SoftEther VPN
SoftEther VPN belirtkesi | |
SoftEther VPN Sunucu Yöneticisi Ekran Görüntüsü | |
Orijinal yazar(lar) | Tsukuba Üniversitesi SoftEther VPN Projesi |
---|---|
Geliştirici(ler) | Daiyuu Nobori, Tetsuo Sugiyama, Takao Ito, Christopher Smith, Mei Sharie Ann Yamaguchi and other contributors.[1] |
İlk yayınlanma | 4 Ocak 2014 |
Geliştirme durumu | Etkin |
Programlama dili | C ve C++ |
İşletim sistemi | Windows, Linux, Mac OS X, FreeBSD, Solaris, iOS, Android |
Platform | Çapraz platform |
Erişilebilirlik | İngilizce, Japonca ve Basitleştirilmiş Çince [2] |
Tür | VPN |
Lisans | GPL v2 [3] |
Resmî sitesi |
softether.org vpngate.net |
SoftEther VPN Tsukuba Üniversitesi'nden Daiyuu Nobori'nin yüksek lisans tezi araştırması kapsamında geliştirilen ücretsiz bir açık kaynak kodlu, çapraz platform, çoklu protokol destekli VPN çözümüdür. Böyle bir SSL VPN, L2TP/IPsec, OpenVPN ve Microsoft Güvenli Yuva Tünel Protokolü gibi VPN iletişim kuralları tek bir VPN sunucusundan verilmektedir. 4 Ocak 2014 tarihinde GPLv2 lisansını kullanarak serbest bırakıldı.
SoftEther VPN mimarisi güvenlik duvarı nüfuzu için tasarlanmıştır. NAT geçişi için destek sağlanır, mümkün kılınan bir örgütlenmenin ya da hükümetin güvenlik duvarının arkasında bir VPN sunucusu kurmaktır. Derin paket inceleme gerçekleştiren Güvenlik duvarları HTTPS bağlantısını kamufle etmek için kullanılır, çünkü bir VPN tüneli olarak SoftEther VPN taşıma paketlerini algılayamaz.
Verim eniyilemesi SoftEther VPN için başka bir amaç olmuştur. Tam Ethernet çerçevesi kullanımını azaltarak hafıza kopyalama işlemleri, koşutlu iletim ve kümeleme gibi stratejiler kullanmaktadır. Birlikte bu verimi artırırken normalde VPN bağlantıları ile ilişkili gecikmeyi azaltabilir.
Birlikte çalışabilirlik
VPN Sunucusu ve VPN Köprüsü Windows, Linux, Mac OS X (ama 10.9.x değil), FreeBSD ve Solaris işletim sistemlerini destekler. SoftEther VPN kendi VPN protokolü ile aynı zamanda OpenVPN ile uyumludur, Microsoft Güvenli Yuva Tünel Protokolü (SSTP), SSL VPN, EtherIP, L2TPv3 ve IPsec gibi VPN protokollerini destekler. iOS, Android ve Windows Phone çalıştıran taşınabilir cihazlar L2TP/IPsec ile desteklenmektedir. Diğer VPN protokollerini destekleyen VPN istemcileri ve uç noktaları da kullanılabilir; bunlar Cisco, Juniper, Linksys (DD-WRT ile), Asus ve diğerleri gibi şirketlerin yönlendiricilerini geniş bir yelpazede içerir.
VPN Sunucusu
SoftEther VPN Sunucusu (VPN Server) dinleme için VPN sunucusu işlevini uygulamaktadır ve birkaç VPN iletişim kuralı ile VPN İstemci veya VPN Köprüsü bağlantılarını kabul eder.
Bir VPN Sunucu, çeşitli Sanal Hub'lar ve Sanal Katman-3 Anahtarları olabilir. Sanal Hub'ın fiziksel bir Ethernet anahtarı gibi tam katman-2 Ethernet paket-anahtarlama işlevleri vardır. Ayrıca, bir Sanal Hub, Sanal Hub üzerinden paketleri filtrelemek ve IP paket filtresi girişlerini tanımlamak için yapılandırılabilir. Fiziksel bir yönlendirici, katman-3 IP statik yönlendirme işlevleri gibidir ve bir Sanal Katman-3'e geçer. Bir VPN Sunucusunun yerel köprüleri olabilir. Yerel köprü, fiziksel Ethernet ağ bağdaştırıcısı ve bir Sanal Hub arasındaki katman-2 paket anahtarlamalı yapıdır. Yönetici, Sanal Hub ve uzaktan erişimli VPN sunucusu veya site-to-site VPN sunucusu oluşturmak için mevcut kurumsal ağ arasında bir yerel köprüyü tanımlar.
VPN İstemcisi
SoftEther VPN İstemcisi (VPN Client) bir Ethernet ağ bağdaştırıcısının sanallaştırılmış işlevi olan bir VPN istemcisi programıdır. Yüklü SoftEther VPN istemcisi ile bir bilgisayar VPN Server ile VPN bağlantısı kurar. VPN Sunucusu gibi L2TP/IPsec veya MS-SSTP VPN gibi birden fazla VPN iletişim kuralı için destekli olduğundan VPN kullanıcıları istemci bilgisayarlara SoftEther VPN İstemcisini yükleme gerekliliğinde değildir. Bir kullanıcı VPN sunucusuna bağlanmak için L2TP/IPsec veya MS-SSTP VPN kullandığında, işletim sistemine yerleşik VPN istemci programları VPN Sunucusuna bir VPN kurmak için kullanılabilir. Ancak, SoftEther VPN İstemcisi OS yerleşik VPN istemcileri gibi daha fazla gelişmiş işlevlere sahiptir (örneğin daha detaylı VPN iletişim ayarları). SoftEther VPN Sunucusunun tam bir başarım açığından yararlanabilmesi için her istemci bilgisayar üzerinde SoftEther VPN İstemcisinin yüklemesi tavsiye edilir.
VPN Köprüsü
SoftEther VPN Köprüsü (VPN Bridge) site-to-site VPN (iki ağı bağlayan) oluşturmak için gerekli bir VPN programıdır. Bir site-to-site VPN ağı kurmak için, sistem yöneticisi merkezi sitede SoftEther VPN sunucusunu yüklemek için vardır ve bir veya daha fazla uzak sitede SoftEther VPN Köprüsü kurmak zorundadır. VPN Köprüsü kademeli dizi bağlantısı ile merkezi VPN Sunucuna bağlanır. Bir kademeli dizi bağlantısına benzer, ancak iki fiziksel Ethernet anahtarı arasında bir sanallaştırılmış uplink bağlantısıdır (çapraz kablo bağlantısı).
Windows için VPN Sunucu Yöneticisi
GUI Aracı (GUI Tool) SoftEther VPN Sunucusu ve SoftEther VPN Köprüsü için yönetim aracıdır. Bu WINE ile hem Windows hem de Linux üzerinde çalışan bir programdır. Bir sistem yöneticisi onun dizüstü bilgisayarında GUI Aracını yükler ve uygulama için uzak VPN Sunucusu veya VPN Köprüsü bağlantısı yapar. Bağlantı bir SSL oturumu tarafından yapılır ve yönetim komutları SSL üzerinden RPC olarak taşınmaktadır.
VPN Komut Satırı Yönetici Programı
vpncmd SoftEther VPN Sunucusunun, İstemcisi ve Köprüsü için CUI yönetim aracıdır. Her desteklenen işletim sistemleri konsolları üzerinde çalışan bir programdır. Bir kullanıcının WINE ile Windows veya Linux kullanması mümkün olduğunda, kullanıcı başkaca VPN programları yönetmek için vpncmd kullanabilir. vpncmd ayrıca Sanal Hub üzerinde birçok kullanıcı oluşturma veya VPN Sunucu üzerinde birçok Sanal Hub oluşturma gibi bu tür birçok toplu işlem yürütmek için kullanışlıdır.
Mimarisi[4]
SoftEther VPN mimarisinin bazı kısımları kendine özgü geleneksel IPsec tabanlı VPN sistemlerinden farklıdır.
Sanal Hub
Sanal Hub yazılım benzetilmiş sanal Ethernet anahtarıdır. Bu öğrenen programdır ve içinde kendi yönlendirme veritabanı tablosunu tutar. Geleneksel fiziksel Ethernet anahtarları donanım tarafından bu işlevi uygulamakta iken, SoftEther VPN yazılımı tarafından aynı işlevi uygular. Bir VPN Sunucusu çeşitli Sanal Hub'lardan oluşabilir. Her Sanal Hub yalıtılmıştır. Sanal Hub VPN İstemcileri ve VPN Köprüleri arasındaki iletişimi gerçekleştirmek için aynı anda bağlı VPN oturumları arasında paket anahtarlama gerçekleştirmektedir.
VPN Sunucunun tek bir örneği birkaç Sanal Hub olduğunda, bu Sanal Hub güvenlik için yalıtılmaktadır. Her biri farklı yöneticiden oluşan her muhabir Sanal Hub için temsilci ayrıcalığına sahip olabilir. Sanal Hub için bir yönetici Kullanıcı nesneleri ve ACL'ler tanımlayabilir, bu sadece temsilci Sanal Hub ile sınırlıdır.
Sanal Ağ Bağdaştırıcısı
Sanal ağ bağdaştırıcısı yazılım ile benzetilmiş bir sanal ethernet bağdaştırıcısı olmaktadır. Bir VPN İstemcisi, istemci bilgisayarda birkaç sanal ağ bağdaştırıcısı oluşturabilir. Bir VPN kullanıcısı Sanal Ağ Bağdaştırıcısı ile uzak VPN Sunucusu ve hedef Sanal Hub arasında VPN oturumu kurabilir. VPN oturumu belirlenmiş olmakla birlikte, VPN kullanıcısı Sanal Ağ Bağdaştırıcısı üzerinden uzak VPN ağıyla iletişim kurabilir. O fiziksel bir sanki Sanal Ağ Bağdaştırıcısı çalışmış gibi herhangi bir uygulama veya işletim sistemi bileşenlerinde herhangi bir değişiklik yapılmadan kullanılabilir.
Sanal Katman-3 Anahtarı
Sanal Katman-3 Anahtarı yazılım ile benzetimi oluşturulmuş sanal IP yönlendiricisidir (virtual IP router). Çeşitli Sanal Katman-3 Anahtarlar tek bir VPN Sunucu örneği üzerinde oluşturulabilir. Sanal Katman-3 Anahtarı Sanal Hub'a bağlı sanal IP arabirimine sahiptir. Aynı zamanda pek çok statik yönlendirme tablosu girdileri vardır.
Sanal Katman-3 Anahtarı büyük ölçekli site-to-site VPN ağı oluşturulmasında yararlıdır. Bir site-to-site VPN ağı yapmanın kolay yolu bilgisayar sayısı çok büyük ise, katman-2 köprü tabanlı VPN kurma olmasına rağmen yayın paketlerinin siteler arası bağlantıları sayısını yüklemek için artacaktır. Bu ölçekleme sorununu önlemek için, VPN yöneticisi Sanal Katman-3 anahtarı ile IP ağlarını yalıtır.
Sanal Hub'lar arasındaki Kademeli Dizi Bağlantısı
Yönetici yerel veya uzak Sanal Hub'lar arasındaki kademeli dizi bağlantısını tanımlayabilir. Kademeli dizi bağlantısı kurulduktan sonra başlangıçta yalıtılmış iki Ethernet kesimleri tek bir Ethernet kesimine birleştirilir. Bu nedenle, kademeli dizi bağlantısı işlevi site-to-site katman-2 Ethernet köprüsü oluşturmak için kullanılır.
Sanal Hub ve Fiziksel Ethernet Bölütü arasında Yerel Köprü
Sanal Hub ve bir Sanal Ağ Bağdaştırıcıları sadece yazılımla-benzetilmiş sanal Ethernet cihazları olduğundan, bu sanal cihazlar aracılığıyla Ethernet paketleri fiziksel Ethernet aygıtlarıyla iletişimi kuramamaktadır. Bu nedenle, sanal ve fiziksel arasında bir köprü, bir uzaktan erişim VPN (ağa bir bilgisayar bağlayıp) veya site-to-site VPN (iki ağı bağlayan) oluşturmak için gereklidir. Bir köprü oluşturmak için, Yerel Köprü işlevi alışverişi Sanal Hub ve fiziksel bir Ethernet ağ bağdaştırıcısı arasındaki Ethernet paketleri tek bir Ethernet bölümü olarak yalıtılan Ethernet bölümlerini birleştirir.
SoftEther VPN Sunucusu üzerinde Yerel Köprü tanımlandıktan sonra, herhangi bir VPN İstemcisi VPN sunucusuna bağlanır ve Yerel Köprü üzerinden tüm mevcut Ethernet cihazları (örneğin sunucu veya ağ donanımları) ile iletişim kurar. Buna uzaktan erişim VPN denir.
Ağ yöneticisi tarafından uzak-site VPN Köprüsü kurulur, VPN Sunucusu ve VPN Köprüsü üzerinde iki Yerel Köprü tanımlanır ve VPN Sunucu ve VPN Köprüsü arasında bir kademeli bağlantı tanımlanır, sonra uzak iki Ethernet bölütü arasında katman-2 doğrudan Ethernet bağlantısı kurulur. Buna site-to-site VPN denir.
Güvenlik Duvarı, Vekil Sunucu ve NAT Saydamlığı
SoftEther VPN'in en önemli özelliklerinden biri de güvenlik duvarları, proxy sunucular ve NAT (Ağ Adresi Dönüştürme) için şeffaflıktır. Bunu yapmak için, SoftEther VPN, SSL VPN ve NAT Traversal'i destekler. SoftEther VPN, VPN tüneli kurmak için HTTPS iletişim kuralını kullanır. HTTPS (HTTP SSL üzerinden) iletişim kuralı hedef olarak, TCP/IP 443 bağlantı noktasını (değişiklik gösterebilir) kullanır.
Çoklu SSL-VPN Tünelleri Paralel İletim İşleyişi
Bir kullanıcı VPN İstemcisi ve VPN Sunucusu arasında SSL-VPN iletişim kuralını seçtiğinde, SoftEther VPN Sunucu ve VPN İstemcisi SSL VPN tüneli verimini artırmak için koşutlu bir aktarım mekanizmasını kullanabilir. Bir kullanıcı 1'den 32'ye kadar eş zamanlı paralel iletim kanallarının sayısını ayarlayabilir. Bir ortamda böyle bir yavaşlama ve geciktirici ağ olarak bu performans ayarlama daha hızlı verime neden olacaktır. Bu işlev etkin olduğunda, mantıksal VPN Oturumu birkaç TCP (HTTPS) bağlantısından oluşacaktır. Tüm paketler optimize modüllerin hesaplamaları ile uygun TCP bağlantılarından birine eklenecektir. Bazı paket kayıpları ile mantıksal VPN Oturumu TCP bağlantısı tespit edilmiş olacak daha sonra yeni bir paket başka sağlıklı VPN bağlantısını kullanacaktır. İşlemede TCP bağlantısını belirlemek için bu hızlı anahtarlama en iyileştirmesi yüksek verime neden olur.
NAT Geçişi
Geleneksel VPN sistemleri, kurum ve internet arasındaki sınırda güvenlik duvarı veya NAT, bir son nokta (TCP veya UDP bağlantı noktası) açmak için kurumun güvenlik duvarı yöneticisine izin için kullanıcı gerektirir. Güvenlik duvarı üzerinde bir uç nokta açmak ve gereğini azaltmak için, SoftEther VPN Sunucusunun NAT Geçiş işlevi (NAT Traversal function) vardır. NAT Geçişi varsayılan olarak etkindir. Sürece etkin olarak, SoftEther VPN, istemci bilgisayarların güvenlik duvarı veya NAT arkasında VPN Sunucusu'na bağlanabilir. Güvenlik duvarı veya NAT üzerinde özel ayarlar gereklidir.
ICMP üzerinden VPN ve DNS üzerinde VPN
Birkaç çok kısıtlı ağ sadece ICMP veya DNS paketlerinin geçmesine izin verir. Böyle bir ağ üzerinde, TCP veya UDP süzülür. Sadece ICMP ve DNS'e izin verilir. Olanaklı çok kısıtlı ağ üzerinden bir SoftEther VPN istemci-sunucu oturumu kurmak için, SoftEther VPN "ICMP üzerinden VPN" ve "DNS üzerinde VPN" işlevi vardır.
Bu işlevin sınırlı bir güvenlik duvarına nüfuz etmesi çok güçlüdür. Tüm VPN paketleri ICMP veya DNS paketleri içine kapsüllenmiş olarak güvenlik duvarı üzerinden iletim için vardır. Alıcı tarafında uç nokta kapsüllenmiş paket, bir iç paketi ayıklar. Bu halka açık Wi-Fi sömürüsü için çok yararlıdır. Bazı halka açık Wi-Fi ile sadece ICMP veya DNS paketlerini iletebilirsiniz. Onlar TCP veya UDP paketlerini süzecektir. Önceden evinizde veya ofisinizde yüklü bir VPN Sunucusu açık havada ilerlemede, böyle sınırlı bir ağı kullanan ücretsiz ağ iletişimi kuralının keyfini çıkarabilirsiniz.
VPN Kapısı
VPN Kapısı (VPN Gate) kullanıcıların VPN sunucularını barındırması için SoftEther kullanan gönüllüler tarafından işletilen ücretsiz bir VPN sunucularına bağlanmaya izin verir SoftEther VPN için bir eklentidir. VPN Kapısı (VPN Gate) Tsukuba Üniversitesi tarafından desteklenmektedir.[5][6]
Ayrıca bakınız
- OpenVPN, bir açık kaynak VPN programı
- UDP delik delme, Güvenlik duvarı/NAT'lanmış ağ düğümleri arasında UDP "bağlantıları" kurulması için bir tekniktir.
- Güvenli Yuva Tünel Protokolü (SSTP) SSL VPN üzerinden PPP uygulanması için Microsoft yöntemi
Kaynaklar
Dış bağlantılar
- SoftEther VPN Projesi internet sitesi
- SoftEther VPN Kullanıcı Forumu
- SoftEther VPN Çevrimiçi Hesap oluşturma
- SoftEther VPN'in açık kaynağa dönüşümünde çoklu iletişim kuralı, Net-security.org tarafından.
- SoftEther VPN'in Açık kaynak olmasında Çoklu İletişim Kuralı, Linux Today tarafından.
|