» SoftEther Multi-Protocol VPN Server

assasin84
Цитата:

Я если честно нуб в этих делах..

Ну извини, данный раздел подразумевает владение вопросом.
Если ты даже не знаешь, как назначить статический айпи на клиентском адаптере,
то я ничем помочь не могу. Продолжай изучать азы.

А что тут знать,в настройках адаптера меняешь айпи и все..ну можно еще в настройках роутера,к роутеру правда доступа нет!Дружище ты хоть подскажи в какую сторону копать???

Добавлено:
Проблему решил...Оказывается антивирус AvG прописывает какойто драйвер в сетевой адаптер ...снимаем галочку в свойствах сетевого адаптера AvG Networck filter driver и все...наслаждаемся Это на случай у кого аналогичная проблема будет

http://s019.radikal.ru/i640/1502/ee/00af56e52099.jpg

[more] [more] [/more] Добрый день, всем. Подскажите по поводу данного ВПН. Что может быть не так или куда смотреть?

Имеется Сервер Debian Softether с белый АйПи и домашний ПК для тестов на Ubuntu (виртуалбокс - Дебиан 7 с Softether bridge и ВиндаХР для конфигурации).

Настроил: создал вирт-хабы, создал пользователя, и local bridge на необходимый интерфес на Servere и на Bridge. Пробросил порты. На обеих Дебианах стоят iptables. На Bridge создал каскад по АйПи - коннект произошел.
Захожу Manage Virtul Hub - Menage Sessions - Ip AddressTables list (вижу АйПишки и на одной и на другом конце ВПН, также пингую).

Так же попробовал L2TP с включенным SecureNAT: с Windows, Andoid, Linux (до конца не доделал подключение, но думаю тоже будет фурычит) - работает, даже очень хорошо.

Но вот беда - с одного конца ВПН не вижу Вridge, а с другого конца не вижу Softether Server. Даже пинг не проходит по локальной сети. Решил создать local bridge tap.

Удалил старый local bridge, создал tap. Вручную назначил АйПи из локальной подсети 192.168.100.0/24, проверил - принял там и там.
На Bridge захожу Manage Virtul Hub - Menage Sessions - Ip AddressTables list (вижу АйПи в4 тот который присвоил, и в6 который автоматом присвоился).
На Server захожу Manage Virtul Hub - Menage Sessions - Ip AddressTables list (вижу АйПи в4 и в6 присвоенный Bridge и в6 автоматом присвоен Server). Вручную присвоенный Server АйПи - нет и ВСЕ!

Беда( Наверное, что то я упустил! [/more]

--

Что то я не понял, при чем тут DnsCrypt. На Debian 7 Softeher server не хочет принимать ipv4 адрес назначенный на интерфейсе tap_*! Точнее система принимает, а сервак ВПН -нет. А вот на softeher bridge такого нет, там все-гуд.

to All

у сервера SoftEther свой конфиг, а где он лeжит ?
по какому пути смотреть через putty ?

LexVel
Цитата:

по какому пути смотреть через putty ?

У меня он лежит в той же папке, куда я ставил сервер.
Собственно, если ничего не изменилось в новых версиях, то установка заключается
в распаковке файлов в выбранную папку, и выполнении команды make.
Файл vpn_server.config

vlary

А у Вас стоит DnsCrypt или только SoftEther ?

я распаковал в папку, /softether/vpnserver
тут все и находится у меня, т.к. старт делаю из этой дирректории
./vpnserver start или stop, если нужно остановить.

Цитата:

-rwxrwxrwx 1 root root 1881 Feb 2 09:06 Authors.txt
drwx------ 2 root root 4096 Mar 1 17:04 backup.vpn_server.config
drwx------ 2 root root 4096 Feb 21 19:32 chain_certs
drwxrwxrwx 2 root root 4096 Feb 21 19:32 code
-rwxrwxrwx 1 root root 1292786 Feb 2 09:06 hamcore.se2
-rw------- 1 root root 867 Mar 1 16:04 lang.config
drwxrwxrwx 2 root root 4096 Feb 21 19:32 lib
-rwxrwxrwx 1 root root 2138 Feb 2 09:06 Makefile
drwx------ 2 root root 4096 Feb 21 19:32 packet_log
-rwxrwxrwx 1 root root 31439 Feb 2 09:06 ReadMeFirst_Important_Notices_cn.txt
-rwxrwxrwx 1 root root 36297 Feb 2 09:06 ReadMeFirst_Important_Notices_en.txt
-rwxrwxrwx 1 root root 50695 Feb 2 09:06 ReadMeFirst_Important_Notices_ja.txt
-rwxrwxrwx 1 root root 58932 Feb 2 09:06 ReadMeFirst_License.txt
drwx------ 4 root root 4096 Feb 21 19:41 security_log
drwx------ 2 root root 4096 Mar 1 01:48 server_log
-rwxr-xr-x 1 root root 3804648 Feb 21 19:32 vpncmd
-rwxr-xr-x 1 root root 3804696 Feb 21 19:32 vpnserver
-rw------- 1 root root 13876 Mar 1 17:29 vpn_server.config

его же можно смотреть vpn_server.config, в SE-VPN Server Manager (Tools) на win.

кстати нашел где пишет логи,

Цитата:

cd ~/softether/vpnserver/security_log/DEFAULT (sec_20150221.log)
cd ~/softether/vpnserver/security_log/VPN (sec_20150221.log)

cd ~/softether/vpnserver/server_log (vpn_20150221.log)

vpn_server.config - нужно чего подправлять для работы с DnsCrypt,
если нет я отправляюсь к Debian настройкам далее.

VPS когда создавал дроплет стояла птица IPv6, мне это необходимо ?
что то подсказывает что нет, для моего решения (цели создать на VPS VPN+DNScrypt)
и эту птицу можно снять если создавать снова дроплет.

LexVel
Цитата:

если нет я отправляюсь к Debian настройкам далее.

Лучше, как уже советовал уважаемый Alukardd, отправиться читать азы.
Ибо SoftEther и DnsCrypt никаким боком не связаны.
Установкой DnsCrypt на Дебиан ты добился того, что ДНС запросы с сервера у тебя
уходят шифрованными. К клиенту это не относится. Либо на Дебиан нужно
ставить какой-либо кеширующий ДНС сервер, чтобы он отвечал своим клиентам,
а в качестве форвард сервера использовал адрес прокси (127.0.0.1).
Либо ставить прокси на каждого клиента, и пусть они сами разговаривают
с OpenDNS.

vlary

уже разобрался,
что SoftEther VPN *server* установлен на VPS,
а DNScrypt proxy *client*, а нужно *server*.

This is dnscrypt wrapper (server-side dnscrypt proxy), which helps to add dnscrypt support to any name resolver.
https://github.com/Cofyc/dnscrypt-wrapper

я хочу сделать все красиво.
тобы на ВПС крутился ВПН+DNS, и клиент будь это ноут с вин, или андройд смартфон,
уже получали VPN+OpenDNS, без установки клиента на них.

да я в курсе, что можно поставить клиента DNScrypt proxy под вин.

Подскажите каким образом можно настроить общую локалку для двух помещений?

Локалка №1: интернет заходит через роутер, к роутеру подключен свитч, к свитчу 5 компов и 2 ноута. Локалка №2 точно такая же только на 6 компов. Роутеры обычные linksys со статическими адресами разных провайдеров, на всех компах разные версии винды. Как настроить общую локалку для всех компов? Почитав тему и гайды с сайта SoftEther понял что нужно на один комп поставить сервер, а другие подключать как клиенты средствами винды и тогда они войдут в одну локалку? Это будет полностью клиент-серверная архитектура построения. А как они тогда в инет буду выходить, все через сервер? Или можно каким-то образом настроить LAN to LAN чтобы не пришлось на каждом клиенте поднимать впн? Сам то я почти не разбираюсь в этих ваших впнах поэтому прошу совета можно ли это вообще настроить и если можно то как.

SilentStar
Цитата:

Сам то я почти не разбираюсь в этих ваших впнах

Ну так что тогда заставило тебя заниматься тем, в чем ты не разбираешься?
Ты же не станешь выступать со скрипичным концертом, не умея
играть на скрипке. потому как помидорами закидают.
Да, с помощью сабжа можно объединить несколько сетей через интернет,
хоть на уровне L2 , хоть на уровне L3. На сайте это все описано.
Но не зная базовых вещей, заниматься этим бесполезно,
как бесполезно пытаться заняться высшей математикой, не зная арифметики.
Если вам это нужно просто "шоб було", то лучше не парься.
А если жизненно необходимо, наймите специалиста.

vlary



[fdd7:5938:e2e6:1::c:53]:53 ip6,, ip4 как выглядит этот адрес? [ ipv4 ]:53

Всем доброго дня!
Я заметил странную ситуацию. Притащил домой ноутбук с работы. Пытаюсь законнектиться к VPN пишет в конце следуюющее
Sat Mar 7 11:19:04 2015 AUTH: Received AUTH_FAILED control message
Sat Mar 7 11:19:04 2015 TCP/UDP: Closing socket
Sat Mar 7 11:19:04 2015 SIGTERM[soft,auth-failure] received, process exiting

Домашний ноут в это время тоже подключен. Отключаю домашний - рабочий соединяется. т.е. подключить можно только один. Хотя планшет и мобильный телефон подключаются без проблем одновременно.
Да! я пытался заходить под разными аккоунтами. т.е. под аккоунтом ноута №1 я заходил на ноуте №2 все аккоунты рабочие. Два ноута одновременно не могут подключиться.

В чем может быть проблема?

LexVel
Цитата:

ip4 как выглядит этот адрес?

Где выглядит? Что имеется в виду?

asdxp
Цитата:

Хотя планшет и мобильный телефон подключаются без проблем одновременно.

Эти девайсы скорее всего на андроиде или другой платформе.
И поддержка функции NAT-T там включена, в отличие от винды.
А на винде надо играться с реестром: Ссылка
Либо использовать SoftEther клиента.

А на винде надо играться с реестром:

забыл уточнить - оба ноута на линуксе. И подключиться может только один из них

asdxp
Цитата:

забыл уточнить - оба ноута на линуксе

Тогда очень странно. У линукса с IKEv2 вроде проблем нет.
Ну, тогда попробуй использовать на линуксе SoftEther клиента.
Хотя бы на одном из компов.

vlary

если
[fdd7:5938:e2e6:1::c:53]:53

сконвертировать в ipv4 как будет выглядеть? [ . . . .]:53
пробую тут http://www.networkcenter.info/calcs/v4v6convert но не выходит из 6 в 4
с 4 в 6 перевожу.


Цитата:

[error] Unable to bind (UDP) [Cannot assign requested address]

Проблемка =\ на Server2012std, причем на двух ...

В SoftEther включаю L2TP и сразу отваливается служба обмена ключами ipsec (IKEEXT)

Что копать, где копать ? роль или компонент какой поставить ?

CrazYViruS_CrazyNet
Цитата:

Что копать, где копать ? роль или компонент какой поставить ?

Собственно, так оно и есть: Ссылка
Цитата:

Note
Disable any IPsec/L2TP function on the server computer which might conflict with SoftEther VPN Server's IPsec/L2TP function. If the UDP ports (500, 4500 and 1701) conflicts with other programs, IPsec communication will not work well.
For example, disable the "Routing and Remote Access" service on Windows Server.
If you enable IPsec/L2TP function of SoftEther VPN Server, the IPsec/L2TP function of Windows will be shutdown temporary.

Как видим. никто не обещал, что они будут работать одновременно.
Посему либо используй на сервере SoftEther другие протоколы,
либо используй IPsec только для SoftEther. Не зря он отключен по умолчанию.

LexVel
Цитата:

сконвертировать в ipv4 как будет выглядеть?

Как ты собираешься 128-битный ipv6 конвертировать в 32-битный ipv4?
И какое, собственно, отношение этот вопрос имеет к данному топику?

vlary


вопрос снят, мое решение не поддерживает ipv6, поэтому юзаю ip4

кстати вопрос по SE-VPN Server Manager (Tools)
есть опция, тип шифрования и keep Alive



так какой тип шифорования оптимален, слышал что последний в списке 256, для параноиков

нужно ли включать keep Alive ? Уменя вчера, впервые отключился VPN что само посебе странно...
сервер свой не волонтерский... из-за чего такое может быть ?

LexVel
Цитата:

так какой тип шифорования оптимален, слышал что последний в списке 256, для параноиков

Это имеется в виду SSL тип подключения, для L2TP/IPSec он свой. Думаю, AES-128 для "Неуловимых Джо" будет достаточен. Дефолт RC4-MD5 уж больно древний.
Цитата:

нужно ли включать keep Alive ?

Если не пользуешься коннектом интенсивно, но хочется, чтобы он был всегда "под рукой", лучше включить.

vlary


там два вида

Цитата:

Думаю, AES-128 для "Неуловимых Джо" будет достаточен.

AES128-SHA

DHE-RSA-AES128-SHA


Цитата:

Если не пользуешься коннектом интенсивно, но хочется, чтобы он был всегда "под рукой", лучше включить

не совсем понятно, для чего он мне под рукой ?
пользуюсь VPN практически всегда, своим (если на ненужные старые аккаунты захожу с волонтерских, т.к. их планирую закрывать, но там небольшие дела, где остатики выести,
где перид с последнего платежа выждать перед закрытием)

через это дело ничего не утечет ? keepalive.softether.org (это что вообще, раньше внимания не обращал..)

еще по скорости сегодня забирал Adobe.Photoshop.CC.2014.u2.x86-x64.RU-EN,
с торрента, так через VPN скорость в районе 12 Мбит/с, провайдер выдает не более 29 Мбит/с
вполне неплохо.

по авторизации клиента VPN логин/пароль (уже стремно ?)

Цитата:

keepalive.softether.org (это что вообще, раньше внимания не обращал..)

Это адрес сервера, как ни странно . Ихнего сервера для keepalive, видимо...

Цитата:

по авторизации клиента VPN логин/пароль (уже стремно ?)

???

LexVel
у меня нет DHE-RSA.......
версия 4.14.0.9529 т.е. последняя версия на сегодня

тык у тебя свой ВПН ? ставь этот сервер
softether-vpnserver-v4.14-9529-beta-2015.02.02-linux-x64-64bit.tar

выбрал, более оптимальное

DHE-RSA-AES128-SHA

LexVel
у меня сервер на Windows

vlary

SoftEther, авторизацию клиента вместо логин/пароль, организовать через сертификат
будет более надежнее ?
если, да ? то какие рекомендации при создании сертификатов ?

для Андройда, мне нужно так понимаю поставить клиента на смартфон,
тогда какой ? под SoftEther client Linux?

Цитата:

SoftEther, авторизацию клиента вместо логин/пароль, организовать
через сертификат будет более надежнее ?

Конечно. Не знаю, как в последних версиях,
в ранних с этим была проблема.
Цитата:

какие рекомендации при создании сертификатов ?

Там в свойствах юзверей есть генерилка сертификатов.
Можно самоподписные, можно для подписи центральной СА, ежели у вас такая имеется.
Ключа 2048 бит хватит вполне и надолго.

vlary

я реализую вариант:
2.2.6 Signed Certificate Authentication
Client Certificate Authentication by Signed Certificate Authentication
https://www.softether.org/4-docs/1-manual/2._SoftEther_VPN_Essential_Architecture/2.2_User_Authentication