【VPN鯖】SoftEther【OSS】
■ このスレッドは過去ログ倉庫に格納されています
第2世代Corei3とRealtekオンボLANのPCにUbuntu入れてテスト ネット回線の調子に依存してるだろうが、200Mbps切るくらいの速度だな 新規インストールのwin10でドライバーがインストール途中で止まる 再起動後に使える様になりましたが 以下、ログです デバイス ROOT\NET\0000 の開始中に問題が発生しました。 ドライバー名: oem48.inf クラス GUID: {4d36e972-e325-11ce-bfc1-08002be10318} サービス: Neo_VPN 下位フィルター: 上位フィルター: 問題: 0x16 問題の状態: 0x0 https://i.imgur.com/pM17A0M.png https://i.imgur.com/0qyJfSd.png 構成 Microsoft Windows 10 Professional (x64) Build 19041.508 (2004/May 2020 Update) Intel Core i5-10400 ASRock H470 Phantom Gaming 4 RAM 32GB SSD 500GB softether クライアント 4.0 (ver 4.34, Build9745) VPN Client Adapter 4.25.0.9658 Intel ME 14.0, Build 1123, Hot Fix 32 Intel Ethernet Connection I219-V 12.18.9.23 Intel(R) Wireless Bluetooth(R) 21.110.0.3 再起動後は普通にコネクション出来ましたが、メトリック値を手動で変更しないと駄目でした 以前は自動でも問題なかったのですが…… 突然ですまん、SoftEtherが分かる人、もしわかったら教えて欲しい 物理ホストWin10・匿名VPN+仮想ゲストLinux・筑波VPN(SoftEtherベース) *物理ホストは匿名VPNのVPNソフトを利用 *仮想ゲストのネットワーク設定はNAT、 ファイル(TLS)インポートでVPN利用 という構成で繋いだ場合、SoftEther(筑波VPN)側からは、 (匿名VPNのIPだけでなく)生IPも見えるものなの? このスレでは漏れようがないという説が優勢なんだけど、 漏れる説を唱えるひともいて、実は深い層から拾ってるとかあり得るのかなと思って https://lavender.5ch.net/test/read.cgi/download/1597055946/ >>11 いきなりだなあ、悪いことと言われれば悪いことかもしれないけど、 名誉毀損とかを変に問われるのは避けたいよなという話の一環だった 最近はポリコレの流れでスラップや脅しみたいなのも増えてるし それにジャーナリズムや反政府運動なんかを守る必要性についての問題意識もあるよ で、珍しい構成じゃないと思うけど専門家的にはどうなんだろう?と ルーティングテーブルとかで確認しても気配ないし 普通に考えてもSoftEther使っても匿名VPNのIPしか拾えないはずだからさ もし拾えたら、そのことの方が大問題で 筑波やボランティアの政治判断次第で売られちゃうサーバーということになるでしょ SoftEtherVPN日本語フォーラムで聞いてみたら? フォーラムも覗いたけど、運用メインに議論されてて聞ける雰囲気じゃなかったんだよ それにSoftEtherをサーバー運用してるひとなら、ここでも分かることだろうし 技術者に聞けば直ぐに分かる簡単な話だと思ってたんだけど、意外と難しい問題だったのかな? みんな信じて使ってるけど、細部まで把握してる人はほとんどいないと思うよ 悪用を疑われることは理解するけど、VPN Gateが掲げてるのは、 政府の検閲用ファイアウォール回避、IPアドレスの書き換え、暗号化での公衆無線 LAN の安全利用 となっていて、金盾を相手にするくらいだから利用する方も自衛はしたい。 実際、VPN Gateのアナウンスでも、注意すると、 ボランティアの善意を前提としてはいるがログを把握されてることに注意するよう言ってる。 中国を例にするなら、他ならぬ中国政府関係者がVPN Gate自体にサーバーを持つことだって十分にあり得るわけだよ。 https://internet.watch.impress .co.jp/docs/column/shimizu/653642.html おれ自身は過剰な訴訟を回避したいという気持ちからのことだったけど、 そんなこんなの色んな背景で、どうなのかなと考えるのは、別に不思議じゃないと思うんだよね。 で、技術者なら分かるだろうし教えてもらえると有り難い、そういう感じだった。 まじめな話、フォーラムで聞いてみたらいいと思う 中国に限らず日本やアメリカの当局もサーバ提供してる可能性もあるし、 そういうことされたらVPNGateの趣旨であるプライバシーは守られないけど何か追加で対策できる方法ありませんかとか 自分も質問したことあるけど、どんな内容でもわりと親切丁寧に答えてくれるよ >>17 ありがとう サーバ運営してるひとには簡単な話だと思ってたんだけど難しいものなのか その質問のためだけというのも気が引けるけど 自前サーバで試す以外はフォーラムしかないのかもね 合法性なんて国によってまるっきり違う割に、 当局のサーバ提供なんて実際、普通に考えられることだからね 極論、釣りサーバだって設けられるわけで、 リスクのある国から利用する時には、 筑波経由アクセスなら通ることも多いんで 結局、同じようなアクセス方法をするしかないとは思うんだよね フォーラムは考えてみる もし、なにかわかったら教えてもらえるとありがたい 素人なんですが VPN Gate 公開 VPN 中継サーバー一覧 から中継サーバー選択する時 接続方法にTCPとUDPが選べますけどそれぞれ どちらかを選んだときのメリットとデメリットが全然分かりません 「TCP UDP 違い」でググって読んでみてもネット一般の話としては分かるけど VPN Gateで選ぶ場面ではどう関係あるのか分からなくて。 暇な神様簡単にでいいので教えていただけませんかぬ >>20 どっちを選ぼうが全く何のメリットもデメリットもないということですか? つながってさえいるのなら速度もセキュリティとかも全く一緒? 普通ファイアーウォールはTCP通す設定にしてるのでTCP選んどけばいいんだけど、 通らない時にUDPなら通る場合があるからやってみてねってこと 細かい話すればそりゃ違いはあるけど、一般人が気にするレベルの話ではない Androidタブレットで繋ごうとしたら画像のような警告が出て繋げられないんですが…? https://i.imgur.com/qKeAWhT.png root取ってないと駄目って書いてあるじゃん AndroidならClientはOpenVPNかな? >>18 知っていても現況変化のトリガーになりかねない情報を 君に教えてあげる人はまあいないだろう、 とは考えてない風なのが不思議。 ヤマハのクライント用よりこっちのほうが全然よかった プライベートIP回線とsofteatherでVPNサーバーを構成することはできますか? 希望はクライアント側がiOSです。 sstp@windowsならばazure経由でできるのですが、iOSで使いたいのです。 やはり、グローバルIPを有すcloud serverを建てるしかないでしょうか。 なお、先日まで、グローバルIP回線と同環境で、openvpn:443の運用をしていました けしからんSoftEther VPNを作ったら怒られた 登大遊氏のVPN構築ソフトを日本政府が配布停止した理由 新型コロナ対策 NTT 東日本-IPA「シン・テレワークシステム」おもしろ開発秘話 https://logmi.jp/tech/articles/323813 >>30 この人の説明少しおかしいからね 自分で会社のLAN内に設置することにより情シスの手間を削減させるとか 情シスが認めないなら経営層に言えとか VPS上にSoftEther VPNサーバーを立てて、 SecureNatHostGet command - Get Network Interface Setting of Virtual Host of SecureNAT Function Item |Value -----------+----------------- MAC Address|**-**-**-**-**-**-** IP Address |192.168.10.1 Subnet Mask|255.255.255.0 The command completed successfully. DhcpGet command - Get Virtual DHCP Server Function Setting of SecureNAT Function Item |Value -------------------------------+-------------- Use Virtual DHCP Function |Yes Start Distribution Address Band|192.168.10.11 End Distribution Address Band |192.168.10.128 Subnet Mask |255.255.255.0 Lease Limit (Seconds) |259200 Default Gateway Address |192.168.10.1 DNS Server Address 1 |192.168.10.1 DNS Server Address 2 |None Domain Name | Save NAT and DHCP Operation Log|Yes Static Routing Table to Push | The command completed successfully. と設定してるんですが、L2TP/IPsecで接続するとデフォルトゲートウェイが配布されません(空欄になる) クライアントはWindows、Mac、NAS、iOSで試しましたがどれも同じです 配布されるようにするにはどうしたらいいでしょうか 自分はクライアント側の仮想NICにネットワーク設定固定で入れて 鯖のはDHCP使ってないから分かんないな 設定はServerManager使ってる? IPV6プラスに加入したところルーターのVPN機能がなくなってしまっっためノートパソコンにsoftether VPNをインストールして常時起動することでVPNサーバーを構築することができVPNを使用して外出先から自宅のLANに接続できるようになりました。 iPhoneもopenvpnをインストールすることで外出先から自宅のLANに接続できるようになったのですがwolだけが出来なくなりました。 自宅に戻りLANからのwolはできます。 softetherのHPにある知っておくと有益なノウハウの11.2.5にはvpnを構築すればマジックパケットが通るhttps://ja.softether.org/4-docs/1-manual/B/11.2 とあるのですが何か設定があるのでしょうか。 スレ違いでしたら誘導していただけると助かります。 >>39 vpn serverとそこ迄の経路の機器以外の同一ネットワークに居る第三者を叩き起こすという認識でいる? そうです サーバーにしているノートpcではない別のpcを起こそうとしています。 >>41 クライアントからサバまでマジックパケット飛んでるか確認した? >>42 確認しました マジックパケットは届いていませんでした。 pingは通ります。 ルーター辺りでブロックされているのかと思うのですが使用ポートを使用可能ポートに変更、IPV6及びIPV4のパケットフィルターのポート開放等しましたがダメでした。 後出しで申し訳ありませんがルーターはPR400NEです。 また VPNを構築するにあたり https://solomon-review.net/construct-softether-vpn-17/ を参考にさせていただきました。 >>43 VPNサーバーにクライアントから接続してクライアントからマジックパケット流してないの? >>45 外出先からiPhoneでアプリを使用しマジックパケットを流してます。 自宅のLAN内にいる時マジックパケット流すと目的のpcは起きるのですがLAN外で流しても起きません。 どちらもVPNには接続できていてpingは通ります。 VPNに接続できているとはサーバーにクライアントとしてiPhoneを接続しているということです。 >>46 VPNサーバー内でマジックパケット来てるか見たの? >>48 サーバーのpcにWiresharkをインストールしてパケットを監視しましたがopenvpn等VPNのパケットは確認できるもののマジックパケットのパケットは送受信共に確認できません。 VPNのトンネル掘ってその中を通しているのにルーターで弾かれるなんてあるのでしょうか >>49 Wiresharkは自分の内部については全部おえんよきっとね >>50 ただLAN内でマジックパケット流すとサーバーでマジックパケットが確認できます。 WANからのマジックパケットが弾かれているのではと思ってしまいます。 >>52 ローカルエリアとの認識です VPNで接続中はサーバーを必ず経由すると思っているのでマジックパケットもサーバーで観測できると思っていました A→B←Cの形でカスケード、BにL3でLANの3拠点接続を目指してる 各LANにあるルータに他拠点のルーティング入れたが AB間は完璧に繋がるがCが孤立してる LAN CのルータからL3が見えない ソフトイーサ機(ラズパイ)からCのL3は見えるがほかは見えない AとBから同様の事やってもちゃんと全L3が見える 試しにラズパイにルーティングテーブル入れれば そこからだけは他拠点各端末が見えるようになるがLAN同士を繋ぎたいんでソレじゃない LAN C他端末から他拠点pingは ルータCがちゃんとリダイレクト応答をしてくる…それだけ そのラズパイでtcpdumpするとping届いてるけど返してないし 他の通信も中継してくれない AとCで同じことしたつもりなんだが 何を見落としてんだろ俺 しばらく悩んでどこかに書いて一晩寝たら解決するの法則(?)発動させちまっただよ! しかも予想通りの恥ずかしい系のやつだよ(´・ω・`) ググると出てくる、関係しそうないくつかのカーネルパラメータは てんでバラバラだけど関係なかったよ! でもありがと! >>27 「答えがない」答えの意味を理解しないレスだな こんな幼稚なのがやってるのか Windows Server に立てたSoftether に今日15時から突然Apple製品、Ubuntu から繋がらなくなったな 別にある Linux Server の SoftEther には繋がるんだがなあ。 >>60 Windowsで鯖たてるとか自殺願望にもほどがあるだろ。 窓を投げ捨てろ。 2021/08/16 日本の広範囲のグローバル IP の IPsec VPN 装置宛へのサイバー攻撃の注意喚起と「SoftEther VPN」/「PacketiX VPN」への影響を防ぐための設定の確認のお願い・新ビルドのお知らせ https://ja.softether.org/9-about/news/901-210816 あー確かに変にログが沢山出てたわ ホワイトリスト設定のiptables設定するとかしなけりゃならんのかなぁ でも昔スマホとドコモWi-Fiをホワイトリストにして、ビジホとかレストランとかのWi-Fiから 繋がらなくなっちゃったってのがあるしなぁ >>65 IPアドレス指定してアクセスしにきてるんでないの んでUDP4500あたりに繋いでみて、繋がったらブルートフォースとか softetherのデフォ設定に規則性あるのがいけない。 サブドメイン総当たりしてデフォ設定の鯖にID辞書アタックする簡単なスクリプト動かしただけでしょ。 中華VPNの逮捕で、新規に日本のVPNルートにタダ乗りしたいクソ支那の犯行。 うちのSoftEther、別にこの騒動で割られてはいないようだけど、 1日でログが100MBを超えるとかでそれはそれで問題だし、 この際なんでなにか対策したい fail2banの適用を考えてるんだけど、どういうフィルタにすりゃいいのだろう failregex = .*IPsec IKE Session.*(<HOST>:.* というのが一度に30以上来たらiptablesでDROP、とかでいいのかな 見るのは VPNSERVER/server_log/仮想HUB名_年月日.log なのかな fail2banって、日付とかついてログローテートされるファイルを ちゃんと追跡できるのだろうかな >>68 30? 一つで良いだろう。 あとblacklistサーバから定期的2取ってきて合わせて適用しといたら? >>69 一つでBANすると、自分の接続も即BANされることとなろうかと思うが つか出てきてるSoftEtherのログ、何なのだろうな 鍵交換をしてるばかりで、接続エラーとかの認証エラー情報がちっとも出てないように見える >>71 自分のサーバ内部で外から特定の操作で解除出来るようにしとけよ >>71 自分の接続でそくバンって おまえさん何やってるんだ普段 初歩的な質問かもしれないのですが教えて頂けると嬉しいです。 ローカルブリッジを設定しても動作中になっているのですが、DHCPでIPが取得できないです。 また仮想DHCPを利用すれば設定した範囲のIPは配布されるのですがWANはVPNを経由せず元々の回線のグローバルIPになってしまいます。 サーバーはubuntu 20.04.3 クライアントはwindows10proです。 >>76 >>77 ありがとうございます。 後焦ってageてしまいました申し訳ないです。 一応解決しました。 古め(第3世代のcorei7)のノートを使っているんですが、無線だとブリッジに向かないんですね。 一応 ip link setからpromisc onにできたのでそちらを使いたかったのですがどうしてもうまくいかず、有線側をブリッジにするとうまく動作しました。 無線が古く2.4Ghz帯でしかつながらないのでスループットめっちゃ遅いですが・・・ アップデート促されてるけど、ソース弄って証明書認証使えるようになってるから 面倒なんだよなあ Linuxで動かしてますけど認証関係のデータは本体のフォルダと別にあるんですかね? うちのsoftether、勝手にlocalhostアクセスにパスワード設定されたんだが サーバーのアップデートってコンパイルしたフォルダの差し替えで完結するみたいだけど 仮想ハブとかも消えちゃわないの? SoftEther を使って、特定の仮想HUBに繋いだ場合は、特定のマシンとしか通信できないようにできないでしょうか。 いま、社員には外部から接続させて仕事させてますけど、協力会社にも繋いでもらって、ただし一部のサーバにしかアクセスできないようにしたいんです。 >>84 そのサーバーとVPNサーバーにNIC追加して別セグメントを追加すればいいのでは? >>10 この質問って政治的に分からないでもないけど、そこそこの性能があるマシンが二台、遠隔で使える環境でもないと検証出来ないよな >>84 その一部の鯖についての考察のほうがより重要だぞきっと。 踏み台にされて泣くなよ >>10 ちなみに匿名VPNと筑波どっち信じる気? あとDNSキャッシュとか例えばFQDNに追跡等のユニークなの仕込まれてもトレースされない対策などもするきかい? >>88 それは既出で、問題なのはSoftEtherがどの程度の情報を拾ってるのかという単純に技術的な話だろ 分かる人がいないと言うのが本音だろうけど、逆にそれはそれで、その程度でサーバー運用してるのかという感はあるぞ >>17 >中国に限らず日本やアメリカの当局もサーバ提供してる可能性もある >>85 あー、やはりそれですかね。 最初ルーティングでどうにかできないかと思ってましたが、アクセス先ごと別セグメントにすればいいかと思いました。 アクセス先は仮想マシンで、その中にsoftether の仮装NICを足して解決かなあと。 デフォルトゲートウェイの設定さえしなければパケットが漏れないはず‥と考えてました。 週明けに会社で確認してみます。 >>89 問題なのはこんなとこで聞いて答えが出ると思ってるとこだよ 本当に問題なのは、分からないことを分からないと言えないこと 個人レベルにVPN作らせる会社に漏れて困るような情報もなかろうに。 フォーラムでも分からない話はあるからね 開発に近い話となると特に分からないよな 自分とこに下の回線用意して softether建ててみんなに使ってもらって幸せになれよ。他人のと組み合わせればなおよろし。 【悲報】v6プラス、IPアドレスを複数人が共有しているため、誰かが犯罪すると全員の家が家宅捜索されることが判明… [156264876] https://leia.5ch.net/test/read.cgi/poverty/1631398760/ >>95 だからさ、答えは「分からない」だろ 「多段でも生IPが分かる」なら「分かるからやめとけ」で済む話し それともダマで政治犯ホイホイでもやろうというプロジェクトなのか? それならそれでとっくに大騒ぎになってるが聞いたことないわの 信頼も良心も打ち捨てれはプライバシーを守るなんて技術的に不可能なんだよ その程度のことも「分からない」のはサバ管として問題だろ 金曜日から azure の接続が不安定で、今日はまったく繋がらないのだが、皆さんどうですかね Softether.net は繋がるのだが、モバイルルーター経由だと azure じゃないと繋がらないので、非常に困った中です。 >>97 お前アホだろ ホイホイしたらかちはないだろ 泳がせるんだよ そしてお前の持ってるものになんの価値もないと同じようにたいていの人間には何を抜かれても大した事はないんだよ 問題はない >>99 つまりsoftetherでは多段してても生IPもプライバシーも筒抜けですよと ただ泳がせて重要情報をぶっこ抜くために黙ってるだけですよと そう言いたいのかね?すごいプライバシー意識だな ならお前のサーバーを教えろや、アクセスしてやるから生IPを抜いてみな ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.0 2024/04/24 Walang Kapalit ★ | Donguri System Team 5ちゃんねる