11.07.2021 09:21
devel0per 4 4100 Источник

В свете периодических блокировок в РБ и РФ, блокирующих как “недозволенные речи неугодных” так и работу специалистов разных мастей, организации и просто технари перебирают возможности различных VPN решений. SoftEther VPN в моем списке выглядит как бесплатное “чудо-решение”, которое позволяет иметь под рукой внушительный лист протоколов VPN из коробки: L2TP, IPSec, OpenVPN, SSTP, SoftEther VPN.

Цель туториала - упростить его установку, сделав доступным любому специалисту способному подключиться по ssh к серверу и вбить пару команд.

Если вас интересуют все возможности решения - на хабре уже есть обзоры SoftEther VPN: раз два три.

Теоретически

Я не системный администратор и не специалист по безопасности. Могу быть не прав.

Наиболее интересными протоколами для нас выглядят протоколы работающие поверх 443 порта т.к. похожи на https трафик: "SSTP", "SoftEther VPN". Ставим нашей целью настроить оба, остальные протоколы бонусом.
Хотя по опыту, они не спасут в случае применения тяжелой артиллерии.

Нам понадобятся

  1. SoftEther VPN Server manager for Windows

  2. Ubuntu 20.04 server

  3. Docker 19+ на борту

    sudo apt-get update
sudo apt-get install docker-ce docker

  4. SoftEther VPN Client под необходимую вам систему. [Опционально, если планируете использовать "SoftEther VPN" протокол]

Приступим

  1. Создадим папку для наших настроек 

    mkdir /home/softethervpn && cd /home/softethervpn

  2. Создайте и откройте docker-compose.yamlфайл используя vi или nano

    nano docker-compose.yaml

    ВНИМАНИЕ: Замените следующие ключи своими значениями

    1. <PSK> - pre-shared key. Используется для IpSec

    2. <username>

    3. <password>

    4. <spassword> - Server management password (супер админ - будьте с ним аккуратны)

    5. <hpassword> - hub management password

    6. В секции USERS вы можете определить предустановленных юзеров: username:password;user2:pass2; 

      version: '3'
services:
  softethervpn:
    container_name: 'softethervpn'
    image: siomiz/softethervpn
    cap_add: 
      - NET_ADMIN
    environment:
      - PSK=<PSK>
      - "USERS=<username>:<password>"
      - SPW=<spassword>
      - HPW=<hpassword>
    #volumes:
      #- ./vpn_server.config:/opt/vpn_server.config
    ports:
      # L2TP/IPSec
      - "500:500/udp"
      - "4500:4500/udp"
      - "1701:1701/tcp"
      # OpenVPN/SSTP
      - "443:443/tcp"
      - "1194:1194/udp"
      # SoftEther VPN (recommended by vendor)
      - "5555:5555/tcp"
      - "992:992/tcp"

  3. Стартуем из папки с docker-compose.yaml

    docker-compose up -d

  4. Во время первого запуска контейнера была создана конфигурация. Давайте скопируем ее из контейнера в нашу папку. 

    docker cp softethervpn:/usr/vpnserver/vpn_server.config ./

  5. Теперь нам необходимо раскомментировать строки 13, 14 в файле docker-compose.yaml

    Итоговый файл должен выглядеть так

    version: '3'
services:
  softethervpn:
    container_name: 'softethervpn'
    image: siomiz/softethervpn
    cap_add: 
      - NET_ADMIN
    environment:
      - PSK=<PSK>
      - "USERS=<username>:<password>"
      - SPW=<spassword>
      - HPW=<hpassword>
    volumes:
      - ./vpn_server.config:/opt/vpn_server.config
    ports:
      # L2TP/IPSec
      - "500:500/udp"
      - "4500:4500/udp"
      - "1701:1701/tcp"
      # OpenVPN/SSTP
      - "443:443/tcp"
      - "1194:1194/udp"
      # SoftEther VPN (recommended by vendor)
      - "5555:5555/tcp"
      - "992:992/tcp"

  6. Теперь вы не будете терять ваш конфиг после каждого перезапуска контейнера. Для обновления конфигурации контейнера вызываем.

    docker-compose up -d

  7. Запускаем SoftEther VPN Server manager for Windows с локальной машины и подключаемся к созданному серверу:

    Если вам удалось подключиться - вам уже доступны протоколы L2TP, IPSec, SoftEther VPN. (при условии, что у вас установлены соответствующие клиенты)

  8. Пора настроить OpenVPN

    1. Активируем протокол в настройках

    2. Кнопка "Generate a Sample Configuration File for OpenVPN Clients" отдаст вам файл который вы можете скормить типовому OpenVPN клиенту.

  9. Пришло время настроить SSTP

    1. Первое, что нужно сделать - сгенерировать self-signed сертификат для сервера:

    2. Экспортируем сертификат в формате .cer

    3. Этот сертификат необходимо импортировать в Trusted Root Certificate Authorities вашей системы. Для этого

      1. Открываем утилиту "Manage Computer Certificates"

      2. Импортируем сертификат в "Trusted Root Certificate Authorities"

        Важно: Store location должен быть установлен в Local:

        После импорта, в ветке Certificates вы увидите сертификат с IP адресом вашего сервера.

      3. Попробуем установить подключение, для этого идем в настройки VPN:

      4. Добавляем новое VPN соединение

      5. Готово! Если все настройки были выполнены верно, соединение должно было успешно установиться.

Дополнительно

  1. По адресу https://<your_ip_address> доступна страница приветствия SoftEther VPN. Чтобы лишний раз не афишировать факт, что это VPN сервер, давайте ее отключим.

    1. Откроем на редактирование файл vpn_server.config 

       nano vpn_server.config

    2. Заменим флаг
      bool DisableJsonRpcWebApi false на bool DisableJsonRpcWebApi true

    3. Перезапустим контейнер: 

       docker restart softethervpn

  2. Имеет смысл скрыть все неиспользуемые нами порты. В моем случае все кроме 443. Для этого комментируем в файлеdocker-compose.yaml строки с лишними портами

        ports:
      # L2TP/IPSec
      #- "500:500/udp"
      #- "4500:4500/udp"
      #- "1701:1701/tcp"
      # OpenVPN/SSTP
      - "443:443/tcp"
      #- "1194:1194/udp"
      # SoftEther VPN (recommended by vendor)
      #- "5555:5555/tcp"
      #- "992:992/tcp"

Готово

Теперь у нас под рукой есть многопользовательский VPN Server с набором протоколов которые можно перебирать в надежде достучаться до рабочего варианта в случае известных форс-мажоров. Всем спасибо!