» SoftEther Multi-Protocol VPN Server

Mikhail_Stepanov
Цитата:

Кто-нибудь пробовал шарить https порт SoftEtherVPN с apache или nginx?

Попадалось что-то такое на их форуме, но там был ответ,
что команда такого не планирует, но если есть энтузиасты, то велком.
Посмотри также на SSLH, может можно сделать с помощью этого софта,
а может, воспользовавшись исходниками, впилить функцию мультиплексирования
в SoftEther

Прошу помощи. Поставил север под убунтой, все отлично. Сервер стоит за натом, (прокинул порты для l2tp), подключаюсь с разных устройств - все отлично, НО клиенты не видят сеть за сервером и сам сервер тоже не видят, друг друга видят. айпи получают от внутреннего dchp нормально.

ulkoart
Цитата:

НО клиенты не видят сеть за сервером и сам сервер тоже не видят

Что не видят сервер, это нормально. Есть такой баг (или фича) с сервером на Линукс.
А вот остальную сеть они видеть должны, поскольку как понимаю, адреса получают из диапазона локалки.

Цитата:

адреса получают из диапазона локалки

вот это и не понятно, айпишники получают из локалки.

[клиент]<->[интерент]<->[роутер]<->[softether]

dchp на роутере. проброшены 1701 tcp, 1701 udp, udp 500, udp 4500

Локал бридж соответственно есть. Когда смотрю состояние впн соединения, то у него не прописан шлюз...в этом чуствую и есть беда. Еще интернет перестает рабоать когда соединение активно. Может маршруты какие куда надо внести?

+ сетевая на сервере одна. eth0.
авторизация обычная логин+пароль+IPSec

softether живет в vbox`е

ulkoart
Цитата:

Когда смотрю состояние впн соединения, то у него не прописан шлюз..

А вот это неправильно. При соединении должен появляться маршрут типа такого:
Код: 10.4.1.0 255.255.255.0 On-link 10.4.1.245 21
10.4.1.245 255.255.255.255 On-link 10.4.1.245 276

Цитата:

А вот это неправильно. При соединении должен появляться маршрут типа такого:

локалка 192.168.1.0/24

192.168.1.0 255.255.255.0 On-link - такаого маршрута нет(!)
а вот
192.168.1.70(полученный от dhcp)255.255.255.255 On-link 192.168.1.70 - такой есть

в сведениях о сетевом подключении шлюза нет.
в ipconfig шлюз 0.0.0.0

зы

цепляюсь средствами винды.

Для теста поднял тоже самое на Xp, проблема все та же. куда копать?

Проблема НАЙДЕНА виновник virtualbox, на vmware все гладко.

На боевом сервере все отлично завилось!
Но есть вопрос: подскажите как настроить так что бы впн не был интернет шлюзом для клиентов? что бы интрнет они брали свой.
я так понимаю это manageronlyprivateip, не?

Цитата:

как настроить так что бы впн не был интернет шлюзом для клиентов? что бы интрнет они брали свой.  

Это очень просто. Не НАТить этих клиентов наружу, только доступ
к внутренним ресурсам. Тогда им придется снимать у себя в настройках галку
"использовать шлюз в удаленной сети".

Цитата:

Не НАТить этих клиентов наружу, только доступ
к внутренним ресурсам

простите не совсем Вас понял. Как это сделать? Ведь dhcp общий и для "офисных" клиентов и для впнщиков. Как это скажется на мобильных клиентах?

И еще момент. dynamic dns function как отключить? в конфиге ставлю bool Disable true, но после ребута опять false.
__
последние решено...оказываться конфиг править нужно только из gui.

ulkoart
Цитата:

Как это сделать? Ведь dhcp общий и для "офисных" клиентов и для впнщиков.

Так собственно в настройках виртуального хаба можно делать акцесс-листы.
И там стандартным образом указать, куда можно, куда нельзя.

Цитата:

Так собственно в настройках виртуального хаба можно делать акцесс-листы.

понял. спасибо! а по какому принципу он работает...допустим я хочу делать по принципу - запрещено все кроме того что разрешено?

создал правило - запретить все и вся. делаю следующие разрешить такомуто пользователю тото...не канает.

или опять же к поставленному выше мной вопросу про лок сеть и только, я могу разрешить доступ к 192.168.1.0/24, а как запретить все остальное? не пойму принципа этого акцеса

ulkoart
Цитата:

создал правило - запретить все и вся. делаю следующие разрешить такомуто пользователю тото...не канает

Обычно правила просматриваются по порядку. Как только пакет удовлетворяет условиям, правило срабатывает.
Дальнейшие правила не рассматриваются.
Поэтому если ты всем все запретил, а потом кому-то что-то разрешил, сработает только первое правило.
Если у тебя сеть скажем 192.168.100.0, то нужно разрешить ходить пакетам с 192.168.100.х на 192.168.100.х.
А все остальное запретить.

Цитата:

Обычно правила просматриваются по порядку. Как только пакет удовлетворяет условиям, правило срабатывает.

Спасибо огромно! то что по порядку правила идут и мысли не проскочило...эх.

Делаем раз.

http://i57.fastpic.ru/big/2015/0417/79/d2e235dcd9b616b372b19783e587b279.png

Делаем два.

http://i59.fastpic.ru/big/2015/0417/cd/c708b184ea7cdffc1c09521add9b60cd.png

Получаем.

http://i47.fastpic.ru/big/2015/0417/22/cb4e8670118544395fa2e11a8df80322.png

пошел тестить...

Немного о Softether в L2TP на FreeBSD 8.2. Задача банальная - внешние клиенты ходят на свои машины. ОЧЕНЬ хочется - бортовыми средствами винды.

Попытка номер раз. SecureNAT. Курение доков и разнообразного гугля дало понять, что по идее должен подниматься tap-интерфейс. Не поднимается и на if_tap.ko ему пофигу. Созданный вручную - не скармливается. Либо я не нашёл как.
В результате поднятый SecureNAT авторизует L2TP у себя, выдаёт ему ip из заданного в SecureNAT пула, клиентская винда празднично пингует указанный в настройках гейт - и это всё. Где этот интерфейс созданный (якобы) находится, что мы пингуем клиентской виндой и как это роутить внутрь локалки за FreeBSD - совершенно не понятно. tcpdump по розданной сетке вообще пакетов не кажет.

Попытка номер два. Local Bridge. Создаём tap0, описываем его сеткой, которая предполагается для раздачи клиенту, прописываем tap вторым интерфейсом в DHCP роутера, делаем LB в tap0коннектимся. Сеть с tap не раздаётся. Зато если скормить в LB основной интерфейс роутера, на котором висит локальная сеть - то сеть раздаётся, хотя она на него не прописана. Как - не ясно. При этом клиентская винда не видит даже интерфейса, с которого, по идее, ей ip роздан.
С реальным физическим интерфейсом та же песня. С FreeBSD 10.1 та же песня.

Вот этот весь праздник как-то борется, кроме как поднятием Softether-сервера на Линуксах/Виндах? Могу расписать проблему конкретно с конфигами и сетями.

Цитата:

Дальнейшие правила не рассматриваются.

похоже рассматриваются ...при выше описанной настройке перестает давать добро на подключение к впн.

Ingmarman
Цитата:

SecureNAT. Курение доков и разнообразного гугля дало понять, что по идее должен подниматься tap-интерфейс

Это откуда такое понимание? SecureNAT работает чисто на пользовательском уровне.
Поэтому его может поднять даже юзер, не имеющий административных прав.

Цитата:

При этом клиентская винда не видит даже интерфейса, с которого, по идее, ей ip роздан.

Есть такая то ли бага, то ли фича. Локальный айпи сервера не пингуется.
Зато пингуются остальные хосты в локальной сети, если конечно ничего не мешает.
ulkoart
Цитата:

.при выше описанной настройке перестает давать добро на подключение к впн.

SoftEther пишет логи. Посмотри, что там дропается при подключении к впн,
и добавь нужные разрешения.

[more] [more]
Цитата:

SoftEther пишет логи. Посмотри, что там дропается при подключении к впн,
и добавь нужные разрешения.

простите, но не пойму.
в секьюрти логе :
[more]
2015-04-21 10:36:23.080 Administration mode [RPC-38] (Virtual Hub "VPNTEST"): The access list has been updated. An access list of 2 items are set.
2015-04-21 10:36:51.332 The connection "CID-82" (IP address: 17.18.81.27, Host name: user-17.18.81.27.in-addr.arpa, Port number: 1701, Client name: "L2TP VPN Client", Version: 4.15, Build: 9546) is attempting to connect to the Virtual Hub. The auth type provided is "External server authentication" and the user name is "test".
2015-04-21 10:36:51.332 Connection "CID-82": Successfully authenticated as user "test".
2015-04-21 10:36:51.332 Connection "CID-82": The new session "SID-TEST-[L2TP]-60" has been created. (IP address: 17.18.81.27, Port number: 1701, Physical underlying protocol: "Legacy VPN - L2TP")
2015-04-21 10:36:51.332 Session "SID-TEST-[L2TP]-60": The parameter has been set. Max number of TCP connections: 1, Use of encryption: Yes, Use of compression: No, Use of Half duplex communication: No, Timeout: 20 seconds.
2015-04-21 10:36:51.332 Session "SID-TEST-[L2TP]-60": VPN Client details: (Client product name: "L2TP VPN Client", Client version: 415, Client build number: 9546, Server product name: "SoftEther VPN Server (64 bit)", Server version: 415, Server build number: 9546, Client OS name: "L2TP VPN Client", Client OS version: "-", Client product ID: "-", Client host name: "iPhone", Client IP address: "17.18.81.27", Client port number: 1701, Server host name: "192.168.1.251", Server IP address: "192.168.1.251", Server port number: 1701, Proxy host name: "", Proxy IP address: "0.0.0.0", Proxy port number: 0, Virtual Hub name: "VPNOFFICE", Client unique ID: "EE4CB72B2DFC8687A35F8A3FCD38D5FD")
2015-04-21 10:40:03.516 Session "SID-TEST-[L2TP]-60": The session has been terminated. The statistical information is as follows: Total outgoing data size: 233979 bytes, Total incoming data size: 1308 bytes.
[/more]

и не пускает по второму правилу. [/more]

ulkoart Ну, фильтры, акцесс-листы - это даже не наука, а искусство.
Так что твори, пробуй, ищи и не сдавайся. Сам я этим пока не занимался,
посему посоветовать что-то конкретное не могу. Описание у них весьма скудное: Ссылка
Так что все методом проб и ошибок.

Ладно, давайте тогда более предметно, с учётом освоенного секаса. Итак, имеется роутер под всё той же freebsd 8.2.
Имееются интерфейсы:
1. alc0: inet 10.16.6.100 netmask 0xffffff00 broadcast 10.16.6.255
media: Ethernet autoselect (100baseTX <full-duplex>)
Смотрит в сеть провайдера, обеспечивает получение внешнего ip посредством MPD/PPtP.
2. vr0: inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
inet 172.16.6.1 netmask 0xffffff00 broadcast 172.16.6.255
media: Ethernet autoselect (100baseTX <full-duplex>)
Смотрит внутрь локалки, раздаёт DHCP две сети, 192.168.0.0/24 по макам, 172.16.6.0/24 открытой лизой. Между этими сетями трафик закрыт, поскольку эта сеть для раздачи WiFi клиентам.
3. rl0: media: Ethernet autoselect (none)
status: no carrier

Есть Softether (далее SE, на котором предполагается поднять L2TP для внешних подключений посредством Local Bridge(далее LB). Причём хочется раздавать тем, кто снаружи третью подсеть, к примеру 10.20.20.0/24
1. Включаем SE, делаем LB в интерфейс vr0. Авторизуемся. Замечательно, нам раздалась подсеть 172.16.6.0. Имеем доступ в этот сегмент локалки.
2. Разворачиваем LB на пустой rl0, физически включенный в свитч локальной сети. Та же песня, получаем 172.16.6, что вполне себе логично - мы по сути пробросили кусок провода между клиентом и локальной сетью.
3. Описываем rl0 как 10.20.20.1 и разворачиваем туда DHCP-сервер. Подключаемся непосредственно куском кабеля, проверяем - работает и раздаётся. При подключении SE авторизация проходит, но ip не выдаётся, SE пишет что мол нету DHCP-сервера, извините.
4. Удаление гланд через ухо. Гасим порт свича у описанного в п.3 rl0. Поднимаем в системе неописанный tap0, между ним и rl0 делаем бридж, LB в tap0. Не раздаётся ip. Фактически это попытка эмулировать ситуацию из пункта 2 внутри системы. Скорее всего тут проблема бриджа, пока не разобрался. tcpdump внутри бриджа при попытках подключений показывает 0 пакетов. SE поёт песню про отсутствие DHCP-сервера.

Собственно вот. Не ясно, чем SE не понравился второй интерфейс внутри системы. В документации они рекомендуют использовать для LB неописанный интерфейс, но почему тогда с основного интерфейса всё прекрасно раздаётся и работает? И как заставить SE отдавать НУЖНУЮ сеть с НУЖНОГО интерфейса.

Ingmarman
Цитата:

И как заставить SE отдавать НУЖНУЮ сеть с НУЖНОГО интерфейса.

К какому интерфейсу ты привяжешь LB, тот и будет раздаваться.
Естественно, DHCP-сервер на интерфейсе должен нормально работать.
Ну и настройки фильтров (ipfw или что там у тебя) посмотреть. Может, ими рубится.

Я же говорю - проводом с этого интерфейса прекрасно раздаётся. В SE - нет. Сие и быть странно. Вопрос - куда копать.

vlary

вопрос плана MAC

при создании (новой установки клиента SoftEther) генериться новый MAC адрес

также имеется MAC адрес в беспроводном адаптере (который берет инет с роутера)

и в роутере MAC основной сети и гостевой (почти одинаковые)


при выходе через VPN, сервер (сайта куда захожу) увидит только MAC адрес клиента SoftEther ?
(как его можно менять например при новой установке ОС и самого клиента),
TMAC v6 - можно этим, хотя может есть встроенная функция.

и если использую один статический ip, с VPS то логичнее и MAC адрес чтобы был первоустанвленный.

сервер не получит он адресс беспроводного адаптера ?

--
проще объяснить, нужно сделать так чтобы ноут с которого заходил на определенные аккаунты.
при новых посещениях сервера/ сайтов не определил именно, что это ноут уже есть в нашей бд.

LexVel
Цитата:

при выходе через VPN,  сервер (сайта куда захожу) увидит только MAC адрес клиента SoftEther ?

Боже, как же все запущено...
Сервер/сайт вообще не увидит MAC адрес клиента. MAC адрес существует только в локалке,
до ближайшего роутера. Даже MAC адрес твоего SoftEther сайт не увидит.
Сервер (не сайт) увидит только MAC адрес своего шлюза, который пришлет ему эзернет кадр,
в который будет запакован айпи пакет с адресом источника айпи SoftEther сервера,
и адресом назначения айпи этого сайта. В этот айпи пакет будет упакован в свою очередь
TCP пакет с Source port, Destination Port и TCP data (собственно инфа).
Это очень схематично, но похоже ты даже этого не понимаешь.
Поскольку твои запросы сильно превышают потребности обычного юзера,
то и познания должны соответствовать. Есть неплохая книжка "TCP/IP крупным планом",
найди, скачай, изучи. Без этого ты постоянно будешь бороться с надуманными
проблемами и не замечать реальных.

vlary


так был случай у меня не было инета, знакомый сказал приходи вставиь кабель LAN и юзай.
авторизация логин/пароль.

подключил ввел логин, пароль и тут сообщение в браузере типа ваш МАК адрес отличается от внесенного в нашу бд, вы не можите пользоваться инетом.

сайт смотрит, который потенциально собирает инфу.

при авторизации на :

- IP address
- Browser Version
- Operating System
- Time zone
- Cookie Date
- Local Shared objects
- Web Beacons

LexVel
Цитата:

подключил ввел логин, пароль и тут сообщение в браузере типа ваш МАК адрес отличается от внесенного в нашу бд

Ты путаешь мягкое с теплым. Это совершенно другой случай.
Приятель твой видимо получал интернет по протоколу PPPoE, который тесно интегрирован с L2,
так же как и DHCP. Осуществлена привязка к МАК адресу, через Радиус или типа того.
Если МАК не соответствует тому, что в базе, клиенту просто присваивают левый айпи,
и редиректят его на свой сайт, где и сообщают то, о чем ты написал.
Все написанные тобою данные сайт получает от твоего броузера,
а вовсе не из содержимого IP заголовков. Там ничего этого просто нет.

LexVel


как может сайт понят, что использую VPN ? и не дать ему такую возможность.
чтобы думал буд то обычный канал.

например в почте gmail, вижу в девайсах напр. браузер Хром 42.0 ну и город, страна
перехожу в дашборд того же почтовика, там посещения
видно Windows, Хром 42.0, (comcastcable, T-mobile)
т.е. видимо хостера видит ?

LexVel
Цитата:

как может сайт понят, что использую VPN ?

Никак. Я уже написал об этом в предыдущем посте.
И вопросы эти совершенно вышли за рамки и темы, и раздела.
Потому все остальное туда: полная анонимность в сети
И по броузеру, который не "закладывает" владельца:
xB Browser / xBBrowser (бывший Torpark) / Tor Browser

Добрый день!
Просьба проконсультировать на предмет работы данного сервера.
Сервер установлен на домашней лабе на базе 2012R2, развернут в виртуальной среде на базе VMware ESXI 5.5.
Машине предоставил два интерфейса, оба смотрят в одну локальную сеть, которая создана на базе бытового Zyxel Kenetic Ultra. Один из интерфейсов(eth1) имеет статический ип 192.168.10.10/24, второй интерфейс(eth2) получает ип от роутера из пула 192.168.10.0/24.
На сервере создан бридж средствами softether (eth2-VPNHub).
Подключаюсь с работы без каких-либо проблем, с телефона тоже. Но возникли проблемы с тем, что сервер становится для моего рабочего компа шлюзом по-умолчанию, что неудобно (не могу получить доступ к корпоративным ресурсам, забыл выключить ВПН - не попал с домашнего ПК на рабочий и т.д.).
Если я включаю SecureNAT и встроенный DHCP, то этот DHCP начинает вещать во внутреннюю сеть и начинает выдавать ИП всем локальным клиентам роутера, что так же совсем не правильно. Хотя при этом подключении клиенты ВПН могут работать, как в своей локальной сети, так и в моей домашней, т.е. ВПН-сервер не является шлюзом по-умолчанию.

Направьте, пожалуйста, куда смотреть. Все настройки перерыл, а решить проблему так и не смог

Забыл добавить. Сейчас все клиенты получают ИП от моего домашнего роутера, что не является проблемой, но все же. Хотелось бы настроить по схеме которая применяется в OpenVPN: есть пул из которого получает клиент ИП и получает роутинг во внутреннюю сеть.

zmey_garinich
Цитата:

Один из интерфейсов(eth1) имеет статический ип 192.168.10.10/24, второй интерфейс(eth2) получает ип от роутера из пула 192.168.10.0/24.

Дальше можешь не продолжать. Садись, двойка!
Начни с книжки "TCP/IP для чайников", потом что-нибудь серьезнее,
"TCP/IP крупным планом" например. После освоения азов, гарантирующих от повторения
подобных ляпов, можно будет пытаться говорить о чем-нибудь более сложном.