【目標】
◎ 使用 AD 做為帳戶驗證方式。
◎ Client 端使用獨立網段,並可自動取得 IP。
◎ Client 端僅針對特定網段的流量會流量 VPN,上網 (Internet) 不會。
◎ Client 端可以連到企業內部的其他網段。
【版本差異】
SoftEther VPN:
◎ 開放原始碼 (Open Source)。
◎ 免費。
◎ 部份功能”可能”受限,如 SecureNAT 裡的 “Static routing table” 功能。
PacketiX VPN:
◎ 商業版本 (Commercial)。
【About SoftEther VPN..】
◎ 「Language Settings」可以變更語系。
【Listener List (TCP/IP port)】
◎ 可自行依需求決定要用哪個 port 連線。
◎ TCP 443 慣用於 MS-SSTP。
◎ TCP 992 慣用於 加密的 telnet。
◎ TCP 1194 慣用於 OpenVPN
◎ TCP 5555 慣用於 SoftEther VPN。
【下方各式功能鈕】
◎ 可全部停用。
◎ 「Local Bridge Setting」啟用時,Client 端等同與 Server 端處於相同網段。
◎ 「Dynamic DNS Setting」的停用,需要修改 “vpn_server.config” 檔,且停用後,SecureNAT 裡的 “Static routing table” 功能會無法使用,會跳出此免費版本無法使用此功能的相關訊息。
【User】
◎ 如果要跟 AD 串,Server 必須加入網域,接著選擇 “NT Domain Authentication”,之後便會自動以「User Name」欄位與 AD 帳號做比對。
◎ 如果「User Name」欄位與 AD 帳號不同,可以勾選「Specify User Name on Authentication Server」,並於下方輸入 AD 帳號。
【SecureNAT Configuration】
◎ 啟用 NAT 與 DHCP 功能。
◎ 請先確認前面「Local Bridge Setting」功能為停用,否則開啟 DHCP 會導致 Server 既有的網段收到此 DHCP Server 派發的 IP。
◎ 在下方「Edit the static routing table to push」加入要讓 Client 連的公司內部其他網段。如果要讓 Client 端透過 VPN 上網 (Internet),可以加入 0.0.0.0 路由。
【已知問題】
◎ 如果關閉「Dynamic DNS Setting」,會導致 SecureNAT 的 static routing table 功能無法使用。
◎ 開啟 SecureNAT 的 NAT 功能後,Client 端若有使用 SQL 連線 (如 ERP 系統),閒置 40 秒後,該 TCP 連線就會遭 VPN Server drop 掉,原因不明。此問題已有人於 2018 年回報 issue 給官方,但到目前 (2020/07) 仍未解決。
【參考連結】
- [問答] 請教Softether VPN sever端設定問題 – 看板 Network – 批踢踢實業坊
- VPN times out when waiting for SQL queries – SoftEther VPN User Forum
- VPN times out when waiting for SQL queries · Issue #482 · SoftEtherVPN/SoftEtherVPN · GitHub
[…] 之後找到來自日本的 SoftEther VPN,花了些時間研究及建置後,原本以為這套應該可以用了,沒想到最後在做測試時,發現 SoftEther VPN 有個 drop SQL 連線的 bug,且網友已經回報 issue 兩年了,官方還是沒有修正,因此只好忍痛放棄。 SoftEther VPN 的設定方式,可參考【筆記】SoftEther VPN Server 設定。 […]