» SoftEther Multi-Protocol VPN Server

Цитата:

Там есть такое понятие, как Virtual Hubs

вовремя напомнил, я сам об этом забыл

Все пишут какой замечательный SoftEther VPN, но у меня не получается. Я знаю как мне то что надо сделать в OpenVPN, но пока не понимаю как в SoftEther VPN. Мне требуется связать две сети. В каждой сети используется одинаковая подсеть, например, 192.168.0.0 / 255.255.248.0. При этом необходимо, чтобы проходил бродкаст трафик. Ставлю эксперимент на двух виртуалках. В каждой виртуалке XP с внутренним интерфейсом для связи друг с другом и адресом из подсети 192.168.16.0 / 255.255.255.0. На одной из виртуалок также есть интерфейс, который находится в бридже с физическим интерфейсом хостовой машины на Windows 7. Из последней виртуалки доступна физическая сеть и хост. Я поставил на эту виртуалку SoftEther VPN в режиме сервера. На вторую (с одним внутренним интерфейсом) в режиме бриджа. Создал на сервере хаб, пользователя, подключился к нему со второй машины. Сделал привязку к хабу на сервере SoftEther VPN через Local Bridge Settings. Но со второй машины никак не доступен второй интерфейс первой машины (сервера SoftEther VPN) и физическая сеть.
Что нужно делать?

Цитата:

Мне требуется связать две сети. В каждой сети используется одинаковая подсеть

Все инструкции по связыванию двух сетей посредством VPN, которые я встречал, с первых строчек предупреждают о необходимости иметь разные подсети в связываемых сегментах.
Оно как бы логично и понятно, да и трафик роутить проще, это я принял на веру и сам не проверял.
Один нюанс, если нет необходимости в доступности хостов вне сети VPN и VPN-трафик пускать только между клиентами VPN, то физически клиенты VPN могут находиться в идентичных сегментах.

YuraseK
Цитата:

Что нужно делать?

Тебе нужен layer 2 bridge.
Build a LAN-to-LAN VPN (Using L2 Bridge)

vlary
Я всё сделал по инструкции. На машине, которая в режиме Bridge, в менеджере SoftEther VPN видны маки и IP адреса машин из физической сети, но взаимодействие не происходит. Не пингуются адреса одной сети в другой и наоборот. По arp видно, что система даже знает мак для запрашиваемого IP.

YuraseK
Цитата:

Я всё сделал по инструкции

Лично я не пробовал соединение layer 2.
Все как-то руки не доходили, да и со стендом не просто.
Потому точно подсказать не смогу.
Может, что то не докручено при создании
виртуальных хабов, привязки их к локальным бриджам.
Попробуй у них на форуме поинтересоваться,
там layer 2 наверняка кто-нибудь делал.

Я создал три виртуальные машины на Windows XP (брэндмауэр отключён).
В машине Client один сетевой интерфейс подключен к сети local1.
В машине Bridge один сетевой интерфейс подключен к сети local1 и один к сети internal.
В машине Server один сетевой интерфейс подключен к сети internal и один к сети local2.
Сеть local1 – изолированная сеть в диапазоне 192.168.0.0 / 255.255.248.0.
Сеть internal – изолированная сеть в диапазоне 192.168.16.0 / 255.255.255.0.
Сеть local2 – изолированная сеть в диапазоне 192.168.0.0 / 255.255.248.0.
Сеть internal служит для связи компьютеров Bridge и Server.

Присвоенные IP адреса / маски для соответствующих компьютеров (интерфейсов):

Client (local1): 192.168.6.218 / 255.255.248.0
Bridge (local1): 192.168.6.217 / 255.255.248.0
Bridge (internal): 192.168.16.2 / 255.255.255.0
Server (internal): 192.168.16.1 / 255.255.255.0
Server (local2): 192.168.6.216 / 255.255.248.0

Настройки SoftEther VPN на Server:

1. Site-to-site VPN Server or VPN Bridge > VPN Server that Accepts Connection from Other (Center)
2. Virtual Hub Name > VPN
3. Create New User
4. Set Local Bridge > local2

Настройки SoftEther VPN на Bridge:

1. Site-to-site VPN Server or VPN Bridge > VPN Bridge at Each Site
2. Define a Connection to Destination VPN Server > Configure Connection Setting > New > (Setting Name: Link, Host name: 192.168.16.1, Virtual Hub Name: VPN, User Name: user) > Online (Established)
3. Set Local Bridge > local1

После всех настроек я вижу маки и IP адреса на обоих концах SoftEther VPN, но пинг не проходит от Client до Server и наоборот. В чём я ошибся при настройке?

Прошу помочь советом. Перестал сервер softether транслировать для клиентов IP от DHCP сервера в сети.
Совпало с переустановкой сервера и выпуском дополнительных сертификатов для нескольких клиентов.
Пробовал авторизоваться по другому и установить сервер на другую машину не помогло.
Облазил все настройки косяка не нашел. Кто-нибудь сталкивался с таким эффектом?

YuraseK
Цитата:

Я создал три виртуальные машины на Windows XP

А роутинг между интерфейсами разрешен? Делается через реестр.

sergey5864
На сервере ведутся подробные логи, посмотри их.
Кстати, можешь сравнить теми, когда все работало, если не потер их.
Такое впечатление, что порушился бридж между виртуальным хабом
и реальным интерфейсом.

vlary

Цитата:

А роутинг между интерфейсами разрешен? Делается через реестр.

Спасибо огромное! Целую вечность бы гадал. Я думал, что SoftEther VPN как-то всё на низком уровне разруливает, а дело оказалось в одном ключе в реестре.
Оставлю для тех, кто в будущем столкнётся с похожей задачей (проблемой) при реализации LAN 2 LAN связи сетей: в реестре на каждой из машин с SoftEther VPN в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters меняем значение параметра IPEnableRouter на 1.
И ещё немаловажный момент: сетевой интерфейс объединяемых локальных сетей должен уметь переходить в неразборчивый режим. В принципе с этим проблем быть не должно. SoftEther VPN должен всё необходимое сделать. Но, например, я тестировал в VirtualBox, а там для сетевых интерфейсов этот режим запрещён по умолчанию. После его включения всё будет работать как надо.

Здравствуйте, уважаемые! В сисадминских вопросах я не силен, но слышал об этой программе такие восторженные отзывы, что пройти мимо не смог. Возможно, мой вопрос покажется вам глупым, поэтому заранее прошу прощения. Итак, имеем:
1. Подключение к интернету по [more=вот такой] [/more] нестандартной схеме.
2. На роутере отсутствует физическая возможность проброса портов <1024 (запрещено провайдером).
Хотелось бы поинтересоваться в целях повышения образованности возможно ли при помощи SoftEther VPN открыть для входящих соединений из внешнего мира доступ к вебсерверу на ноутбуке (порты 80, 443, 3306, ...) ? Кто-нибудь пробовал решать подобные задачи? Поделитесь опытом, будьте добры.

Vasily_Koshkin
а может просто купить где-нибудь хостинг? или завести бесплатно сайт на narod.ru или ucoz.ru?
з.ы. хотя на ноутбуке можно поставить сервер SoftEther, завести в нем клиентов и подключаться к этому серверу клиентами при помощи VPN Azure, а потом уже заходить на веб сервер по внутреннему адресу

fire667
Глубокая мысль! Я обязательно подумаю над этим.
На самом деле с хостингом проблем нет, но хочется именно изучить принципы построения VPN сетей на практике, раз появилась такая возможность.
P.S. VPN Azure - интересное решение, спасибо за наводку.

Vasily_Koshkin
Пожалуйста =) , а картинка на странице с описанием VPN Azure буквально повторяет ваш нестандартный способ выхода в интернет

fire667
Да, кстати о картинке. Я сервер установил и все вроде работает, за исключением того, что на вебсервер входит только по IP вида 192.168.42.х, который постоянно меняется. Хочу спросить, нельзя ли как-то настроить вход по URI? Спасибо.

Vasily_Koshkin
DHCP и DNS решают вашу задачу.

to All

при настройке нового сервера под vpn,
есть возможность выбрать порт
ранее как пошло ставил 5555, но есть еще 3 вариантв 443, 8888, 992
в чем будет разница если юзать другой ?

---

определить реальный ip, не может сайт htхps://2ip.ru/privacy/

но детектит это-

Цитата:

VPN fingerprint      MTU 1349
Принадлежность IP хостинг провайдеру      да
Определение туннеля (двусторонний пинг)     обнаружен

vlary

Цитата:

На сервере ведутся подробные логи, посмотри их.
Кстати, можешь сравнить теми, когда все работало, если не потер их.
Такое впечатление, что порушился бридж между виртуальным хабом
и реальным интерфейсом.

Большое спасибо, что ткнули носом. Менял Hub, а бридж остался от прежнего хаба. Удалил старый бридж и после подключения нового заработало как надо.

LexVel
Цитата:

в чем будет разница если юзать другой ?

Для соединения сервер - сервер или SoftEther клиент - сервер никакой разницы.
А сторонним клиентам (L2TP, SSTP, OpenVPN) скорее всего потребуется их стандартный.
Хотя если есть в клиенте возможность указать порт, то и не обязательно.
Ты уже так долго и с такой степенью дотошности этим занимаешься,
что сам бы уже мог попробовать и нам рассказать.

LexVel

Цитата:

при настройке нового сервера под vpn,
есть возможность выбрать порт
ранее как пошло ставил 5555, но есть еще 3 вариантв 443, 8888, 992
в чем будет разница если юзать другой ?

Разница будет в номере порта. Иногда это важно для сетевого окружения, для настройки промежуточных устройств. Некоторые меняют порт на произвольный для того, чтобы тяжелее было определить какой софт использует этот порт.
Главное при настройке не забывать порт и правильно настраивать сервер, клиент и промежуточные устройства (если требуется).

vlary

Цитата:

сам бы уже мог попробовать и нам рассказать

недавно был случай, загрузил несколько торрентов, c ресурса гдя тянул уже несколько лет

и спустя 5-6 дней на сервере где поднят впн, приходит на мыло письма, от супорта сервера,
каждое за каждый скаченный файл (если интересно могу выложить часть письма)
снизу если мы получим много жалоб, аккаунт будет suspended permanently

и они цитируют пришедшее им письмо, что мол был загружен лицензионный контент,
с сервера в штате Аризона...
и открывают тикет, в аккаунте в количестве скачанных файлов.

ответил на тикеты, что файлы удалены постоянно с носителей.
суппорт, сказал все ок. и если еще будут жалобы они проинформируют.

был в письмах
Цитата:

md5, название файлов, время загрузки, хостинг название,
тип шифрования 256

---

sergey5864

Цитата:

Некоторые меняют порт на произвольный для того, чтобы тяжелее было определить какой софт использует этот порт.

т.е. можно при настройке впн в
Цитата:

SoftEther Multi-Protocol VPN Server

добавить порт например 7745 и аналогичный в клиенты, и это добавит приватности ?
в определении VPN со стороны сайта ?

LexVel
Цитата:

и спустя 5-6 дней на сервере где поднят впн, приходит на мыло письма, от супорта сервера

Ну так видишь, все зашибись, все работает, поскольку письмо
тебе пришло не от твоего провайдера, а от хостера, где ты держишь VPN.
Шапку-невидимку тебе здесь никто не обещал. Вопрос в выборе хостера,
ты выбрал его там, где чтут авторские и смежные права, а надо было там,
где на них кладут с большим пробором.
Да и ребята из Р2Р сетей, наученные опытом, уже начали
создавать свои анонимные сети, где засланный казачок от правообладателя
уже не сможет определить белые айпи участников.
Но это совсем другая история для совсем другого раздела.

vlary

а качать с таких торрентов можно и через волонтерские
Цитата:

SoftEther

, в скорости плохо идут, ну поискать чего можно.

по торентам rutor.org, new-rutor.org, 1й не открывается, 2й зеркало без проблем.
и кто там говорил заблокировали пожизненно ??
на днях один упырь по россия24 вещал, что мол закрыли полный доступ,
и ребятки, чтобы смотреть кино оплатите в интернет-кинотеатре доступ.

как всегда
Цитата:

VPN

решает эту проблему.

Уважаемые, никто не разбирался с настройками стандартного клиента Windows 7? Мне худо бедно удалось заставить работать только SSTP c аутентификацией РАР. Если протокол другой - идут ошибки 720,734. Пробовал L2TP - идут ошибки 789,800. Как с этими ошибками бороться? Поделитесь опытом, будьте добры. Спасибо.

PS. Это нормально, когда на клиенте через VPN идет весь траффик? Можно ли это исправить? Как сделать, чтобы через VPN шли обращения только к определенным адресам?

Vasily_Koshkin
Цитата:

Уважаемые, никто не разбирался с настройками стандартного клиента Windows 7

Разбирались, вестимо. Правда, Windows 7 у меня нет, но стоит Windows 10.
Однако принципы, думаю, те же самые.
Настроено SSTP c аутентификацией MSCHAPv2. Работает без проблем.
В папке Сетевые соединения после настройки появляется виртуальный сетевой адаптер.
В его свойствах нужно добраться до TCP/IP, зайти по кнопке Дополнительно,
и отключить галку "Использовать шлюз в удаленной сети"
Он там стоит по умолчанию. После этого шифрованный трафик пойдет только в сеть
за сервером, все остальное через свой шлюз.

vlary

Цитата:

В папке Сетевые соединения после настройки появляется виртуальный сетевой адаптер.
В его свойствах нужно добраться до   TCP/IP, зайти по кнопке Дополнительно,
и отключить галку "Использовать шлюз в удаленной сети"

Большое спасибо, это помогло.
А насчет аутентификации удалось найти только эту статью. Очень странно, но Microsoft официально советует использовать небезопасные пароли (PAP). Именно так я пока и сделал, но ощущение того, что это неправильно, остается.

Vasily_Koshkin
Цитата:

Очень странно, но Microsoft официально советует использовать небезопасные пароли (PAP).

Ну не знаю, у меня SSTP c аутентификацией MSCHAPv2 вполне работает.
PAP в клиентских настройках отключен. Правда, кто ее винду знает,
может после неудачи с MSCHAPv2 она на РАР откатывается.

На офсайте появилась новая версия SoftEther VPN 4.19 Build 9605 Beta от 3 марта 2016 г.
Как понимаю, основные изменения выразились в замене OpenSSL на версию 1.0.2g,
в связи с выявленной недавно уязвимостью DROWN.

vlary

Цитата:

SoftEther VPN 4.19 Build 9605 Beta от 3 марта 2016 г.
Как понимаю, основные изменения выразились в замене OpenSSL на версию 1.0.2g,
в связи с выявленной недавно уязвимостью DROWN

нужно обновить клиента и сервер (линукс)? оба ,

LexVel
Цитата:

нужно обновить клиента и сервер (линукс)? оба

Если для подключения используется SSL или SSTP,
то лучше обновить. И лучше то и другое. На всякий случай.
Тем более такому человеку, за которым охотятся спецслужбы и хакеры всего мира.