用Softether搭建梯子教程

文章内图片来自网络,侵删

留下一些原理性问题,后续有时间再补:

1.什么是VPN?

2.搭建VPN有什么用?

搭建准备:

硬件:

一台有公网的服务器(centos7系统)
开放端口
端口 协议类型
DNS 53 TCP+UDP
443 TCP+UDP
500 UDP
992 TCP+UDP
1194 TCP+UDP
1700-1701 UDP
4500 UDP
5555 TCP+UDP

不同情况不同分析

软件:

1.softether安装包

官方最新:https://www.softether-download.com/cn.aspx?product=softether

吾人所用:VPN Client Pro_v1.01.20_mod_apkdone.com

2.softether服务管理端

吾人所用:softether-vpnserver_vpnbridge-v4.38-9760-rtm-2021.08.17-windows-x86_x64-intel

3.安卓连接端

安卓10以上,10以下用手机自带的,实测老是断,实用性不大

VPN Client Pro_v1.01.20_mod_apkdone.com

服务端搭建:

1.创建并进入目录

mkdir /root/openvpn && cd /root/openvpn

2.将下载好的softether安装包放入目录中并解压

tar -zxvf xxx.tar.gz

3.进入vpnserver并编译

cd vpnserver && make

4.启动vpn服务

./vpnserver start

5.配置vpn

./vpncmd

输入命令后会弹出对话框,第一个选1然后回车(服务管理),其他的直接按回车就行,中间可能会让你创建密码,按要求创建即可。

6.设置管理员密码

ServerPasswordSe

7.设置开机启动

vi /etc/rc.d/rc.local

添加一行代码如下

/root/openvpn/vpnserver start

添加可执行权限

chmod +x /etc/rc.d/rc.local

8.重置服务端端口

打开SoftEther VPN Server 管理工具
v2-df3cf8dffb1b07e423c995a1a6439eb0_720w

又因为默认的5555端口是Android设备adb服务的默认监听端口,并且一些物联网设置是基于Android,所以会遭受企图攻击物联网设备的无辜攻击。所以,建议把SoftEther VPN Server端口更改为其他端口,比如5500。创建端口5500:

SoftEther VPN Server 管理工具中,用新的端口配置并登录到服务器:

v2-f3b794ae911f77285c5090269c3785c2_720w

登录后,关闭5555端口:

v2-ce6f6f98d732dd5040295c70da15ed6c_720w

服务端配置:

1.安装SoftEther VPN Server 管理工具

安装软件部分选择第一个,其他的点击下一步即可。
word-image-17

2.配置

在1处输入你的名称,在2处输入你服务器的IP地址,在3处输入刚刚你在服务器上设置的管理密码,完成后,点击确定按钮。

word-image-24

接下选择你刚刚配置的服务器,点击“连接”来连接服务器。

word-image-25

连接成功后,我们选择高级配置,后面我们手动处理,再点“关闭”按钮即可。

为了支持更多,我们选择“是”。

word-image-27

我们要启用L2TP,以支持MAC系统,并在IPsec预共享密钥处输入你将来在MAC下连接使用的密码,完成后,点击“确定”按钮。

word-image-28

在弹出的提示里选择“否”即可。

word-image-29

接下来我们开始管理虚拟HUB,操作如下图所示。

word-image-30

我们新建立一个用户,将来用来客户端的连接。

word-image-31

在1个选择“新建”来创建用户,在2处输入用户名,在3处选择“密码验证”,在4处输入用户登录密码,输入完成后,点击“确定”按钮确定完成。word-image-32

接下来设置虚拟NAT和DHCP服务器(这个地方的注意事项写在了本文的后面,大家可以参考)。

word-image-33

接下来启用安全NAT,选择“启用SecureNAT”项后,在弹出的界面中选择“确定”,如下图所示。

word-image-34

接下来设置安全NAT。

word-image-35

要修改DNS服务器址,这一步非常重要,决定你能不能作为梯子来翻墙,如下图所示。

word-image-36

3.查看DNS地址

那么问题来了,这个DNS服务器地址为什么是这个呢,这是因为这个是你服务的DNS所以还要我们到服务器中查看一下DNS的地址。

# 查看DNS地址
cat /etc/resolv.conf

此时服务器端的配置基本完成,接下来我们就可以使用各种客户端连接服务器了。

Win10进行客户端配置:

本例以Win10为例,进行连接测试。在系统的开始菜单处,选择设置按钮。

word-image-38

选择“网络和Internet”项。

word-image-39

选择左侧的“VPN”项。word-image-40

选择“添加VPN连接”项。

word-image-41

在1处选择“Windows(内置)”,在2处输入你的名称,在3处输入你服务器的地址,在4处选择你的VPN类型,在5处输入预设共享密钥,这个在前面输入的,在6处理选择“用户名和密码”登录的类型,在7处输入你的之前创建的用户名,在8处输入你用户名应用的密码,确认无误后,点击“保存”按钮保存状态。

word-image-42

特殊说明

SecureNAT与本地虚拟网桥不能同时启用。因为他们有不同的用处,下拉来分别对应路径中的位置说明:

(1)SecureNAT位置在,管理虚拟HUB(A) -> 虚拟NAT和虚拟DHCP服务器,这里可以启用与禁用,它的作用是客户端连接服务器时会通过DHCP来获得一个新地址,应用场景是作为梯子使用,客户端与服务器处于一个子网环境中,需要给客户端配置DNS,这也是之前说重要的部分,需要给客户端配置服务器所使用的DNS,如果不配置或配置错误,会导致你不能上网,而只能与服务器连接。

(2)本地虚拟网桥位置在主界面中的“本地网桥设置”中,正常情况下,我们选择虚拟HUB后,并选择物理网卡,创建后即可用,应用场景是作为内网穿透使用,在这种环境下,客户端连接服务器后,相当于客户端加入到服务器的局域网中,所以适用于穿透。那么问题来了,他不能上网吗?当然可以,如果你的服务器能直接连接外网,并且局域网中能够给客户端一个IP,也是可以用来作为梯子使用,但目前云服务器IP匮乏,厂商不可能再给你一个IP就是给你IP也是他们内网的IP,而这个IP大多数是不能直接连网的,所以这种方案适用于穿透(如果穿透,大家需要启用“VPN Azure设置”中启用“启用 VPN Azure”,这个是免费的,你能得到一个xxx.vpnazure.net的二级域名,在互联网上,你就可以通过这个访问企业内网了)。

参考文章,侵删:

centos 7安装Softether,并实战电脑终端、手机终端连接VPN - 知乎 - 蒋兆岩

SoftEther安装配置教程 - CSDN - 一只陨落的C设计者