripojení sa zobrazí výzva na nastavenie hesla správcu. Nastavte si heslo a začnite nastavovať. Má zmysel upraviť zoznam portov, aby sa zjavne nenarušila prítomnosť VPN na serveri. Nechám len 443 a vy si vyberte podľa svojich predstáv. SoftEther VPN podporuje takzvané virtuálne huby, v podstate samostatné virtuálne servery VPN, z ktorých každý má svojich vlastných správcov, používateľov VPN, nastavenia a zásady ACL. Vytvoríme si takýto hub, ak predvolene neexistoval a prejdeme do jeho nastavení, kde musíme v Manage Users vytvoriť používateľa. SoftEther VPN podporuje rôzne metódy autentifikácie, vrátane autentifikácie certifikátom, RADIUS a NT domény. Na začiatok nám stačí bežné overenie hesla, takže jednoducho nastavíme prihlasovacie meno a heslo používateľa. Môžete sa tiež pozrieť do Bezpečnostnej politiky, kde môžete obmedziť šírku kanála používateľa a zakázať iné radosti.


Aby sme zabezpečili, že používatelia pripojení k VPN budú mať prístup na internet, používame NAT. Všetky nastavenia sa nachádzajú pomocou príslušného tlačidla v kontexte rozbočovača; musíme povoliť NAT, pričom všetko ostatné necháme v predvolenom nastavení. V tejto fáze sa už môžete pripojiť k serveru pomocou klienta SoftEther VPN, ktorý pracuje s vlastným protokolom SSL-VPN; nastavenie je triviálne a nespôsobí žiadne ťažkosti. Ak sa chcete pripojiť cez L2TP a L2TP/IPsec, musíte ich povoliť na serveri; zodpovedajúce možnosti sa nachádzajú v nastaveniach IPsec / L2TP. Podpora pre klientov OpenVPN je povolená rovnakým spôsobom a v tomto prípade SoftEther dokonca ponúkne vygenerovanie konfiguračného súboru .ovpn pre OpenVPN.


K VPN sa teraz môžete pripojiť z desktopových operačných systémov aj mobilných zariadení, návod na nastavenie pripojenia nájdete na internete, nelíšia sa od bežných. Návody s ilustráciami sú dostupné aj na webovej stránke www.softether.org. Je čas cítiť sa ako hrdý vlastník servera VPN alebo dokonca po zakúpení tuctu serverov v rôznych krajinách otvoriť svoju vlastnú službu VPN :).

Netradičné VPN

Niekedy sa stáva, že priame spojenie medzi klientom a serverom VPN je z nejakého dôvodu ťažké alebo nemožné (lokálna sieť, ktorej výstup je na hraničnom smerovači prísne chránený firewallom, alebo server nemá externú IP a nachádza sa za NAT alebo má dynamickú adresu). Bežným prípadom je, že sme si doma nainštalovali server VPN a chceme sa dostať domov cez zabezpečený kanál, ale problémom je, že náš domáci poskytovateľ nám neposkytne platnú IP adresu. Ale z nejakého dôvodu nikdy neviete, že server nemusí byť priamo viditeľný. A tu nám má SoftEther VPN čo ukázať. Proprietárny protokol SSL-VPN má množstvo zaujímavých techník na prekonávanie sieťových bariér. Navyše od nás nebudú vyžadovať žiadne úsilie, všetko funguje doslova automaticky. Okrem obvyklej podpory SOCKS/proxy, ktorá po OpenVPN už nie je prekvapujúca, môže SoftEther VPN:

  • služba DDNS;
  • NAT Traversal;
  • VPN cez ICMP;
  • VPN cez DNS;
  • VPN Azure Cloud.

Ak server nemá trvalú IP alebo chceme len pohodlie, SoftEther VPN nám láskavo poskytne doménu tretej úrovne v doméne *.softether.net. Nemusíte sa ani registrovať, stačí si vybrať subdoménu podľa vašich predstáv a ona bude fungovať a aktualizovať sa sama. Funkcie penetrácie NAT, ICMP a DNS tunelovania sú stále zle zdokumentované a nedajú sa nijako konfigurovať. Preto, aby ste sa uistili, že fungujú, možno budete potrebovať Wireshark. Aj štandardne však všetko funguje viac než dokonale. Technika NAT Traversal bypass úspešne prenikla do môjho firewallu na routeri, na ktorom som použil pravidlo na blokovanie odchádzajúcich paketov na server VPN na testovanie a nemenej úspešne sa mi podarilo pripojiť k serveru VPN, ktorý sa nachádzal za Full-Cone NAT. . Problém s pripojením na domáci server je pre mňa navždy vyriešený :). Stojí za zváženie, že NAT Traversal vyžaduje tretieho hostiteľa, ktorý v súčasnosti poskytuje SoftEther VPN.

V aktuálnej verzii nemôžete ovplyvniť, ktorá technika bude použitá. Klient SoftEther VPN ich skúša jeden po druhom, ak priame pripojenie zlyhá. Skúšajú sa pripojenia na 137. a 53. port servera, je povolená NAT Traversal a odosielajú sa ICMP pakety. Pre VPN cez ICMP sa používa ICMP ECHO alebo, jednoduchšie, bežný ping.

Záver

SoftEther VPN sa vyvíja veľmi dynamicky a kým si prečítate tento článok, funkcia môže byť ešte chutnejšia. Nikdy tu nebolo také výkonné a zároveň priateľské open source riešenie. Projekt si rozhodne zaslúži pozornosť.

Ako skoro vás môžem zaujímať, ak poviem, že tento článok bude hovoriť o serveri VPN, ktorý dokáže spracovať servery L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP a má tiež vlastný protokol „SSL-VPN“, ktorý je na nerozoznanie od bežnej HTTPS premávky (čo sa nedá povedať napríklad o OpenVPN handshake), môže fungovať nielen cez TCP/UDP, ale aj cez ICMP (ako pingtunnel, hanstunnel) a DNS (ako jód), pracuje rýchlejšie (podľa pre vývojárov) aktuálne implementácie, stavia tunely L2 a L3, má vstavaný server DHCP, podporuje režim jadra aj používateľský režim NAT, IPv6, tvarovanie, QoS, klastrovanie, vyrovnávanie záťaže a odolnosť proti chybám, možno spustiť na Windows, Linux, Mac OS, FreeBSD a Solaris a je projekt Open-Source pod GPLv2?

To je všetko. Toto si nemôžete nechať ujsť.

Och, čo je to za vec?
S najväčšou pravdepodobnosťou ste o tomto projekte ešte nepočuli. Faktom je, že Daiyu Nobori (登大遊) ho začal vyvíjať hneď, ako išiel na univerzitu Tsukubū a PPTP nefungoval zo siete kampusov. V roku 2003, keď mal 18 rokov, vydal prvú verziu SoftEther a napadla ho japonská vláda, ktorá verila, že tento projekt možno považovať takmer za malvér, pretože. umožňuje vám obísť brány firewall (OpenVPN sa v tom čase len objavoval) a môže tiež „poškodzovať imidž iných produktov VPN“ a zakázať distribúciu programu. Snažil sa to vysvetliť, ale... z tohto dôvodu mohol byť vylúčený z univerzity, príliš nenaliehal a program stiahol z voľného prístupu. Uplynie nejaký čas a Mitsubishi Materials Corporation ponúkne, že od nej kúpi SoftEther 1.0 a podpíše zmluvu na 10 rokov (apríl 2004 – apríl 2014), ktorá dáva spoločnosti právo predávať SoftEther a zakazuje spoločnosti Daiyu Nobori predávať program a/alebo na jeho základe, no v roku V marci 2013 začal SoftEther distribuovať zadarmo a len veľmi nedávno (4. januára 2014) bol otvorený pod GPLv2. Bohužiaľ, stále existujú nejaké problémy s autorskými právami, takže v SoftEther do apríla 2014 pravdepodobne nebude možné vidieť niektoré dôležité funkcie: Radius / Active Directory autentifikácia, RSA kľúčová autentifikácia, DoS ochrana, Source IP ACL, Syslog transfer a Deep -kontrolovať protokolovanie paketov.
Popis
Trochu viac podrobností o možnostiach servera:
  • Veľa virtuálnych centier. Tie. nie každá inštancia servera obsluhuje len svojich klientov, ale všetko je v rámci jedného servera.
  • Tunely Remote-Access (klient-LAN) a Site-to-Site (spojenie dvoch alebo viacerých LAN do jednej).
  • Podporuje L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP a vlastný protokol
  • VPN cez ICMP a cez DNS (iba cez vlastný protokol)
  • Dynamické prechádzanie DNS a NAT cez bezplatný prenos ( áno, áno, môžete nastaviť server VPN so sivou IP!)
  • Ťažba dreva
  • Vstavaný firewall
  • Podpora IPv6 v režime L3 (a samozrejme aj v L2)
  • Formovanie návštevnosti podľa skupín používateľov alebo konkrétnych používateľov
  • SecureNAT (server NAT v používateľskom priestore a DHCP). Pohodlné na neserverovom systéme Windows
  • podpora VLAN
  • Podpora QoS s automatickou prioritou

Softvér pozostáva zo servera, mostového servera, klienta, GUI (iba Windows) a administračných nástrojov CUI. Na pripojenie jedného počítača k sieti LAN (Remote Access VPN) je potrebný klient a na prepojenie dvoch alebo viacerých sietí (Site-to-Site VPN) je potrebný mostový server. Žiaľ, rozhranie CUI ešte nie je veľmi dobre zdokumentované a server sa mi nepodarilo spustiť zo samotného rozhrania CUI; musel som použiť verziu servera pre Windows a pomôcku GUI. Je potrebné poznamenať, že nástroj GUI môže pracovať nielen s lokálnym serverom, t.j. samotný server môžete spustiť v systéme Linux a spravovať ho pomocou pomôcky GUI pod Windows. GUI má iba základné nastavenia; na zmenu pokročilých nastavení budete musieť prejsť do konfigurácie alebo použiť CUI.

Tu je niekoľko snímok obrazovky GUI, ktoré vám poskytnú predstavu o tom, čo server dokáže a aké ľahké je všetko nakonfigurovať.

Okno správy servera

Ovládacie okno rozbočovača

Úprava používateľa

ACL so schopnosťou simulovať stratu paketov a jitter

Bezpečnostná politika pre používateľa

Nastavenie SecureNAT

Nastavenie L2TP/IPSec

Nastavenie OpenVPN a SSTP

Pozrime sa na inštaláciu a konfiguráciu servera SoftEther VPN v systéme Windows. SoftEther VPN vám umožňuje pripojiť rôzne zariadenia do siete, pretože podporuje takmer všetky populárne sieťové protokoly.

Nastavenie topológie klient-server SoftEther VPN.

Server VPN tu bude centrálnym uzlom, ku ktorému sa budú klienti pripájať, aby získali prístup do internej siete. Stiahnite si najnovšiu verziu RTM a spustite inštaláciu. Vyberte riadok SoftEther VPN Server a kliknite na Ďalej.


Tu začiarkneme políčko Server VPN vzdialeného prístupu.

Potom zadajte názov virtuálneho hubu.

Ďalej nasleduje nastavenie funkcie dynamického DNS, ktorú možno neskôr deaktivovať.

Potom, ak je to potrebné, nastavíme L2TP pripojenie a určíme zdieľaný IPsec kľúč.

Ďalej nasleduje nastavenie Azure VPN – ide o bezplatnú cloudovú službu, ktorá vám umožňuje nadviazať pripojenie VPN so serverom bez externej IP adresy a otvorených portov. Ak sa chcete cez ňu pripojiť, musíte zadať ID domény Azure VPN a port 443.

V poslednom kroku je potrebné špecifikovať fyzické sieťové rozhranie, ktoré je pripojené k lokálnej sieti.

Teraz môžete konfigurovať účty a porty na počúvanie TCP vo virtuálnom hube. Port 5555 nemožno odstrániť, pretože Klient správy lokálneho servera sa pripája cez ňu. O tom, ako otvoriť potrebné porty v smerovači, si môžete prečítať v článku.







Ak chcete nastaviť účty, kliknite na položku Spravovať virtuálne centrum, potom na položku Spravovať používateľov a vytvorte nového používateľa. Zadajte názov a tiež nastavte typ overenia. Podporované sú nasledujúce typy autentifikácie: anonym, heslo, individuálny certifikát, podpísaný certifikát, autentifikácia cez server RADIUS a radič domény Windows NT. Vytvorme si napríklad používateľský Test s ochranou heslom.



Nastavenie klientov VPN.

Na klientskom počítači nakonfigurujeme pripojenie pomocou protokolu L2TP/IPsec so zdieľaným kľúčom.

Štandardne sú klientom priradené IP adresy v rovnakom rozsahu ako DHCP server, ku ktorému je pripojený VPN server.

Treba poznamenať, že SoftEther VPN má vlastného VPN klienta, ktorý podľa vývojára funguje rýchlejšie a šifruje prevádzku pomocou SSL. Je teda ťažké odlíšiť sa od HTTPS, preto bude VPN fungovať aj v sieťach, kde sú blokované iné protokoly.
Inštalácia a konfigurácia vlastného klienta je pomerne jednoduchá. Po štandardnej inštalácii klienta kliknite na Pridať pripojenie VPN a súhlaste s vytvorením virtuálneho sieťového adaptéra.




Ďalej napíšeme názov adaptéra.




Potom sa zobrazí okno na vytvorenie nového pripojenia VPN, tu uvádzame adresu servera, port, názov virtuálneho rozbočovača na serveri a poverenia používateľa.



Ak sa náhle pri pripájaní pripojenia VPN stane miestna sieť neidentifikovateľná, musíte kliknúť na položku Rozšírené nastavenia (pozri obrázok vyššie) a začiarknuť políčko Žiadne úpravy tabuľky smerovania. Môžete tiež zmeniť priority sieťových pripojení, viac podrobností v článku.




To je všetko, ďakujem za pozornosť.