Обучение
Life-HackРанее мы рассмотрели, как построить собственную VPN сеть на основе решения OpenVPN (1 2 3 4). Это очень хорошее решение, но есть ряд общих недостатков для конечного пользователя:
- относительно сложные установка и настройка;
- обязательное наличие на сервере TUN/TAP;
- трафик OpenVPN легко детектируется всякими Роскомнадзорами.
При этом OpenVPN является безусловным лидером с подтвержденной криптоустойчивостью. И если у вас нет необходимости маскировать VPN трафик под «обычный», то пользуйтесь OpenVPN.
А теперь отличная новость для тех кто в России/Украине/Казахстане/Китае и других странах, с контролем сети интернет на государственном уровне.
Встречайте решение от наших японских товарищей: SoftEther VPN.
SoftEther VPN — это мощный мультипротокольный VPN-сервер под лицензией CPLv2 (т.е. совершенно свободный к распространению и использованию).
Решение обладает огромным спектром возможностей:
- собственный протокол SSL-VPN, который не отличим от HTTPS траффика. При этом он может работать не только по TCP, но и по UDP, и, даже, ICMP.
- Поддерживает большинство существующих протоколов VPN: L2TP/IPsec, MS-SSTP, OpenVPN, L2TPv3 и EtherIP, причем для L2TP указана строгая совместимость со встроенными клиентами в iOS и Android. Т.е. к серверу SoftEther VPN вы можете подключить клиента OpenVPN или подключиться с использованием встроенных VPN-механизмов Windows. Причем одновременно.
- Сервер может быть установлен на Windows, Linux, OS X, FreeBSD и Solaris.
- И теоретически и практически работает быстрее OpenVPN.
- Имеет GUI через который можно управлять несколькими серверами.
- Ему не нужно TUN/TAP.
- Имеет встроенный NAT и DHCP. Не нужно настраивать iptables.
Нужно понимать, что хотя SoftEther VPN достаточно стабильное и надежное решение, но оно всё еще в стадии beta. А значит, теоретически, в его работе возможны неожиданные ошибки.
Хватит читать, нужно пробовать. Арендуем себе дешёвенький VPS, выполним его предварительную настройку. Исходим из того, что вы подключились к серверу по SSH через putty и WinCSP.
Идём на страницу загрузки SoftEther VPN и выбираем нужный дистрибутив.
Получив ссылку на нужный дистрибутив, переходим к консоли
cd /tmp/
Также нам понадобиться некоторой набор инструментов:
yum -y groupinstall "Development Tools"
yum -y install gcc zlib-devel openssl-devel readline-devel ncurses-devel
yum -y install system-config-network-tui system-config-firewall-tui
yum -y install policycoreutils-python
yum -y install net-tools
Переведем SELinux в разрешающий (permissive) режим:
setenforce 0
Отключим файрвол:
system-config-firewall-tui
Убедимся, что в строчке «Firewall: [ ] Enabled нет звездочки *
Если она там есть, то используя кнопку TAB дл перемещения и пробел для «нажатия» убираем её. Затем переходим на кнопку ОК и нажимаем её. Если звёздочки нет, то сразу на ОК. В появившейся форме
«нажимаем» Yes.
Создадим папку для нашего сервера:
mkdir /etc/sevpn/
Теперь распакуем скачанный ранее архив с VPN-сервером, установим права на папку и перейдём в неё:
tar xzvf 64bit_-_Intel_x64_or_AMD64/softether-vpnserver-v4.22-9634-beta-2016.11.27-linux-x64-64bit.tar.gz -C /etc/sevpn/
chmod -R 744 /etc/sevpn
cd /etc/sevpn/vpnserver
Скомпилируем наш сервер:
make
На все вопросы о лицензионных соглашениях вводим 1 и жмём Enter.
Сделаем скрипт запуска. Для этого в папке /etc/rc.d/init.d создадим файл sevpnserver со следующим содержимым:
#!/bin/sh
#
# chkconfig: 2345 20 80
# description: SoftEther VPN Server
#
#
#
#
DAEMON=/etc/sevpn/vpnserver/vpnserver
LOCK=/var/lock/vpnserver/vpnserver
test -x $DAEMON || exit 0
case "$1" in
start)
echo Starting SoftEther VPN Server...
$DAEMON start
touch $LOCK
;;
stop)
echo Stopping SoftEther VPN Server...
$DAEMON stop
rm $LOCK
;;
restart|reload)
echo Reloading SoftEther VPN Server...
$DAEMON stop
sleep 3
$DAEMON start
;;
*)
echo Usage: $0 "{start|stop|restart}"
exit 1
esac
exit 0
По традиции пикабу не позволяет выкладывать скрипты и конфиги в нормальном структурированном виде. Работать будет и так, за красотой идём сюда.
И установим ему права 0755
Создадим папку /var/lock/vpnserver
mkdir /var/lock/vpnserver
Проверим работу сервера.
Введём команды:
/etc/sevpn/vpnserver/vpncmd
В появившемся запросе введём 3 и нажмём Enter.
Далее введём команду
check
Будет выполнено шесть тестов и в ответ на каждый мы должны получить Pass
Отлично. Выходим из VPN Tools командой
exit
Запустим наш сервер
/etc/rc.d/init.d/sevpnserver start
Опять вводим
/etc/sevpn/vpnserver/vpncmd
Вводим 1, а потом два раза жмём Enter. Появится приглашение:
VPN Server>
Вводим
ServerPasswordSet
И вводим два раза пароль. Это административный пароль сервера. Он открывает доступ ко всем настройкам и управлению. Пароль должен быть стойким к перебору: не менее 10 символов, верхний и нижний регистр, цифры, спецсимволы.
Чтобы выйти из режима администрирования (когда приглашение командной строки имеет вид VPN Server> ) введите
exit
Теперь установим на свой компьютер консоль управления для настройки сервера. Опять идём на страницу проекта и выбираем
Скачиваем Server Manager по получившейся ссылке и запускаем установку.
Затем всё время «Далее» и «Готово». В появившемся окне
Жмём «New Setting» и заполняем параметры Setting Name (любое понравившееся имя) и HostName (IP-адрес вашего сервера)
Жмём Connect и вводим административный пароль VPN сервера. Если пароль введен правильно, консоль подключится и запросит первоначальную конфигурацию. Выбираем как на скриншоте:
Соглашаемся
Придумываем имя виртуальному хабу
На следующем шаге мы можем выбрать имя для нашего VPN сервера. Это позволит в дальней, благодаря службе Dynamic DNS, обращаться к нашему серверу не только по IP-адресу, но и по имени (обведено зелёным цветом).
Выберем протокол и придумаем PSK ключ (т.е. еще один стойкий пароль). Этот ключ, по сути, секретная фраза необходимая для первоначального соединения между клиентом и сервером VPN. SoftEther не рекомендует делать его больше 9 символов, так это вроде вызывает баги в Android.
И откажемся от VPN Azure
На следующем шаге создадим нового пользователя
Настраиваем пользователя. Этот пользователь будет у нас для подключения с компьютера/ноутбука (т.е. Windows или Linux). Обязательно заполняем поле User Name. Поля Full Name и Note не обязательны. Выбираем аутентификацию по сертификатам (Individual Certificate Authentication) и жмём Create Certificate
Заполняем необходимые поля. Поля Organization, Country, State, Locale заполняем любыми значениями. Длительность действия сертификата рекомендую ставить 365 дней (но тут уж как сами захотите), длину ключа 4096 бит.
Жмём ОК и выбираем формат и место сохранения ключей. Также вы можете указать пароль для сертификата (обведено зелёным). Тогда при каждом подключении клиента к серверу нужно будет вводить пароль. Так, несомненно, лучше, но не очень удобно. Выбирать вам. Я всегда рекомендую делать сертификаты с паролями для тех устройств, которые вы не можете полностью контролировать (рабочий компьютер) или которые можно легко потерять, т.е. носимые устройства (ноутбук, смартфон).
Нажимаем ОК и указываем имя файла сертификатов (будут сформированы открытый и закрытый сертификаты) и куда сохранить . В окне создания пользователя жмём ОК.
В окне VPN Easy Setup Tasks жмём Close.
Теперь выбираем наш хаб и жмём Manage Virtual Hub
Зайдем в настройки NAT
Проверяем, что SecureNAT выключен (обведённая зелёным кнопка не активна) и жмём SecureNAT Configuration
Настраиваем как на скриншоте и жмём OK и Exit
Теперь настроим Local Bridge (мост, по которому VPN будет общаться с внешним миром).
Если появится предупреждение о недоступности физического LAN адаптера, просто жмём OK
И жмём Exit
Проверим, что наш виртуальный интерфейс действительно создался. В консоли putty выполним команду
ifconfig tap_softether
Должны получить примерно такой вывод
[root@vps00000 ~]# ifconfig tap_softether
tap_softether: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet6 fe80::2ac:ceff:fec4:484f prefixlen 64 scopeid 0x20<link>
ether 00:ac:ce:c4:49:4f txqueuelen 500 (Ethernet)
RX packets 158 bytes 10938 (10.6 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 136 bytes 11232 (10.9 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Установим DNSMasq
yum -y install dnsmasq
Создадим файл /etc/dnsmasq.conf со следующим содержимым
interface=tap_softether
dhcp-range=tap_softether,10.8.0.2,10.8.0.200,12h
dhcp-option=tap_softether,3,10.8.0.1
server=8.8.8.8
IP адреса вписываете те, которые мы запомнили из настроек SecureNAT (см. выше). Сохраняем и закрываем файл.