Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SoftEther Multi-Protocol VPN Server

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Открыть новую тему     Написать ответ в эту тему

vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Смежная тема в разделе "Программы"

SoftEther Multi-Protocol VPN Server


SoftEther - это серверное и клиентское программное обеспечение для создания VPN подключений, академический проект, разработанный в University of Tsukuba, Япония.
Весь софт бесплатен для личного или коммерческого использования, с 4 января 2014 года является open source.  
Поддерживаемые платформы
Сервер:   Windows, Linux, Mac OS X, FreeBSD, Solaris
Клиенты: Windows, Linux, Mac, Android, iPhone, iPad, Windows Phone  
Поддержка встроенных VPN клиентов: Windows (L2TP, SSTP), Mac, Android, iOS (L2TP)
Поддерживаемые протоколы
OpenVPN, L2TP/IPSec, L2TPv3, EtherIP, SSTP,  SSL-VPN over HTTPS
Типы VPN подключений .
Ad-hoc VPN, LAN to LAN Bridge, Remote Access to LAN, поддержка Cloud


Полезные ссылки по теме
Мануал по SoftEther на русском
Статья на Хабре
Установка и настройка Softether VPN на Debian
Объединяем сети при помощи SoftEther VPN
Softether on VPS Using Local Bridge
Для виндузятников, привыкших все настраивать мышкой, это вообще подарок судьбы. Имеется программа управления сервером, которую можно запустить после установки сервера. Также можно вручную редактировать конфигурационный файл. Поднять рабочий L2TP/IPSec сервер заняло 15 минут.

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 21:00 08-02-2014 | Исправлено: igor me v2, 00:55 09-12-2021
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Многоуровневая защита на основе аппаратных устройств Cisco (незнаю какая) и многоступенчатое проксирование.  
Когда даже входящий и исходящий из системы трафики с разных белых IP получаются.  В смысле так сделано на постоянке, а не "получаеттсО".. а то звучит как то криво.

Всего записей: 13025 | Зарегистр. 15-03-2006 | Отправлено: 12:04 18-11-2015 | Исправлено: gryu, 12:06 18-11-2015
1karavan1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...
 
vlary
Поможете с советом?
 
Есть изолированный (сеть между виртуалками недоступна извне) гипервизор (ESXi) с виртуалками на борту:
1. Win2008R2  - терминальный сервер  
2. Сервер 1С на CentOS
3. PostgreSQL на CentOS
4. gate на CentOS, он-же DNS и DHCP
 
Хочу с помощью Softether ограничить терминальные подключения каналом VPN.
 
На данный момент:
На гейте два сетевых интерфейса - один смотрит на провайдера, второй в локальную сеть виртуалок.
На локальном интерфейсе висят демоны dhcp и dns (все работает как часы).
Есть правила iptables:
Softether настроен на L2TP, виртуальный хаб бриджем привязан к локальному интерфейсу, интерфейсы tun/tap отсутствуют.
В клиентских подключениях чекбокс "ипользовать шлюз в удаленной сети" пустой.
 
Проблема в следующем:
Странно выглядит состояние работающего VPN_L2TP:
dhcp якобы неактивен, но адрес присваивается из диапазона объявленного в конфигах dhcpd, хотя, согласно конфигу dhcpd, подсеть должна быть 24я, а не 32я. И не объявляется имя локального домена.
Пакеты от клиента VPN доходят до каждого хоста локальной сети, кроме локального интерфейса на гейте, соответственно нет возможности использования имен локального домена (имена не резолвятся)
 
Если соединение поднимать через клиента Softether, то настройки dhcp прилетают корректные (маска, домен, время аренды), но к гейту пакеты все так-же не ходят.
Временно решил проблему поднятием еще одной виртуалки только ради поддержания службы dns для клиентов VPN.
 
Преследуемая цель - без заморочек с правилами роутинга (без отдельной подсети для VPN), клиентов VPN заводить в локальную сеть виртуалок с доступом по именам локального домена.  [/more]

Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 01:00 26-11-2015 | Исправлено: 1karavan1, 01:57 26-11-2015
hoz

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я установил на сервер данное ПО. Появилась дополнительный виртуальный сетевой интерфейс. Я так понимаю, чтоб полностью изолировать сетевую среду от вне нужно чтоб весть трафик перенаправить через этот виртуальный сетевой интерфейс? А физический интерфейс не использовать. Как это грамотнее реализовать? Адрес то у физического сетевого интерфейса всё-равно имеется. Убрать вообще?

Всего записей: 162 | Зарегистр. 31-10-2007 | Отправлено: 12:00 27-11-2015
timsky



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hoz
Все автоматом делается, если использовать дистр с http://www.vpngate.net/en/.
Перед подключением глянь на результат команды cmd -> route print и после (еще раз route print) увидишь, что все пакеты станул завернуты на виртуальный интерфейс.

Всего записей: 2287 | Зарегистр. 08-06-2004 | Отправлено: 21:33 28-11-2015
hoz

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
timsky, так это если установить на домашнюю машину. Но мне нужно на сервер. Чтоб после того все подключались к нему только посредством VPN. Это ж не тоже самое...

Всего записей: 162 | Зарегистр. 31-10-2007 | Отправлено: 23:57 28-11-2015
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1karavan1
Цитата:
dhcp якобы неактивен, но адрес присваивается из диапазона объявленного в конфигах dhcpd, хотя, согласно конфигу dhcpd, подсеть должна быть 24я, а не 32я.
Все правильно. Маска а интерфейс дается по правилам РРР, а именно /32.
А вот маршрут к локалке дается с правильной маской.
Цитата:
Пакеты от клиента VPN доходят до каждого хоста локальной сети, кроме локального интерфейса на гейте
В смысле - на самом сервере? Если сервер на линуксе, так оно и есть,
связано с чем-то в линуксовом ядре. Сервер на винде пингуется без проблем.  
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 00:46 29-11-2015
timsky



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hoz
Ну сам пропиши маршруты: route -p ADD ... и гугл/хелп в помощь.

Всего записей: 2287 | Зарегистр. 08-06-2004 | Отправлено: 03:25 29-11-2015
hoz

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
timsky, я имел ввиду не то. Сам прописываю маршруты уже года 2. У меня есть и физические VPN от провайдера. Приходится разделять от интернета. Вопрос был другого рода. Щяс опишу всё подробнее.
На данном сервере имелось 2 сетевых подключения до того, как я установил на него серверное ПО SoftEther VPN.  
 
Вот скрин.
   
Так вот.
iNet - физический сетевой интерфейс смотрящий в интернет.
Lan - физический сетевой интерфейс смотрящий в локальную сеть.
VirtualLan - виртуальный сетевой интерфейс, который появился после установки SoftEther VPN.
Шлюзом в интернет для локальной сети является TI - Traffic Inspector. Там сконфигурировано, что в интернет смотрит интерфейс iNet, а в локальную сеть смотрит, соответственно, интерфейс Lan.
Но это есть сейчас. После установки SoftEther VPN появился, как уже написал, сетевой интерфейс VirtualLan. Таким образом получается, что если я хочу чтоб из интернета подключения были через интерфейс VirtualLan, а не через интерфейс iNet мне нужно будет в TI сконфигурировать так, что мол интерфес смоторящий в интернет уже VirtualLan. Логично? Логично!
Но. У нас же всё-равно имеется интерфейс iNet. Чтоб делать с ним?

Всего записей: 162 | Зарегистр. 31-10-2007 | Отправлено: 21:32 29-11-2015 | Исправлено: hoz, 22:01 29-11-2015
hoz

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Прдыдущий вопрос я, вроде как, понял. Возник другой.
Допустим, у интерфейса iNet имеется статический IP-адрес. Возможно ли при подключении к локальной сети через интерфейс iNet получать права от домена, у которого IP-адрес другой.
Например, IP-адрес интерфейса iNet 192.168.1.100, а IP-IP-адрес виртуального интерфейса VirtualNet 192.168.1.101
Как при входе с ВНЕ, например, с дома и с других машин организации, которые расположены не в локальной сети, а за проксей входя в сеть сразу же подцеплять групповые политики AD ? Т.е. становится полноправным участником домена?

Всего записей: 162 | Зарегистр. 31-10-2007 | Отправлено: 22:33 01-12-2015 | Исправлено: hoz, 22:43 01-12-2015
FAetoNets

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу обратить внимание общественность на такой момент:
процесс vpnserver_x64.exe постоянно активно занят чтением диска, и довольно активно 3-16МегаБайт/сек.
Запись обычно, но постоянно 400КилоБайт/сек.
Пусть запись это журналирование, а что тогда чтение?
И вообще, при всех его плюсах меня очень смущает что управление сидит на том же порту что и рабочий порт, даже у OpenVPN это разнесено.
И ещё, почему по умолчанию не создаётся файл adminip.txt (127.0.0.1) что архиважно.
Прошу высказаться на этот счёт.

Всего записей: 71 | Зарегистр. 19-12-2005 | Отправлено: 11:59 28-12-2015
Dmitriy_Kolesnikov

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день! Подскажите, как реализовать такую задачу.
Есть две удаленных друг от друга локальных сети, в каждой из них доступ в интернет организован через маршрутизатор на w2012s, причем используется по два интернет-канала от двух разных провайдеров (везде статические белые адреса).
Используя SoftEther, я могу организовать туннель между своими сетями либо через провайдера1, либо через провайдера2.
Задача: организовать туннель одновременно через двух провайдеров, чтобы пропускная способность каналов агрегировалась, и пропускная способность туннеля использовала всю ширину каналов от обоих провайдеров.
Как это сделать?

----------
===
WBR, Dmitriy Kolesnikov.

Всего записей: 268 | Зарегистр. 12-12-2004 | Отправлено: 18:43 14-02-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dmitriy_Kolesnikov
Цитата:
организовать туннель одновременно через двух провайдеров,  
чтобы пропускная способность каналов агрегировалась
Агрегировать канал от двух разных провайдеров,
это из области ненаучной фантастики.  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 19:31 14-02-2016
1karavan1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dmitriy_Kolesnikov
Почитайте Агрегирование каналов
 
 
Добавлено:
vlary
Я сперва тоже так хотел сказать, но если речь об агрегации уровня канала VPN, то почему "нет"?
Dmitriy_Kolesnikov
Как это научили делать win2012 я не знаю, а на linux делал бы так:
С каждой стороны по одному Linux (потом объявим их шлюзами для маршрута сети VPN).
На каждом Linux по два сервиса SoftEther (допустим softether1 и softether2), каждый держит канал только до своей пары (softether1 -> softether1, softether2 -> softether2)  на другом Linux (каждая пара должна использовать канал своего провайдера).
Получим на каждом Linux по два VPN-интерфейса, которые так и просятся в Linux Bonding.
Осталось на шлюзе прописать передачу маршрута клиентам сети.
!!!Обязательное условие!!! Винда должна уметь одновременную работу через каждого провайдера.
 
P.S.: В упомянутой мной статье по агрегации каналов есть упоминание о способностях win2012 на подобный финт.
P.P.S: Softether тут не основной инструмент, а вспомогательный.

Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 19:40 14-02-2016 | Исправлено: 1karavan1, 22:49 14-02-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1karavan1
Цитата:
В упомянутой мой статье по агрегации каналов есть упоминание о способностях win2012 на подобный финт.  
В том то и дело, что ни там, ни где еще я не нашел  
четкого указания на то, что в 2012 сервере реализован  PBR,
необходимый для работы с более чем одним провайдером.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 20:45 14-02-2016
1karavan1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
2012 пока еще не доводилось щупать на предмет роутинга, но разве она не сможет держать статические маршруты?
Пров1.1 -> Пров2.1
Пров1.2 -> Пров2.2

Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 20:57 14-02-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1karavan1  
В принципе можно жестко указать статические маршруты
к адресу назначения первого туннеля через первого провайдера,
а второго туннеля через второго. Во второй сети сделать аналогично.
Прописать маршруты с одинаковой метрикой через эти туннели.
Но будет ли ходить трафик нормально, и будет ли балансировка нагрузки, не знаю.
У меня, например, вторые каналы служат для резервирования.
Маршрутизация через туннели идет по EIGRP, в качестве рабочего
автоматически выбирается тот, который на данный момент имеет лучшие параметры.
Хотя конечно порог изначально сдвинут, и переход на резервный туннель происходит,
когда на основном канале становится достаточно плохо.    

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 21:32 14-02-2016
1karavan1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Но будет ли ходить трафик нормально

только эксперимент покажет
 
Dmitriy_Kolesnikov
Надеюсь, из нашего диалога с vlary Вы поняли, что агрегацию Softether не умеет (и не должен)?
 

Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 21:38 14-02-2016
Dmitriy_Kolesnikov

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
1karavan1
Что не умеет - догадался. В документации об этом ни слова, на оффоруме молчат.
Собсно, я планировал попробовать объединить в Team два виртуальных VPN-интерфейса - примерно так же, как вы написали про Линукс. Но прежде чем городить такой огород - решил уточнить, нет ли у Софтэзера штатного средства агрегации каналов.
Если вдруг не удастся поставить второй экземпляр Софтэзера на одну машину (и заставить два экземпляра корректно работать вместе) - можно использовать для пары ему OpenVPN.

----------
===
WBR, Dmitriy Kolesnikov.

Всего записей: 268 | Зарегистр. 12-12-2004 | Отправлено: 17:34 16-02-2016
1karavan1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
можно использовать для пары ему OpenVPN

сложности в одновременной поддержке двух разных конфигов, лучше будет убрать грабли мешающие запуску второго экземпляра

Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 19:06 16-02-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dmitriy_Kolesnikov
Цитата:
Если вдруг не удастся поставить второй экземпляр Софтэзера на одну машину
  Зачем?! Там есть такое понятие, как Virtual Hubs.
Ты их можешь на одном сервере наделать сколько угодно, и оперировать ими.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 19:21 16-02-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SoftEther Multi-Protocol VPN Server


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru