Softethervpn: Невозможно получить доступ к Host VPN Server с удаленного клиента

Созданный на 27 янв. 2017 · 11Комментарии · Источник: SoftEtherVPN/SoftEtherVPN

Привет, Эвейрон,

Я думаю, что обнаружил серьезную проблему с SE VPN, когда он установлен в Ubunutu (и, возможно, в другом Linux).
Настройка: сеть 192.168.0.0/24, сервер Ubuntu 16LTS, простейшая удаленная конфигурация VPN, локальный мост, один концентратор, отсутствие ACL и другие трюки, включены параметры IPsec и OpenVPN.
Клиент: устройство Android со стандартным IPsec (протестировано с Adnroid 6 и 4), клиент OpenVPN.

Проблема: когда Adnroid устанавливает VPN-туннель, он может подключиться к любому компьютеру в сети 192.168.0.0/24, кроме VPN-хоста с Ubuntu. Ситуация обратная: любой компьютер из сети может пинговать Android-устройство. Но VPN-хост с Ubuntu не может пинговать его.

Пробовал использовать обычные ping и arping (из Ubuntu). Я проверил таблицу маршрутов. Я обновил таблицу ARP с конкретным соответствием между IP-адресом клиента и его MAC-адресом. Безуспешно.

Из-за пользовательского пространства SE в Linux нет отдельного сетевого адаптера VPN для VPN. SE использует внутреннюю реализацию адаптера сетевого интерфейса VPN. Мы не можем увидеть его через ifconfig и не можем направлять на него пакеты с локального компьютера.

В любом случае, если я попытаюсь подключиться из Win10 с клиентом SE к тому же виртуальному концентратору, я смогу подключиться к VPN-хосту с Ubuntu ...

Источник

kvv213

Самый полезный комментарий

Это невозможно, и это не проблема Softether. Это также упоминается в руководстве в разделе 3.6.11, и я цитирую:

имитации в операционной системе Linux или UNIX предотвращают обмен данными с IP-адресами, назначенными сетевому адаптеру, подключенному локально со стороны VPN (сторона виртуального концентратора). Причина этого ограничения связана с внутренними кодами ядра ОС, а не с SoftEther VPN. Если вы хотите установить связь в любой форме с компьютером UNIX, используемым для локального моста со стороны VPN (сторона виртуального концентратора), (например, когда запущены как служба VPN-сервера / моста VPN, так и служба HTTP-сервера, и вы хотите предоставить доступ к серверная служба также со стороны VPN), подготовьте и подключите сетевой адаптер локального моста и физически подключите его и существующий сетевой адаптер к одному и тому же сегменту (как описано в разделе 3.6 Локальные мосты, рекомендуется подготовить сетевой адаптер для исключительное использование в локальных мостах для этой и других ситуаций).

Короче говоря, ядро Linux предотвращает доступ к интерфейсу, который вы подключили к своей VPN, по соображениям безопасности, насколько я читал (эта проблема была также, когда я был новичком в SoftEther). Реальное решение - получить вторую сетевую карту на сервере, который вы используете для VPN. Тогда у вас есть один интерфейс, предназначенный для маршрутизации интернет-трафика, а другой интерфейс для управления, где вы можете использовать SSH.

Надеюсь, это поможет вам в дальнейшем. Примечание: я не сопровождаю и / или участвую в этом проекте, а просто пользователь, у которого есть собственный сервер SoftEther VPN.

DDGo 1 февр. 2017

👍5

Все 11 Комментарий

Это невозможно, и это не проблема Softether. Это также упоминается в руководстве в разделе 3.6.11, и я цитирую:

имитации в операционной системе Linux или UNIX предотвращают обмен данными с IP-адресами, назначенными сетевому адаптеру, подключенному локально со стороны VPN (сторона виртуального концентратора). Причина этого ограничения связана с внутренними кодами ядра ОС, а не с SoftEther VPN. Если вы хотите установить связь в любой форме с компьютером UNIX, используемым для локального моста со стороны VPN (сторона виртуального концентратора), (например, когда запущены как служба VPN-сервера / моста VPN, так и служба HTTP-сервера, и вы хотите предоставить доступ к серверная служба также со стороны VPN), подготовьте и подключите сетевой адаптер локального моста и физически подключите его и существующий сетевой адаптер к одному и тому же сегменту (как описано в разделе 3.6 Локальные мосты, рекомендуется подготовить сетевой адаптер для исключительное использование в локальных мостах для этой и других ситуаций).

DDGo 1 февр. 2017

👍5

Короче говоря, ядро Linux предотвращает доступ к интерфейсу, который вы подключили к своей VPN, по соображениям безопасности, насколько я читал (эта проблема была также, когда я был новичком в SoftEther). Реальное решение - получить вторую сетевую карту на сервере, который вы используете для VPN. Тогда у вас есть один интерфейс, предназначенный для маршрутизации интернет-трафика, а другой интерфейс для управления, где вы можете использовать SSH.

Я пришел к той же мысли. Но мои серверы - это очень крошечные компьютеры со встроенным процессором, без активного охлаждения, и нет места для установки какой-либо дополнительной сетевой карты. Так что я думаю о чем-то вроде Raspberry или Pine64, может быть, с Windows на нем. В таком случае проблем быть не должно.

kvv213 2 февр. 2017

У Windows действительно нет проблем с этим. Я запускал SoftEther VPN Server в операционной системе Windows до того, как перешел на Linux, из-за того, что получил для него вторую сетевую карту.

DDGo 2 февр. 2017

👍3

Может быть, стоит попробовать создать виртуальный сетевой адаптер в Ubuntu и создать локальный мост в SE VPN для этого виртуального адаптера?

kvv213 22 февр. 2017

Как бы то ни было, я заметил то же самое с моим экземпляром, работающим на RaspberryPi 3. Моя единственная работа заключалась в подключении SSH к другому RP, работающему в моей сети, а затем обратному SSH в вышеупомянутом. Что действительно работает.

Это не решает проблему подключения к моему VPN-серверу с помощью инструмента Windows Admin, но я могу сделать это вручную, если это абсолютно необходимо.

Erutan409 26 окт. 2017

😄1

Привет,

Посмотрите на это как на решение проблемы: https://www.youtube.com/watch?v=jqRkFKHdz4A

Определите устройство с ответвлением (забудьте о подключении его к сетевому адаптеру), а затем настройте сеть для клиентов VPN за NAT.

С уважением,

nickete 1 нояб. 2018

Всем привет! Я использую softether + openhab (домашняя электроника) и испытываю ту же проблему: PI не отвечает ни на одно устройство, подключенное через VPN.

@nickete ваше решение кажется возможным, но я не мог понять, какая конфигурация нужна. Я создал устройство для разветвления и использовал функцию защиты SoftEther. То же самое, что и раньше, я могу пинговать любое устройство в моей локальной сети, кроме своего PI. Буду очень признателен за любые подсказки о том, как это реализовать.

Кроме того, мне интересно, почему я не могу проверить связь с интерфейсом WLAN PI, если я использую интерфейс eth для VPN.

Привет,

eduardpaul 11 янв. 2020

Мне интересно узнать, почему ядро Linux блокирует это. (Я не могу поверить, что такого ограничения не существует в ОС Windows). Эта проблема сводила меня с ума, пока я не нашел объяснение в документации SoftEther.

Поскольку я не могу использовать выделенную сетевую карту для моста, я надеюсь, что может быть другое решение, которое я могу использовать (помимо определения интерфейса TAP или обратного SSH`инга с использованием другого Raspberry Pi).