Теория
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5

Практика
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5
Часть 6

Руководство
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5
Часть 6
Часть 7
Часть 8
Часть 9
Часть 10
Часть 11

О Проекте
О SoftEther VPN
Спецификация
Вопрос-ответ
Соглашение
Лицензия

Практическое применение (Часть 5).

Протоколы VPN на основе IPsec, разработанные в 1990-х годах, сейчас устарели. VPN на основе IPsec не предназначались для работы через межсетевые экраны, NAT`ы или прокси-серверы. В отличие от VPN на основе IPsec, SoftEther VPN разрабатывался для работы через любые межсетевые экраны. Кроме того, для SoftEther VPN не требуются дорогостоящие устройства Cisco или другие аппаратные устройства. Сегодня вы можете заменить Cisco или OpenVPN на SoftEther VPN.

5.1. Замена Cisco или других аппаратных VPN

Cisco, Juniper или другие аппаратные IPsec VPN дороги в настройке и управлении. Им также не хватает простоты использования и совместимости с брандмауэрами. Заменить их на SoftEther VPN очень просто, потому что SoftEther VPN также имеет функцию L2TP/IPsec VPN, которая аналогична такой же функции в Cisco.

 

5.2. Замена OpenVPN

Вы все еще используете OpenVPN? SoftEther VPN обладает большими возможностями, лучшей производительностью и легко настраиваемыми инструментами управления на основе графического интерфейса. SoftEther VPN также имеет функцию клон OpenVPN сервера, так что любые OpenVPN клиенты, включая iPhone и Android, могут легко подключаться к SoftEther VPN.

5.3. Проходит через брандмауэр по SSL-VPN

Возникли проблемы с устаревшими продуктами VPN на базе IPsec? Замените его на SoftEther VPN. Протокол SoftEther VPN основан на HTTPS, поэтому почти все виды брандмауэров пропускают пакеты SoftEther VPN.

SoftEther VPN можно использовать, где угодно

Скорее всего вы не можете использовать устаревшие протоколы VPN на основе IPsec из гостиничного номера или через Wi-Fi. Причина проста. Брандмауэры публичных сетей часто фильтруют протоколы IPsec VPN.
В отличие от традиционных VPN, SoftEther VPN основан на SSL-VPN. Технически это HTTPS (HTTP через SSL). HTTPS может проходить через любые виды межсетевых экранов, которые запрещают VPN на основе IPsec.

 

 

 

Ваш сетевой администратор не решается назначить вам глобальный IP-адрес? У вашей компании есть брандмауэр на границе между корпоративной сетью и интернетом? Не волнуйтесь. SoftEther VPN имеет мощную функцию проникновения за сильно-ограничивающие корпоративные брандмауэры.

5.4. Динамический DNS и обход NAT`а

В отличие от устаревшей VPN на основе IPsec, даже если в вашей корпоративной сети нет статического глобального IP-адреса, вы всё равно можете настроить стабильный SoftEther VPN-сервер в ней.

Принципы

Традиционные устаревшие VPN требуют статического и глобального IP-адреса для VPN-сервера. IP-адрес должен быть доступен из Интернета. Однако статический глобальный IP-адрес очень дорогой. За него нужно платить ежемесячно. Это также создает некоторую угрозу безопасности, поскольку ваш VPN-сервер должен быть общедоступен из Интернета.
У SoftEther VPN есть решение. SoftEther VPN сервер имеет встроенные функции динамического DNS и обхода NAT`а. Статические и даже глобальные IP-адреса больше не требуются для работы VPN-сервера. SoftEther VPN-сервер может быть настроен с частным IP-адресом и находиться за NAT`ом.

Динамический DNS

Функция Динамического DNS назначает всемирное уникальное доменное имя вашему SoftEther VPN серверу. Если IP-адрес SoftEther VPN сервера внезапно изменится, IP-адрес, который зарегистрирован на динамическое DNS имя хоста, перепишется немедленно автоматически на новый. Пользователь может указать в VPN-клиенте динамическое DNS-имя хоста VPN-сервера, а не IP-адрес. Таким образом VPN-клиенты и VPN-мосты будут поддерживать постоянное соединения с вашим SoftEther VPN сервером, даже если сервер подключен к Интернету без глобального статического IP-адреса.

Обход NAT`а

Функция обхода NAT`а позволяет проникает через брандмауэры или NAT`ы. Эта технология почти такая же, как для обхода NAT`а в Skype, но функция обхода NAT`а в SoftSther VPN более оптимизирована для VPN использования.
Устаревшие IPsec VPN или OpenVPN серверы не могут быть размещены за NAT`ом, поскольку VPN-клиенты должны непосредственно подключаться к VPN-серверу через Интернет. Некоторые NAT`ы позволяют настроить "DMZ" или сделать "проброс порта" для ретрансляции любых пакетов пришедших на внешний IP-адрес NAT`а на ip-адрес внутреннего VPN-сервера. Однако у него есть некоторые проблемы совместимости. Более того, для этого требуется специальное разрешение администратора NAT`а. Если ваш сетевой администратор компании не хочет сотрудничать с вами по этому вопросу, так как он не решается так настроить NAT, опасаясь делать такую “дыру” из Интернета.
В отличие от традиционных VPN, SoftEther VPN сервер может быть настроен в частной сети за NAT`ом. Никакой специальной настройки на NAT устройстве не требуется. Вам не нужно разрешение вашего сетевого администратора NAT`а. Встроенная функция обхода NAT`а открывает «проход/дыру» в NAT`е или брандмауэре. Когда VPN-клиент или VPN-мост пытается подключиться к вашему VPN-серверу за NAT`ом, пакеты подключения будут проходить через эту дыру. Этот проход автоматически создается SoftEther VPN-сервером, поэтому вам не нужно ничего делать с NAT`ом.

5.5. VPN Azure

Если корпоративный брандмауэр сильно-ограничивающий, и функция обхода NAT`а SoftEther VPN не работает правильно, тогда используйте VPN Azure для проникновения через такой брандмауэр.

Служба ретрансляции VPN Azure

Функция NAT Traversal работает с большинством NAT и межсетевых экранов, однако некоторые сильно-ограничивающие межсетевые экраны не могут пропускать пакеты NAT Traversal. В таком случае не сдавайтесь. Вы можете активировать службу ретрансляции VPN Azure в SoftEther VPN. После этого все запросы на VPN подключение от VPN-клиента или VPN-моста будут ретранслироваться через облачные серверы VPN Azure, управляемые проектом SoftEther VPN, бесплатно. VPN Azure - это лучший способ проникнуть через любые межсетевые экраны.
Принцип VPN Azure очень прост. SoftEther VPN-сервер за брандмауэром всегда поддерживает TCP-соединение с сервером ретрансляции VPN Azure. Такое соединение разрешается брандмауэром, потому что соединения происходят изнутри сети в сторону Интернета. Брандмауэр рассматривает пакеты такого соединения как доверенные.
VPN клиент или VPN Мост запрашивает соответствующий сервер ретрансляции VPN Azure для подключения к вашему VPN серверу. Сервер ретрансляции VPN Azure передаёт запрос на подключение к SoftEther VPN серверу. Затем SoftEther VPN Сервер установит VPN-туннель на основе UDP между VPN-сервером и VPN-клиентом (или VPN-мостом). После установления соединения на основе UDP, сервер ретрансляции VPN больше не ретранслирует полезные данные VPN-туннеля.

  © SoftEther Проект