» SoftEther Multi-Protocol VPN Server

vlary

Цитата:

Думаю, в данном случае нужно читать мануал по FreeBSD.

Вы совершенно правы, всё вылетело из головы т.к. итерация сделал-забыл была 2 года назад.
Сложность в моём случае в том, что устанавливал не из портов, а из скачанной с офсайта свежей версии. При этом FreeBSD - взял готовую из старых запасов (периода экспериментов). У FreeBSD даже порты отсутствовали, вот и потянуло на офсайт.
Сейчас обновляю порты - и буду вспоминать "как правильно установить из портов".

igor me v2

Цитата:

Через Virtual NAT точно работает.

ну и как операционная система сервера этот адрес получит, если dhcp сервер secure nat выдаёт адреса только внутри конкретного виртуального хаба, а ос сервера никаких интерфейсов внутри виртуального хаба не имеет?

Цитата:

А если у вас другой DHCP сервер - то он должен выдать адрес клиенту из той же сети, что и на сервере.

кроме dhcp сервера, который можно включить в настройках secure nat - доступа к другим dhcp серверам нет, тк компьютер, на котором запущен сервер softether подключен к интернету по wifi, соответственно, dhcp сервер в локальной сети сервера недоступен, т.к. local bridge нельзя создать используя wifi адаптер.

vlary

Цитата:

можно создать обычное VPN подключение стандартными средствами винды, например L2TP/IPSec или SSTP.

а без vpn подключения?

Цитата:

Можно настроить локальный бридж

компьютер имеет только wifi адаптер, а bridge создаётся для ethernet адаптеров.
кроме того, как я показывал выше - про создании local bridge невозможно создать tap интерфейс - опции просто нет.

Цитата:

можно использовать SecureNAT.

как именно?

1karavan1
лучше расскажите как настроить маршрут из secure nat к localhost, если это вообще возможно в softether

RB2

Цитата:

как настроить маршрут из secure nat к localhost

В этом контексте маршрутизация неуместна.

RB2
Цитата:

как именно?

Там вроде все описано с картинками: Ссылка
Цитата:

лучше расскажите как настроить маршрут из secure nat к localhost

Зачем тебе localhost? Используй айпишник сетевой сервера.

vlary

Цитата:

Там вроде все описано с картинками: Ссылка

я уже читал ту инструкцию.
[more]
Цитата:

Enabling the SecureNAT function creates a virtual VPN session called a SecureNAT session within the Virtual Hub and creates a virtual network interface (VNI) as if there were a single network adapter within that VPN session. This is called a virtual host network interface.

Цитата:

The scope (range) within which IP addresses allocated by the Virtual DHCP Server can be received is limited by the layer 2 segment of the Virtual Hub on which the SecureNAT is operating

Цитата:

Accordingly, where there is no connection to a physical LAN by local bridging in particular, it is possible to limit the range affected by that DHCP server to within the Virtual Hub and to enable only the computer VPN-connected to the Virtual Hub to receive the IP address from the Virtual DHCP Server.

Цитата:

The LAN connected to the computer actually running the Virtual Hub is not affected (this does not apply in the case of local bridging). Needless to say, the entire layer segment is subject to IP address assignment from the DHCP server in the case of cascading between Virtual Hubs or bridging with a separate site.

Цитата:

SecureNAT Sessions
When the SecureNAT function is operating on the Virtual Hub, a special virtual session called a SecureNAT session is registered on the Virtual Hub session list. The SecureNAT-operated virtual host VNI is virtually (software-wise) internally connected to this session.

учитывая процитированное: реальная сетевая карта сервера ведь недоступна из этой secure nat сессии.[/more]
vlary

Цитата:

Зачем тебе localhost? Используй айпишник сетевой сервера.

чтобы подключиться по rdp к серверу терминалов.

как я выше сказал - local bridge нет, потому доступа к локальному сетевому адаптеру нет.

если я на компьютере-клиенте, подключенном по vpn, в настройках подключения к удалённому рабочему столу укажу ip адрес виртуального сетевого интерфейса secure nat, то подключиться не смогу, потому что этот интерфейс доступен только внутри самой программы-сервера softether, потому что весь стек secure nat выполняется в самой программе-сервере в usemode, и ip стек ядра операционной системы из него недоступен без local bridge, а порт rdp сервера слушает именно в стеке ядра.

я понимаю, что можно установить vpn соединение и тогда всё станет доступно.
но вы сказали, что можно использовать secure nat: я не понимаю - как именно в данном случае это сделать?
[more]если что:
реальная локальная сеть
ip роутера 192.168.0.1, он же шлюз по умолчанию, он же dns сервер
маска 255.255.255.0
dhcp start 192.168.0.100
dhcp end 192.168.0.200
локальный wifi адаптер на сервере получает ip 192.168.0.100

secure nat
ip виртуального интерфейса 192.168.30.1
маска 255.255.255.0
dhcp start 192.168.30.10
dhcp end 192.168.30.200
ip шлюза по умолчанию, ip dns сервера 192.168.30.1[/more]

Я понимаю, что чего-то не понимаю :0 Я подозреваю, что именно я непонимаю. Но доверюсь vlary разъяснить то, что я не понимаю. И тогда я это тоже пойму.
Это один вариант. Второй вариант - автор неправильно описал задачу...


Добавлено:
"
Цитата:

учитывая процитированное: реальная сетевая карта сервера ведь недоступна из этой secure nat сессии

"
Насколько я понял, secure nat как раз и делает её ДОСТУПНОЙ. Кто сказал, что она недоступна?

Цитата:

я понимаю, что можно установить vpn соединение и тогда всё станет доступно.

Вот это я и не понимаю. А ЗАЧЕМ тогда вы поставили сам сервер VPN? Не для того, чтобы коннектится к нему извне посредством собственно VPN???

Цитата:

если я на компьютере-клиенте, подключенном по vpn, в настройках подключения к удалённому рабочему столу укажу ip адрес виртуального сетевого интерфейса secure nat, то подключиться не смогу

"Смешариков" смотрели? "Если я делаю так, у меня там что-то щёлкает"..."А ты не делай так".
ЗАЧЕМ указывать адрес SecureNat??? Указывать нужно адрес реальной сетевухи...

Цитата:

укажу ip адрес виртуального сетевого интерфейса secure nat, то подключиться не смогу

Почему я смог? Стороннего dhcpd нет, все работает на Secure NAT от Softether

igor me v2
Второй вариант - автор неправильно описал задачу...
но как её ещё описать?
[more]есть компьютер с softether сервером, нужно через vpn с удалённого клиента получить доступ к удаленному рабочему столу сервера.
можно это сделать создав local bridge - тогда заодно будет доступ к локальной сети компьютера, на котором запущен сервер, но эта функция недоступна: компьютер выходит в интернет через wifi адаптер
также можно это сделать установивив на компьютере с сервером softether vpn подлючение к нему.
тут подсказали, что ещё можно это сделать через secure nat - вот это мне не понятно, как можно это сделать? [/more]


Цитата:

Насколько я понял, secure nat как раз и делает её ДОСТУПНОЙ. Кто сказал, что она недоступна?

как? с вышеуказанными настройками, при попытке пинга локальной сетевой пинг не проходит.
даже когда я назначаю для вирутального интерфейса ip из диапазона реальной сети например 192.168.0.48
secure nat dhcp start 192.168.0.49 dhcp end 99
secure nat шлюз по умолчанию и dns сервер 192.168.0.48

Цитата:

А ЗАЧЕМ тогда вы поставили сам сервер VPN? Не для того, чтобы коннектится к нему извне посредством собственно VPN?

я имею ввиду локальное vpn соединение - когда ос, на которой установлен softether сервер устанавливает vpn соединение с ним.

Цитата:

ЗАЧЕМ указывать адрес SecureNat??? Указывать нужно адрес реальной сетевухи...

если я указываю адрес реальной сетевой, то подключиться по rdp не получается. адрес реальной сетевой даже не пингуется сквозь vpn подключение с удалённого клиента. адрес виртуального интерфейса - пингуется, но rdp там нет.

1karavan1

Цитата:

Почему я смог? Стороннего dhcpd нет, все работает на Secure NAT от Softether

можете пожалуйста показать пример: напишите настройки сетей - ip настройки реальной сети, ip настройки secure nat и его dhcp, используете ли вы route push в secure nat?
не всключен ли у вас local bridge или каскадное соединение виртуальных хабов?

Цитата:

потому что весь стек secure nat выполняется в самой программе-сервере в usemode, и ip стек ядра операционной системы из него недоступен без local bridge

Я вот это так и не понял? Что за usemode? Usermode? То есть с правами пользователя что-ли стартует сервер? А он может стартануть с правами пользователя вообще? Не пробовал, но что-то сомневаюсь. Тогда что имеется в виду?

Цитата:

но как её ещё описать?
Подробнее...

То, что вы описали под Подробнее - абсолютно классическая схема, как понимаю. У меня по сути так же. Только сервер SoftEther стоит на ХР. Вот только сейчас специально подключился по VPN к рабочему серверу. Пингуются как адреса других компов в сети, так и САМ СЕРВЕР по его локальному(!) IP. По securNAT'овскому пингуется кстати ТОЖЕ! (но мне это вроде и не нужно)
Я ничего специально не настраивал, только включал virtualNAT и virtualDHCP. Всё сразу заработало. По идее связка вышеописанных опций сама осуществляет всю нужную маршрутизацию.
Если у вас не работает - или что-то не так сделали или не договариваете. У меня больше нет идей, извините.
ЗЫ Вон vlary выше где-то писал, что у него вааще работало чуть-ли не на 10-ке (или на 8-ке, в общем на одной из последних поделок микроСОФТа).

RB2

Цитата:

можете пожалуйста показать пример

Не могу, несколько дней назад передал сеть клиенту (был заказ организовать VPN), под рукой только со сторонним dhcp (без Secure NAT).

igor me v2

Цитата:

САМ СЕРВЕР по его локальному(!) IP

А вот этого момента я не понял.
Точнее, понимаю что происходит, но не представляю себе этого механизма без передачи клиенту маршрута к локальному интерфейсу сервера.
На моих кошках так пакеты не ходили.

igor me v2

Цитата:

Что за usemode? Usermode? ... Тогда что имеется в виду?

неправильно выразился, не то слово написал - думал про одно, написал другое.
я имел в виду userspace: nat трансляция выполняется в пространстве пользователя, а не в ядре ос.
про это написано в https://www.softether.org/index.php?title=4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.7_Virtual_NAT_%26_Virtual_DHCP_Servers
https://habrahabr.ru/post/251123/#comment_8296645

Цитата:

А он может стартануть с правами пользователя вообще?

да https://www.softether.org/4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.2_Operating_Modes
но у меня он запущен как системная служба.

Цитата:

абсолютно классическая схема, как понимаю.

да. за исключением сетевого адаптера.

Цитата:

Пингуются как адреса других компов в сети,

у вас включен только secure nat или ещё и local bridge есть?
у меня при отсутствии local bridge адреса компьютеров локальной сети в которую включен сервер не пингуются.

Цитата:

так и САМ СЕРВЕР по его локальному(!) IP

у меня он не пингуется, при настройках secure nat по умолчанию
[more]ip виртуального интерфейса 192.168.30.1
маска 255.255.255.0
dhcp start 192.168.30.10
dhcp end 192.168.30.200
ip шлюза по умолчанию, ip dns сервера 192.168.30.1[/more]

Цитата:

Я ничего специально не настраивал, только включал virtualNAT и virtualDHCP. Всё сразу заработало

при первичной настройке, когда я не изменял настроек secure nat и secure dhcp, а просто включил их, у меня сразу не заработало.

Цитата:

По идее связка вышеописанных опций сама осуществляет всю нужную маршрутизацию.

я предполагаю, что проблема в том, что на сервере есть только wifif сетевой интерфейс, а ethernet интерфейсов нет, попробую добавить карту.

Цитата:

Если у вас не работает - или что-то не так сделали или не договариваете.

я пока что не понимаю, где именно не так сделано.

Цитата:

ЗЫ Вон vlary выше где-то писал, что у него вааще работало чуть-ли не на 10-ке (или на 8-ке, в общем на одной из последних поделок микроСОФТа).

у меня при подключении со встроенного клиента windows 10 по sstp не работает.

Цитата:

да https://www.softether.org/4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.2_Operating_Modes
но у меня он запущен как системная служба.

Понято, буду знать...

Цитата:

у вас включен только secure nat или ещё и local bridge есть?

Сервер я настраивал некоторое время назад, мог что-то забыть. но как помнится, никакого localbridge я не делал. Проверю настройки, когда выйду на работу после выходных. Сейчас не могу.

Цитата:

у меня он не пингуется, при настройках secure nat по умолчанию

У меня настройки тоже по умолчанию. Только диапазон IP я уменьшал для DHCP...

Цитата:

я предполагаю, что проблема в том, что на сервере есть только wifif сетевой интерфейс

У меня почему-то стойкое подозрение, что дело не в этом. Ибо с точки зрения системы не должно быть особой разницы, в Винде все эти вещи по идее очень сильно унифицированы, тем более - в семёрке, думается...
1karavan1

Цитата:

А вот этого момента я не понял.

Цитата:

но не представляю себе этого механизма без передачи клиенту маршрута к локальному интерфейсу сервера

Да я если честно тоже не разбирался в механизмах. Видимо маршрут таки передаётся клиенту. Да, на всякий уточняю, что я пользуюсь только родным клиентом SoftEther. Виндовым встроенным не пользовался, не смотрел - возможно будут отличия...
Ну и естесссно я только из инета подключался. Изнутри сети не пробовал. Ибо - cмысл?

Кстати, RB2 может я что-то упустил и вы говорите про случай подключения к серверу изнутри локалки??? Или всё же из инета?

igor me v2

Цитата:

может я что-то упустил и вы говорите про случай подключения к серверу изнутри локалки??? Или всё же из инета?

я устанавливаю vpn соединение из интернета, затем через это подключение хочу подключиться к rdp на сервере.
rdp соединение я пытаюсь установить с локальным адресом сервера.

Установила клиент. При подключении к серверу спрашивает имя и пароль. Какие они ? vpn/vpn ? Пишет неверно. Поможете ?

tayamart
Прежде чем подключаться к серверу,
на нем нужно создать юзеров

RB2
SSTP клиент на Win10 (виртуалка) работает прекрасно.
Единственно ругнулся сначала на сертификат сервера.
После того, как подсунул десятке корневой, которым
был подписан серверный, все заработало.
На сервере локальный бридж, адреса раздает
центральный DHCP. SecureNAT пока не щупал,
не было в нем потребности.

Сейчас проверил SecureNAT на одном из своих серверов (линукс).
Убил локальный бридж, оставил только виртуальный хаб.
Настроил SecureNAT и Dhcp сервер.
Виндовый клиент (ХР) подцепился по L2TP влет, получил адрес 192.168.30.10,
шлюз 192.168.30.1, а также настроенный на хабе маршрут
к локальной сетке 10.10.0.0/16
Цепляется по локальному адресу сервера 10.10.х.х (чего нет в случае бриджа),
терминалкой заходит на все внутренние сервера.

Цитата:

а также настроенный на хабе маршрут к локальной сетке 10.10.0.0/16

vlary
Вот на счет этого маршрута, он ведь не появляется на автомате? Только ручками в конфиг сервера добавлять?

1karavan1
Цитата:

он ведь не появляется на автомате?

Нет конечно, там в настройках имеется опция
добавить push route вида ip/mask/gateway, их можно добавить несколько штук.
После коннекта на клиенте появляются соответствующие маршруты.
В общем, все работает. Единственное, что у меня не получилось ни на бридже,
ни на SecureNAT, это зацепить клиента на Андроиде.
Похоже, он даже не пытается отправлять Dhcp запросы.
В результате адрес не получает, и коннект отваливается.
На их форуме видел массу вопросов по этому поводу, но ни одного решения,
или хотя бы объяснения сути проблемы.
К серверу на xl2tpd+OpenSwan в то же время мой Андроид цепляется на ура.
Заодно проверил клиента на Вин10, L2TP с SecureNAT работает нормально.

Цитата:

Единственное, что у меня не получилось ни на бридже,
ни на SecureNAT,  это зацепить клиента на Андроиде.

Несколько дней назад делал клиенту проект на Secure NAT через L2TP/IPSec, где одним из условий была работа vpn на мобильных девайсах.
Проект сдал успешно. Доступов уже нет.

На данный момент под рукой сеть на bridge со сторонним dhcpd, также через L2TP/IPSec.
Ни разу не подключал мобильник, но с первой попытки он подцепился.
В браузере андроида открыл страничку NAS из локальной сети клиента по имени dns.
В конфиге сервера активен только L2TP (L2TPv3 и MS-SSTP выключены), указан IPSec Key.
В админских опциях хаба все по нулям.
Алгоритмом шифрования выбран RC4-MD5.
Бридж смотрит на физ-интерфейс, на котором сидит dhcpd.
nsd висит на соседней виртуалке.

1karavan1
Цитата:

Если нужны скрины настроек, могу сделать.

Не думаю, что они помогут, там настроек-то всего ничего.
И они элементарные. Дело тут в другом. тут полазил по нету, и как оказалось,
что в версии 4.0 ( Ice Cream Sandwich) это врожденный баг.
Причем он там похоже не один. Совет заменить программку racoon на патченную
мне, по крайней мере, не помог.

vlary
Да, с предложением скринов я погорячился )
Насчет версии андроида, я тесты провожу на AOSP 5.1 64-bit (неродной кастом)

Цитата:

там в настройках имеется опция добавить push route вида ip/mask/gateway

Сегодня попробовал. С одной стороны, удобно, избавил клиента от ярлыков вида 1c_vpn, все свел к использованию ярлыков 1c_local, shared_local.
Но. Некоторый момент меня смущает.
Когда мы используем SecureNAT и отказываемся от использования бриджа?
Когда необходимо обеспечить доступ исключительно к серверу vpn без предоставления доступа ко всем участникам сети local.
Я был удивлен, что при активном SecureNAT ipconfig молчит об этом интефейсе, т.е. вся инфа об адресах и маршрутах vpn только в ядре Softether, отсюда и проблемы подключения к любому сервису сервера по адресу SecureNAT.
Да, выручает push route.
Я использовал такой: 192.168.100.100/255.255.255.255/10.12.12.1
Но, кто запрещает пользователю vpn добавить в свою таблицу маршрутов строчку вида 192.168.100.0/255.255.255.0/10.12.12.1 ?
Далее спокойно анализировать весь LAN.
Т.е., в случае когда клиенты vpn недоверенные, вижу необходимость использования на сервере фейкового интерфейса (ЕМНИП называется "петлевое сетевое соединение"), а на него уже вешать либо бридж, либо маршрут кидать.

P.S.: Палка о двух концах... Если разрабы ориентировались на предоставление NAT через канал vpn без доступа к серверу, то тогда все сделано правильно. Нет необходимости организовывать защиту сервера, все работает из коробки.

1karavan1
Цитата:

Я был удивлен, что при активном SecureNAT ipconfig молчит об этом интефейсе

И это правильно, ибо SecureNAT работает в пользовательском режиме,
а не в режиме ядра. Соответственно не требует административных привилегий.
Тут он больше похож не на NAT, а на Socks Proxy.
Но работающие совершенно прозрачно.
Цитата:

Но, кто запрещает пользователю vpn добавить в свою таблицу маршрутов

Но и администратору сервера никто не мешает настроить соответствующие фильтры и политики.
Цитата:

Deny Routing Operation policy Description:
Denies IP routing in sessions for which this policy is set. Communication is not possible even if an IP router is operating on the user's client side.

Ссылка

Согласен, т.к. документацию в полном объеме не осилил, то пришлось выдумать велосипед с фейковым интерфейсом, который для бриджа еще потребовал бы развертывание своего dhcpd, или использовать статические адреса.

vlary

Цитата:

добавить push route вида ip/mask/gateway, их можно добавить несколько штук.

спасибо

Цитата:

Цепляется по локальному адресу сервера 10.10.х.х (чего нет в случае бриджа)

это фича https://www.softether.org/4-docs/1-manual/3._SoftEther_VPN_Server_Manual/3.6_Local_Bridges#3.6.11_Points_to_Note_when_Local_Bridging_in_Linux.2C_FreeBSD.2C_Solaris_or_Mac_OS_X
Цитата:

3.6 Limitations within the Linux or UNIX operating system prevent communication with IP addresses assigned to the network adapter locally bridged from the VPN side (Virtual Hub side). The cause of this restriction lies with OS's internal kernel codes rather than with the SoftEther VPN.

Цитата:

4.0 ( Ice Cream Sandwich) это врожденный баг.

если вам не помогла замена бинарного файла ipsec - найдите tun.ko модуль для вашего телефона и подключайтесть по openvpn.
1karavan1

Цитата:

Я был удивлен, что при активном SecureNAT ipconfig молчит об этом интефейсе

softether через сокет передает все свои данные, без создания интерфейса

Цитата:

Я использовал такой: 192.168.100.100/255.255.255.255/10.12.12.1

спасибо, только сейчас понял, что нужно route push (split tunnel) сделать.

Цитата:

строчку вида 192.168.100.0/255.255.255.0/10.12.12.1

пояснение, чтобы другие не гадали:
192.168.100.0 адрес локальной сети в которую включен сервер
255.255.255.0 маска сети
10.12.12.1 адрес виртуального интерфейса securenat

Цитата:

Т.е., в случае когда клиенты vpn недоверенные, вижу необходимость использования на сервере фейкового интерфейса

в расширенных настройках можно запретить доступ в локальную сеть, только не помню где именно это видел.

Цитата:

Если разрабы ориентировались на предоставление NAT через канал vpn без доступа к серверу, то тогда все сделано правильно.

именно для этого - чтобы можно было без административных полномочий получить vpn доступ
https://www.softether.org/4-docs/1-manual/A._Examples_of_Building_VPN_Networks/10.B_Exploit_SecureNAT_for_Remote_Access_into_Firewall_without_Any_Permission
у них даже vpn azure есть для этого.

Цитата:

то пришлось выдумать велосипед с фейковым интерфейсом, который для бриджа еще потребовал бы развертывание своего dhcpd, или использовать статические адреса

на sofether форуме пишут, что dhcpd + интерфейс быстрее, чем securenat

Подскажите, что делаю не так. Нужен был внешний доступ по нескольким портам (rdp и т.п.) к машине в локальной стети (только к ней и только когда она включена, на машине Windows 10 Pro). На ней развернул Server, прописал пользователя. На внешней установил клиент. Связь устанавливается, машина с server'ом не отвечает.
Добавил VirtualNAT - вижу с внешней машины всю внутреннюю сеть (пингуются, заходит по rdp и т.д.), машина с сервером отвечает на пинг по адресу рутера, прописанному в VirtualNAT, остальные порты глухо закрыты (пробовал на ней полностью отклюать firewall, т.к. грешил на него - бесполезно), по адресу из локальной сети она не отвечает.
Может, кто уже сталкивался с подобным?

Цитата:

по адресу рутера, прописанному в VirtualNAT

То есть по адресу виртуального интерфейса? Работать надо по РЕАЛЬНОМУ IP локальной сети... Если я правильно понял вопрос.

Не отвечает машина, на которой находится сервер, по IP из локальной сети. Остальные в локалке отвечают, а вот она нет. Вот в чём проблема

MAK123
Странно. Такое поведение характерно для серверов на линуксе,
и то при использовании. SecureNAT. к серверу можно подключиться
Может на десятке пока что-то недокручено?
Попробуй для сравнения поднять мервер на другой винде.
И еще попробуй через реестр разрешить на винде маршрутизацию.

MAK123
компьютер, на котором запущен softether сервер подключен проводом или по wifi?
если проводом - используйте local bridge вместо securenat

напишите
диапазон в котором dchp реальной локальной сети выдаёт адреса и маску реальной локальной сети
диапазон в котором dchp securenat выдает адреса
ip адрес виртуального интерфейса в настройках securenat
ip адрес шлюза в настройках securenat
маршрут, который вы передаёте клиентам через route push в настройках secure nat

компьютер, на котором запущен softether сервер отвечает на пинг через vpn по ip его реальной сетевой карты?

на компьютере есть другие dhcp серверы кроме dhcp securenat?
компьютер подключен несколькими интерфейсами в реальную локальную сеть?