SoftEther VPN — просунутий мультипротокольний VPN-сервер та клієнт

SoftEther VPN — це програмне забезпечення для створення віртуальних приватних мереж (VPN) за допомогою декількох протоколів, включаючи L2TP/IPsec, OpenVPN та SSL VPN. SoftEther VPN був розроблений в Японії в університеті Цукуба і є безкоштовним та відкритим програмним забезпеченням.

За допомогою SoftEther VPN можна створювати безпечні VPN-з'єднання, які забезпечують захист даних та забезпечують безпеку мережі.

Мережеві технології*, Софт*, Системне адміністрування*

Як скоро я зможу вас зацікавити, якщо скажу, що в цій статті йтиметься про VPN-сервер, який може піднімати L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP-сервери, а також має власний протокол SSL-VPN », який не відрізняється від звичайного HTTPS-трафіку (чого не скажеш про OpenVPN handshake, наприклад), може працювати не тільки через TCP/UDP, але і через ICMP (подібно до pingtunnel, hanstunnel) і DNS (подібно до iodine), працює швидше (по запевненню розробників) поточних імплементацій, будує L2 та L3 тунелі, має вбудований DHCP-сервер, підтримує як kernel-mode, так і user-mode NAT, IPv6, шейпінг, QoS, кластеризацію, load balancing та fault tolerance, може бути запущений під Windows, Linux, Mac OS, FreeBSD та Solaris і є Open-Source проектом під GPLv2?

  Отож і воно. Таке пропустити не можна.

Uh-oh, що це за штука?

  Швидше за все, ви раніше не чули про цей проект. Справа в тому, що Daiyu Nobori (登大遊) почав його розробляти, як тільки пішов до Тсукубського університету, і PPTP не заробив з мережі кампуса. У 2003, коли йому було 18 років, він випустив першу версію SoftEther, і на нього наїхав уряд Японії, який вважав, що цей проект можна розцінювати чи не як шкідливе ПЗ, т.к. воно дозволяє обходити файрволли (OpenVPN на той час ще тільки з'являвся), а також може «нашкодити іміджу інших VPN-продуктів» і заборонило розповсюджувати програму. Він спробував порозумітися, але т.к. через це його могли, можливо, відрахувати з університету, він не наполягав і прибрав програму з вільного доступу. Проходить деякий час, і Mitsubishi Materials Corporation пропонує купити у нього SoftEther 1.0 і підписати контракт на 10 років (квітень 2004-квітень 2014), який дає корпорації право на продаж SoftEther і забороняє Daiyu Nobori продавати програму та/або засновані на ній, але в березні 2013 року він починає розповсюджувати SoftEther безкоштовно, і ось тільки зовсім недавно (4 січня 2014 року) її вдалося відкрити під GPLv2. На превеликий жаль, зараз ще поки що залишаються деякі проблеми з копірайтом, тому в SoftEther до квітня 2014 року, ймовірно, не можна буде побачити деякі важливі функції: автентифікація Radius / Active Directory, автентифікація по RSA-ключах, захист від DoS, Source IP ACL, Syslog transfer та Deep-inspect packet logging.

Опис

  Трохи докладніше про можливості сервера:
— Безліч віртуальних хабів. Тобто. не кожен екземпляр сервера обслуговує лише своїх клієнтів, проте у межі одного сервера.
— Remote-Access (клієнт-до-LAN) та Site-to-Site (об'єднання двох і більше LAN в одну) тунелів.
— Підтримка L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP та свого протоколу
— VPN через ICMP та через DNS (тільки через свій протокол)
— Dynamic DNS і NAT Traversal через безкоштовний релей (так-так, можна підняти VPN сервер із сірим IP!)
— Логування
— Вбудований firewall
— Підтримка IPv6 в L3-режимі (ну і в L2, звичайно, теж)
— Шейпінг трафіку за групами користувачів або за конкретними користувачами
— SecureNAT (user-space NAT та DHCP-сервер). Зручно на не-серверних Windows
— Підтримка VLAN
— Підтримка QoS з автоматичною пріоритезацією

  За заявою автора, SoftEther працює швидше за еталонні реалізації.

http://imgur.com/fzTNoxM

  ПЗ складається з сервера, бридж-сервера, клієнта, GUI (тільки Windows) та CUI утиліт адміністрування. Клієнт потрібен для підключення одного комп'ютера до LAN (Remote Access VPN), а бридж-сервер для з'єднання двох або більше мереж (Site-to-Site VPN). На жаль, CUI поки не дуже добре задокументовано і запустити сервер тільки з CUI мені не вдалося, довелося скористатися Windows-версією сервера та GUI-утилітою. Слід зазначити, що GUI-утиліта вміє працювати як з локальним сервером, тобто. можна запустити сам сервер на Linux, а адмініструвати його через GUI утиліту під Windows. У GUI є лише основні налаштування, для зміни просунутих налаштувань доведеться лізти в конфіг або використовувати CUI.

VPNGate

  Проект VPNGate був створений для обходу блокувань з боку адміністратора, провайдера чи уряду. Ви можете запустити у себе SoftEther-сервер, поставити галочку «використовувати vpngate», і користувачі, яким потрібен безкоштовний VPN, зможуть знайти ваш сервер у каталозі VPNGate та підключитися до нього, причому вони не зможуть отримати доступ до діапазону приватних адрес на кшталт 192.168.0.0. /16, лише до інтернету. Також SoftEther пише логи користувачів, які використовують ваш сервер через VPNGate.

Висновок

  Ось, мабуть, і все. Буду з нетерпінням чекати квітня, який, сподіваюся, привнесе підтримку, як мінімум, Radius та сертифікатів.
  На сайті хоч і мало документації з тонкого настроювання SoftEther, але дуже зрозуміло, докладно та цікаво розписано про мережі та VPN загалом. Якщо у вас добре з англійською і ви хочете дізнатися більше про VPN, не полінуйтеся, почитайте документацію на сайті проекту. Ну, чи хоча б на картинки подивіться.