angapov Feb 3 2014 at 18:47

Настройка VPN-сервера SoftEtherVPN под Linux

10 min

128K

System administration*Network technologies*

Tutorial

+37

Comments 50

charon Feb 3 2014 at 18:50

вот как в пакеты засунут — присмотрюсь внимательнее :) А то самому следить за обновлениями безопасности такой громадины мне облом

shifttstas Feb 3 2014 at 19:24

Если будете писать еще — было бы интересно почитать, про тунелирование через ICMP и DNS.

amarao Feb 3 2014 at 19:30

Он pptp умеет?

angapov Feb 3 2014 at 19:34

В мануале ничего на этот счет не сказано, значит, видимо, не умеет

amarao Feb 3 2014 at 19:47

Увы.

Пока что я для себя его отметил, но особого интереса не вижу. Ну да, ещё один vpn. С учётом, что два туна или тапа можно объединить ssh, openvpn, sstunel и ещё пачкой других методов — ну да, ещё один.

WEBIVAN Feb 3 2014 at 19:48

Умеет.
Однако у меня от короткого знакомства с ним сложилось впечатление что ресурсов он кушает куда больше стандартных решений…

ValdikSS Feb 3 2014 at 20:47

Умеет? А где настраивать? Вроде как, не умеет он его.

WEBIVAN Feb 3 2014 at 21:42

Пардоньте. Ошибся. Спутал с l2tp, так как его у меня точно так же поддерживают все девайсы от смарта до роутера…

blind_oracle Feb 3 2014 at 20:37

Кому в наше время нужен pptp? Как минимум есть l2tp, если нужно что-то стандартное, и мульён прочих если не нужно.

Obramko Feb 3 2014 at 20:41

Плюс PPTP в том, что его умеют все.
Вот мне, например, проще PPTP на телефоне настроить, чем мучиться с какими-то сертификатами или левыми клиентами.

entze Feb 3 2014 at 21:21

OpenVPN же клиенты выпустил. Конечно можно не доверять клиентам из стора, но чем это лучше потенциально уязвимого pptp.

blind_oracle Feb 3 2014 at 21:48

Я на телефоне (андроид) как два пальца настраиваю L2TP с IPSEC безо всяких сертификатов — просто через pre-shared-key.

В итоге имеем:
1. Шифрование туннеля
2. Гораздо лучшую проходимость через всякие провайдерские файрволлы и NAT-ы т.к. PPTP использует GRE, который через одного блокируют, а L2TP/IPSEC при невозможности установления прямого ESP-соединения откатывается на инкапсуляцию в UDP, который проходит везде.

Я в свое время с PPTP намучался — не могут клиенты с телефона подключиться или с йоты какой-нибудь. Перевел на L2TP/IPSEC — проблем не знаю.

amarao Feb 3 2014 at 23:11

l2tp/ipsec через nat работает? Насколько я знаю, ipsec не очень с натом дружит…

anton1234 Feb 4 2014 at 01:18

Дружит, но с оговорками. У некоторых реализаций серверов есть проблемы при работе несколько клиентов находящихся за одним натом. Точнее говоря работать может только один клиент, остальных дисконнектит. В openswan это решается при помощи XFRM marks. ISA вроде бы тоже умела решать эту проблема.
А собсно проблема заключается в том, что несколько l2tp клиентов одновременно пытаются создать ipsec с одинаковым IPsec policy [udp/l2tp] === [udp/l2tp].
И… проблема только при использовании psk. С сертификатами такой беды нет.

blind_oracle Feb 4 2014 at 09:36

Это, я думаю, ограничения конкретного сервера, а не протокола. У меня такой проблемы нет.

anton1234 Feb 4 2014 at 10:50

Так и есть. В двух известных мне реализациях ipsec под linux есть такая проблема. В openswan для этого используется можно включить XFRM marks. Как это решить в Racoon я даже не знаю. Если в SoftEtherVPN эта проблема решена, то это большое преимущество перед другими linux серверами.

blind_oracle Feb 4 2014 at 09:35

Работает отлично через IPSEC NAT Traversal. Насчет нескольких клиентов за одним NAT-ом тоже проблемы такой не видел — коннектился из дома с двух ноутов одновременно — никаких проблем. Внешний IP один. В качестве сервера L2TP — Cisco ASA, клиенты стандартные в Win и OSX.

amarao Feb 3 2014 at 23:06

~~l2 работает на l2. И через интернет не работает.~~ сбрехал, ушёл читать.
pptp от openvpn отличается тем, что андроид его из коробки умеет. И умеет ограничивать весь трафик, если pptp лежит. А клиент openvpn этого не умеет, увы. Так что я для телефона использую pptp туннель, а для остальных машин — openvpn.

blind_oracle Feb 4 2014 at 09:39

У него такое название — Layer2 — потому что через него еще можно и ethernet туннелировать, при желании. Правда, только в версии протокола v3 в режиме pseudowire. А так он работает по самому обычному UDP. И на него уже полностью почти перешел билайн для предоставления доступа домашним абонентам т.к. скорость работы тупо выше и не сильно грузит BRASы.

Да, андроид его тоже поддерживает из коробки, есличо.

amarao Feb 4 2014 at 09:41

Да, надо будет попытаться поднять. pptp меня всегда раздражал своей странной pp-логикой.

Кстати, можно попытаться использовать те же сертификаты, что для openvpn. Получится, наверное, забавно.

lol2Fast4U Feb 4 2014 at 23:39

Умеет он все, умеет. OpenVPN Connect → Preferences → Seamless Tunnel.

angapov Feb 3 2014 at 20:19

Я вот тут хвалю эту софтину, понимаете ли, а она тем временем на моей VPS-ке понаоткрывала штук 20 соединений со всеми частями света! Что-то мне это перестает нравится… Пока понаблюдаю за ее поведением, благо VPS-ку не жалко…

ValdikSS Feb 3 2014 at 20:46

Ну так вы случайно не включили vpngate?

angapov Feb 3 2014 at 21:01

А как это смотреть через CLI? Вроде виртуального хаба VPNGATE у меня нету…

angapov Feb 3 2014 at 21:14

Ой, дурак я дурак… Это же мой собственный комп и понаоткрывал столько сессий, впн же встает основным шлюзом )) да уж… глупо вышло ))

ksenobayt Feb 3 2014 at 21:42

Поднял у себя на впске в хецнере под дебианом.
Ресурсов жрёт много, на одной машине с ejabberd уживается с трудом (при том, что серверами пользуюсь сугубо я). L2TP работает, PPTP работает, OpenVPN не проверял. Немного пришлось покрутить конфиг, чтобы отбить желание софта юзать DDNS и прочую ерунду, но в остальном претензий пока нет.

weirded Feb 3 2014 at 22:15

Интересно, сколько одновременных сессий выдержит и обгонит ли accel-ppp?

ValdikSS Feb 4 2014 at 11:46

Да не поддерживает он pptp!

themiron Feb 4 2014 at 13:14

accel-ppp вполне себе поддерживает еще и l2tp (v2), pppoe, ipoe/l2/vlan

funditus Feb 4 2014 at 14:06

По скорости у них есть графики http://www.softether.org/@api/deki/files/12/=1.3.jpg, по количеству одновременных сессий не видел.

k0ldbl00d Feb 4 2014 at 02:52

сервер непрерывно читает этот файл и любые изменения в нем мгновенно отражаются на работе сервера
прога зачем-то стукнулась по адресу 130.158.6.77:80
WTF??? Ну и NAT в юзерспейсе — тоже сомнительное преимущество. Хотя, конечно, красиво описано.

ValdikSS Feb 4 2014 at 11:47

Прикол NAT в юзерспейсе в том, что вам не нужно даже TUN/TAP использовать для него. Грубо говоря, можно даже на шаред-хостинге с shell-доступом без рут прав и без загрузки модулей поднять VPN.

ivlis Feb 4 2014 at 02:54

Судя по стилю настроек про unix-way авторы не слышали. Напоминает wizard-ы… То есть спец прога пишет конфиг, а демон всё время его читает. Жуть какая.

Не понятно зачем дублировать хорошо работающие функции фильтрования и роутинга пакетов, которые обычно работают на уровне ядра своим велосипедом в user-space.

k0ldbl00d Feb 4 2014 at 08:47

Он так дырку в жёстком диске протрёт.

ivlis Feb 4 2014 at 09:10

Будем надеятся, что ядро довольно умное и закеширует =)

angapov Feb 4 2014 at 12:38

Согласен. Хотя насчет конфиг-файла, такой же схемой пользуются в маршрутизаторах Juniper Networks. То бишь вроде ничего особо криминального. А вот насчет натирования и фильтрации — явный велосипед. Почему-то авторы проги очень сильно хотели чтобы она работала в чистом юзерлэнде. Зачем, не совсем понятно…

anton1234 Feb 4 2014 at 12:47

Возможно потому, что проект кроссплатформенный.

ivlis Feb 4 2014 at 19:30

Что мешало сделать кросплатформенные биндинги к разным OS? Это как раз пахнет окошечной одноплатформенностью, а *nix прибили гвоздями.

funditus Feb 4 2014 at 12:46

С протоколами SSL VPN и MS SSTP пока связываться не хочу

Как раз хотелось бы узнать тест работы SSL VPN (SoftEtherVPN), потому что только для этого протокола заявляется поддержка почти до 1 Гбит/с, а точнее 980 Мбит/с, хотя это и не укладывается в моём мозгу с учётом вложенности в HTTPS. К тому же заявляется, что он единственный необнаружим для фаерволов (стандартный HTTPS).