Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SoftEther Multi-Protocol VPN Server

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Открыть новую тему     Написать ответ в эту тему

vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Смежная тема в разделе "Программы"

SoftEther Multi-Protocol VPN Server


SoftEther - это серверное и клиентское программное обеспечение для создания VPN подключений, академический проект, разработанный в University of Tsukuba, Япония.
Весь софт бесплатен для личного или коммерческого использования, с 4 января 2014 года является open source.  
Поддерживаемые платформы
Сервер:   Windows, Linux, Mac OS X, FreeBSD, Solaris
Клиенты: Windows, Linux, Mac, Android, iPhone, iPad, Windows Phone  
Поддержка встроенных VPN клиентов: Windows (L2TP, SSTP), Mac, Android, iOS (L2TP)
Поддерживаемые протоколы
OpenVPN, L2TP/IPSec, L2TPv3, EtherIP, SSTP,  SSL-VPN over HTTPS
Типы VPN подключений .
Ad-hoc VPN, LAN to LAN Bridge, Remote Access to LAN, поддержка Cloud

Полезные ссылки по теме
Мануал по SoftEther на русском
Статья на Хабре
Установка и настройка Softether VPN на Debian
Объединяем сети при помощи SoftEther VPN
Softether on VPS Using Local Bridge
Для виндузятников, привыкших все настраивать мышкой, это вообще подарок судьбы. Имеется программа управления сервером, которую можно запустить после установки сервера. Также можно вручную редактировать конфигурационный файл. Поднять рабочий L2TP/IPSec сервер заняло 15 минут.
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 21:00 08-02-2014 | Исправлено: igor me v2, 00:55 09-12-2021
BredBred

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Думаю, в данном случае нужно читать мануал по FreeBSD.

Вы совершенно правы, всё вылетело из головы т.к. итерация сделал-забыл была 2 года назад.
Сложность в моём случае в том, что устанавливал не из портов, а из скачанной с офсайта свежей версии. При этом FreeBSD - взял готовую из старых запасов (периода экспериментов). У FreeBSD даже порты отсутствовали, вот и потянуло на офсайт.
Сейчас обновляю порты - и буду вспоминать "как правильно установить из портов".
Всего записей: 117 | Зарегистр. 17-10-2005 | Отправлено: 22:07 01-05-2016
RB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2

Цитата:
Через Virtual NAT точно работает.

ну и как операционная система сервера этот адрес получит, если dhcp сервер secure nat выдаёт адреса только внутри конкретного виртуального хаба, а ос сервера никаких интерфейсов внутри виртуального хаба не имеет?

Цитата:
А если у вас другой DHCP сервер - то  он должен выдать адрес клиенту из той же сети, что и на сервере.

кроме dhcp сервера, который можно включить в настройках secure nat - доступа к другим dhcp серверам нет, тк компьютер, на котором запущен сервер softether подключен к интернету по wifi, соответственно, dhcp сервер в локальной сети сервера недоступен, т.к. local bridge нельзя создать используя wifi адаптер.
 
vlary

Цитата:
можно создать обычное VPN подключение стандартными средствами винды, например L2TP/IPSec или SSTP.  

а без vpn подключения?

Цитата:
Можно настроить локальный бридж

компьютер имеет только wifi адаптер, а bridge создаётся для ethernet адаптеров.
кроме того, как я показывал выше - про создании local bridge невозможно создать tap интерфейс - опции просто нет.

Цитата:
можно использовать  SecureNAT.  

как именно?
 
1karavan1
лучше расскажите как настроить маршрут из secure nat к localhost, если это вообще возможно в softether
Всего записей: 32 | Зарегистр. 30-06-2011 | Отправлено: 23:16 01-05-2016 | Исправлено: RB2, 23:17 01-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RB2

Цитата:
как настроить маршрут из secure nat к localhost

В этом контексте маршрутизация неуместна.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 23:46 01-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RB2
Цитата:
как именно?  
Там вроде все описано с картинками: Ссылка
Цитата:
лучше расскажите как настроить маршрут из secure nat к localhost
Зачем тебе  localhost? Используй айпишник сетевой сервера.
 
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 00:15 02-05-2016
RB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Там вроде все описано с картинками: Ссылка

я уже читал ту инструкцию.
Подробнее...
vlary

Цитата:
Зачем тебе  localhost? Используй айпишник сетевой сервера.

чтобы подключиться по rdp к серверу терминалов.
 
как я выше сказал - local bridge нет, потому доступа к локальному сетевому адаптеру нет.
 
если я на компьютере-клиенте, подключенном по vpn, в настройках подключения к удалённому рабочему столу укажу ip адрес виртуального сетевого интерфейса secure nat, то подключиться не смогу, потому что этот интерфейс доступен только внутри самой программы-сервера softether, потому что весь стек secure nat выполняется в самой программе-сервере в usemode, и ip стек ядра операционной системы из него недоступен без local bridge, а порт rdp сервера слушает именно в стеке ядра.
 
я понимаю, что можно установить vpn соединение и тогда всё станет доступно.
но вы сказали, что можно использовать secure nat: я не понимаю - как именно в данном случае это сделать?
Подробнее...
Всего записей: 32 | Зарегистр. 30-06-2011 | Отправлено: 01:25 02-05-2016
igor me v2

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я понимаю, что чего-то не понимаю :0 Я подозреваю, что именно я  непонимаю. Но доверюсь vlary разъяснить то, что я не понимаю. И тогда я это тоже пойму.
Это один вариант. Второй вариант - автор неправильно описал задачу...
 
 
Добавлено:
"
Цитата:
учитывая процитированное: реальная сетевая карта сервера ведь недоступна из этой secure nat сессии
"
Насколько я понял, secure nat как раз и делает её ДОСТУПНОЙ. Кто сказал, что она недоступна?

Цитата:
я понимаю, что можно установить vpn соединение и тогда всё станет доступно.  

Вот это я и не понимаю. А ЗАЧЕМ тогда вы поставили сам сервер VPN? Не для того, чтобы коннектится к нему извне посредством собственно VPN???

Цитата:
если я на компьютере-клиенте, подключенном по vpn, в настройках подключения к удалённому рабочему столу укажу ip адрес виртуального сетевого интерфейса secure nat, то подключиться не смогу

"Смешариков" смотрели? "Если я делаю так, у меня  там что-то щёлкает"..."А ты не делай так".
ЗАЧЕМ указывать адрес SecureNat??? Указывать нужно адрес реальной сетевухи...
Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 03:36 02-05-2016 | Исправлено: igor me v2, 03:45 02-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
укажу ip адрес виртуального сетевого интерфейса secure nat, то подключиться не смогу

Почему я смог? Стороннего dhcpd нет, все работает на Secure NAT от Softether
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 06:14 02-05-2016
RB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2
Второй вариант - автор неправильно описал задачу...  
но как её ещё описать?
Подробнее...
 

Цитата:
Насколько я понял, secure nat как раз и делает её ДОСТУПНОЙ. Кто сказал, что она недоступна?  

как? с вышеуказанными настройками, при попытке пинга локальной сетевой пинг не проходит.
даже когда я назначаю для вирутального интерфейса ip из диапазона реальной сети например 192.168.0.48
secure nat dhcp start 192.168.0.49 dhcp end 99
secure nat шлюз по умолчанию и dns сервер 192.168.0.48

Цитата:
А ЗАЧЕМ тогда вы поставили сам сервер VPN? Не для того, чтобы коннектится к нему извне посредством собственно VPN?

я имею ввиду локальное vpn соединение - когда ос, на которой установлен softether сервер устанавливает vpn соединение с ним.

Цитата:
ЗАЧЕМ указывать адрес SecureNat??? Указывать нужно адрес реальной сетевухи...

если я указываю адрес реальной сетевой, то подключиться по rdp не получается. адрес реальной сетевой даже не пингуется сквозь vpn подключение с удалённого клиента. адрес виртуального интерфейса - пингуется, но rdp там нет.
 
1karavan1

Цитата:
Почему я смог? Стороннего dhcpd нет, все работает на Secure NAT от Softether

можете пожалуйста показать пример: напишите настройки сетей - ip настройки реальной сети, ip настройки secure nat и его dhcp, используете ли вы route push в secure nat?
не всключен ли у вас local bridge или каскадное соединение виртуальных хабов?
Всего записей: 32 | Зарегистр. 30-06-2011 | Отправлено: 13:39 02-05-2016
igor me v2

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 потому что весь стек secure nat выполняется в самой программе-сервере в usemode, и ip стек ядра операционной системы из него недоступен без local bridge

Я вот это так и не понял? Что за usemode? Usermode? То есть с правами пользователя что-ли стартует сервер? А он может стартануть с правами пользователя вообще? Не пробовал, но что-то сомневаюсь. Тогда что имеется в виду?

Цитата:
но как её ещё описать?  
Подробнее...

То, что вы описали под Подробнее - абсолютно классическая схема, как понимаю. У меня по сути так же. Только сервер SoftEther стоит на ХР. Вот только сейчас специально подключился по VPN к рабочему серверу. Пингуются как адреса других компов в сети, так и САМ СЕРВЕР по его локальному(!) IP. По securNAT'овскому пингуется кстати ТОЖЕ! (но мне это вроде и не нужно)
Я ничего специально не настраивал, только включал virtualNAT и virtualDHCP. Всё сразу заработало. По идее связка вышеописанных опций сама осуществляет всю нужную маршрутизацию.
Если у вас не работает - или что-то не так сделали или не договариваете. У меня больше нет идей, извините.  
ЗЫ Вон vlary выше где-то писал, что у него вааще работало чуть-ли не на 10-ке (или на 8-ке, в общем на одной из последних поделок микроСОФТа).
Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 13:58 02-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RB2

Цитата:
можете пожалуйста показать пример

Не могу, несколько дней назад передал сеть клиенту (был заказ организовать VPN), под рукой только со сторонним dhcp (без Secure NAT).
 
igor me v2

Цитата:
САМ СЕРВЕР по его локальному(!) IP

А вот этого момента я не понял.
Точнее, понимаю что происходит, но не представляю себе этого механизма без передачи клиенту маршрута к локальному интерфейсу сервера.
На моих кошках так пакеты не ходили.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 15:04 02-05-2016
RB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2

Цитата:
Что за usemode? Usermode? ... Тогда что имеется в виду?

неправильно выразился, не то слово написал - думал про одно, написал другое.  
я имел в виду userspace: nat трансляция выполняется в пространстве пользователя, а не в ядре ос.
про это написано в https://www.softether.org/index.php?title=4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.7_Virtual_NAT_%26_Virtual_DHCP_Servers
https://habrahabr.ru/post/251123/#comment_8296645

Цитата:
А он может стартануть с правами пользователя вообще?

да https://www.softether.org/4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.2_Operating_Modes
но у меня он запущен как системная служба.

Цитата:
абсолютно классическая схема, как понимаю.

да. за исключением сетевого адаптера.

Цитата:
Пингуются как адреса других компов в сети,

у вас включен только secure nat или ещё и local bridge есть?
у меня при отсутствии local bridge адреса компьютеров локальной сети в которую включен сервер не пингуются.

Цитата:
так и САМ СЕРВЕР по его локальному(!) IP

у меня он не пингуется, при настройках secure nat по умолчанию
Подробнее...

Цитата:
Я ничего специально не настраивал, только включал virtualNAT и virtualDHCP. Всё сразу заработало

при первичной настройке, когда я не изменял настроек secure nat и secure dhcp, а просто включил их, у меня сразу не заработало.

Цитата:
По идее связка вышеописанных опций сама осуществляет всю нужную маршрутизацию.

я предполагаю, что проблема в том, что на сервере есть только wifif сетевой интерфейс, а ethernet интерфейсов нет, попробую добавить карту.

Цитата:
Если у вас не работает - или что-то не так сделали или не договариваете.  

я пока что не понимаю, где именно не так сделано.

Цитата:
ЗЫ Вон vlary выше где-то писал, что у него вааще работало чуть-ли не на 10-ке (или на 8-ке, в общем на одной из последних поделок микроСОФТа).  

у меня при подключении со встроенного клиента windows 10 по sstp не работает.
Всего записей: 32 | Зарегистр. 30-06-2011 | Отправлено: 15:26 02-05-2016 | Исправлено: RB2, 15:28 02-05-2016
igor me v2

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
да https://www.softether.org/4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.2_Operating_Modes  
но у меня он запущен как системная служба.  

Понято, буду знать...

Цитата:
у вас включен только secure nat или ещё и local bridge есть?  

Сервер я настраивал некоторое время назад, мог что-то забыть. но как помнится, никакого localbridge я не делал. Проверю настройки, когда выйду на работу после выходных. Сейчас не могу.

Цитата:
у меня он не пингуется, при настройках secure nat по умолчанию  

У меня настройки тоже по умолчанию. Только диапазон IP я уменьшал для DHCP...

Цитата:
я предполагаю, что проблема в том, что на сервере есть только wifif сетевой интерфейс

У меня почему-то стойкое подозрение, что дело не в этом. Ибо с точки зрения системы не должно быть особой разницы, в Винде все эти вещи по идее очень сильно унифицированы, тем более - в семёрке, думается...
1karavan1

Цитата:
А вот этого момента я не понял.  


Цитата:
но не представляю себе этого механизма без передачи клиенту маршрута к локальному интерфейсу сервера

Да я если честно тоже не разбирался в механизмах. Видимо маршрут таки передаётся клиенту. Да, на всякий уточняю, что я пользуюсь только родным клиентом SoftEther. Виндовым встроенным не пользовался, не смотрел - возможно будут отличия...
Ну и естесссно я только из инета подключался. Изнутри сети не пробовал. Ибо - cмысл?
 
Кстати, RB2 может я что-то упустил и вы говорите про случай подключения к серверу изнутри локалки??? Или всё же из инета?
 
Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 22:54 02-05-2016 | Исправлено: igor me v2, 22:56 02-05-2016
RB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2

Цитата:
может я что-то упустил и вы говорите про случай подключения к серверу изнутри локалки??? Или всё же из инета?

я устанавливаю vpn соединение из интернета, затем через это подключение хочу подключиться к rdp на сервере.
rdp соединение я пытаюсь установить с локальным адресом сервера.
Всего записей: 32 | Зарегистр. 30-06-2011 | Отправлено: 02:30 03-05-2016
tayamart

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Установила клиент. При подключении к серверу спрашивает  имя и пароль. Какие они ?  vpn/vpn ? Пишет неверно. Поможете ?
Всего записей: 1 | Зарегистр. 03-05-2016 | Отправлено: 08:06 03-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tayamart
Прежде чем подключаться к серверу,
на нем нужно создать юзеров
 
RB2
SSTP клиент на Win10 (виртуалка) работает прекрасно.
Единственно ругнулся сначала на сертификат сервера.
После того, как подсунул десятке корневой, которым
был подписан серверный, все заработало.
На сервере локальный бридж, адреса раздает
 центральный DHCP. SecureNAT пока не щупал,
не было в нем потребности.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 10:33 03-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сейчас проверил SecureNAT на одном из своих серверов (линукс).
Убил локальный бридж, оставил только виртуальный хаб.
Настроил SecureNAT и Dhcp сервер.
Виндовый клиент (ХР) подцепился по L2TP влет, получил адрес 192.168.30.10,
шлюз 192.168.30.1, а также настроенный на хабе маршрут
к локальной сетке 10.10.0.0/16
Цепляется по локальному адресу сервера 10.10.х.х  (чего нет в случае бриджа),
терминалкой заходит на все внутренние сервера.  

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 14:44 03-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а также настроенный на хабе маршрут к локальной сетке 10.10.0.0/16

vlary
Вот на счет этого маршрута, он ведь не появляется на автомате? Только ручками в конфиг сервера добавлять?
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 16:04 03-05-2016 | Исправлено: 1karavan1, 16:04 03-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1karavan1
Цитата:
он ведь не появляется на автомате?
Нет конечно, там в настройках имеется опция
добавить push route вида ip/mask/gateway, их можно добавить несколько штук.
После коннекта на клиенте появляются соответствующие маршруты.
В общем, все работает. Единственное, что у меня не получилось ни на бридже,
ни на SecureNAT,  это зацепить клиента на Андроиде.
Похоже, он даже не пытается отправлять Dhcp запросы.
В результате адрес не получает, и коннект отваливается.  
На их форуме видел массу вопросов по этому поводу, но ни одного решения,
или хотя бы объяснения сути проблемы.
К серверу на xl2tpd+OpenSwan  в то же время мой Андроид цепляется на ура.  
Заодно проверил клиента на Вин10, L2TP с SecureNAT работает нормально.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 18:54 03-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Единственное, что у меня не получилось ни на бридже,  
ни на SecureNAT,  это зацепить клиента на Андроиде.

Несколько дней назад делал клиенту проект на Secure NAT через L2TP/IPSec, где одним из условий была работа vpn на мобильных девайсах.
Проект сдал успешно. Доступов уже нет.
 
На данный момент под рукой сеть на bridge со сторонним dhcpd, также через L2TP/IPSec.
Ни разу не подключал мобильник, но с первой попытки он подцепился.
В браузере андроида открыл страничку NAS из локальной сети клиента по имени dns.
В конфиге сервера активен только L2TP (L2TPv3 и MS-SSTP выключены), указан IPSec Key.
В админских опциях хаба все по нулям.
Алгоритмом шифрования выбран RC4-MD5.
Бридж смотрит на физ-интерфейс, на котором сидит dhcpd.
nsd висит на соседней виртуалке.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 19:36 03-05-2016 | Исправлено: 1karavan1, 00:24 04-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1karavan1
Цитата:
Если нужны скрины настроек, могу сделать.
Не думаю, что они помогут, там настроек-то всего ничего.
И они элементарные. Дело тут в другом.  тут полазил по нету, и как оказалось,
что в версии 4.0 ( Ice Cream Sandwich) это врожденный баг.
Причем  он там похоже не один. Совет заменить программку racoon на патченную
мне, по крайней мере, не помог.  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 00:48 04-05-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SoftEther Multi-Protocol VPN Server


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru