LINUX.ORG.RU
ФорумAdmin

Помогите разобраться с настройкой SoftEther VPN без включения SecureNAT (в режиме Local Bridge)

 ,


0

1

Здравствуйте, помогите разобраться с настройкой SoftEther VPN без включения SecureNAT (в режиме Local Bridge). Две ситуации, 1. IP адреса клиентам выдаются (например 192.168.7.106). Клиенты имеют доступ к адресу 192.168.7.1. На сервере выясняется что 192.168.7.1 это не адрес сервера. Серверу не назначается IP и как следствие сервер не пингует клиентов. Адрес 192.168.7.1 неизвестно чей. 2. Если на сервере IP адрес все таки присвоился 192.168.7.1, клиенты при подключении отваливаются по непонятным причинам. IP адреса клиентам не выдаются. В логах присутствует запись:

"The VPN session has been deleted. It is possible that either the administrator disconnected the session or the connection from the client to the VPN Server has been disconnected."

Установку сервера делал так:

http://hd.zp.ua/ustanovka-softether-na-ubuntu-ili-debian/

Установку клиентов делал так:

http://dzek.ru/blog/SoftEther/201.html

Мы хотим организовать VPN сеть через интернет с помощью SoftEther VPN и с помощью нее получить доступ к linux-компьютерам VPN-клиентов через SSH. Все VPN-клиенты и VPN-сервер при этом будут находиться в разных городах. У всех участников VPN-сети, которую мы хотим создать будет доступ к интернету, при этом нам не нужно чтобы VPN-клиенты выходили в интернет через VPN-сервер (как мы понимаем это дополнительная нагрузка на канал и на процессор сервера и нам это ни к чему). Нужно ли в таком случае создавать правило для iptables, как написано в статье (http://hd.zp.ua/ustanovka-softether-na-ubuntu-ili-debian/)? или какое-то другое? Сам компьютер, на котором будет установлен VPN-сервер не будет за NAT-ом и будет иметь «белый» статический внешний IP адрес. Внутри VPN сети будет передаваться большой поток данных, интернет нам не нужен внутри VPN сети. Мы уже ранее создавали VPN сеть с помощью OpenVPN (согласно этой инструкции https://habrahabr.ru/post/233971/ ), в нем нас все устраивало, кроме пропускной  способности (https://www.softether.org/@api/deki/files/680/=comparison3.png см. строка в таблице подписана как «Throughput»). Вот как выглядела наша OpenVPN-сеть: в файле «server.conf» мы вписывали: «server 10.15.0.0 255.255.255.0 push „dhcp-option DNS 10.15.0.1“ route 10.15.0.0 255.255.255.0» и этого было достаточно чтобы у сервера был адрес 10.15.0.1 клиент №1, который подключился, получил адрес 10.15.0.2, клиент №2, который подключился, получил адрес 10.15.0.3 и так далее. Потом в этом же файле  «server.conf» добавили строку «ifconfig-pool-persist ipp.txt» и после этого каждому клиенту выдавался свой IP адрес, например даже если клиент №2 подключался первее  клиента №1, ему все равно выдавался адрес 10.15.0.3. этот момент для нас очень важен! При этом список клиентов с их именами и IP-адресами был сохранен в текстовом файле «ipp.txt» (две колонки 1 имя клиента 2 IP-адрес и все). Его можно было отредактировать руками на свое усмотрение. Теперь мы хотим сделать то же самое, только средствами SoftEther VPN. Как я понимаю SecureNAT стоит выбрать если нужно быстро и просто развернуть VPN не заморачиваясь по скорости VPN и нагрузке на ЦП. Local Bridge стоит выбрать если нужна максимальная скорость от VPN-сервера. Нужно установить SoftEther VPN и использовать при этом Local Bridge а не SecureNAT, так как нам нужна максимальная скорость от VPN-сервера. Еще как новое требование нужно сделать два SoftEther VPN-сервера, которые будут взаимозаменяемые, то есть осуществить отказоустойчивость VPN сети (как я понимаю это не совсем кластеризация, которая присутствует в настройках). Нужно чтобы VPN-сервер1 мог принять клиентов второго VPN-сервера, а VPN-сервер2 в свою очередь мог принять клиентов первого VPN-сервера. Также нужно объеденить две виртуальные локальные сети которые под двумя впн серверами в одну, чтобы клиенты VPN-сервера1 видели также VPN-сервер2 и наоборот, клиенты VPN-сервера2 видели VPN-сервер1. Поясню откуда клиенты будут знать к какому серверу им нужно подключаться: мы создаем с помощью DDNS сервиса хост, например «myserver.ddns.net», в нем настраиваем по алгоритму «Round robin DNS» два сервера по их статическим адресам, например 180.180.180.180-сервер1 и 190.190.190.190-сервер2. VPN-клиент сначала идет по адресу «myserver.ddns.net» а потом уже направляется или на IP 180.180.180.180 или на IP 190.190.190.190, это уже как решит сервер DDNS сервиса. При этой же настройке, если у нас один из серверов становится недоступен, все клиенты подключаются на другой. Если же оба сервера доступны, каждый следующий клиент попадает то на один сервер то на другой, при этом в конечном результате они попадают в одну виртуальную локальную сеть, и у них у каждого клиента свой, заранее прописанный IP адрес внутри этой виртуальной локальной сети. Как нам это осуществить с помощью SoftEther VPN?

pospelov ()
Ответ на: комментарий от pospelov

Мне чисто интересно, кто-нибудь осилил все это прочитать?
Из того что бросилось в глаза: ddns.net - VPN, дааа это вы сильно придумали, безопасность просто на высоте. Продолжайте в таком же духе :)

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.