【笔记】SoftEther VPN Server 设定

【目标】
◎ 使用 AD 做为帐户验证方式。
◎ Client 端使用独立网段,并可自动取得 IP。
◎ Client 端仅针对特定网段的流量会流量 VPN,上网 (互联网) 不会。
◎ Client 端可以连到企业内部的其他网段。

 

【版本差异】
SoftEther VPN:
◎ 开放原始码 (开源的)。
◎ 免费。
◎ 部份功能”可能”受限,如 SecureNAT 里的 “静态路由表” 功能。

PacketiX VPN:
◎ 商业版本 (商业广告)。

 

【关于SoftEther VPN ..】
◎ 「Language Settings」可以变更语系。

 

【听众列表 (TCP / IP端口)】
◎ 可自行依需求决定要用哪个 port 连线。
◎TCP 443 惯用于 MS-SSTP。
◎TCP 992 惯用于 加密的 telnet。
◎TCP 1194 惯用于 OpenVPN
◎TCP 5555 惯用于 SoftEther VPN。

 

【下方各式功能钮】
◎ 可全部停用。
◎ 「Local Bridge Setting」启用时,Client 端等同与 Server 端处于相同网段。
◎ 「Dynamic DNS Setting」的停用,需要修改 “vpn_server.config” 档,且停用后,SecureNAT 里的 “静态路由表” 功能会无法使用,会跳出此免费版本无法使用此功能的相关讯息。

 

【用户】
◎ 如果要跟 AD 串,Server 必须加入网域,接着选择 “NT域认证”,之后便会自动以「User Name」栏位与 AD 帐号做比对。
◎ 如果「User Name」栏位与 AD 帐号不同,可以勾选「Specify User Name on Authentication Server」,并于下方输入 AD 帐号。

 

【SecureNAT配置】
◎ 启用 NAT 与 DHCP 功能。
请先确认前面「Local Bridge Setting」功能为停用,否则开启 DHCP 会导致 Server 既有的网段收到此 DHCP Server 派发的 IP。
◎ 在下方「Edit the static routing table to push」加入要让 Client 连的公司内部其他网段。如果要让 Client 端透过 VPN 上网 (互联网),可以加入 0.0.0.0 路由。

 

【已知问题】
◎ 如果关闭「Dynamic DNS Setting」,会导致 SecureNAT 的 static routing table 功能无法使用。
开启 SecureNAT 的 NAT 功能后,Client 端若有使用 SQL 连线 (如 ERP 系统),闲置 40 秒后,该 TCP 连线就会遭 VPN Server drop 掉,原因不明。此问题已有人于 2018 年回报 问题 给官方,但到目前 (2020/07) 仍未解决。

 

【參考連結】

一个响应

  1. 在 Windows Server 安装 OpenVPN Server 并透过 AD (LDAP) 做帐号验证 | 老森常譚 说: |

    […]   之后找到来自日本的 SoftEther VPN,花了些时间研究及建置后,原本以为这套应该可以用了,没想到最后在做测试时,发现 SoftEther VPN 有个 drop SQL 连线的 bug,且网友已经回报 issue 两年了,官方还是没有修正,因此只好忍痛放弃。 SoftEther VPN 的设定方式,可参考【笔记】SoftEther VPN Server 设定。 […]

发表评论

请注意:: 评论审核已启用,可能会耽误您的评论. 有没有必要重新提交您的评论.