98 / 98 SE / ME / NT 4.0 SP6a / 2000 SP4 / XP SP2, SP3 / Server 2003 SP2 / Vista SP1, SP2 / Server 2008 SP1, SP2 / Hyper-V Server 2008 / 7 SP1 / Server 2008 R2 SP1 / Hyper-V Server 2008 R2 / 8 / Server 2012 / Hyper-V Server 2012 / 8.1 / Server 2012 R2 / 10 / Server 2016
Linux (32bit, 64bit)
Mac OS X (32bit, 64bit)
Mac OS X 10.4 Tiger / 10.5 Leopard / 10.6 Snow Leopard / 10.7 Lion / 10.8 Mountain Lion / 10.9 Mavericks
FreeBSD (32bit, 64bit) (Server and Bridge only)
FreeBSD 5, 6, 7, 8, 9, 10
Solaris (32bit, 64bit) (Server and Bridge only)
Полезные ссылки
Подробное описание
Решение поддерживает несколько протоколов и встраивает универсальный движок для создания удаленных подключений, а также соединений сайт-к-сайту, позволяя настраивать пользовательский топологии VPN.
При использовании SoftEther VPN Client + VPN Gate Client Plugin преимуществом перед остальными сервисами заключается в том, что в качестве серверов могут выступать такие же пользователи как и мы (волонтёры), тогда как обычно у всех других VPN не всё так прозрачно. При этом настройки лёгкие и не требуют специальных знаний.
Обзор SoftEther VPN
SoftEther VPN изначально разрабатывался как академический проект, но очень быстро стал надежным и стабильным VPN решением, которое предназначено как для конечных потребителей, так и для корпораций.
Хотя продукт был разработан как альтернатива для OpenVPN и VPN протоколу Microsoft на базе SSTP, SoftEther VPN поддерживает обе технологии, позволяя пользователям клонировать настройки сервера для упрощения процесса миграции.
SoftEther VPN полагается на клиент-серверную архитектуру и поддерживает 6 популярных VPN протоколов, а именно: EtherIP, IPsec, L2TP, OpenVPN, MS-STTP и L2TPv3. Туннели VPN устанавливаются безопасно с шифрованием всего трафика, поэтому передача информации будет защищена оптимальным способом.
Серверы VPN могут быть установлены за уровнем корпоративного брандмауэра, позволяя сотрудникам получить доступ к рабочей машине из дома или с помощью смартфона или планшета.
Независимо от расстояния, доступ к VPN сети будет осуществляться очень плавно посредством технологий ad-hoc и LAN to LAN, позволяющим строить собственную IT инфраструктуру.
Если активы вашей компании распределены по стране, Вы можете использовать SoftEther VPN для удаленного контроля, позволяя IT-специалистам построить сеть корпоративного уровня.
Другие достоинства SoftEther VPN включают прозрачность для межсетевого экрана, шифрование AES 256-bit и RSA 4096-bit, высокую производительность, поддержку динамических DNS и протокола NAT Traversal.
В свете периодических блокировок в РБ и РФ, блокирующих как “недозволенные речи неугодных” так и работу специалистов разных мастей, организации и просто технари перебирают возможности различных VPN решений. SoftEther VPN в моем списке выглядит как бесплатное “чудо-решение”, которое позволяет иметь под рукой внушительный лист протоколов VPN из коробки: L2TP, IPSec, OpenVPN, SSTP, SoftEther VPN.
Теоретически
Я не системный администратор и не специалист по безопасности. Могу быть не прав.
Наиболее интересными протоколами для нас выглядят протоколы работающие поверх 443 порта т.к. похожи на https трафик: «SSTP», «SoftEther VPN». Ставим нашей целью настроить оба, остальные протоколы бонусом. Хотя по опыту, они не спасут в случае применения тяжелой артиллерии.
Нам понадобятся
Ubuntu 20.04 server
Docker 19+ на борту
SoftEther VPN Client под необходимую вам систему. [Опционально, если планируете использовать «SoftEther VPN» протокол]
Приступим
Под FreeBSD SoftEther доступен для установки через пакетный менеджер.
Листаем к пункту 7. Спасибо @i7071270
Создадим папку для наших настроек
Создайте и откройте docker-compose.yaml файл используя vi или nano
ВНИМАНИЕ: Замените следующие ключи своими значениями
— pre-shared key. Используется для IpSec
— hub management password
В секции USERS вы можете определить предустановленных юзеров: username:password;user2:pass2;
Стартуем из папки с docker-compose.yaml
Во время первого запуска контейнера была создана конфигурация. Давайте скопируем ее из контейнера в нашу папку.
Теперь нам необходимо раскомментировать строки 13, 14 в файле docker-compose.yaml
Итоговый файл должен выглядеть так
Теперь вы не будете терять ваш конфиг после каждого перезапуска контейнера. Для обновления конфигурации контейнера вызываем.
Запускаем SoftEther VPN Server manager for Windows с локальной машины и подключаемся к созданному серверу:
Пора настроить OpenVPN
Активируем протокол в настройках
Кнопка «Generate a Sample Configuration File for OpenVPN Clients» отдаст вам файл который вы можете скормить типовому OpenVPN клиенту.
Пришло время настроить SSTP
Этот сертификат необходимо импортировать в Trusted Root Certificate Authorities вашей системы. Для этого
Открываем утилиту «Manage Computer Certificates»
Импортируем сертификат в «Trusted Root Certificate Authorities»
Важно: Store location должен быть установлен в Local:
После импорта, в ветке Certificates вы увидите сертификат с IP адресом вашего сервера.
Попробуем установить подключение, для этого идем в настройки VPN:
Добавляем новое VPN соединение
Готово! Если все настройки были выполнены верно, соединение должно было успешно установиться.
Дополнительно
По адресу https:// доступна страница приветствия SoftEther VPN. Чтобы лишний раз не афишировать факт, что это VPN сервер, давайте ее отключим.
Откроем на редактирование файл vpn_server.config
Заменим флаг bool DisableJsonRpcWebApi false на bool DisableJsonRpcWebApi true
Имеет смысл скрыть все неиспользуемые нами порты. В моем случае все кроме 443. Для этого комментируем в файле docker-compose.yaml строки с лишними портами
Готово
Теперь у нас под рукой есть многопользовательский VPN Server с набором протоколов которые можно перебирать в надежде достучаться до рабочего варианта в случае известных форс-мажоров. Всем спасибо!
SoftEther VPN может быть основой инфраструктуры построения ИТ-систем корпораций и малых предприятий.
1.1. Ad-hoc VPN (Специальный VPN).
Создать ad-hoc VPN состоящий из небольшого числа компьютеров используя SoftEther VPN. Несмотря на большие расстояния, легко взаимодействовать по любым ориентированным на локальные сети протоколам.
Принципы
SoftEther VPN может построить распределенный виртуальный сегмент Ethernet. Если вам нужно сделать так, чтобы географически распределенные компьютеры имели связь друг с другом так, как будто они подключены к единой сети Ethernet, то применив SoftEther VPN вы сможете сделать это самым простым способом. Сначала настройте VPN-сервер. Затем настройте VPN-клиенты на ПК каждого участника. Наконец, запустите VPN-подключения на каждом VPN-клиенте. Тогда каждый клиент сможет использовать любые протоколы основанные на IP или Ethernet через VPN, даже если они разбросаны по всему миру.
Шаг1.НастройкаSoftEther VPN-сервера Выберите компьютер в группе, который будет VPN-сервером. Настройте SoftEther VPN Server на этом компьютере. Это сделать очень просто, используя установщик и инициировав мастера начальной настройки в графическом интерфейсе.
Шаг 2. Создание пользователей На VPN сервере вы можете добавить несколько пользователей в виртуальный концентратор. Каждый пользователь имеет пароль. После этого разошлите пары имя пользователя и пароль каждому участнику VPN.
Шаг 3. Настройте VPN-клиент на ПК каждого участника На ПК каждого участника установите SoftEther VPN Client. Введите адрес сервера, имя пользователя и пароль. Если участником VPN является устройство под управлением Mac OS X, iPhone или Android, настройте L2TP / IPsec VPN-клиент на всех устройствах вместо SoftEther VPN. Другим решением является использование OpenVPN клиента на Mac OS X, iPhone или Android для подключения к SoftEther VPN Серверу.
Шаг5. Взаимодействие как в физическомEthernet`е Когда все компьютеры подключены к виртуальному концентратору на SoftEther VPN-сервере, все компьютеры и смартфоны теперь могут взаимодействовать друг с другом, как если бы они все были подключены к единой сети Ethernet. Вы можете пользоваться протоколами общего доступа к файлам, приложениями удаленной печати, удаленного рабочего стола, базой данных SQL и любыми другими приложениями используемыми в локальной сети, несмотря на расстояния и географическое местоположение.
Смотри также раздел Руководство
10.3 Build a PC-to-PC VPN
1.2. Мост между локальными вычислительными сетями
Географически распределенные офисы(филиалы) имеют изолированные друг от друга сети. SoftEther VPN проложит виртуальные Ethernet кабели между всеми вашими филиалами. Таким образом все компьютеры всех филиалов объединятся в единую локальную сеть.
Принципы
На каждой стороне SoftEther VPN можно(нужно) определить виртуальный концентратор и установить соединение между виртуальным концентратором и физическим сегментом Ethernet используя функцию локальный мост(Local Bridge). Чтобы использовать его, вы можете привязать два или более удаленных физических сегмента Ethernet в один объединенный сегмент Ethernet. Это что-то вроде очень длинного Ethernet-кабеля по всей необходимой территории. Однако для построения и хранения длинного Ethernet-кабеля потребуются большие начальные вложения, а затем ежемесячные траты. В отличие от этого, кабель виртуальной сети SoftEther VPN не требует дополнительных затрат кроме обычных и дешевых подключений к Интернету с помощью местных Интернет провайдеров в каждом филиале.
Шаг 1. Настройте SoftEther VPN-сервер в центральном офисе В главном офисе или центре обработки данных вашей корпоративной сети установите SoftEther VPN Сервер в качестве центрального VPN-сервера.
Шаг 2. Создайте пользователей для каждого филиала Аутентификация пользователей требуется для обеспечения безопасности, чтобы только аутентифицированный VPN-мост мог подключиться к центральному офису. Добавьте пользователей для каждого филиала на SoftEther VPN Сервере.
Шаг 3. Настройте SoftEther VPN Bridge в каждом филиале В каждом филиале установите SoftEther VPN Bridge и настройте их так чтобы они устанавливали каскадное соединение с центральным VPN-сервером.
Шаг 4. Теперь мост LAN-LAN готов к использованию Поздравляем! Каждый сегмент сети, который изначально был изолирован от других сегментов, теперь связан с один Ethernet-сегмент. Все серверы, компьютеры и другие сетевые устройства с Ethernet портами, такие как принтеры, факсы, сканеры и системы телеконференций, теперь могут общаться друг с другом без каких-либо ограничений по протоколам. Они находятся в такой же ситуации, как если бы все эти устройства были подключены к одной физической локальной сети.
Смотри также
10.5 Build a LAN-to-LAN VPN (Using L2 Bridge)
1.3. Удаленный доступ к локальной сети
Принципы
Шаг 2. Определите локальный мост между виртуальным концентратором и физической сетевой картой Чтобы разрешить удаленный доступ с клиентских ПК в корпоративную сеть, необходимо сделать локальный мост между виртуальным концентратором и физическим сетевым адаптером, подключенным к корпоративной сети. Создание локального моста легко выполняется с помощью мастера первоначальной настройки, или вы можете добавить его вручную после первоначальной настройки.
Шаг 3. Создание пользователей На SoftEther VPN сервере вы должны добавить несколько пользователей в виртуальный концентратор. Каждый пользователь имеет пароль. После этого раздайте пары имя пользователя и пароль каждому сотруднику, который будет подключаться по VPN.
Шаг 4. Установите VPN-клиент на ПК каждого участника На ПК каждого участника установите SoftEther VPN Client. Введите адрес сервера, имя пользователя и пароль. Если членом VPN является Mac OS X, iPhone или Android, настройте L2TP / IPsec VPN-клиент на каждом ПК вместо SoftEther VPN. Другим решением является использование OpenVPN клиента на Mac OS X, iPhone или Android для подключения к SoftEther VPN Server.
Шаг 5. Теперь VPN с удаленным доступом готова к использованию Теперь каждый ПК сотрудника, на котором настроили VPN-клиент, может подключиться к корпоративной сети. После установления VPN-подключения клиентский компьютер будет частью сети. Затем на ПК можно использовать любые приложения для локальной сети, например, программное обеспечение коллективного пользования, SAP, SQL клиентs и корпоративные системы.
Смотри также раздел Руководство
10.4 Build a PC-to-LAN Remote Access VPN
SoftEther VPN также удобен для домашних пользователей. Вы можете гордиться тем, что используете VPN корпоративного класса для подключения к домашней сети.
1.4. Удалённый доступ
Нужен доступ к вашему домашнему серверу или цифровому устройству из Интернета? Установите SoftEther VPN-сервер на своем домашнем ПК и получите доступ к вашему серверу или HDTV рекордеру из любой точки мира через Интернет.
Подключайтесь к устройствам вашей домашней сети извне Вы можете создать VPN удаленного доступа для своей домашней сети. Тогда вы сможете подключиться из Интернета к вашему дому в любом месте в любое время. В настоящее время все домашние электронные устройства, такие как телевизоры, HDTV-рекордеры и игровые видео приставки, подключены к домашней сети. Кроме того, устройства домашней безопасности и веб-камеры подключены к домашней сети. Конечно, у вас может быть домашний сервер для хранения видео или музыкальных файлов. Вы можете получить доступ ко всем этим домашним устройствам из Интернета, используя SoftEther VPN. Шаги для построения домашней сети с возможностью удаленного доступа точно такие же, как и для «Удаленного доступа VPN к локальной сети». Вы также можете включить функции, совместимые с iPhone и Android, для возможности подключения удаленного доступа VPN с вашего iPhone или Android. Наслаждайтесь SoftEther VPN, чтобы обогатить свою цифровую жизнь взаимодействуя с домашней сетью из любой точки мира.
1.5. Удобная сеть везде
Вы бизнесмен и совершаете командировки по всему миру? В большинстве Wi-Fi сетей и местными интернет провайдерами в некоторых странах пользоваться сетью неудобно из-за фильтрации некоторых протоколов или Интернет цензуры. Поэтому настройте свой частный VPN сервер на домашнем ПК и используйте, когда вы в поездке, чтобы упростить работу.
Попасть в вашу домашнюю сеть в любое время из-за рубежа Путешествуя по миру, вы заметите, что некоторые сети в гостиничных номерах, Wi-Fi в аэропортах и местные интернет-провайдеры применяют в своих IP-сетях фильтры пакетов. Политики ограничений IP-сетей различны по всему миру, но всё же большинство внешних сетей полны ограничений. SoftEther VPN помогает вам поддерживать комфортную среду доступа в Интернет, когда вы путешествуете по всему миру. Перед тем как покинуть свой дом, вы должны установить SoftEther VPN сервер на вашем домашнем ПК. Из гостиничного номера или Wi-Fi вы можете подключиться к вашему SoftEther VPN-серверу дома. Тогда вы сможете получить доступ к Интернету через ваш дом. Это означает, что ваш домашний компьютер обеспечивает функцию ретрансляции между вашим ноутбуком и Интернетом. Все пакеты к Интернету проходят через ваш домашний ПК, поэтому вы не ограничены локальной политикой доступа в Интернет вашей текущей страны пребывания. Вы можете наслаждаться YouTube, Facebook или Twitter, даже если вы путешествуете в ближневосточной стране, где они запрещены. Вы можете пользоваться сетью без ограничения из любой точки мира.
Настройка VPN Сервера из «коробки», просто и быстро (SoftEther VPN)
Про защиту RDP много сказано и много написано как избежать взлома, как защитить сервер, как хранить копии, где хранить и т.д., все это не когда не будет лишнем. Но одним из самых надежных все же является VPN сервер со своими протоколами, сертификатами, шифрованиями и т.д.
Данная статься не является эталоном настройки или учебным пособием, тут просто была решена поставленная задача, просто и быстро в короткие сроки. Без углубленных знаний протоколов шифрования, методов и т.д. кто хочет изучить это более глубоко и детально, то в данном программном обеспечении там не паханое поле возможностей для любых задач.
SoftEtherVPN — это мощный продвинутый мультипротокольный VPN-сервер под лицензией CPLv2 (т.е. совершенно свободный к распространению и использованию). Способен поднимать L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP-серверы, а также имеет свой собственный протокол «SSL-VPN», который неотличим от обычного HTTPS-трафика. Работает что называется «из коробки».
Офф. сайт для скачивания, так же там имеется вся документация по настройке (на англ.): www.softether.org
Русской локализации данная программа не имеет, что может вызвать трудности при тонкой настройке самого сервера, прав доступа и т. д.
1. Скачиваем и устанавливаем программное обеспечение, серверная часть:
2. После установки, преступаем к настройке сервера VPN. Имя хоста, порт VPN севера, учетные данные для администрирования.
При первом входе запросит задать пароль администратора
Описание настроек что и для чего необходимо более детально, можно найти в документации.
Данная настройка позволяет получать доступ к сети любому клиенту подключенному к VPN серверу, как будто они находятся в одной физической сети.
Указываем имя VPN сервера
— Включить функцию сервера L2TP через IPsec (включено)
— Включить функцию сервера L2TP без шифрования (выключено в нашем случае)
После настройки, создаем пользователей для VPN сервера.
1. Имя пользователя
2. различные типы аутентификации (самые предпочтительные просто парольная защита и пароль + сертификат)
3. При аутентификации по сертификату создаем сертификат на пользователя.
4. При создание указываются данные пользователя сертификата, срок действия, тип и т.д.
После создание сохраняем сертификат и ключ сертификата.
4. Настройка и управление VPN сервера и хаба:
Настройки виртуальной сети, настройка DHCP сервера (рекомендую отключить DHCP и прописать адреса вручную на виртуальном адаптере), интервал IP адресов, маски и т. д.
5. Настройка Security Policy для пользователя (в моем случае оставил все по умолчанию):
6. Настройка сетевого моста для объединения нескольких сетей в том числе и разных VPN сетей (в нашем случае она не нужна этот пункт можно пропустить). И перейти к настройке клиентской части программы.
Для настройки моста необходима дополнительная библиотека, WinPcap — низкоуровневая библиотека 32-битных систем Windows, для взаимодействия с драйверами сетевых интерфейсов. Она позволяет захватывать и передавать сетевые пакеты в обход стека протоколов. Скачать ее можно тут: www.winpcap.org
7. Настройка и установка клиентской части VPN-клиента (для этого нам понадобится дистрибутив для клиентской части):
Добавление клиента к VPN подключению:
— Адрес сервера (белый, внешний IP адрес), порт сервера указанный при настройке (по умолчанию 5555), имя VPN сервера (по умолчанию VPN)
— Выбираем способ аутентификации по которому был настроен доступ к серверу (в нашем случае по сертификату и паролю)
— после чего создается подключение по которому можно цепляться к VPN серверу (не забудьте настроить проброс порта на сервер в примере 5555 иначе может не подключаться) и потом уже заходить по RDP как по локальной сети (так же можно настроить доступ к ресурсам сети, принтерам, компьютерам сети и т.д.)
Для минимизации для пользователей можно настроить простой вид:
8. Так же необходимо создать правило маршрутизации для сервера VPN (интернет будет использоваться вашей машины, а не VPN сервера):
Вот и все настройка VPN сервера и клиента завершена можно работать, все работает стабильно без разрывов и тормозов и прочих проблем, для администрирования и настройки под себя и свою специфику всю информацию можно найти на офф. сайте. Для нашей задаче этого вполне достаточно. Во вложении все необходимые программы для настройки.
