Установка и настройка Softether VPN на Debian 9.4 /Centos 7.4

************
Updated 23.05.2016 - Обновлены ссылки на SE.
Updated 23.09.2016 - Обновлено оформление статьи
Updated 04.05.2018 - Обновлено: скрипты установки и перенос их на gist нумерация разделов, команды и прочие мелочи.
************
В данной статье я расскажу об установке мультипротокольного VPN-сервера SoftEther VPN на VPS с ОС Debian 9.4 и Centos 7.4, а также настройке Remote AccessVPN с маршрутизацией трафика через данный сервер (L-3, IP-Routing).

0. Зачем нужен свой VPN-сервер и почему SoftEther?

Причин достаточно чтобы развести целых холивар и пусть на этот вопрос каждый для себя ответит сам. Мне VPN-сервер нужен для банальных вещей:

• доступа к заблокированным сайтам;
• безопасного и надежного канала для ноутбука или смартфона в недоверенных сетях (открытый или публичный Wi-Fi).

Ранее я пользовался бесплатной версией OpenVPNas сервера. В целом все устраивало, но при разворачивании очередной VPS решил попробовать SoftEther. По прошествии пары месяцев могу сказать, что эта штука мне определенно нравится.
Подробно описывать продукт не вижу смысла, все можно посмотреть в документации или спецификации.
В данной статье будем рассматривать подключение удаленных клиентов Remote AccessVPN с маршрутизацией трафика через сервер (L-3, IP-Routing).

1. Подготовка сервера и дистрибутива, сборка и запуск VPN-сервера

Ниже приведены процедуры установки сервера для двух наиболее распространенных дистрибутивов: Debian и Centos, которые хоть и немного, но отличаются друг от друга.

1.1. Сборка и установка SoftEther на Debian

В ОС Debian (на 04.05.2018) используется библиотека OpenSSL версии 1.1.0f из которой удалена поддержка SSLv3, в связи с чем предварительно скомпилированные бинарные файлы с центра загрузки SoftEther не подойдут - их просто не получится скомпилировать на целевой системе.
Выход - полная копмлиляция VPN сервера вручную, что совсем не сложно.
Ниже приведен скрипт где приведена последовательность необходных для сборки и установки VPN сервера команд. Для скачивания исходного кода используется стабильный репозиторий SoftEther на GitHub. Все команды необходимо выполнять от пользователя root.

После выполения всех перечисленных команд на сервере будет установлен и запущен VPN сервер, дополнительно будет установлен сервис systemd, который будет автоматически запускать SoftEther при старте операционной системы.

1.2. Сборка и установка SoftEther на Centos

В ОС Centos (на 04.05.2018) используется библиотека OpenSSL версии 1.0.2k, которая пока еще поддерживает SSLv3, следовательно для установки достаточно использовать предварительно скомпилированные файлы VPN сервера с сайта загрузки. Ниже приведен скрипт где приведена последовательность необходных для сборки и установки VPN сервера команд. Для установки используется последний beta дистрибутив доступный на сайте SoftEther Ver 4.27, Build 9666, beta. Все команды необходимо выполнять от пользователя root.

После выполения всех перечисленных команд на сервере будет установлен и запущен VPN сервер, дополнительно будет установлен сервис systemd, который будет автоматически запускать SoftEther при старте операционной системы.

1.3. Проверка установки

После установки проверяем установку сервера, запуская внутреннюю проверку сервера:

/opt/vpnserver/vpncmd /TOOLS /CMD check

в результате мы должны получить все пройденные тесты:

2. Настройка VPN-сервера

Дальнейшую настройку VPN-сервера можно выполнить двумя способами:

1. Путем настройки через CLI, с помощью vpncmd. Причем CLI можно запустит как на самом сервере так и на удаленном Windows или Linux компьютере.
2. Путем настройки через GUI, с помощью SoftEther VPN Server Manager (под ОС Windows или Linux c Wine).

В данном разделе статьи я покажу простейшую настройку VPN-сервера через CLI с помощью vpncmd.

Теперь мы плавно подошли к самой ответственной части - настройке NAT. В SoftEther есть два способа натирования трафика: SecureNAT или Local Bridge. У каждого из них есть плюсы и минусы и каждый для себя решает сам что ему выбрать. Подробно про SecureNAT и Local Bridge можно почитать в документации.
Если кратко, то мои "дилетантские" рекомендации следующие.
SecureNAT стоит выбрать если:

• ваш VPS использует виртуализацию OpenVZ (на большинстве VPS с OpenVZ не загружены модули ядря для TUN/TAP-интерфейсов и нет такой возможности);
• нужно быстро и просто развернуть VPN не сильно заботясь о скорости VPN и нагрузке на ЦП.

Local Bridge стоит выбрать если:

• ваш VPS использует виртуализацию KVM, Xen, VmWare, Hyper-V и т.п. (здесь вы получаете полную виртуализацию сервера и сами контролируете виртульную, можете подгрузить все что угодно, включая TUN/TAP);
• нужна максимальная скорость от VPN-сервера;
• вы не боитесь покопаться руками в конфигах.

Ниже показаны оба варианта.

2.1. Настройка SecureNAT

SecureNAT не требует дополнительной настройки самого VPS сервера, достаточно прост в настройке и управлении. SecureNAT выполняет функции виртуального NAT-сервера и виртуального DCHP-сервера.

SecureNAT работает на уровне пользователя (userspace). В данном режиме все сетевые операции виртуализируются, на сервере не появляется дополнительный сетевой TAP интерфейс. Но повторюсь, что такая простота и удобство для пользователя и администратора с одной стороны компенсируются повышенной нагрузкой на ЦП с другой стороны.

Настройка довольно простая:

В целом все, SecureNAT настроен. Можно настраивать клиента и подключаться.

2.2. Настройка Local Bridge

В случае использования моста с виртуальным интерфейсом (Local Bridge) VPN-сервер не выполняет функции DCHP- и NAT-серверов. В данном случае натирование пакетов будет обеспечивать сама операционная система, а обрабатывать DHCP-запросы будет отдельный DHCP-сервер.

Создаем мост (виртуальный TAP-интерфейс).

Проверим статус в системе

ip addr

Интерфейс создался, но пока он не имеет своего адреса ip. Адрес будем конфигурировать позже. Теперь нужно установить DHCP-сервер. Я выбрал маленький и быстрый dnsmasq:

apt-get install dnsmasq

Добавляем следующие строки в конец файла с конфигурацией /etc/dnsmasq.conf:

interface=tap_vpn
dhcp-range=tap_vpn,192.168.234.10,192.168.234.100,2h
dhcp-option=tap_vpn,option:router,192.168.234.1
dhcp-option=tap_vpn,option:dns-server,1.1.1.1,208.67.220.220

Перезапустим DHCP-сервер командой:

systemctl restart dnsmasq

DHCP-сервер настроен и готов раздавать адреса новым клиентам.

Теперь вернемся к настройке ip-адреса интерфейса tap_vpn. Особенность данного интерфейса в том, что он удаляется из системы при останове сервиса SoftEther и, соответственно, появляется при её запуске. Для решения данной задачи я изменил файл сервиса systemd, чтобы после каждого запуска сервиса автоматически присваивался ip-адрес сетевому интерфейсу tap_vpn.

Открываем файл /etc/systemd/system/softether-vpnserver.service в редакторе и добавлям следущие строки в раздел [Service] после команды ExecStart:

ExecStartPost=/bin/sleep 3s
ExecStartPost=/sbin/ip address add 192.168.234.1/24 dev tap_vpn

таким образом, чтобы готовая конфигурация выглядела как ниже:

Данные команды будут выполнены последовательно после запуска SoftEther. Первая команда - пауза в три секунды, чтобы сервер успел подняться и добавить интерфейс, вторая - присваивание интерфейсу tap_vpn адреса 192.168.234.1 с маской 255.255.255.0
Сохраняем файл, обновляем файл сервиса и перезапускаем SoftEther:

systemctl daemon-reload
systemctl restart softether-vpnserver.service

Проверяем интерфейс еще раз

ip addr

и видим, что сетевому интефейсу успешно присвоился ip-адрес.

Теперь остались последние шаги, а именно: найстройка firewall и включение режима перенаправления трафика в системе.
Для влючения перенаправления трафика в системе необходимо в файле /etc/sysctl.conf разкомментировать строку:

net.ipv4.ip_forward=1

сохранить изменения и обновить параметры командой:

sysctl --system

Настройка firewall в Debian и Centos отличаются друг от друга.
Для настройки firewall в Debian добавляем следующее правило в IPTABLES:

iptables -t nat -A POSTROUTING -s 192.168.234.0/24 -j SNAT --to-source <IP адрес eth0>

где:
- 192.168.234.0/24 - VPN сеть,
- <IP адрес eth0> - ip-адрес сетевого интерфейса сервера, через который он соединен с Интернет, например 123.34.12.11.
И для сохранения правил iptables после перезагрузки устанавливаем дополнительный пакет:

apt-get install iptables-persistent

Для настройки firewall в Centos ....
 
Все, можно подключаться.

3. Настройка VPN-сервера с помощью SoftEther VPN Server Manager

Теперь перейдем к более наглядному и простому способу настройки VPN-сервера SoftEther с помощью GUI под Windows SoftEther VPN Server Manager. При подключении к серверу нужно будет указать пароль администратора VPN-сервера, который мы установили ранее при первом входе в vpncmd.
При первом подключении через Server Manager появится мастер быстрой настройки. Можно воспользоваться им, но это не наш метод :) поэтому перейдем к ручным настройкам.

Удалим стандартный хаб DEFAULT и создадим собственный хаб VPN нажав Create a Virtual Hub. После создания выберем данных хаб и перейдем в управление группами Manage Groups и создадим группу Users. Если пользователей немного, то можно обойтись и без группы, но в дальнейшем с ней проще проводить масштабирование пользователей и настройку политик.

Затем перейдем в управление пользователями Manage Users и создадим пользователя. Тип аутентификации выбираем Password Authentication и вводим пароль пользователя.

Следующий шаг - отключение логгирования переданных пакетов. Кнопка Log Save Settings в выбранном хабе. Убираем галку с Save Packet Log.

Затем открываем настройки IPsec. Нажимаем кнопку IPsec / L2TP Setting. Галочкой включаем поддержку L2TP over IPsec, выбираем наш хаб и вводим PSK ключ, который необходимо указать в настройках сетевого интерфейса VPN-подключения клиента.

Нажав кнопку OpenVPN / MS-SSTP Setting включим поддержку OpenVPN и отключим поддержку SSTP. При необходимости SSTP можно оставить, но для него нужно будет дополнительно генерировать сертификат сервера. Лично я SSTP не использую и отключаю его.

Нажав кнопку Encryption and Network настраиваем шифрование, выбрав стойкие алгоритмы шифрования и хеширования AES256-SHA. Отключаем отправку syslog сообщений и отключаем проверку соединения Keep Alive (опять же по желанию).

3.1. Настройка SecureNAT

Особенности работы SecureNAT были описаны выше.
Выбрав наш хаб и нажав кнопку Virtual NAT and Virtual DHCP Function (SecureNAT) попадем в раздел настройки SecureNAT. Нажатием Enable SecureNAT включаем SecureNAT.

Затем переходим к настройке SecureNAT нажав SecureNAT Configuration. При необходимости редактируем диапазон адресного пространства DHCP-сервера, время аренды, адрес и маску шлюза, DNS-серверы и т.д.

3.2. Настройка Local Bridge

Особенности работы с мостом из виртуального интерфейса (Local Bridge) описаны выше.
Нажав кнопку Local Bridge Setting перейдем в меню настройки данного виртуального интерфейса. Выбираем хаб VPN, затем тип создаваемого моста Bridge with New Tap Device, вводим имя создаваемого интерфейса и жмем Create Local Bridge. К вводимому имени vpn SoftEther добавит приставку "tap_".

Дальнейшая настройка заключается в установке DHCP-сервера, включении NAT и т.д. Все это уже описано в разделе 2.2., все описанное там следует выполнить и здесь начиная с установки DHCP-сервера.

4. Тестирование производительности SecureNAT и Local Bridge

Настало время тестировать работу SoftEther. VPS сервер, на котором я проводил настройку расположен во Франкфурте.
Первый тест: Включен SecureNAT. Тест скорости до провайдера из Амстердама.

Второй тест: Включен Local Bridge. Тест скорости до того же провайдера из Амстердама.

Третий тест: Включен Local Bridge. Тест скорости до Москвы, провайдер Ростелеком.

Разница в скорости и выводы очевидны.

Прошу обратить внмание на то, что в данной конфигурации у SoftEther VPN включено много дополнительного функционала, который можно (а зачастую нужно) отключить без потери основной функциональности. О том как это сделать, написано в моей следующей статье Доработка напильником SoftEther VPN.

На этом все, спасибо за внимание.

Источники:

1) https://www.softether.org/4-docs

Ключевые слова:
настройка vpn, настройка впн, vpn linux, настройка впн сервера, softether,  настройка softether, установка softether, softether как подключить, softether vpn linux.