SoftEther VPN Server — установка и настройка.

SoftEther VPN появился в далеком 2003 году в университете японского города Цукуба. Проект был разработан одним из студентов университета Daiyu Nobori, после того как в сети университетского кампуса перестал работать PPTP, хотя по другим данным, это был его дипломный проект.

Время шло, проект развивался, и был выкуплен японской корпорацией Mitsubishi, которая подписала десятилетний контракт на выпуск и распространение программы. Однажды SoftEther запретили, правительство Японии посчитало его вредоносной программой.

По окончанию действия контракта с Mitsubishi, в январе 2014 года SoftEther начинает распространяться под свободной GPLv2 лицензией, что делает его доступным для всех желающих.

SoftEther поддерживает почти все туннельные протоколы (L2TP, L2TP/IPsec, MS-SSTP, EtherIP и т.д.). Также у него есть собственный SSL-VPN протокол неотличимый от обычного HTTPS трафика, тут даже системы DPI (Deep Packet Inspection) не помогают, поэтому SoftEther очень популярен в Китае.

SoftEther пробивается через файрволы и NAT механизмы применяя технологии TCP NAT traversal и TCP hole punching, при этом не забывая маскировать трафик. Данные могут передаваться не только с помощью TCP/UDP протоколов, а также с помощью имитации ICMP (пинг) и DNS запросов.

SoftEther не требователен к типам виртуализации, в отличии от OpenVPN, которому для работы требуется наличие TUN/TAP устройств в ядре. Поэтому SoftEther работает на любых VPS/VDS и это еще один плюс в копилку.

Клиентское и серверное ПО существует практически для всех распространенных операционных систем. Процесс компиляции исходного кода при установке в UNIX-системах минимизирован настолько, что с ним легко справится любой пользователь.

ПО SoftEther состоит из нескольких компонентов:

  • Server - самый полный набор, включает в себя Server, Bridge и VPN Server Manager (в версии для Windows).
  • Bridge - позволяет подключать локальные сети к VPN-тоннелям.
  • VPN Server Manager - утилита с графическим интерфейсом в системе Windows. Используется для администрирования локальных и удаленных VPN-серверов. Является самым удобным средством администрирования и управления. Устанавливается отдельно.
  • vpncmd - утилита администрирования командной строки, как в  терминалах UNIX-систем, так и в командной строке Windows. В UNIX-системах ставится вместе с сервером. В Windows идет в комплекте с VPN Server Manager.
  • Client - клиент для подключения к сети VPN.

Установка SoftEther VPN Server

Установим утилиты для компилирования.

# В CentOS

yum groupinstall -y "Development Tools"

# В Ubuntu/Debian

apt-get install -y build-essential

Переходим в каталог /usr/local.

cd /usr/local

Переходим на сайт SoftEther, выбираем нужное и копируем полученную ссылку.

softether vpn server linux

Скачиваем исходники SoftEther.

wget http://www.softether-download.com/files/softether/v4.27-9666-beta-2018.04.21-tree/Linux/SoftEther_VPN_Server/64bit_-_Intel_x64_or_AMD64/softether-vpnserver-v4.27-9666-beta-2018.04.21-linux-x64-64bit.tar.gz

Распаковываем скачанный архив.

tar -zxvf softether-vpnserver-v4.27-9666-beta-2018.04.21-linux-x64-64bit.tar.gz

Переходим в каталог vpnserver.

cd vpnserver

Компилируем и устанавливаем.

make

Во время установки будет задан ряд вопросов, отвечать следует положительно.

Do you want to read the License Agreement for this software ?

 1. Yes
 2. No

Please choose one of above number: 
1

Did you read and understand the License Agreement ?
(If you couldn't read above text, Please read 'ReadMeFirst_License.txt'
 file with any text editor.)

 1. Yes
 2. No

Please choose one of above number: 
1


Did you agree the License Agreement ?

1. Agree
2. Do Not Agree

Please choose one of above number: 
1

Находясь внутри каталога vpnserver зададим права доступа для файлов.

chmod 600 *
chmod 700 vpnserver
chmod 700 vpncmd

Проведем проверку системы на совместимость с SoftEther. Чтобы провести проверку нужно попасть в консоль управления vpncmd.

# Чтобы попасть в консоль

./vpncmd

# На выбор будет предложено три раздела

1. Management of VPN Server or VPN Bridge 
2. Management of VPN Client
3. Use of VPN Tools (certificate creation and Network Traffic Speed Test Tool)

# Нам нужен раздел VPN Tools (3 + Enter)

Select 1, 2 or 3: 3

# Выполняем команду check для проверки

VPN Tools>check
Check command - Check whether SoftEther VPN Operation is Possible
---------------------------------------------------
SoftEther VPN Operation Environment Check Tool

Copyright (c) SoftEther VPN Project.
All Rights Reserved.

If this operation environment check tool is run on a system and that system passes, it is most likely that SoftEther VPN software can operate on that system. This check may take a while. Please wait...

Checking 'Kernel System'... 
              Pass
Checking 'Memory Operation System'... 
              Pass
Checking 'ANSI / Unicode string processing system'... 
              Pass
Checking 'File system'... 
              Pass
Checking 'Thread processing system'... 
              Pass
Checking 'Network system'... 
              Pass

All checks passed. It is most likely that SoftEther VPN Server / Bridge can operate normally on this system.

The command completed successfully.

"All checks passed" означает что тесты пройдены и Softether может работать в системе. Для выхода из консоли используют команды: exit, quit или сочетание клавиш Ctrl+C.

Настройка SoftEther в консоли управления

SoftEther установлен и может работать в системе. Теперь нужно провести начальную настройку, а чтобы провести настройку нужно запустить SoftEther.

Выполняем команду ./vpnserver start находясь внутри каталога /usr/local/vpnserver.

./vpnserver start

Входим в консоль управления.

# Чтобы попасть в консоль
 
./vpncmd
 
# На выбор будет предложено три раздела
 
1. Management of VPN Server or VPN Bridge 
2. Management of VPN Client
3. Use of VPN Tools (certificate creation and Network Traffic Speed Test Tool)
 
# Нам нужен раздел Management of VPN Server or VPN Bridge (1 + Enter)
 
Select 1, 2 or 3: 1

Vpncmd позволяет администрировать не только локальные, но и удаленные сервера. В нашем случае нужно настроить локальный сервер, поэтому в строке Hostname of IP Address of Destination вводим localhost и нажимаем Enter.

Hostname of IP Address of Destination: localhost

По умолчанию соединение устанавливается на 443 порту. Если вдруг 443 порт занят другой программой, такое бывает если SoftEther установлен не на чистую систему, то войти в консоль не получится.

Error occurred. (Error code: 2)
Protocol error occurred. Error was returned from the destination server.

В таком случае к значению localhost через двоеточие добавляют нужный порт. Кроме 443-го порта SoftEther слушает еще три: 992, 1194 и 5555. Можно указать любой из них.

Hostname of IP Address of Destination: localhost:992

Нам будет предложено ввести имя виртуального хаба, но поскольку он еще не создан, то просто нажимаем Enter и оказываемся в консоли управления сервером.

Connection has been established with VPN Server "localhost" (port 443).

You have administrator privileges for the entire VPN Server.

VPN Server>

Управление сервером осуществляется посредством определенных команд (205 штук). Список команд можно просмотреть через --help.

Установка пароля администратора

Первым делом установим пароль администратора (ServerPasswordSet).

VPN Server>ServerPasswordSet
ServerPasswordSet command - Set VPN Server Administrator Password
Please enter the password. To cancel press the Ctrl+D key.

Password: ******
Confirm input: ******

The command completed successfully.

Создание виртуального хаба

Виртуальный хаб представляет собой подобие сервера со своими настройками, протоколами VPN, своими пользователями и администраторами, а также со своими настройками безопасности. На одном сервере может быть создано до 4096 виртуальных хабов. Хабы не контактируют друг с другом, за исключением случаев когда их специально объединяют в мосты.

По умолчанию на сервере уже есть дефолтный хаб (DEFAULT), удалим его (HubDelete) и создадим свой. Во время выполнения будет запрошено имя хаба для удаления.

VPN Server>HubDelete
HubDelete command - Delete Virtual Hub
Name of Virtual Hub to delete: DEFAULT

The command completed successfully.

Создадим новый виртуальный хаб (HubCreate). Зададим имя нового хаба и пароль.

VPN Server>HubCreate
HubCreate command - Create New Virtual Hub
Name of Virtual Hub to be created: VPN_1

Please enter the password. To cancel press the Ctrl+D key.

Password: ******
Confirm input: ******


The command completed successfully.

Список доступных хабов можно просмотреть командой HubList. Команда показывает не только хабы, но и их статистику.

VPN Server>HubList
HubList command - Get List of Virtual Hubs
Item              |Value
------------------+-------------------
Virtual Hub Name  |VPN_1
Status            |Online
Type              |Standalone
Users             |0
Groups            |0
Sessions          |0
MAC Tables        |0
IP Tables         |0
Num Logins        |0
Last Login        |2018-05-10 05:12:36
Last Communication|2018-05-10 05:12:36
Transfer Bytes    |0
Transfer Packets  |0
The command completed successfully.

Настроим созданный хаб (Hub). Через пробел указываем имя хаба для настройки.

VPN Server>Hub VPN_1
Hub command - Select Virtual Hub to Manage
The Virtual Hub "VPN_1" has been selected.
The command completed successfully.

Консоль управления хабом.

VPN Server/VPN_1>

Создадим пользователя (UserCreate). Группу, полное имя и описание заполняем по желанию (можно пропустить нажав Enter).

VPN Server/VPN_1>UserCreate
UserCreate command - Create User 
User Name: denni

Assigned Group Name: 

User Full Name: 

User Description: 

The command completed successfully.

Зададим пароль пользователя (UserPasswordSet).

VPN Server/VPN_1>UserPasswordSet
UserPasswordSet command - Set Password Authentication for User Auth Type and Set Password
User Name: denni

Please enter the password. To cancel press the Ctrl+D key.

Password: ******
Confirm input: ******


The command completed successfully.

Создание локального моста

Поскольку Local Bridge работает совместно с TAP устройством, то данный шаг могут пропустить те пользователи, чьи VPS/VDS не поддерживают драйвера TUN/TAP. Такие пользователи в дальнейшем будут использовать режим SecureNAT.

Использование SecureNAT рассмотрим немного позже, а пока создадим Local Bridge, те кто пропускает переходят сразу к автозапуску.

Для создания Local Bridge используется команда BridgeCreate, синтаксис выглядит следующим образом.

BridgeCreate hubname -device:devicename -tap:yes

hubname - имя хаба (VPN_1)
devicename - имя tap-устройства, например vpn
-tap:yes - включение tap-устройства

Например так.

BridgeCreate VPN_1 -device:vpn -tap:yes

Список и статус мостов можно просмотреть командой Bridgelist. Если в статусе висит значение Operating, это значит что все в порядке и мост готов к работе.

VPN Server/VPN_1>Bridgelist
BridgeList command - Get List of Local Bridge Connection
Number|Virtual Hub Name|Network Adapter or Tap Device Name|Status
------+----------------+----------------------------------+---------
1     |VPN_1           |vpn                               |Operating

После того как Local Bridge создан, в системе должен появиться интерфейс tap_vpn.

ifconfig tap_vpn
tap_vpn: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::2ac:4dff:fe2f:c83f  prefixlen 64  scopeid 0x20<link>
        ether 00:ac:4d:2f:c8:3f  txqueuelen 1000  (Ethernet)
        RX packets 902  bytes 77572 (75.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2263  bytes 187362 (182.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Как можно видеть tap интерфейс пока еще не имеет IPv4 адреса, это нормально, адрес зададим позже.

Если CentOS ругается на отсутствие ifconfig, то нужно поставить. В Debian/Ubuntu пакет присутствует по умолчанию.

yum install -y net-tools

Автозапуск VPN Server

Запускать сервер вручную неудобно. Напишем скрипт для автозапуска сервера.

# Переходим в /usr/local/vpnserver
cd /usr/local/vpnserver

# Останавливаем vpnserver.
./vpnserver stop

Создаем скрипт (vpnserver) в каталоге /etc/init.d.

nano /etc/init.d/vpnserver

Скрипт автозапуска для CentOS

Содержимое скрипта для CentOS.

#!/bin/sh
# chkconfig: 2345 99 01
# description: SoftEther VPN Server
DAEMON=/usr/local/vpnserver/vpnserver
LOCK=/var/lock/subsys/vpnserver
test -x $DAEMON || exit 0
case "$1" in
start)
$DAEMON start
touch $LOCK
;;
stop)
$DAEMON stop
rm $LOCK
;;
restart)
$DAEMON stop
sleep 3
$DAEMON start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0

Права доступа на файл скрипта.

chmod 755 /etc/init.d/vpnserver

Добавим скрипт в автозапуск.

chkconfig --add vpnserver

Запустим vpnserver с помощью systemctl.

systemctl start vpnserver

Проверим как работает.

systemctl status vpnserver
● vpnserver.service - SYSV: SoftEther VPN Server
   Loaded: loaded (/etc/rc.d/init.d/vpnserver; bad; vendor preset: disabled)
   Active: active (running) since Mon 2017-09-25 22:02:58 EDT; 3min 59s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 21190 ExecStart=/etc/rc.d/init.d/vpnserver start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/vpnserver.service
           ├─21193 /usr/local/vpnserver/vpnserver execsvc
           └─21194 /usr/local/vpnserver/vpnserver execsvc

Sep 25 22:02:58 tech systemd[1]: Starting SYSV: SoftEther VPN Server...
Sep 25 22:02:58 tech vpnserver[21190]: The SoftEther VPN Server service has been started.
Sep 25 22:02:58 tech systemd[1]: Started SYSV: SoftEther VPN Server.

Скрипт автозапуска для Ubuntu/Debian

Содержимое скрипта для Ubuntu/Debian.

#!/bin/sh
### BEGIN INIT INFO
# Provides:          vpnserver
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon at boot time
# Description:       Enable Softether by daemon.
### END INIT INFO
DAEMON=/usr/local/vpnserver/vpnserver
LOCK=/var/lock/subsys/vpnserver
test -x $DAEMON || exit 0
case "$1" in
start)
$DAEMON start
touch $LOCK
;;
stop)
$DAEMON stop
rm $LOCK
;;
restart)
$DAEMON stop
sleep 3
$DAEMON start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0

Права доступа на файл скрипта.

chmod 755 /etc/init.d/vpnserver

Добавим скрипт в автозапуск.

update-rc.d vpnserver defaults

Запустим vpnserver с помощью systemctl.

systemctl start vpnserver

Проверим как работает.

systemctl status vpnserver
● vpnserver.service - LSB: Start daemon at boot time
   Loaded: loaded (/etc/init.d/vpnserver; bad; vendor preset: enabled)
   Active: active (running) since Tue 2017-09-26 06:44:16 MSK; 56s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 9087 ExecStart=/etc/init.d/vpnserver start (code=exited, status=0/SUCCESS)
    Tasks: 33
   Memory: 14.2M
      CPU: 429ms
   CGroup: /system.slice/vpnserver.service
           ├─9092 /usr/local/vpnserver/vpnserver execsvc
           └─9093 /usr/local/vpnserver/vpnserver execsvc

Sep 26 06:44:16 local systemd[1]: Starting LSB: Start daemon at boot time...
Sep 26 06:44:16 local vpnserver[9087]: The SoftEther VPN Server service has been started.
Sep 26 06:44:16 local systemd[1]: Started LSB: Start daemon at boot time.

Теперь vpnserver будет стартовать самостоятельно после включения или перезагрузки системы и управляться стандартными systemctl-командами.

Сетевые режимы SoftEther VPN Server

У SoftEther есть два механизма передачи трафика: SecureNAT и Local Bridge.

SecureNAT

SecureNAT - собственная технология SoftEther, создающая закрытую сеть и состоящая из двух частей: виртуального NAT и виртуального DHCP-сервера.

securenat softether vpn server linuxSecureNAT не требователен к типу виртуализации VPS/VDS серверов, так как работает без TUN/TAP. Для SecureNAT не нужна настройка iptables или другого фаервола, кроме открытия порта на котором будут приниматься соединения от клиентов.

Маршрутизация трафика осуществляется не затрагивая ядра системы. Все процессы полностью виртуализированы. Отсюда возникают минусы режима, повышенная нагрузка на процессор и потеря в скорости, если сравнивать с Local Bridge.

Пользователю нужно только включить режим, подключить клиент, после чего можно начинать пользоваться VPN.

Активация режима SecureNAT

Чтобы включить режим SecureNAT перейдем в консоль управления хабом и выполним команду SecureNatEnable.

VPN Server/VPN_1>SecureNatEnable
SecureNatEnable command - Enable the Virtual NAT and DHCP Server Function (SecureNat Function)
The command completed successfully.

Узнать текущий статус можно командой SecureNatStatusGet.

VPN Server/VPN_1>SecureNatStatusGet
SecureNatStatusGet command - Get the Operating Status of the Virtual NAT and DHCP Server Function (SecureNat Function)
Item                     |Value
-------------------------+----------
Virtual Hub Name         |VPN_1
NAT TCP/IP Sessions      |40 Session
NAT UDP/IP Sessions      |5 Session
NAT ICMP Sessions        |0 Session
NAT DNS Sessions         |0 Session
Allocated DHCP Clients   |1 Client
Kernel-mode NAT is Active|Yes
Raw IP mode NAT is Active|Yes
The command completed successfully.

Команда показывает количество сессий, подключенных клиентов и текущий статус SecureNAT. Значения "Yes" говорят что режим SecureNAT сейчас активен.

Как я уже писал выше, SecureNAT не требует настройки фаервола для маршрутизации трафика. Достаточно просто открыть порт, на котором vpnserver будет принимать входящие соединения от клиентов.

Добавим правило iptables открывающее 443 порт (или любой другой).

iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Можно устанавливать клиент, подключаться к серверу, и начинать использовать VPN или немного почитать про сетевые настройки SecureNAT.

Обзор сетевых настроек SecureNAT

Предупреждаю, не стоит менять дефолтные настройки, если не знаете что делаете. Там без вас уже все настроено. В противном случае вас могут ожидать неприятные последствия.

Текущие сетевые настройки можно узнать командой SecureNatHostGet.

VPN Server/VPN_1>SecureNatHostGet
SecureNatHostGet command - Get Network Interface Setting of Virtual Host of SecureNAT Function
Item       |Value
-----------+-----------------
MAC Address|5E-98-F1-B0-E4-9E
IP Address |192.168.30.1
Subnet Mask|255.255.255.0
The command completed successfully.

По умолчанию SecureNAT использует подсеть 192.168.30.0/24.

Данная подсеть не относится только к SecureNAT, она также используется и в режиме Local Bridge. Это собственная подсеть виртуального хаба. Так что если возникнет необходимость в изменении подсети для моста, то это делается здесь.

Адрес подсети можно изменить командой SecureNatHostSet.

VPN Server/VPN_1>SecureNatHostSet 
SecureNatHostSet command - Change Network Interface Setting of Virtual Host of SecureNAT Function
MAC Address: 

IP Address: 192.168.100.1   

Subnet Mask: 255.255.255.0   

The command completed successfully.

Теперь мы используем подсеть 192.168.100.0/24.

VPN Server/VPN_1>SecureNatHostGet 
SecureNatHostGet command - Get Network Interface Setting of Virtual Host of SecureNAT Function
Item       |Value
-----------+-----------------
MAC Address|5E-98-F1-B0-E4-9E
IP Address |192.168.100.1
Subnet Mask|255.255.255.0
The command completed successfully.

Клиент подключающийся к хабу получает ip-адрес из диапазона его подсети. Раздачей адресов управляет виртуальный DHCP-сервер. Просмотреть текущие настройки DHCP можно командой DhcpGet.

VPN Server/VPN_1>DhcpGet
DhcpGet command - Get Virtual DHCP Server Function Setting of SecureNAT Function
Item                           |Value
-------------------------------+--------------
Use Virtual DHCP Function      |Yes
Start Distribution Address Band|192.168.30.10
End Distribution Address Band  |192.168.30.200
Subnet Mask                    |255.255.255.0
Lease Limit (Seconds)          |7200
Default Gateway Address        |192.168.30.1
DNS Server Address 1           |192.168.30.1
DNS Server Address 2           |None
Domain Name                    |
Save NAT and DHCP Operation Log|Yes
Static Routing Table to Push   |
The command completed successfully.

Изменим текущие настройки под новую 192.168.100.0/24 подсеть (DhcpSet).

VPN Server/VPN_1>DhcpSet 
DhcpSet command - Change Virtual DHCP Server Function Setting of SecureNAT Function
Start Point for Distributed Address Band: 192.168.100.10

End Point for Distributed Address Band: 192.168.100.100

Subnet Mask: 255.255.255.0

Lease Limit (Seconds): 7200

Default Gateway ('none' to not set this): 192.168.100.1

DNS Server 1 ('none' to not set this): 192.186.100.1

DNS Server 2 ('none' to not set this): 8.8.8.8

Domain Name: myvpn

Save Log (yes / no): no

The command completed successfully.

Я задал диапазон выдаваемых адресов с 192.168.100.10 по 192.168.100.100, маску подсети, шлюз и DNS-сервера. Lease Limit (срок аренды) оставил по умолчанию.

Новые настройки DHCP теперь выглядят так.

VPN Server/VPN_1>DhcpGet
DhcpGet command - Get Virtual DHCP Server Function Setting of SecureNAT Function
Item                           |Value
-------------------------------+---------------
Use Virtual DHCP Function      |Yes
Start Distribution Address Band|192.168.100.10
End Distribution Address Band  |192.168.100.100
Subnet Mask                    |255.255.255.0
Lease Limit (Seconds)          |7200
Default Gateway Address        |192.168.100.1
DNS Server Address 1           |192.186.100.1
DNS Server Address 2           |8.8.8.8
Domain Name                    |myvpn
Save NAT and DHCP Operation Log|No
Static Routing Table to Push   |
The command completed successfully.

Если сейчас подключиться к VPN, открыть командную строку Windows и выполнить команду ipconfig, то можно увидеть следующую картину.

Компьютер теперь имеет адрес 192.168.100.10, шлюзом выступает 192.168.100.1, сеть называется "myvpn". Как и было задано при настройке.

DHCP-сервер можно отключить, команда DhcpDisable.

Если забыть включить DHCP, то адреса клиентам выдаваться не будут, но клиент все равно будет подключен к серверу. При этом трафик будет идти с вашего основного адреса. Невнимательный пользователь будет уверен что скрывает свой IP, но на самом деле это не так. По умолчанию DHCP включен всегда и лучше его не трогать.

Отключение SecureNAT

Для выключения SecureNAT команда SecureNatDisable.

VPN Server/VPN_1>SecureNatDisable
SecureNatDisable command - Disable the Virtual NAT and DHCP Server Function (SecureNat Function)
The command completed successfully.

Отключенный SecureNAT.

VPN Server/VPN_1>SecureNatStatusGet
SecureNatStatusGet command - Get the Operating Status of the Virtual NAT and DHCP Server Function (SecureNat Function)
Item                     |Value
-------------------------+---------
Virtual Hub Name         |VPN_1
NAT TCP/IP Sessions      |0 Session
NAT UDP/IP Sessions      |0 Session
NAT ICMP Sessions        |0 Session
NAT DNS Sessions         |0 Session
Allocated DHCP Clients   |0 Client
Kernel-mode NAT is Active|No
Raw IP mode NAT is Active|No
The command completed successfully.

Local Bridge

Local Bridge полностью отличается от SecureNAT. Этому режиму требуется поддержка TUN/TAP устройств, поэтому его можно использовать не на всех VPS/VDS, а только на имеющих возможность их загрузки. Кроме того, вся настройка Local Bridge, от начала и до конца, делается ручками.

Плюсами Local Bridge являются более высокая скорость, надежность и безопасность.

Local Bridge соединяет хаб с физическим или tap-адаптером. Маршрутизация трафика происходит в ядре системы с помощью netfilter/iptables.

DHCP для Local Bridge

Local Bridge не имеет своего DHCP сервера, поэтому приходится устанавливать еще и DHCP сервера. В CentOS устанавливают dhcp, в Ubuntu/Debian устанавливают isc-dhcp-server.

Установим dhcp для CentOS.

yum install -y dhcp

Установим isc-dhcp-server для Ubuntu/Debian.

apt-get install -y isc-dhcp-server

Отредактируем файл настроек dhcp-сервера, он одинаков везде.

nano /etc/dhcp/dhcpd.conf

Содержимое файла dhcpd.conf.

option domain-name "myvpn";
option domain-name-servers 192.168.30.1;
 
default-lease-time 43200;
max-lease-time 86400;

log-facility local7;
 
subnet 192.168.30.0 netmask 255.255.255.0 {
range 192.168.30.10 192.168.30.200;
option routers 192.168.30.1;
}
 
# Если нужно выдавать клиенту постоянный ip-адрес
# То можно сделать привязку по MAC 
# Раскомментируйте строки, задайте желаемый ip 
# Пропишите MAC-адрес адаптера, который будет создан после установки клиента
 
#host home {
#hardware ethernet XX:XX:XX:XX:XX:XX;
#fixed-address XXX.XXX.XXX.XX;
#}

Если вы прочитали про сетевые настройки SecureNAT, то скорее всего поняли откуда я взял значения для dhcp-сервера, так как подсеть одинакова для обоих режимов.

Исходя из адреса дефолтной подсети (192.168.30.0/24), я задал следующие значения:

  • domain-name - имя сети, может быть любым.
  • domain-name-servers - адреса DNS, можно указать адрес шлюза или прямой адрес предпочитаемого сервера. (192.168.30.1)
  • default-lease-time - срок аренды ip-адреса клиентом, если клиент самостоятельно не указывает срок аренды адреса.
  • max-lease-time - максимальный срок аренды адреса клиентом.
  • subnet - адрес подсети (192.168.30.0)
  • netmask - маска подсети (255.255.255.0)
  • range - диапазон адресов для выдачи (от 192.168.30.10 и до 192.168.30.200)
  • option routers - шлюз (192.168.30.1)

Значения "lease-time" задаются в секундах, я задал 12 и 24 часа соответственно. Если выставить маленькие значения, то по истечению срока соединение будет разрываться, что не есть хорошо при длительной работе.

Сделаем интерфейс tap_vpn шлюзом подсети, назначив ему адрес 192.168.30.1

ifconfig tap_vpn 192.168.30.1

Проверим интерфейс.

ifconfig tap_vpn
tap_vpn: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.30.1  netmask 255.255.255.0  broadcast 192.168.30.255
        inet6 fe80::2ac:4dff:fe2f:c83f  prefixlen 64  scopeid 0x20<link>
        ether 00:ac:4d:2f:c8:3f  txqueuelen 1000  (Ethernet)
        RX packets 35  bytes 3010 (2.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 94  bytes 7764 (7.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Запустим dhcp-сервер.

CentOS
systemctl start dhcpd

Ubuntu/Debian
systemctl start isc-dhcp-server

Проверим как работает в CentOS (systemctl status dhcpd)

systemctl status dhcpd
● dhcpd.service - DHCPv4 Server Daemon
   Loaded: loaded (/usr/lib/systemd/system/dhcpd.service; disabled; vendor preset: disabled)
   Active: active (running) since Thu 2018-05-10 22:46:40 MSK; 40s ago
     Docs: man:dhcpd(8)
           man:dhcpd.conf(5)
 Main PID: 2297 (dhcpd)
   Status: "Dispatching packets..."
   CGroup: /system.slice/dhcpd.service
           └─2297 /usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid

Sep 26 05:14:06 tech dhcpd[2297]: Sending on   LPF/tap_vpn/00:ac:4d:2f:c8:3f/192.168.30.0/24

Проверим как работает в Debian/Ubuntu (systemctl status isc-dhcp-server)

systemctl status isc-dhcp-server
● isc-dhcp-server.service - ISC DHCP IPv4 server
   Loaded: loaded (/lib/systemd/system/isc-dhcp-server.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2018-05-10 22:46:40 MSK; 40s ago
     Docs: man:dhcpd(8)
 Main PID: 2936 (dhcpd)
    Tasks: 1
   Memory: 9.0M
      CPU: 33ms
   CGroup: /system.slice/isc-dhcp-server.service
           └─2936 dhcpd -user dhcpd -group dhcpd -f -4 -pf /run/dhcp-server/dhcpd.pid -cf /etc/dhcp/dhcpd.conf

Автозапуск DHCP при старте vpnserver

Сделаем загрузку DHCP сервера зависящей от загрузки vpnserver. Во первых, чтобы не назначать адрес tap-интерфейса вручную, а, во вторых, чтобы не запускать вручную dhcp-сервер после каждой перезагрузки или включения машины.

Для этого добавим две команды непосредственно в скрипт автозапуска vpnserver.

ifconfig tap_vpn 192.168.30.1
systemctl restart dhcpd или isc-dhcp-server

Отредактируем скрипт /etc/init.d/vpnserver.

nano /etc/init.d/vpnserver

Приводим содержимое скрипта к следующему виду в CentOS.

#!/bin/sh
# chkconfig: 2345 99 01
# description: SoftEther VPN Server
DAEMON=/usr/local/vpnserver/vpnserver
LOCK=/var/lock/subsys/vpnserver
test -x $DAEMON || exit 0
case "$1" in
start)
$DAEMON start
touch $LOCK
sleep 3
ifconfig tap_vpn 192.168.30.1
systemctl restart dhcpd
;;
stop)
$DAEMON stop
rm $LOCK
;;
restart)
$DAEMON stop
sleep 3
$DAEMON start
sleep 3
ifconfig tap_vpn 192.168.30.1
systemctl restart dhcpd
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0

Приводим содержимое скрипта к следующему виду в Ubuntu/Debian.

#!/bin/sh
### BEGIN INIT INFO
# Provides:          vpnserver
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon at boot time
# Description:       Enable Softether by daemon.
### END INIT INFO
DAEMON=/usr/local/vpnserver/vpnserver
LOCK=/var/lock/subsys/vpnserver
test -x $DAEMON || exit 0
case "$1" in
start)
$DAEMON start
touch $LOCK
sleep 3
ifconfig tap_vpn 192.168.30.1
systemctl restart isc-dhcp-server
;;
stop)
$DAEMON stop
rm $LOCK
;;
restart)
$DAEMON stop
sleep 3
$DAEMON start
sleep 3
ifconfig tap_vpn 192.168.30.1
systemctl restart isc-dhcp-server
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0

Выполняем systemctl daemon-reload, чтобы принять изменения в скриптах.

systemctl daemon-reload

Перезагружаем vpnserver или систему.

systemctl restart vpnserver
или
reboot

Сразу после загрузки/перезагрузки проверяем интерфейс и dhcp.

ifconfig tap_vpn
tap_vpn: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.30.1  netmask 255.255.255.0  broadcast 192.168.30.255
        inet6 fe80::2ac:4dff:fe2f:c83f  prefixlen 64  scopeid 0x20<link>
        ether 00:ac:4d:2f:c8:3f  txqueuelen 1000  (Ethernet)
        RX packets 12  bytes 1032 (1.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 38  bytes 3132 (3.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


systemctl status isc-dhcp-server
● isc-dhcp-server.service - ISC DHCP IPv4 server
   Loaded: loaded (/lib/systemd/system/isc-dhcp-server.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2018-05-10 23:10:33 MSK; 1min 11s ago
     Docs: man:dhcpd(8)
 Main PID: 1417 (dhcpd)
    Tasks: 1
   Memory: 9.0M
      CPU: 16ms
   CGroup: /system.slice/isc-dhcp-server.service
           └─1417 dhcpd -user dhcpd -group dhcpd -f -4 -pf /run/dhcp-server/dhcpd.pid -cf /etc/dhcp/dhcpd.conf

Форвардинг пакетов и iptables

Включим форвардинг пакетов и добавим правила для маршрутизации трафика.

Форвардинг пакетов.

echo net.ipv4.ip_forward = 1 >> /etc/sysctl.conf

sysctl -p

Правила iptables.

# Натируем трафик из подсети 192.168.30.0/24 на основной IP сервера
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -j SNAT --to-source ВАШ.IP.АД.РЕС

# Разрешаем проходящие пакеты из подсети 192.168.30.0/24
iptables -A FORWARD -s 192.168.30.0/24 -j ACCEPT

# Разрешаем проходящие пакеты для уже установленных соединений
iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Если все сделано правильно, можно подключаться и начинать пользоваться собственным VPN. Установка и настройка на этом завершены.

Ответить:

Please enter your comment!
Please enter your name here