SoftEther VPN - SoftEther VPN

SoftEther VPN
Softethervpn logo.jpg
Инструмент управления сервером SoftEther VPN
Инструмент управления сервером SoftEther VPN
Оригинальный автор (ы)SoftEther VPN Project на Университет Цукуба
Разработчики)Дайю Нобори, Тецуо Сугияма, Такао Ито, Кристофер Смит, Мэй Шари Анн Ямагути и другие участники.[1]
изначальный выпуск4 января 2014 г.; 6 лет назад (2014-01-04)
Репозиторий Отредактируйте это в Викиданных
Написано вC и C ++
Операционная системаWindows, Linux, macOS, FreeBSD, Solaris, iOS, Android
Доступно вАнглийский, японский и упрощенный китайский[2]
ТипVPN
ЛицензияЛицензия Apache 2.0[3]
Интернет сайтwww.softether.org

SoftEther VPN бесплатно Открытый исходный код, кроссплатформенный, мультипротокольный VPN клиентское и VPN-серверное программное обеспечение, разработанное в рамках магистерского исследования Дайю Нобори в Университет Цукуба. Протоколы VPN, такие как SSL VPN, L2TP /IPsec, OpenVPN и Microsoft Протокол безопасного туннелирования сокетов предоставляются на одном сервере VPN.[4][5] Он был выпущен с использованием GPLv2 лицензия от 4 января 2014 года. Лицензия переведена на Лицензия Apache 2.0 21 января 2019 г.

SoftEther VPN поддерживает Обход NAT, что позволяет запускать VPN-серверы на компьютерах, находящихся за жилые шлюзы, средство маршрутизаторы, и брандмауэры. Брандмауэры выполняют глубокая проверка пакетов не могут обнаружить транспортные пакеты VPN SoftEther как VPN-туннель, потому что HTTPS используется для маскировки соединения.

SoftEther VPN оптимизирует производительность за счет использования полного цикла Ethernet, сокращая операции копирования памяти, параллельную передачу и кластеризацию. Вместе они уменьшают задержку, обычно связанную с подключениями VPN, при одновременном увеличении пропускной способности.

Архитектура сервера SoftEther VPN

Совместимость

SoftEther VPN-сервер и VPN-мост работают на Windows, Linux, OS X вплоть до OS X 10.8, FreeBSD, и Солярис операционные системы. SoftEther VPN-клиент работает на Windows, Linux, и macOS.

SoftEther VPN Server обслуживает протокол SoftEther VPN, но он также обслуживает OpenVPN, Microsoft Протокол безопасного туннелирования сокетов (SSTP), SSL VPN[требуется разъяснение ], EtherIP, L2TPv3, и IPsec. Он обслуживает мобильные устройства под управлением iOS, Android и Windows Phone через L2TP /IPsec.

Также могут использоваться клиенты и конечные точки VPN, поддерживающие другие протоколы VPN; в том числе многие маршрутизаторы Cisco, Juniper, Linksys (с DD-WRT ), Asus и другие.

VPN-сервер

SoftEther VPN-сервер реализует функцию VPN-сервера.[5] Он прослушивает и принимает соединения от VPN-клиента или VPN-моста с несколькими протоколами VPN.

VPN-сервер может иметь несколько виртуальных концентраторов и виртуальных коммутаторов уровня 3. Виртуальный концентратор имеет все функции коммутации пакетов Ethernet второго уровня, как и физический коммутатор Ethernet. Кроме того, виртуальный концентратор может быть настроен для определения записей фильтра IP-пакетов для фильтрации пакетов через виртуальный концентратор. Коммутатор Virtual Layer-3 имеет функции статической IP-маршрутизации уровня 3, как и физический маршрутизатор.

VPN-сервер может иметь локальные мосты. Локальный мост - это матрица коммутации пакетов уровня 2 между физическим сетевым адаптером Ethernet и виртуальным концентратором. Администратор определяет локальный мост между виртуальным концентратором и существующей корпоративной сетью для создания VPN-сервера удаленного доступа или VPN-сервера типа «сеть-сеть».

VPN-клиент

SoftEther VPN Client - это программа VPN-клиента, которая имеет виртуализованную функцию сетевого адаптера Ethernet.[5] Компьютер с установленным клиентом SoftEther VPN может установить соединение VPN с сервером VPN. Поскольку VPN-сервер поддерживает несколько протоколов VPN, таких как L2TP / IPsec или MS-SSTP VPN, пользователям VPN не требуется устанавливать SoftEther VPN Client на клиентских компьютерах. Когда пользователь использует L2TP / IPsec или MS-SSTP VPN для подключения к VPN-серверу, встроенные клиентские программы VPN в операционной системе могут использоваться для установления VPN-подключения к VPN-серверу. Однако SoftEther VPN Client имеет расширенные функции (например, более подробные настройки связи VPN), чем встроенные в ОС VPN-клиенты. Чтобы использовать полную производительность SoftEther VPN Server, рекомендуется установить SoftEther VPN Client на каждый клиентский компьютер.

VPN-мост

SoftEther VPN Bridge - это программа VPN для создания VPN типа "сеть-сеть".[5] Чтобы построить сеть VPN типа "сеть-сеть", системный администратор должен установить SoftEther VPN Server на центральном сайте и установить SoftEther VPN Bridge на одном или нескольких удаленных сайтах. VPN-мост подключается к центральному VPN-серверу каскадным подключением. Каскадное соединение похоже на восходящее соединение (кросс-кабельное соединение) между двумя физическими коммутаторами Ethernet, но является его виртуализацией.

Диспетчер VPN-сервера для Windows

GUI Tool - это инструмент администрирования для SoftEther VPN Server и SoftEther VPN Bridge. Это программа, которая работает как в Windows, так и в Linux с WINE. Системный администратор устанавливает GUI Tool на свой портативный компьютер и подключает его к удаленному серверу VPN или мосту VPN для администрирования. Соединение осуществляется через сеанс SSL, а команды управления передаются как RPC через SSL.

Утилита администратора из командной строки

vpncmd - это инструмент администрирования CUI для SoftEther VPN Server, Client и Bridge. Это программа, которая работает на консолях всех поддерживаемых операционных систем. Когда пользователь не может использовать Windows или Linux с WINE, пользователь может альтернативно использовать vpncmd для управления программами VPN. vpncmd также полезен для выполнения пакетных операций, таких как создание большого количества пользователей на виртуальном концентраторе или создание множества виртуальных концентраторов на сервере VPN.

Архитектура

Некоторые части архитектуры SoftEther VPN отличаются от типичных традиционных систем VPN на основе IPsec.[6]

Виртуальный хаб

База данных переадресации (FDB) виртуального концентратора

Виртуальный концентратор - это виртуальный коммутатор Ethernet с программной эмуляцией. Он изучает и поддерживает внутри свою собственную таблицу базы данных пересылки. В то время как традиционные физические коммутаторы Ethernet реализуют эту функцию аппаратно, SoftEther VPN реализует ту же функцию программно. VPN-сервер может иметь несколько виртуальных концентраторов. Каждый виртуальный концентратор изолирован. Виртуальный концентратор выполняет коммутацию пакетов между одновременно подключенными сеансами VPN для реализации связи между клиентами VPN и мостами VPN.

Когда в одном экземпляре VPN-сервера имеется несколько виртуальных концентраторов, эти виртуальные концентраторы изолированы в целях безопасности. Каждый отдельный администратор может иметь делегированные привилегии для каждого соответствующего виртуального концентратора. Администратор виртуального концентратора может определять пользовательские объекты и списки контроля доступа, ограничиваясь только делегированным виртуальным концентратором.

Виртуальный сетевой адаптер

Виртуальный сетевой адаптер - это виртуальный адаптер Ethernet с программной эмуляцией. Клиент VPN может создать несколько виртуальных сетевых адаптеров на клиентском компьютере. Пользователь VPN может установить сеанс VPN между виртуальным сетевым адаптером и целевым виртуальным концентратором удаленного сервера VPN. Пока сеанс VPN установлен, пользователь VPN может связываться с удаленной сетью VPN через виртуальный сетевой адаптер. Поскольку виртуальный сетевой адаптер работает так, как если бы он был физическим, любые приложения или компоненты операционной системы можно использовать без каких-либо изменений.

Виртуальный коммутатор уровня 3

Виртуальный коммутатор уровня 3 - это виртуальный IP-маршрутизатор с программной эмуляцией. Несколько виртуальных коммутаторов уровня 3 могут быть созданы на одном экземпляре сервера VPN. Коммутатор Virtual Layer-3 имеет виртуальные IP-интерфейсы, подключенные к виртуальным концентраторам. Он также имеет несколько записей статической таблицы маршрутизации.

Виртуальный коммутатор уровня 3 полезен для создания крупномасштабной сети VPN типа "сеть-сеть". Хотя простой способ создать сеть VPN типа «сеть-сеть» - это построить VPN на основе моста 2-го уровня, при большом количестве компьютеров количество широковещательных пакетов увеличится, чтобы загрузить межсайтовые ссылки. Чтобы предотвратить эту проблему масштабирования, администратор VPN изолирует IP-сети с помощью коммутатора Virtual Layer-3.

Каскадное соединение между виртуальными концентраторами

Администратор может определить каскадное соединение между локальными или удаленными виртуальными концентраторами. После установления каскадного соединения два первоначально изолированных сегмента Ethernet объединяются в один сегмент Ethernet. Таким образом, функция каскадного соединения используется для построения моста Ethernet уровня 2 типа "сеть-сеть".

Локальный мост между виртуальными концентраторами и физическим сегментом Ethernet

Поскольку виртуальные концентраторы и виртуальные сетевые адаптеры представляют собой только виртуальные устройства Ethernet с программной эмуляцией, пакеты Ethernet через эти виртуальные устройства не могут обмениваться данными с физическими устройствами Ethernet. Следовательно, для создания VPN удаленного доступа или VPN типа «сеть-сеть» необходим мост между виртуальным и физическим. Чтобы создать мост, функция локального моста обменивается пакетами Ethernet между виртуальным концентратором и физическим сетевым адаптером Ethernet, чтобы объединить оба изолированных сегмента Ethernet в один сегмент Ethernet.

После определения локального моста на SoftEther VPN-сервере любой VPN-клиент может подключиться к VPN-серверу и обмениваться данными со всеми существующими устройствами Ethernet (например, серверами или сетевым оборудованием) через локальный мост. Это называется VPN с удаленным доступом.

Если сетевой администратор настраивает VPN-мост удаленного сайта и определяет два локальных моста как на VPN-сервере, так и на VPN-мосте, а также определяет каскадное соединение между VPN-сервером и VPN-мостом, тогда два удаленных сегмента Ethernet подключаются непосредственно на уровне: 2 уровня Ethernet. Это называется VPN типа "сеть-сеть".

Брандмауэр, прокси и прозрачность NAT

Брандмауэр, прокси и прозрачность NAT

Одной из ключевых особенностей SoftEther VPN является прозрачность для межсетевых экранов, прокси-серверов и NAT (преобразователей сетевых адресов). Для этого SoftEther VPN поддерживает SSL-VPN и NAT Traversal. SoftEther VPN использует протокол HTTPS для создания VPN-туннеля. Протокол HTTPS (HTTP через SSL) использует порт TCP / IP 443 (может отличаться) в качестве пункта назначения.

Механизм параллельной передачи нескольких туннелей SSL-VPN

Когда пользователь выбирает протокол SSL-VPN между VPN-клиентом и VPN-сервером, SoftEther VPN-сервер и VPN-клиент используют механизм параллельной передачи для повышения пропускной способности туннеля SSL-VPN. Пользователь может настроить количество параллельных параллельных каналов передачи от 1 до 32. В такой среде, как медленная сеть с задержками, такая настройка производительности приведет к увеличению пропускной способности. Когда эта функция включена, логический сеанс VPN будет состоять из нескольких соединений TCP (HTTPS). Все пакеты будут добавлены к одному из соответствующих TCP-соединений с расчетами модулей оптимизации. Если в TCP-соединении логического сеанса VPN были обнаружены потери пакетов, новый пакет будет использовать другое исправное VPN-соединение. Эта оптимизация с быстрым переключением для определения обрабатываемого TCP-соединения обеспечивает высокую пропускную способность.

Обход NAT

Традиционные системы VPN требуют, чтобы пользователь попросил администратора брандмауэра компании открыть конечную точку (порт TCP или UDP) на брандмауэре или NAT на границе между компанией и Интернетом. Чтобы уменьшить необходимость открывать конечную точку на брандмауэре, SoftEther VPN Server имеет функцию NAT Traversal. NAT Traversal включен по умолчанию. Пока он включен, компьютеры SoftEther VPN Client могут подключаться к вашему VPN-серверу за брандмауэром или NAT. Никаких специальных настроек брандмауэра или NAT не требуется.

VPN через ICMP и VPN через DNS

Несколько сетей с очень ограниченным доступом разрешают только проход ICMP или же DNS пакеты. В такой сети фильтруются TCP или UDP. Разрешены только ICMP и DNS. Чтобы сделать возможным установить сеанс клиент-сервер SoftEther VPN через такую ​​очень ограниченную сеть, SoftEther VPN имеет "VPN через ICMP »и функцию« VPN через DNS ».

Эта функция очень эффективна для преодоления такого ограниченного межсетевого экрана. Все пакеты VPN инкапсулируются в пакеты ICMP или DNS для передачи через брандмауэр. Конечная точка на стороне получателя извлекает внутренний пакет из капсулированного пакета. Это полезно для использования публичных Вай фай. Некоторые общедоступные Wi-Fi могут передавать только пакеты ICMP или DNS. Они фильтруют пакеты TCP или UDP. Если у вас дома или в офисе установлен VPN-сервер до выхода на улицу, вы можете наслаждаться сетевым взаимодействием без протоколов, используя такую ​​ограниченную сеть.

VPN-шлюз

VPN Gate - это плагин для SoftEther VPN, который позволяет пользователям подключаться к бесплатным VPN-серверам, которыми управляют добровольцы, использующие SoftEther для размещения своих VPN-серверов. Добровольцы используют персональные компьютеры как «серверы». VPN Gate спонсируется Университет Цукуба.[7][8]

Смотрите также

Рекомендации

  1. ^ Авторы SoftEther VPN на GitHub
  2. ^ Многоязычный, одинарный двоичный пакет и поддержка Unicode
  3. ^ «SoftEtherVPN_Stable_LICENSE на главном сервере · SoftEtherVPN_SoftEtherVPN_Stable». 2019-07-30. В архиве из оригинала на 31.07.2019. Получено 2019-07-30.
  4. ^ «Проект с открытым исходным кодом SoftEtherVPN на Open Hub». www.openhub.net. Open Hub. 2019-07-30. В архиве из оригинала на 31.07.2019. Получено 2019-07-30.
  5. ^ а б c d Бишофф, Пол (31.08.2018). «6 инструментов с открытым исходным кодом для создания собственного VPN». Opensource.com. В архиве из оригинала на 31.08.2018. Получено 2019-07-30.
  6. ^ VPN на базе Ethernet уровня 2
  7. ^ http://www.vpngate.net/en/about_faq.aspx
  8. ^ http://www.vpngate.net/en/join.aspx

внешняя ссылка