【筆記】SoftEther VPN Server 設定

【目標】
◎ 使用 AD 做為帳戶驗證方式。
◎ Client 端使用獨立網段,並可自動取得 IP。
◎ Client 端僅針對特定網段的流量會流量 VPN,上網 (Internet) 不會。
◎ Client 端可以連到企業內部的其他網段。

 

【版本差異】
 SoftEther VPN:
◎ 開放原始碼 (Open Source)。
◎ 免費。
◎ 部份功能”可能”受限,如 SecureNAT 裡的 “Static routing table” 功能。

 PacketiX VPN:
◎ 商業版本 (Commercial)。

 

【About SoftEther VPN..】
◎ 「Language Settings」可以變更語系。

 

【Listener List (TCP/IP port)】
◎ 可自行依需求決定要用哪個 port 連線。
◎ TCP 443 慣用於 MS-SSTP。
◎ TCP 992 慣用於 加密的 telnet。
◎ TCP 1194 慣用於 OpenVPN
◎ TCP 5555 慣用於 SoftEther VPN。

 

【下方各式功能鈕】
◎ 可全部停用。
◎ 「Local Bridge Setting」啟用時,Client 端等同與 Server 端處於相同網段。
◎ 「Dynamic DNS Setting」的停用,需要修改 “vpn_server.config” 檔,且停用後,SecureNAT 裡的 “Static routing table” 功能會無法使用,會跳出此免費版本無法使用此功能的相關訊息。

 

【User】
◎ 如果要跟 AD 串,Server 必須加入網域,接著選擇 “NT Domain Authentication”,之後便會自動以「User Name」欄位與 AD 帳號做比對。
◎ 如果「User Name」欄位與 AD 帳號不同,可以勾選「Specify User Name on Authentication Server」,並於下方輸入 AD 帳號。

 

【SecureNAT Configuration】
◎ 啟用 NAT 與 DHCP 功能。
請先確認前面「Local Bridge Setting」功能為停用,否則開啟 DHCP 會導致 Server 既有的網段收到此 DHCP Server 派發的 IP。
◎ 在下方「Edit the static routing table to push」加入要讓 Client 連的公司內部其他網段。如果要讓 Client 端透過 VPN 上網 (Internet),可以加入 0.0.0.0 路由。

 

【已知問題】
◎ 如果關閉「Dynamic DNS Setting」,會導致 SecureNAT 的 static routing table 功能無法使用。
開啟 SecureNAT 的 NAT 功能後,Client 端若有使用 SQL 連線 (如 ERP 系統),閒置 40 秒後,該 TCP 連線就會遭 VPN Server drop 掉,原因不明。此問題已有人於 2018 年回報 issue 給官方,但到目前 (2020/07) 仍未解決。

 

【參考連結】

One Response

  1. 在 Windows Server 安裝 OpenVPN Server 並透過 AD (LDAP) 做帳號驗證 | 老森常譚 Says |

    […]   之後找到來自日本的 SoftEther VPN,花了些時間研究及建置後,原本以為這套應該可以用了,沒想到最後在做測試時,發現 SoftEther VPN 有個 drop SQL 連線的 bug,且網友已經回報 issue 兩年了,官方還是沒有修正,因此只好忍痛放棄。 SoftEther VPN 的設定方式,可參考【筆記】SoftEther VPN Server 設定。 […]

Leave a Comment

Please note: Comment moderation is enabled and may delay your comment. There is no need to resubmit your comment.