老森常譚 IT Help

【目標】
◎ 使用 AD 做為帳戶驗證方式。
◎ Client 端使用獨立網段，並可自動取得 IP。
◎ Client 端僅針對特定網段的流量會流量 VPN，上網 (Internet) 不會。
◎ Client 端可以連到企業內部的其他網段。

【版本差異】
　SoftEther VPN：
◎ 開放原始碼 (Open Source)。
◎ 免費。
◎ 部份功能”可能”受限，如 SecureNAT 裡的 “Static routing table” 功能。

　PacketiX VPN：
◎ 商業版本 (Commercial)。

【About SoftEther VPN..】
◎ 「Language Settings」可以變更語系。

【Listener List (TCP/IP port)】
◎ 可自行依需求決定要用哪個 port 連線。
◎ TCP 443 慣用於 MS-SSTP。
◎ TCP 992 慣用於 加密的 telnet。
◎ TCP 1194 慣用於 OpenVPN
◎ TCP 5555 慣用於 SoftEther VPN。

【下方各式功能鈕】
◎ 可全部停用。
◎ 「Local Bridge Setting」啟用時，Client 端等同與 Server 端處於相同網段。
◎ 「Dynamic DNS Setting」的停用，需要修改 “vpn_server.config” 檔，且停用後，SecureNAT 裡的 “Static routing table” 功能會無法使用，會跳出此免費版本無法使用此功能的相關訊息。

【User】
◎ 如果要跟 AD 串，Server 必須加入網域，接著選擇 “NT Domain Authentication”，之後便會自動以「User Name」欄位與 AD 帳號做比對。
◎ 如果「User Name」欄位與 AD 帳號不同，可以勾選「Specify User Name on Authentication Server」，並於下方輸入 AD 帳號。

【SecureNAT Configuration】
◎ 啟用 NAT 與 DHCP 功能。
◎ 請先確認前面「Local Bridge Setting」功能為停用，否則開啟 DHCP 會導致 Server 既有的網段收到此 DHCP Server 派發的 IP。
◎ 在下方「Edit the static routing table to push」加入要讓 Client 連的公司內部其他網段。如果要讓 Client 端透過 VPN 上網 (Internet)，可以加入 0.0.0.0 路由。

【已知問題】
◎ 如果關閉「Dynamic DNS Setting」，會導致 SecureNAT 的 static routing table 功能無法使用。
◎ 開啟 SecureNAT 的 NAT 功能後，Client 端若有使用 SQL 連線 (如 ERP 系統)，閒置 40 秒後，該 TCP 連線就會遭 VPN Server drop 掉，原因不明。此問題已有人於 2018 年回報 issue 給官方，但到目前 (2020/07) 仍未解決。

【參考連結】

• [問答] 請教Softether VPN sever端設定問題 – 看板 Network – 批踢踢實業坊
• VPN times out when waiting for SQL queries – SoftEther VPN User Forum
• VPN times out when waiting for SQL queries · Issue #482 · SoftEtherVPN/SoftEtherVPN · GitHub