Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SoftEther Multi-Protocol VPN Server

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Открыть новую тему     Написать ответ в эту тему

vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Смежная тема в разделе "Программы"

SoftEther Multi-Protocol VPN Server


SoftEther - это серверное и клиентское программное обеспечение для создания VPN подключений, академический проект, разработанный в University of Tsukuba, Япония.
Весь софт бесплатен для личного или коммерческого использования, с 4 января 2014 года является open source.  
Поддерживаемые платформы
Сервер:   Windows, Linux, Mac OS X, FreeBSD, Solaris
Клиенты: Windows, Linux, Mac, Android, iPhone, iPad, Windows Phone  
Поддержка встроенных VPN клиентов: Windows (L2TP, SSTP), Mac, Android, iOS (L2TP)
Поддерживаемые протоколы
OpenVPN, L2TP/IPSec, L2TPv3, EtherIP, SSTP,  SSL-VPN over HTTPS
Типы VPN подключений .
Ad-hoc VPN, LAN to LAN Bridge, Remote Access to LAN, поддержка Cloud

Полезные ссылки по теме
Мануал по SoftEther на русском
Статья на Хабре
Установка и настройка Softether VPN на Debian
Объединяем сети при помощи SoftEther VPN
Softether on VPS Using Local Bridge
Для виндузятников, привыкших все настраивать мышкой, это вообще подарок судьбы. Имеется программа управления сервером, которую можно запустить после установки сервера. Также можно вручную редактировать конфигурационный файл. Поднять рабочий L2TP/IPSec сервер заняло 15 минут.
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 21:00 08-02-2014 | Исправлено: igor me v2, 00:55 09-12-2021
RB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2
Второй вариант - автор неправильно описал задачу...  
но как её ещё описать?
Подробнее...
 

Цитата:
Насколько я понял, secure nat как раз и делает её ДОСТУПНОЙ. Кто сказал, что она недоступна?  

как? с вышеуказанными настройками, при попытке пинга локальной сетевой пинг не проходит.
даже когда я назначаю для вирутального интерфейса ip из диапазона реальной сети например 192.168.0.48
secure nat dhcp start 192.168.0.49 dhcp end 99
secure nat шлюз по умолчанию и dns сервер 192.168.0.48

Цитата:
А ЗАЧЕМ тогда вы поставили сам сервер VPN? Не для того, чтобы коннектится к нему извне посредством собственно VPN?

я имею ввиду локальное vpn соединение - когда ос, на которой установлен softether сервер устанавливает vpn соединение с ним.

Цитата:
ЗАЧЕМ указывать адрес SecureNat??? Указывать нужно адрес реальной сетевухи...

если я указываю адрес реальной сетевой, то подключиться по rdp не получается. адрес реальной сетевой даже не пингуется сквозь vpn подключение с удалённого клиента. адрес виртуального интерфейса - пингуется, но rdp там нет.
 
1karavan1

Цитата:
Почему я смог? Стороннего dhcpd нет, все работает на Secure NAT от Softether

можете пожалуйста показать пример: напишите настройки сетей - ip настройки реальной сети, ip настройки secure nat и его dhcp, используете ли вы route push в secure nat?
не всключен ли у вас local bridge или каскадное соединение виртуальных хабов?
Всего записей: 32 | Зарегистр. 30-06-2011 | Отправлено: 13:39 02-05-2016
igor me v2

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 потому что весь стек secure nat выполняется в самой программе-сервере в usemode, и ip стек ядра операционной системы из него недоступен без local bridge

Я вот это так и не понял? Что за usemode? Usermode? То есть с правами пользователя что-ли стартует сервер? А он может стартануть с правами пользователя вообще? Не пробовал, но что-то сомневаюсь. Тогда что имеется в виду?

Цитата:
но как её ещё описать?  
Подробнее...

То, что вы описали под Подробнее - абсолютно классическая схема, как понимаю. У меня по сути так же. Только сервер SoftEther стоит на ХР. Вот только сейчас специально подключился по VPN к рабочему серверу. Пингуются как адреса других компов в сети, так и САМ СЕРВЕР по его локальному(!) IP. По securNAT'овскому пингуется кстати ТОЖЕ! (но мне это вроде и не нужно)
Я ничего специально не настраивал, только включал virtualNAT и virtualDHCP. Всё сразу заработало. По идее связка вышеописанных опций сама осуществляет всю нужную маршрутизацию.
Если у вас не работает - или что-то не так сделали или не договариваете. У меня больше нет идей, извините.  
ЗЫ Вон vlary выше где-то писал, что у него вааще работало чуть-ли не на 10-ке (или на 8-ке, в общем на одной из последних поделок микроСОФТа).
Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 13:58 02-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RB2

Цитата:
можете пожалуйста показать пример

Не могу, несколько дней назад передал сеть клиенту (был заказ организовать VPN), под рукой только со сторонним dhcp (без Secure NAT).
 
igor me v2

Цитата:
САМ СЕРВЕР по его локальному(!) IP

А вот этого момента я не понял.
Точнее, понимаю что происходит, но не представляю себе этого механизма без передачи клиенту маршрута к локальному интерфейсу сервера.
На моих кошках так пакеты не ходили.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 15:04 02-05-2016
RB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2

Цитата:
Что за usemode? Usermode? ... Тогда что имеется в виду?

неправильно выразился, не то слово написал - думал про одно, написал другое.  
я имел в виду userspace: nat трансляция выполняется в пространстве пользователя, а не в ядре ос.
про это написано в https://www.softether.org/index.php?title=4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.7_Virtual_NAT_%26_Virtual_DHCP_Servers
https://habrahabr.ru/post/251123/#comment_8296645

Цитата:
А он может стартануть с правами пользователя вообще?

да https://www.softether.org/4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.2_Operating_Modes
но у меня он запущен как системная служба.

Цитата:
абсолютно классическая схема, как понимаю.

да. за исключением сетевого адаптера.

Цитата:
Пингуются как адреса других компов в сети,

у вас включен только secure nat или ещё и local bridge есть?
у меня при отсутствии local bridge адреса компьютеров локальной сети в которую включен сервер не пингуются.

Цитата:
так и САМ СЕРВЕР по его локальному(!) IP

у меня он не пингуется, при настройках secure nat по умолчанию
Подробнее...

Цитата:
Я ничего специально не настраивал, только включал virtualNAT и virtualDHCP. Всё сразу заработало

при первичной настройке, когда я не изменял настроек secure nat и secure dhcp, а просто включил их, у меня сразу не заработало.

Цитата:
По идее связка вышеописанных опций сама осуществляет всю нужную маршрутизацию.

я предполагаю, что проблема в том, что на сервере есть только wifif сетевой интерфейс, а ethernet интерфейсов нет, попробую добавить карту.

Цитата:
Если у вас не работает - или что-то не так сделали или не договариваете.  

я пока что не понимаю, где именно не так сделано.

Цитата:
ЗЫ Вон vlary выше где-то писал, что у него вааще работало чуть-ли не на 10-ке (или на 8-ке, в общем на одной из последних поделок микроСОФТа).  

у меня при подключении со встроенного клиента windows 10 по sstp не работает.
Всего записей: 32 | Зарегистр. 30-06-2011 | Отправлено: 15:26 02-05-2016 | Исправлено: RB2, 15:28 02-05-2016
igor me v2

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
да https://www.softether.org/4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.2_Operating_Modes  
но у меня он запущен как системная служба.  

Понято, буду знать...

Цитата:
у вас включен только secure nat или ещё и local bridge есть?  

Сервер я настраивал некоторое время назад, мог что-то забыть. но как помнится, никакого localbridge я не делал. Проверю настройки, когда выйду на работу после выходных. Сейчас не могу.

Цитата:
у меня он не пингуется, при настройках secure nat по умолчанию  

У меня настройки тоже по умолчанию. Только диапазон IP я уменьшал для DHCP...

Цитата:
я предполагаю, что проблема в том, что на сервере есть только wifif сетевой интерфейс

У меня почему-то стойкое подозрение, что дело не в этом. Ибо с точки зрения системы не должно быть особой разницы, в Винде все эти вещи по идее очень сильно унифицированы, тем более - в семёрке, думается...
1karavan1

Цитата:
А вот этого момента я не понял.  


Цитата:
но не представляю себе этого механизма без передачи клиенту маршрута к локальному интерфейсу сервера

Да я если честно тоже не разбирался в механизмах. Видимо маршрут таки передаётся клиенту. Да, на всякий уточняю, что я пользуюсь только родным клиентом SoftEther. Виндовым встроенным не пользовался, не смотрел - возможно будут отличия...
Ну и естесссно я только из инета подключался. Изнутри сети не пробовал. Ибо - cмысл?
 
Кстати, RB2 может я что-то упустил и вы говорите про случай подключения к серверу изнутри локалки??? Или всё же из инета?
 
Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 22:54 02-05-2016 | Исправлено: igor me v2, 22:56 02-05-2016
RB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2

Цитата:
может я что-то упустил и вы говорите про случай подключения к серверу изнутри локалки??? Или всё же из инета?

я устанавливаю vpn соединение из интернета, затем через это подключение хочу подключиться к rdp на сервере.
rdp соединение я пытаюсь установить с локальным адресом сервера.
Всего записей: 32 | Зарегистр. 30-06-2011 | Отправлено: 02:30 03-05-2016
tayamart

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Установила клиент. При подключении к серверу спрашивает  имя и пароль. Какие они ?  vpn/vpn ? Пишет неверно. Поможете ?
Всего записей: 1 | Зарегистр. 03-05-2016 | Отправлено: 08:06 03-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tayamart
Прежде чем подключаться к серверу,
на нем нужно создать юзеров
 
RB2
SSTP клиент на Win10 (виртуалка) работает прекрасно.
Единственно ругнулся сначала на сертификат сервера.
После того, как подсунул десятке корневой, которым
был подписан серверный, все заработало.
На сервере локальный бридж, адреса раздает
 центральный DHCP. SecureNAT пока не щупал,
не было в нем потребности.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 10:33 03-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сейчас проверил SecureNAT на одном из своих серверов (линукс).
Убил локальный бридж, оставил только виртуальный хаб.
Настроил SecureNAT и Dhcp сервер.
Виндовый клиент (ХР) подцепился по L2TP влет, получил адрес 192.168.30.10,
шлюз 192.168.30.1, а также настроенный на хабе маршрут
к локальной сетке 10.10.0.0/16
Цепляется по локальному адресу сервера 10.10.х.х  (чего нет в случае бриджа),
терминалкой заходит на все внутренние сервера.  

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 14:44 03-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а также настроенный на хабе маршрут к локальной сетке 10.10.0.0/16

vlary
Вот на счет этого маршрута, он ведь не появляется на автомате? Только ручками в конфиг сервера добавлять?
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 16:04 03-05-2016 | Исправлено: 1karavan1, 16:04 03-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1karavan1
Цитата:
он ведь не появляется на автомате?
Нет конечно, там в настройках имеется опция
добавить push route вида ip/mask/gateway, их можно добавить несколько штук.
После коннекта на клиенте появляются соответствующие маршруты.
В общем, все работает. Единственное, что у меня не получилось ни на бридже,
ни на SecureNAT,  это зацепить клиента на Андроиде.
Похоже, он даже не пытается отправлять Dhcp запросы.
В результате адрес не получает, и коннект отваливается.  
На их форуме видел массу вопросов по этому поводу, но ни одного решения,
или хотя бы объяснения сути проблемы.
К серверу на xl2tpd+OpenSwan  в то же время мой Андроид цепляется на ура.  
Заодно проверил клиента на Вин10, L2TP с SecureNAT работает нормально.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 18:54 03-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Единственное, что у меня не получилось ни на бридже,  
ни на SecureNAT,  это зацепить клиента на Андроиде.

Несколько дней назад делал клиенту проект на Secure NAT через L2TP/IPSec, где одним из условий была работа vpn на мобильных девайсах.
Проект сдал успешно. Доступов уже нет.
 
На данный момент под рукой сеть на bridge со сторонним dhcpd, также через L2TP/IPSec.
Ни разу не подключал мобильник, но с первой попытки он подцепился.
В браузере андроида открыл страничку NAS из локальной сети клиента по имени dns.
В конфиге сервера активен только L2TP (L2TPv3 и MS-SSTP выключены), указан IPSec Key.
В админских опциях хаба все по нулям.
Алгоритмом шифрования выбран RC4-MD5.
Бридж смотрит на физ-интерфейс, на котором сидит dhcpd.
nsd висит на соседней виртуалке.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 19:36 03-05-2016 | Исправлено: 1karavan1, 00:24 04-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1karavan1
Цитата:
Если нужны скрины настроек, могу сделать.
Не думаю, что они помогут, там настроек-то всего ничего.
И они элементарные. Дело тут в другом.  тут полазил по нету, и как оказалось,
что в версии 4.0 ( Ice Cream Sandwich) это врожденный баг.
Причем  он там похоже не один. Совет заменить программку racoon на патченную
мне, по крайней мере, не помог.  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 00:48 04-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Да, с предложением скринов я погорячился )
Насчет версии андроида, я тесты провожу на AOSP 5.1 64-bit (неродной кастом)
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 01:16 04-05-2016 | Исправлено: 1karavan1, 01:18 04-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
там в настройках имеется опция добавить push route вида ip/mask/gateway

Сегодня попробовал. С одной стороны, удобно, избавил клиента от ярлыков вида 1c_vpn, все свел к использованию ярлыков 1c_local, shared_local.
Но. Некоторый момент меня смущает.
Когда мы используем SecureNAT и отказываемся от использования бриджа?
Когда необходимо обеспечить доступ исключительно к серверу vpn без предоставления доступа ко всем участникам сети local.
Я был удивлен, что при активном SecureNAT ipconfig молчит об этом интефейсе, т.е. вся инфа об адресах и маршрутах vpn только в ядре Softether, отсюда и проблемы подключения к любому сервису сервера по адресу SecureNAT.
Да, выручает push route.
Я использовал такой: 192.168.100.100/255.255.255.255/10.12.12.1
Но, кто запрещает пользователю vpn добавить в свою таблицу маршрутов строчку вида 192.168.100.0/255.255.255.0/10.12.12.1 ?
Далее спокойно анализировать весь LAN.
Т.е., в случае когда клиенты vpn недоверенные, вижу необходимость использования на сервере фейкового интерфейса (ЕМНИП называется "петлевое сетевое соединение"), а на него уже вешать либо бридж, либо маршрут кидать.
 
P.S.: Палка о двух концах... Если разрабы ориентировались на предоставление NAT через канал vpn без доступа к серверу, то тогда все сделано правильно. Нет необходимости организовывать защиту сервера, все работает из коробки.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 14:19 04-05-2016 | Исправлено: 1karavan1, 14:50 04-05-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1karavan1
Цитата:
Я был удивлен, что при активном SecureNAT ipconfig молчит об этом интефейсе
И это правильно, ибо SecureNAT работает в пользовательском режиме,
а не в режиме ядра. Соответственно не требует административных привилегий.
Тут он больше похож не на NAT, а на  Socks Proxy.
Но работающие совершенно прозрачно.
Цитата:
Но, кто запрещает пользователю vpn добавить в свою таблицу маршрутов
Но и администратору сервера никто не мешает настроить соответствующие фильтры и политики.
Цитата:
Deny Routing Operation policy    Description:
Denies IP routing in sessions for which this policy is set. Communication is not possible even if an IP router is operating on the user's client side.
Ссылка
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 14:54 04-05-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Согласен, т.к. документацию в полном объеме не осилил, то пришлось выдумать велосипед с фейковым интерфейсом, который для бриджа еще потребовал бы развертывание своего dhcpd, или использовать статические адреса.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 15:48 04-05-2016 | Исправлено: 1karavan1, 16:00 04-05-2016
RB2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
добавить push route вида ip/mask/gateway, их можно добавить несколько штук.  

спасибо

Цитата:
Цепляется по локальному адресу сервера 10.10.х.х  (чего нет в случае бриджа)

это фича https://www.softether.org/4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.6_Local_Bridges#3.6.11_Points_to_Note_when_Local_Bridging_in_Linux.2C_FreeBSD.2C_Solaris_or_Mac_OS_X
Цитата:
3.6 Limitations within the Linux or UNIX operating system prevent communication with IP addresses assigned to the network adapter locally bridged from the VPN side (Virtual Hub side). The cause of this restriction lies with OS's internal kernel codes rather than with the SoftEther VPN.


Цитата:
4.0 ( Ice Cream Sandwich) это врожденный баг.  

если вам не помогла замена бинарного файла ipsec - найдите tun.ko модуль для вашего телефона и подключайтесть по openvpn.
1karavan1

Цитата:
Я был удивлен, что при активном SecureNAT ipconfig молчит об этом интефейсе

softether через сокет передает все свои данные, без создания интерфейса

Цитата:
Я использовал такой: 192.168.100.100/255.255.255.255/10.12.12.1  

спасибо, только сейчас понял, что нужно route push (split tunnel) сделать.

Цитата:
строчку вида 192.168.100.0/255.255.255.0/10.12.12.1  

пояснение, чтобы другие не гадали:
192.168.100.0 адрес локальной сети в которую включен сервер
255.255.255.0 маска сети
10.12.12.1 адрес виртуального интерфейса securenat

Цитата:
Т.е., в случае когда клиенты vpn недоверенные, вижу необходимость использования на сервере фейкового интерфейса

в расширенных настройках можно запретить доступ в локальную сеть, только не помню где именно это видел.

Цитата:
Если разрабы ориентировались на предоставление NAT через канал vpn без доступа к серверу, то тогда все сделано правильно.

именно для этого - чтобы можно было без административных полномочий получить vpn доступ
https://www.softether.org/4-docs/1-manual/A._Examples_of_Building_VPN_Networks/10.B_Exploit_SecureNAT_for_Remote_Access_into_Firewall_without_Any_Permission
у них даже vpn azure есть для этого.

Цитата:
то пришлось выдумать велосипед с фейковым интерфейсом, который для бриджа еще потребовал бы развертывание своего dhcpd, или использовать статические адреса

на sofether форуме пишут, что dhcpd + интерфейс быстрее, чем securenat
Всего записей: 32 | Зарегистр. 30-06-2011 | Отправлено: 04:02 09-05-2016
MAK123



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, что делаю не так. Нужен был внешний доступ по нескольким портам (rdp и т.п.) к машине в локальной стети (только к ней и только когда она включена, на машине Windows 10 Pro). На ней развернул Server, прописал пользователя. На внешней установил клиент. Связь устанавливается, машина с server'ом не отвечает.  
Добавил VirtualNAT - вижу с внешней машины всю внутреннюю сеть (пингуются, заходит по rdp и т.д.), машина с сервером отвечает на пинг по адресу рутера, прописанному в VirtualNAT, остальные порты глухо закрыты (пробовал на ней полностью отклюать firewall, т.к. грешил на него - бесполезно), по адресу из локальной сети она не отвечает.
Может, кто уже сталкивался с подобным?
Всего записей: 34 | Зарегистр. 06-02-2003 | Отправлено: 23:44 12-05-2016
igor me v2

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
по адресу рутера, прописанному в VirtualNAT

То есть по адресу виртуального интерфейса? Работать надо по РЕАЛЬНОМУ IP локальной сети... Если я правильно понял вопрос.
Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 00:27 13-05-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SoftEther Multi-Protocol VPN Server


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru