Практический пример создания виртуальной частной сети на базе SoftEther VPN



    SoftEther VPN – одно из самых простых и эффективных решений для создания виртуальных частных сетей (Virtual Private Network, VPN). Это бесплатный продукт с открытым исходным кодом, разработанный как академический исследовательский проект в Японском университете Цукуба (University of Tsukuba, Japan).

Основные особенности SoftEther VPN:

- Свободное и с открытым исходным кодом программное обеспечение

- Возможность создания VPN-подключений с использованием большого количества распространенных стандартных протоколов (HTTPS, DNS, ICMP), что обеспечивает легкий обход брандмауэров.

- Возможность создания Ethernet-мостов (L2) и IP-маршрутизация (L3) через VPN.

- Встроенный динамический DNS.

- AES 256-битное и RSA 4096-битное шифрование.

- Наличие необходимых функций безопасности, таких как протоколирование и брандмауэр внутри VPN туннеля.

- VPN сервер может работать на платформах Windows, Linux, FreeBSD, Solaris и Mac OS X.

- Поддержка клиентов Windows, Linux, Mac, Android, iPhone, iPad и Windows Mobile.

- Поддержка большинства стандартных протоколов VPN (OpenVPN, IPsec, L2TP, MS-SSTP, EtherIP), что позволяет использовать устройства iPhone, iPad, Android, Windows Mobile, компьютеры под управлением Mac OSX и Windows без установки клиентской части SoftEther VPN.

- Простота и удобность настройки сервера и клиента.

- Контроль доступа клиентов к VPN и возможность их аутентификации по паролю или индивидуальному сертификату.

- Ведение журналов, параметры которых можно настроить под свои потребности.

Пример создания виртуальной частной сети на базе SoftEther VPN.



В качестве примера выберем случай, когда нужно объединить в виртуальную частную сеть несколько компьютеров, которые могут находиться где угодно – в подсетях разных провайдеров, в других городах или странах. Сервер SoftEther VPN устанавливается в середе ОС Windows, имеет маршрутизируемый (”белый”) IP-адрес. Клиенты должны получать адреса в сети VPN автоматически по DHCP в диапазоне 172.30.100.101 - 172.30.100.200.

Пример VPN


Клиентские компьютеры PC1-PC4, после подключения через Интернет к серверу SoftEther VPN становятся участниками виртуальной локальной сети точно так же, как если бы они были подключены к одному и тому же сетевому коммутатору. Например, рабочие станции (PC1, PC2, PC4), территориально находящиеся в разных регионах могут использовать ресурсы сервера (PC3) точно так же, как и в обычной локальной сети.


Установка и настройка SoftEther VPN сервера



Для того, чтобы скачать продукты SoftEther VPN нужно перейти на страницу загрузки, выбрать компонент SoftEther VPN Server, платформу - Windows, процессор - Intel (x86 and x64). На странице загрузки отображаются ссылки для скачивания всех версий SoftEther VPN Server, включая и текущую beta-версию:


Страница загрузки продуктов SoftEther VPN



Установка сервера должна выполняться под учетной записью с правами администратора ( Запуск от имени Администратора).

Начало установки  SoftEther VPN Server


После нажатия кнопки Далее нужно выбрать устанавливаемый компонент - SoftEther VPN Server.

Выбор компонентов для установки - SoftEther VPN Server


SoftEther VPN Bridge и SoftEther VPN Server Manager (Admin Tools Only) являются компонентами сервера, но могут быть установлены и отдельно. Например, на другом компьютере, где будет выполняться централизованное управление несколькими серверами VPN с помощью SoftEther VPN Server Manager. При чем, данный компьютер может не являться VPN-сервером и на нем устанавливаются только средства администрирования других Softether VPN серверов.

На следующем шаге необходимо принять лицензионное соглашение:

SoftEther VPN Server распространяется под лицензией Apache 2.0


SoftEher VPN распространяется под лицензией Apache 2.0

Папку для установки программы оставляем по умолчанию:

Папка для установки  SoftEther VPN Server


После чего можно запустить установку программы нажатием кнопки Далее

Все готово для установки  SoftEther VPN Server


Ход установки отображается на экране:

Ход установки  SoftEther VPN Server


В некоторых версиях SoftEther VPN Server процесс установки может отличаться, однако, принципиального значения это не имеет.

После успешного завершения, по умолчанию включен режим запуска средства управления сервером – Start the SoftEther VPN Server Manager:

Завершение установки  SoftEther VPN Server


Средство настройки и управления сервером позволяет управлять не только локальным сервером, но и серверами, развернутыми на других компьютерах при наличии соответствующих прав по отношению к ним:

 SoftEther VPN Server Manager


Двойной щелчок или нажатие кнопки Connect позволяет подключиться к выбранному VPV серверу. Кнопка New Setting позволяет добавить новый VPN сервер для управления, кнопка Delete setting - удалить, а Edit Setting - изменить настройки для подключения к выбранному серверу. Первое подключение выполняется с пустым паролем, и программа потребует его изменения:

Изменение пароля для доступа к  SoftEther VPN Server


На следующем шаге необходимо выбрать режимы использования SoftEther VPN Server:

Режимы использования  SoftEther VPN Server


Remote Accsess VPN Server - объединение географически распределенных клиентов в единую сеть. Именно этот режим необходим для решения задачи, означенной выше. Возможно включение нескольких режимов одновременно.

Если на данном компьютере ранее был установлен SostEther VPN Server, то его настройки остаются после удаления программы и будут применены к вновь установленному серверу. Настройки хранятся в файле vpn_server.config каталога, куда устанавливается программа (C:\Program Files\SoftEther VPN Server). Если необходимо установить и настроить сервер ”с нуля”, то после деинсталляции программы нужно удалить и каталог, куда она была установлена.

При первой установке режима работы сервера VPN потребуется инициализация его настроек:

Инициализация настроек для выбранного режима использования  SoftEther VPN Server


После нажатия кнопки ”Да”, отобразится запрос имени виртуального концентратора (хаба):

Создание виртуального хаба  SoftEther VPN Server


Виртуальный концентратор (хаб, Virtual Hub) функционирует аналогично реальному и обеспечивает связь всех подключенных к серверу клиентов между собой. Для географически разнесенных клиентов обеспечивается использование протоколов общего доступа, баз данных, игровых серверов и т.п. точно так же, как будто бы они находятся в единой локальной сети. Другими словами, сервер SoftEher VPN создает виртуальные проводные соединения и виртуальные концентраторы для всех подключенных к нему клиентов. Концентраторов может быть несколько и их имена должны различаться.

На следующем шаге можно и, как правило, даже нужно, настроить динамический DNS для данного VPN сервера.

Настройка динамического DNS  SoftEther VPN Server


Даже если сервер имеет статический IP, обращаться к нему удобнее по имени, особенно, если сервер размещается на компьютере с динамическим IP (стандартное подключение для домашнего Интернет). Независимо от смены IP, клиенты смогут подключаться к серверу по имени, заданному в настройках. Имя проверяется на уникальность и имеет вид выбранное_имя.softether.net

На следующем шаге можно выполнить настройки, обеспечивающие подключение по стандартным протоколам VPN без использования клиентского приложения SoftEther VPN Client:

Настройка L2TP/IPSec/EtherIP в   SoftEther VPN Server


Виртуальный концентратор (Virtual Hub) может принимать подключения клиентов по протоколам стандартных VPN, в том числе и устаревших. Данные настройки можно изменить в любой момент времени и использовать по необходимости. Для решения вышеозначенной задачи – не требуется.

Также, в любой момент времени можно настроить виртуальную частную сеть сеть с использованием облачной службы VPN Azure Cloud, созданной в рамках проекта SoftEther VPN:

Настройка VPN Azure Cloud в   SoftEther VPN Server


VPN Azure — это облачная служба, которая позволяет создать виртуальную частную сеть без Softether VPN сервера с маршрутизируемым (”белым” IP-адресом). Установка специального программного обеспечения на клиентских компьютерах не требуется, поскольку VPN Azure прекрасно работает с встроенным SSTP VPN клиентом Windows Vista и старше. Для Windows XP и более ранних версий придется установить SoftEther VPN Client. Для решения вышеозначенной задачи создания виртуальной частной сети использование данной технологии не является оптимальным.

Следующим шагом нужно создать пользователей сервера SoftEther VPN. Создание пользователей можно выполнить в любой момент времени, подключившись к серверу и выбрав режим управления виртуальным концентратором - Manage Virtual Hub.

Управление  пользователями  SoftEther VPN Server


Кнопка Manage Users позволяет создавать, удалять и изменять настройки пользователей VPN сервера. Для создания пользователя, например с именем User1 с доступом к серверу по паролю, нажать кнопку New

Создание пользователя с доступом к SoftEther VPN Server по паролю.


User Name – User1, обязательное имя пользователя.

Необязательные параметры:

Full Name - полное имя

Note - примечание,

Group Name - имя группы, к которой принадлежит пользователь.

Set the Expiration Date for this Account - установить дату действительности пользователя. По достижению данной даты пользователь не сможет подключиться к данному VPN серверу.

Для того, чтобы пользователь подключался к серверу по паролю, в качестве значения Auth Type необходимо выбрать Password Authentication, а в разделе Password Authentication Settings задать и подтвердить пароль. После нажатия кнопки Ok будет создан пользователь User1, который сможет подключаться к данному VPN серверу с использованием заданного пароля. Способ проверки подлинности и пароль можно изменить в любой момент времени.

Для подключения к серверу с использованием индивидуального сертификата создаем пользователя, например с именем User2:

Создание пользователя с доступом к SoftEther VPN Server по индивидуальному сертификату.


В качестве значения Auth Type необходимо выбрать Individual Certificate Authentication, а в правой части окна, в разделе Individual Certificate Authentication Settings создать сертификат и секретный ключ, которые передаются пользователю – нажать кнопку Create Certificate.

Создание сертификата пользователя для доступа к SoftEther VPN Server.


Значения остаются по умолчанию. В этом случае создается самоподписанный сертификат, которого вполне достаточно для определения достоверности пользователя, подключающегося к серверу VPN. После нажатия Ok будет предложено сохранить созданный сертификат:

Сохранение сертификата пользователя для доступа к SoftEther VPN Server.


Выполнится сохранение 2-х файлов с расширением ,cer и .key, а в качестве имени файла удобно использовать имя пользователя. То есть, в данном случае будут созданы файлы user2.cer и user2.key, которые нужно сохранить и передать пользователю безопасным способом, например, электронной почтой в зашифрованном архиве или лично, через сменный носитель. Нужно понимать, что для доступа к серверу нужно знать имя пользователя и иметь файлы сертификата и секретного ключа, поэтому их не стоит передавать вместе и в открытом виде. Некоторые сведения о пользователе можно легко получить из файла сертификата .cer, открыв его для просмотра двойным щелчком мышки.

Сетевые настройки сервера и клиентов SoftEther VPN



Для SoftEther VPN Server в самом простейшем случае достаточно иметь один порт, к которому подключаются клиенты через сеть Интернет. Для примера возьмем порт 5555. В том случае, когда сервер находится за NAT, необходимо обеспечить перенаправление WAN соединения на нужный IP-адрес и порт сетевого интерфейса LAN сервера. Например, с помощью правила для распространенного GPON-роутера ZTE ZXA10 F660:

Перенаправление порта 5555 для доступа к SoftEther VPN Server за NAT.


При подключении к порту 5555 на интерфейсе глобальной сети Интернет (WAN, c ”белым” IP) будет выполнено перенаправление подключения на порт 5555 сервера SoftEther VPN с адресом 192.168.1.111.

Для небольших организаций, которым требуется обеспечение дистанционной работы сотрудников, в качестве бюджетного варианта можно воспользоваться развертыванием SoftEther VPN Server на арендуемом VPS/VDS – сервере с приемлемой пропускной способностью.

Дешевый хостинг


В случае, когда SoftEther VPN Server устанавливается на рабочих станциях , можно воспользоваться виртуальным DHCP сервером, имеющимся в составе VPN-сервера. Кроме того, при необходимости, внешний интернет - трафик клиентов можно направить через NAT сервера. Такой режим нередко используется для смены IP-адресов пользователей в глобальной сети Интернет.

По условиям задачи, клиенты должны получать сетевые настройки автоматически по DHCP. Для этого нужно подключиться к серверу и выбрать настройку управления виртуальным концентратором Manage Virtual Hub - Virtual NAT and Virtual DHCP Server (SecureNAT)

Настройка Virtual DHCP  SoftEther VPN Server.


Необходимо включить кнопку Enable SecureNAT, подтвердить желание его использовать, а затем - Secure NAT Configuration

Изменение параметров  DHCP  SoftEther VPN Server.


Раздел Virtual Host’s Network Interface Settings позволяет настроить сетевой интерфейс, который будет обслуживать подключенных к серверу клиентов. По условиям задачи необходимо, чтобы пользователи получали IP-адреса в диапазоне 172.30.100.101 - 172.30.100.200. Поэтому, меняем IP – адрес 192.168.30.1 на 172.30.100.1. Маску и прочие настройки оставляем без изменений.

Переходим в раздел Virtual DHCP Server Settings и изменяем диапазон раздаваемых клиентам IP-адресов (Distributed IP Address) от 172.30.100.101 до 172.30.100.200. Маску подсети (Subnet Mask), естественно, оставляем без изменений. Параметр Lease Limit определяет предельное время аренды IP-адреса в секундах для подключающихся клиентов. В течении этого времени клиенты будут получать один и тот же IP. Если за время, превышающее Lease Limit, подключений от клиента не было, то при очередном подключении он получит новый IP-адрес.

Options Applied to clients (optional) - необязательная настройка, определяющая в качестве шлюза по умолчанию сетевой интерфейс, обслуживающий подключения VPN-клиентов. Если эта настройка выполнена, то при подключении клиентов к VPN-серверу, весь Интернет-трафик пойдет через SoftEther VPN Server. В качестве шлюза по умолчанию (Default Gateway Address) нужно установить 172.30.100.1 и указать адрес серверов DNS, которые будут обслуживать клиентов (DNS Server Address 1 . 2, например, адрес самого сервера, публичный DNS Google – 8.8.8.8 и 8.8.4.4, или любой другой адрес доступного DNS-сервера. Если удалить шлюз по умолчанию и настройки DNS, то интернет-трафик клиентов будет маршрутизироваться через шлюз по умолчанию заданный сетевыми настройками локального интерфейса, а VPN-трафик – через SoftEther VPN Server.

Настройка DHCP без шлюза по умолчанию SoftEther VPN Server.


Установка и настройка клиентов SoftEther VPN



Установка клиента производится с параметрами по умолчанию. После установки и запуска SoftEther VPN Client Manager, нужно создать виртуальный сетевой адаптер и новое VPN-подключение. Можно сразу нажать кнопку добавления нового подключения – Add VPN Connection и необходимые элементы будут созданы в процессе добавления.

Создание адаптера SoftEther VPN Client.


То есть, перед добавлением нового подключения, необходимо создать адаптер виртуальной сети. После нажатия кнопки ”Да” начнется диалог определения параметров адаптера Virtual Network Adapter.

Параметры адаптера SoftEther VPN Client.


Возможно создание до 127 виртуальных адаптеров, имена которых должны отличаться. Создание адаптера занимает некоторое время и завершается его появлением в нижней половине окна:

Адаптер виртуальной сети SoftEther VPN Client.


При создании нового подключения можно воспользоваться комбинацией клавиш Ctrl+N

Создание нового подключения в SoftEther VPN Client Manager.


Имя подключения выбирается произвольно. В поле Host Name задается имя SoftEther VPN Server, заданное в настройках динамического DNS или его IP-адрес. В поле Virtual Hub Name необходимо указать имя виртуального концентратора сервера, по умолчанию – VPN. В разделе Virtual Adapter to Use выбрать виртуальный адаптер, который будет использоваться в данном подключении.

В разделе User Authentication Setting Необходимо выбрать тип проверки подлинности (Auth Type):

- Standard Password Authentication – проверка по паролю. Например, для созданного на сервере пользователя User1.

- Client Certificate Authentication – проверка с использованием индивидуального сертификата. Например, для созданного на сервере пользователя User2

Для проверки подлинности с использованием сертификата, файлы .cer и .key, сгенерированные на сервере должны быть установлены на клиентском рабочем месте. Для этого необходимо скопировать оба файла в какой-либо каталог и определить их местоположение нажав кнопку Specify Client Certificate.

После создания соединения можно выполнить подключение к серверу через выбор пункта Connect контекстного меню, вызываемого правой кнопкой мышки на выбранном подключении. Результат подключения отображается в информационном сообщении:

Подключение к SoftEther VPN Server установлено, получен IP-адрес.


Подключение к SoftEther VPN Server установлено, получен IP-адрес 172.30.100.100.

Для того, чтобы выбранное подключение устанавливалось автоматически при каждой перезагрузке компьютера, нужно установить режим Set As Startup Connection через контекстное меню, вызываемое правой кнопкой мышки.





В начало страницы     |     На главную страницу сайта



Рейтинг@Mail.ru