Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SoftEther Multi-Protocol VPN Server

Автор: LexVel
Дата сообщения: 21.03.2015 13:14
vlary
CA сертификат и ключ в одном файле + пароль. (если выбрать 1й формат создается 2 файла sert, key)
в SE-VPN Server Manager (Tools)

кстати, значения в полях это принципиально все заполнять ?
он создается если задать только имя напр. СА

далее в SE-VPN Server Manager (Tools) в Users
client создать и подписать своим СА + пароль

сохраняю с паролем client сертификат и ключ в одном файле + пароль.

в client authentication
выбираю Signed sertificate authentication

Manager Trust CA Certificates

SE-VPN Server Manager (Tools), 2я вкладка после Hub
- добавляю сертификат client подписанный CA

далее перехожу в SoftEther VPN Client Manager, и выбираю
сертифика клиента с подписью СА.

подключаюсь к VPN.

еще такое наблюдение, можно подключиться и СА сертификатом. (видимо он т.к. основной, но при условии, что он
добавлен в Manager Trust CA Certificates)
- добавлять сертификат CA в Manager Trust CA Certificates нужно ?, СА вроде основной и его не нужно светить ?
Автор: igor_me
Дата сообщения: 21.03.2015 14:14
У меня вроде всё нормально работает без добавления основного сертификата, значит добавлять не обязательно, думается...
Автор: vlary
Дата сообщения: 21.03.2015 15:07
LexVel
Цитата:
добавлять сертификат CA в Manager Trust CA Certificates нужно ?, СА вроде основной и его не нужно светить ?
Сертификат СА - это публичный ключ, и его можно и нужно светить.
Далее идет вопрос доверия. Скажем, кто-то предъявляет свой публичный ключ,
утверждая, то он Вася Пупкин. Проверить это нет никакой возможности,
ибо любой может сгенерить себе пару ключей на имя Вася Пупкин.
Но если этот ключ подписан СА, которой ты доверяешь, то ты можешь быть уверен,
что это именно Вася Пупкин. Сертификат этого СА должен быть в хранилище
доверенных центров сертификации. Это могут быть признанные СА типа
Thawte или Verisign, может СА конторы Васи Пупкина, может быть СА твоей конторы,
если это ваш Вася Пупкин.
В данном случае сертификат клиента может быть подписан самим SoftEther сервером,
не используя подписи сторонних СА, поскольку никому кроме этого сервера
сертификат предъявляться не будет.
Автор: LexVel
Дата сообщения: 21.03.2015 15:56
vlary


и можно с СА не париться ибо толку нет ?


Цитата:
сертификат клиента может быть подписан самим SoftEther сервером

это значит -
делаю просто сертификат client, самим же им и подписанным ?
и также выбираю, Signed sertificate authentication в настройках аторизации юзера.
и добавляю этот сертификат в Manager Trust CA Certificates ?
Автор: vlary
Дата сообщения: 21.03.2015 16:12
LexVel
Цитата:
делаю просто сертификат client, самим же им и подписанным ?
Сервером, конечно, а не клиентом. Он то свою подпись знает.
А в чем проблема, собственно? что-то не работает?
Автор: LexVel
Дата сообщения: 21.03.2015 16:18
vlary


Цитата:
Сервером, конечно, а не клиентом.

захожу в Users, делаю серт. и подписываю этим ?

Цитата:
https://www.softether.org/4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.3_VPN_Server_Administration
VPN Server, click on [Encryption & communication settings] in the VPN Server Manager, then click [Export certificate].

и им подписать свой client сертификат.

в хранилище добавляю клиент-сертификат и серверный тот, что экспортировал из Encryption & communication settings

--
я хочу прощупать все вариации, а вообще SoftEther Multi-Protocol VPN Server просто находка.
Автор: Ramesses
Дата сообщения: 27.03.2015 22:14
Здравствуйте! У меня следующая проблема: при одновременном использовании SoftEther и DNS не открывается порт 25600. Версия SoftEther - build 9530, настройки стандартные, ничего а них не менял. DNS прописываю вручную в настройках адаптера. Как разрешить этот конфликт?
Автор: vlary
Дата сообщения: 27.03.2015 23:05
Ramesses
Цитата:
не открывается порт 25600
Где, как и для чего он должен открываться?
Я просил не продублировать уже заданный вопрос, а предоставить детальную информацию.

Автор: Ramesses
Дата сообщения: 28.03.2015 01:45
vlary
Я играю по сети, и в силу определенных причин с недавних пор возникла необходимость в анонимности, для чего я и использую вышеописанную комбинацию. А порт этот должен открываться для того, чтобы другие могли видеть созданный мною сервер и присоединяться к нему. Использовать только SoftEther или только DNS не вариант, а совместное их использование наглухо закрывает нужный мне порт, в результате чего я вижу чужие сервера и могу к ним подключаться, но мой сервер никто кроме меня не видит. В этом-то вся суть проблемы.
Автор: vlary
Дата сообщения: 28.03.2015 14:58
Ramesses
Да, понятнее не стало. Из тебя получился бы хороший пионер-партизан,
враг не смог бы ничего вытащить...
Попробую напрячь свои скромные телепатические способности.
Играя по сети, ты подключаешься с помощью SoftEther к анонимным серверам.
В то же время ты открыл порт 25600 для других, чтобы они к тебе подключались.
Но как только ты включаешь SoftEther, весь трафик с твоей машины идет
через VPN, и естественно к твоему порту никто не может подключиться.
Это принцип работы VPN, поэтому тебе выбирать, что для тебя важнее.
Автор: banglamung
Дата сообщения: 03.04.2015 10:57
Специально зарегился на форуме, чтобы задать вопрос. Извините, но я ламер
Моя жена-админ, одного форума, на котором я должен каждый день появляться. Сейчас я должен находится в Гонконге. Но нахожусь в России. Скажите, умные люди, может она вычислить "подлог"по моим сообщениям на форуме или почте ? Пользую SoftEther VPN.
Автор: vlary
Дата сообщения: 03.04.2015 12:12
banglamung
Цитата:
может она вычислить "подлог"по моим сообщениям на форуме или почте ?
Если все настроено правильно - то нет.
В случае форумов она вообще должна иметь доступ к логам форума,
что, ежели она сисадин, а не кул хацкер, вряд ли.
В случае почты она по заголовкам может определить, с какого айпишника
ушло письмо, и это будет адрес SoftEther VPN сервера.

Автор: banglamung
Дата сообщения: 03.04.2015 13:09
vlary,спасибо за ответ!
А что значит "правильно настроено"? Я просто скачал программу, выбрал гонконгский IP.Что ещё нужно настраивать ? Ещё раз прошу прощения за лоховской вопрос.
Тему я прочитал, но много что не понял. Что бы не тратить Ваше время, ткните пж. меня носом в ссылку.
Автор: vlary
Дата сообщения: 03.04.2015 16:17
banglamung
Цитата:
А что значит "правильно настроено"?
Значит, что абсолютно весь трафик ходит через VPN Server.
Можешь для теста послать себе письмо на свой ящик мэйл.ру или какой у тебя есть, и посмотреть заголовки полученного письма. Убедись, что там нет никаких
айпишников (всякие 192.168.. не в счет), которые бы выдавали твое пребывание в Росси. Кстати, навеяло:

Цитата:
Сказал мужик жене. что едет в командировку, собрал вещи, а сам - к соседке
в соседний подъезд. Ну, пару дней в кайфе, потом она говорит:
Ну ты мусор вынеси, а то мне сейчас некогда.
Тот посмотрел, за окном ночь, народу никого, взял ведро и пошел на помойку.
А возвращался - ноги на автомате привели его в собственный подъезд.
Звонит в дверь, открывает жена, а он на пороге в шлепанцах
и пустым мусорным ведром...
Автор: banglamung
Дата сообщения: 03.04.2015 16:26
Ещё раз спасибо ! Буду пробовать.
Анекдот-поржал. Почти про меня.
Автор: FAetoNets
Дата сообщения: 03.04.2015 21:32
Народ задумайтесь.
По всем портам авторизация КЛИЕНТОВ несколько вариантов (пароль, радиус, сертификат, ...)!
И по этим же портам авторизация СЕРВЕР МЕНЕДЖЕРА только по ПАРОЛЮ!
Какая, нахер, тут безучастность. Это же БЭКДУР!

Я не нашёл как разнести порты для клиентов, и для управления.

Разубедите меня!
Автор: vlary
Дата сообщения: 03.04.2015 22:44
FAetoNets
Цитата:
Разубедите меня!
Попытаюсь
Цитата:
By creating a text file named [adminip.txt] on the directory on which the VPN Server
is installed (the directory containing the vpnserver executable files)
and performing a suitable description on said text file,
is possible to set IP addresses which permit access
to the entire VPN Server or to each of the Virtual Hubs
from the Server Administration Manager or vpncmd utility.

Автор: LexVel
Дата сообщения: 04.04.2015 00:32
vlary


у меня есть предположения, что часть трафика идет мимо SoftEther ?
как можно проверить ?

для примера с Американского сервера, зашел на яндекс почту, там в адресной строке вылетело
в одном месте ru
registration/mail?from=mail&require_hint=1&origin=hostroot_ru_nol_mobile_left&retpath=https%3A%2F%2Fpassport.yandex.ru

на некоторый сайтах аналогично, или яндекс чего хитрое применяет ?
Автор: FAetoNets
Дата сообщения: 04.04.2015 10:41
vlary
Благодарствую, успокоили. Как говорится RTFM.
Автор: vlary
Дата сообщения: 04.04.2015 15:09
LexVel
Цитата:
или яндекс чего хитрое применяет ?
Думаю, тут дело не в Яндексе, а броузере.
Поскольку он может очень инфы передавать через заголовки, куки.
Локальный адрес компа светит без проблем. Потому если комп не за НАТ,
может и заложить.
Если 2ip.ru кажет адрес SoftEther сервера, то все работает нормально.
Надо разбираться с засланными казачками. Использовать броузеры
с повышенной анонимностью, типа Tor Browser,.
Автор: ffffjjjj
Дата сообщения: 05.04.2015 05:18
Как сохранить сервер из списка Public VPN Relay Servers? чтоб потом к нему подключится можно было ?
Автор: vlary
Дата сообщения: 05.04.2015 15:13
ffffjjjj
Цитата:
Как сохранить сервер из списка Public VPN Relay Servers?
Здешняя ветка посвящена в основном
серверной части сабжа, настройке и администрированию своих серверов и хабов .
А клиентскую специфику и работу с публичными серверами
обсуждают в смежной ветке, ссылка в шапке. Рекомендую заглянуть туда.
Автор: LexVel
Дата сообщения: 05.04.2015 20:33
vlary

2ip.ru
50.174.121.126
Имя вашего компьютера:     c-50-174-121-126.hsd1.ca.comcast.net
Операционная система:    Microsoft Windows 8.1 Microsoft Windows 8.1
Ваш браузер:     Chrome 41.0.2272.118
Откуда вы:    United States
Ваш провайдер:    Неизвестно
Прокси:     Не используется
SMS поддержка сайта:    Неизвестно Не используется (Подключить)


Цитата:
а броузере.
Поскольку он может очень инфы передавать через заголовки, куки.
Локальный адрес компа светит без проблем. Потому если комп не за НАТ,
может и заложить.
Если 2ip.ru кажет адрес SoftEther сервера, то все работает нормально.
Надо разбираться с засланными казачками.


просто возникают мысли, что определенные сайты копают глубже

У меня стоит win 8.1 en-US, Chrome en-US, флеш плееры не ставил, яву тоже, они могут палить.

перед тестом куки удаляю.

+ стоят расширения

Цитата:

Adblock Plus 1.8.12
FlashControl 6.15.7
ScriptBlock 1.0
JavaScript Popup Blocker 1.2.6
WebRTC Block 1.0
KB SSL Enforcer 2.0.4


проверяю тут htt_://whoer.net/extended

EI не юзаю, там все как то стремно,
Автор: vlary
Дата сообщения: 05.04.2015 21:55
LexVel Ну, для гарантии, что ничего не пойдет мимо ВПН, можно
убрать в винде дефолт шлюз, и прописать статический маршрут
к ВПН серверу. В этом случае при кратковременных разрывах соединения
трафик не побежит мимо, поскольку будет некуда.
А вопросы о том, кто кого палит, выходят как за рамки этого топика,
так и целиком этого раздела.
Тема полная анонимность в сети и подобные
Автор: LexVel
Дата сообщения: 07.04.2015 10:00
vlary,

Цитата:
убрать в винде дефолт шлюз, и прописать статический маршрут
к ВПН серверу.


винде дефолт шлюз где прописан ?

а как это реализовать ? тут оно ?
_http://help.telecom.by/faq/faq/routes/
Автор: vlary
Дата сообщения: 07.04.2015 11:45
LexVel
Цитата:
винде дефолт шлюз где прописан ?
Свойства сетевого подключения / протокол TCP/IP
Там же где айпи и маска. Если адрес статический, а не по DHCP.
Автор: LexVel
Дата сообщения: 09.04.2015 00:12
vlary,




Цитата:
встроенный DHCP-сервер, чтобы интернет-центр автоматически назначал IP-адреса всем подключенным к нему устройствам. Адреса будут распределяться динамически из заданного пула.

у меня инет идет через wi-fi с интернет центра, та назначается начальный адрес пула 192.168.1.33

также включен - Использовать NAT

если использую свой VPN то да, каждый раз DHCP назначается одинаковы,
иногда включаю волонтерские сервера, тут все изменяется.
Автор: vlary
Дата сообщения: 09.04.2015 00:39
LexVel
Цитата:
у меня инет идет через wi-fi с интернет центра
Ну тогда это нужно делать в интернет-центре.
Всяким смартфонам/планшетам и непричастным к пряткам компам может очень не понравится.
Автор: Mikhail_Stepanov
Дата сообщения: 09.04.2015 10:53
Добрый день, форумчане!

Кто-нибудь пробовал шарить https порт SoftEtherVPN с apache или nginx?
Хочу дома поднять VPN и Web сервер на одном IP и одном порту (443).
Уже приготовился сорцы допиливать, но может есть более изящное решение?
Автор: LexVel
Дата сообщения: 09.04.2015 11:38
vlary,


Цитата:
Всяким смартфонам/планшетам и непричастным к пряткам компам может очень не понравится.


у меня две сети wi-fi гостевая и основная, обе получают инет
но из гостевой нельзя попасть в основную.
на гостивой работает ресивер тв.

Цитата:
убрать в винде дефолт шлюз, и прописать статический маршрут
к ВПН серверу

для моего ВПН это маршрут в каком виде ?

еще наблюдение.
прописал DNS в адаптере wi-fi, на ноуте, так если VPN есть все отлинчо.
но если отключу VPN, то инет пропадает, что очень хорошо т.к.
с отключившимся VPN отрубается коннект. (может это и уже получилось но по другому ?)

Страницы: 1234567891011121314151617

Предыдущая тема: Ошибка 0x8007003B при копировании файла на сетевой диск


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.