Linux用のSoftEtherVPN VPNサーバーの構成

GPL2ライセンスの下で、文字通り今年の1月の初めにハブで既に書かれていたので、非常に興味深く、その方法でユニークなプロジェクト-SoftEther VPN-が合格しました 。 それは筑波大学の学生によって書かれました。 この製品は、L2TP、L2TP / IPsec、L2TPv3 / IPsec、MS-SSTP、EtherIP / IPsec、OpenVPN、SSL-VPN（独自仕様）、L2VPNなどの膨大なトンネリングプロトコルをサポートするVPNサーバーとして位置付けられています。 ICMPおよびDNSを介したトンネリングのように。 これは、第3レベルと第2レベルの両方でトンネリングをサポートし、VLANとIPv6が可能です。 ほとんどすべての既知のプラットフォーム（ARMおよびMIPSでも）で動作し、ルート権限も必要ありません。 完全な仕様はここで見つけることができます 。 正直なところ、このプログラムの機能のリストを見たとき、私は自分の目を信じられず、「ITがうまくいけば、テストしなければならない！」
この記事では、SoftEther VPN Server for Linuxのインストールと構成について説明します。 次の記事では、美しい比較パフォーマンスグラフを作成してみます。
このソフトウェアには、Windows用の非常に優れたインターフェイスがありますが、Linuxではすべての構成はCLIを介して行われます。 マニュアルは確かに優れていますが、たとえば、私にはあまりにも詳細で、またグラフィカルインターフェイスと過度にカラフルな日本の写真に偏っているように見えました。 したがって、たくさんの英語の手紙をシャベルするのが面倒な人のために、メインのCLIコマンドをレイアウトすることにしました。

手始めに-この奇跡をインストールしてください。 64ビットのDebian 7を搭載したVPSを手元に置いていたため、選択は明らかでした。 すぐに警告します： GitHub'a （現在リリースされているバージョン4.04ビルド9412）でのみインストールする必要があります！ 公式サイトでは、さまざまなプラットフォーム用のソースをダウンロードできますが、待ち伏せは、メイクファイルが何らかのサディスティックな西洋風の方法で生成され、出力では、サーバーのバイナリ自体とそのCLIボックスという2つのファイルしか取得できないことです。 / usr / bin /や他の文明的なものへのコピーはそこには書かれていません。 対照的に、githubのmakefileははるかに使いやすいです（とにかくintitスクリプトを実行しませんが、感染です）。

プログラムをインストールする前に、 ここに行き、彼女がインストールする必要があるものを見つけることをお勧めします。 たとえば、いくつかのライブラリを配置する必要がありました（その後、それらは取り壊すことができます）。

# apt-get install libreadline-dev libssl-dev libncurses5-dev zlib1g-dev

さらにインストールするのは簡単ではありませんが、非常に簡単ですが、「make install」の代わりに「checkinstall」と書くことで、aptパッケージマネージャーが新しいプログラムを認識し、それを正しく削除できることに注意してください（詳細はこちら ）。

# git clone github.com/SoftEtherVPN/SoftEtherVPN.git
# cd SoftEtherVPN\
# ./configure
# make
# checkinstall

その過程で、インストーラーはライセンス契約を読み、プラットフォームとOSのビット深度を示すように求めます。 ところで、彼はプログラムを/ usr / vpnserver /に任意の方法で配置し、バイナリを/ usr / bin /に配置することに注意してください。 インストールパスが気に入らない場合は、メイクファイルで手で変更できます。 インストールの最後に、彼は言うでしょう：

-インストールが正常に完了しました。

「vpnserver start」を実行して、SoftEther VPN Serverバックグラウンドサービスを実行します。
「vpnbridge start」を実行して、SoftEther VPN Bridgeバックグラウンドサービスを実行します。
「vpnclient start」を実行して、SoftEther VPN Clientバックグラウンドサービスを実行します。
「vpncmd」を実行してSoftEther VPNコマンドラインユーティリティを実行し、VPNサーバー、VPNブリッジ、またはVPNクライアントを構成します。
-------------------------------------------------- ------------------

ここから、この魔法がどのように開始および停止するかを論理的に理解できます。 そのままにしておくことはできますが、外して使うこともできます。 同じことを行う方法をよりよく知っている、単純な初期化スクリプトを用意してください。

そのため、VPNサーバーがインストールされ、開始できます。

# vpnserver start
SoftEther VPN Server Service Started.

構成を取得します。 一般に、マニュアルではこれを行うための2つの方法を提供しています。1つ目の方法を優先して、独自のコマンドラインvpncmdを使用するか、構成ファイルvpn_server.configを使用します。 製造業者は、構成ファイルを使用した操作を危険な職業と見なし、あらゆる方法でこれを思いとどまらせようとします。 実際、サーバーはこのファイルを継続的に読み取り、その変更は即座にサーバーに影響します。 構成ファイルからの構成が正当化される唯一のケースは、VPNサーバーがオフになっている場合です。 なぜこれが行われたのかはわかりませんが、いずれにしても、著者はよく知っています。 とにかく、このプログラムには優れたCLIがあります。作業後は、不要な構成ファイルの存在を忘れてしまいます。

ところで、インストール後すぐに、プログラムが何らかの理由でアドレス130.158.6.77:80にヒットしたことに気付きました。 疑わしいものは何もないことが判明しました。このように、サーバーはキープアライブパケットをWebサイト（keepalive.softether.org:80）に送信するため、タイムアウトによって異なるPPPセッションが中断することはありません。 インストール直後に、 KeepDisableコマンドでこの機能を無効にしました。

したがって、起動直後にVPNサーバーは既に動作しており、TCPポート443（SSL VPN）、992、1194（OpenVPN）、および5555（ポート番号はListenerCreateおよびListenerDeleteコマンドで変更可能）への接続を受け入れていますが、使用を開始するには、いくつかの簡単な設定を行う必要があります設定。 vpncmdコマンドを使用してCLIに入ります。

# vpncmd
vpncmd command - SoftEther VPN Command Line Management Utility
SoftEther VPN Command Line Management Utility (vpncmd command)
Version 4.04 Build 9412 (English)
Compiled 2014/01/15 17:22:14 by yagi at pc25
Copyright (c) SoftEther VPN Project. All Rights Reserved.

By using vpncmd program, the following can be achieved.

1. Management of VPN Server or VPN Bridge
2. Management of VPN Client
3. Use of VPN Tools (certificate creation and Network Traffic Speed Test Tool)

Select 1, 2 or 3:

選択肢1はサーバー編集モードに、選択肢2はクライアントプロパティ編集モードに、選択肢3はサーバー証明書のテストと作成のモードに移行します。 1を選択すると、サーバーは接続するサーバーのIPアドレス（宛先のIPアドレスのホスト名:)を入力することを提案します。 ローカルサーバーを編集します。 3回目と最後に、プログラムは仮想ハブの名前（仮想ハブ名の指定:)を尋ねます。 まだ仮想ハブを使用する予定はないので、もう一度Enterキーを押して、サーバー自体のコマンドラインに移動します。

開発者の用語では、仮想ハブとは何かを説明する必要があります。 仮想ハブは、仮想インターフェイス、セキュリティポリシー、およびVPNプロトコルの独自の設定セットを持つ、かなり独立したVPNサーバーインスタンスです。 合計で、最大4096の仮想ハブを作成できますが、2番目または3番目のレベルで相互に交差することはありません。つまり、互いに完全に分離されます。 各仮想ハブは独自のユーザーセットで動作し、同じ物理サーバー上にいるにもかかわらず、別の仮想ハブのユーザーについては何も知りません。 一方、必要に応じて、相互の相互作用を構成できます。著者の用語では、これは仮想ブリッジ/ルーターと呼ばれます。 したがって、特定のグローバルサーバー設定を指定した後、仮想ハブを使用します。

vpncmdを入力すると、プロンプトが表示されます。

Connection has been established with VPN Server "localhost" (port 443).

You have administrator privileges for the entire VPN Server.

VPN Server>

ヘルプを入力して、コマンドのリストを読むことができます。
最初に行う必要があるのは、サーバーのルートパスワードを設定することです。 これは、 ServerPasswordSetコマンドを使用して行われます。 次に、 KeepDisableコマンドで書いたように、キープアライブパッケージを無効にします。
次に、 HubCreate <仮想ハブ名>コマンドを使用して仮想ハブを作成します。たとえば、

VPN Server>hubcreate vpn
HubCreate command - Create New Virtual Hub
Please enter the password. To cancel press the Ctrl+D key.

Password:

新しいハブの管理者パスワードを設定すると、このハブの管理を他の人に委任できます。 また、簡単にするために、Enterキーを押してこれを行わないようにすることもできます（このため、将来的にはSetHubPasswordコマンドがあります）。 ハブを作成したら 、 Hub vpnコマンドを使用してこのハブの管理モードに入る必要があります。 StatusGetコマンドを使用して、ハブのステータスを表示できます。 ここでは、このコマンドの出力を提供しません。 それは長く、非常に理解しやすいものです。 ハブは、 オフラインコマンドでオフにし、 オンラインコマンドで戻すことができます。

SetEnumDenyチームが気に入りました。 実際、VPNクライアントにVPNサーバーのアドレスを入力すると、図のように、サーバーに登録されているすべての仮想ハブの名前がす​​ぐにわかります。 このコマンドは、リストに指定されたハブの名前を表示することを禁止します。 小さいようですが、セキュリティへのボーナスです。



さて、もっと面白いことをしましょう。 UserCreateコマンドでユーザーを作成し、 UserPasswordSetを使用してパスワードを設定します。 コマンドは非常にシンプルで、サーバーのダイアログメッセージを理解するための英語の知識は最小限です。 この段階では、簡単にするために、証明書については気にしませんが、インストール段階で生成した自己署名サーバー証明書を信頼します。

基本的にはこれですべてです。最小限のインストールが完了し、そのIPアドレスとListenerListのポートのいずれかを指定することでサーバーにフックできます。 このポートはシステムのルート権限を必要としないため、著者はポート5555を推奨しています。 すでに上記のVPNクライアントウィンドウを示しましたが、すべてが直観的で非常にきれいです。 認証に合格し、VPNトンネルが確立されます。 ただし、この形式では、トンネルのメリットはほとんどありません。 サーバー自体にのみアクセスでき、他の場所にはアクセスできません。

私たちのタスクがより広範囲であり、VPNサーバーを使用して企業ネットワークにアクセスしたいとします。 これを行うには、NATを構成する必要があります。 これは、 SecureNATEnableコマンドを使用して簡単に実行できます。 NATとともにDHCPも自動的に有効になります。

一般に、SecureNATはSoftEtherVPNの作成者によるかなり興味深い技術です。 知っているように、* NIXシステムでのネットワークアドレス変換はカーネルで実行されるため、NATを構成するにはスーパーユーザー権限が必要です。 SoftEtherVPNの作成者は、これが余りにも冗長であると判断し、独自のカスタムTCP / IPスタックを作成して、ユーザースペースでのフィルタリングとネイティングを可能にしました。 クールなアイデア、それが価値があるかどうかはわかりませんが、うまくいきます-それは事実です！
SecureNatHostSetコマンド（デフォルトでは192.168.30.1/24）でSecureNATインターフェイスアドレスを変更できます。また、発行されたアドレスの範囲と他のDHCPオプション（メインゲートウェイやDNSサーバーなど）をDhcpSetコマンドで使用できます。 使いやすいCLIではありませんか？ たとえば、「secure？」と入力してEnterキーを押すと、可能な自動補完のリストが表示されます。

VPN Server/vpn>secure?
"secure": The command-name is ambiguous.
The specified command name matches the following multiple commands.
SecureNatDisable - Disable the Virtual NAT and DHCP Server Function (SecureNat Function)
SecureNatEnable - Enable the Virtual NAT and DHCP Server Function (SecureNat Function)
SecureNatHostGet - Get Network Interface Setting of Virtual Host of SecureNAT Function
SecureNatHostSet - Change Network Interface Setting of Virtual Host of SecureNAT Function
SecureNatStatusGet - Get the Operating Status of the Virtual NAT and DHCP Server Function (SecureNat Function)
Please re-specify the command name more strictly.

デフォルトでは、パケットフィルタリングは適用されません。 VPNクライアントは、企業サブネットに無期限にアクセスし、企業インターネットがある場合はそれを使用できます。 オプションで、 AccessAddコマンドを使用してファイアウォールルールを追加します。 ファイアウォールの基準として、ユーザー名、送信元と宛先のMACアドレスとIPアドレス、ポート、プロトコル、TCPフラグを指定できます。 そして最も重要なことは、それが機能することを確認したことです！ また、さまざまな仮想ハブのフィルタリングルールが互いに影響を与えることはないため、企業環境へのアクセスを柔軟に制御できます。

素敵なボーナスとして、ダイナミックDNSはsoftether.netから入手できます。 DynamicDnsSetHostnameコマンドを使用して、VPNサーバーをDDNSに登録できます 。その後、必要な第3レベルのドメイン名を入力する必要があります。 myvpn.softether.netのようになります。 同意します、些細なことですが、素敵で、さらに、完全に無料です！

VPNプロトコルについて話しましょう。 L2TP / IPsecとOpenVPNをテストしました。 一見そのような異なるプロトコルを2つ設定するのは非常に簡単であることがわかりました。 OpenVPNは最初はポート1194 UDPで有効になっていますが、それを機能させるには、グローバルサーバーモード（パラメーターなしのHubコマンド）でIPsecEnableを入力し、ベアL2TP、暗号化L2TP / IPsecを有効にするかどうかに関するいくつかの質問に答える必要がありますL2TPv3 / IPsec。 最も重要な問題は、IPsecの事前共有キー（PSK）とデフォルトハブです。 PSKを使用すると、すべてが明確になります。これはクライアントデバイスで入力する必要のあるキーですが、デフォルトハブについて詳しく説明します。

実際、同じOpenVPNはIPsecを介しては動作しませんが、IPsecからアカウントポリシーを継承します。 したがって、OpenVPNプロトコルを使用して接続しようとすると、ユーザー名とパスワードが要求されます。 ユーザー名は「user @ hub」の形式で入力する必要がありますが、デフォルトで使用するハブを指定する場合は、「@ hub」を省略できます。

OpenVpnMakeConfigコマンドを使用してOpenVPNの構成ファイルを生成し、生成されたファイルを保存する場所を指定できます。 このファイルはすぐにOpenVPNクライアントに送られ、接続が行われます。 このファイルは、Layer2VPNとLayer3VPNの2つのバージョンで同時に提供されます。つまり、スイッチとしてのVPNサーバーとルーターとしてのVPNサーバーです。 これらは両方ともうまく機能します。 便利に！

L2TP / IPsecの構成は一般に簡単であることが判明しました。IPsecEnableコマンドの後にサーバーで何も変更する必要はありませんが、WindowsビルトインVPNクライアントの設定では、L2TP IPsec VPNプロトコルを指定する必要があります。追加のパラメーターでは、予備キー（PSK）を指定します。もちろん、インストール済みの場合は、上記の形式で資格情報を入力します。
同様に、すべてがAndroid上で構成されます。 4.2.1でチェックされ、すべてが標準ツールのみを使用して機能します。

結論： SoftEtherVPNは、VPNトンネルを構築するための非常に強力で最も重要な便利なツールです。 もちろん、すべての機能をテストしたわけではありませんが、ほとんどの場合、作成した機能は十分にあります。 近い将来、比較パフォーマンステスト、およびICMP over DNSやDNSなどのばかげたことのテストを計画します。 SSL VPNおよびMS SSTPプロトコルとまだ通信したくない。 証明書に煩わされるのを嫌がります。さらに、ロードバランシング、クラスタリング、フォールトトレランス、RADIUSおよびADからの承認、VLANトランキングを含むLayer2 VPNなどのプログラムの機能を検討する必要があります。

だから、ソフトウェアは、少なくともそれをよく見る価値があるように思えます。 製造業者は、その製品をあらゆる点でOpenVPNよりも優れていると位置付けており、ギガビットのスループットも約束しています。 一般に、テストする必要があります！ この段階では、私はこのようなものが本当に好きです。