[轉貼] SoftEther

nox

連上 Virtual HUB 的時候, 不可以從 Virtual HUB 端取得 DHCP 的資訊; 請參照 http://www.softether.com/jp/overview/onepage/ 下方關於 Layer-3 packet filter 的說明.

基本上這個程式有趣的是在於出現的起因, 可以參考看看 [開發日記]. 將這個服務加上固定IP, 其實應用方面真的是非常具有彈性:

ex. 規劃通過  Internet 使固定的兩端 gateway 使用 VPN 作固定服務, 但是各自開出 Virtual HUB 給所有的行動裝置使用 SoftEther 連線; 也就是不管使用者到那, 都可以有效的連繫區網.

對於行動裝置來說, 這可是非常大的突破... 雖然目前只有 WinNT 與 Linux 的環境可用.

[ Last edited by nox on 2004-3-31 at 17:32 ]

nox

修正一些剛提到 Layer-3 packet filter 的錯誤.

不是不能使用 DHCP, 而是因為在一個網段中, 不能有一台以上的 DHCP 伺服; 因為這樣的情況下無法指派 IP 給客戶端, 因此在安全設定上有個選項是 [過濾掉 DHCP 的封包].

但這個選項在 HUB 的設定中是可以設為不針對這個部分作過濾, 也就是如果使用者自己的 HUB 不啟用這個這定的情況下, 其實是可以正常在 SoftEther Virtual LAN Connection 設定 IP 為 DHCP 指派; 只不過可能要作一下 [修復] 這個動作, 才會得到由 DHCP 伺服所提供的 IP 而已.

小弟使用 NB 稍微測試了一下, 發現這個程式還蠻好用的, 只不過因為環境中沒有 WinXP 或 Win2003 的關係, 無法直接建立 Bridge 連結 SoftEther 與 區網 的關係, 只能直接連結建立 Virtual HUB 與 Virtual Card 的機器 ( 小弟可不想區網中每個機器都裝上這個程式, 而且除了 PDC, WorkStation 與 NB 外, 其他機器都不是 M$ 的環境說... ).

不過如果開啟 TSC 的情況下, 其實已經跟身處區網也沒多大差別了. 再加上小弟使用 HiNET ADSL 新啟用的固定 IP, 火牆開個 443 的 port, 再用 natd 把 443 轉向給 Virtual HUB 後... 實在是建議有 NB 的人都該裝這個程式.

nox

一個網段裡可以有兩個以上的 DHCP 伺服器是可以實作, 但最好是不要... 真要這樣處理的情況下, 是否該考慮把網段切開? 而網段與網段間用 Bridge 連結.

當然, BDC 例外; 但這種情況下平時應該不會動作, 所以也不存在同一網段同時有一台以上的 DHCP.

當然, 這只是小弟個人的認知啦...

nox

小弟的想法是 SQUID 之類的 proxy server 需使用者認證; 80 就強制走 proxy, 鎖 目的IP, 443 不開放, 除非申請有必要用到 https. 至於其他的 port 基本上就是不開放的.

其實目前的版本在 session start 時還會送出 SoftEther Protocol, 比較麻煩的還是在於往後版本會使用 https 的標準 get/post 作為起始, 就如同 http://www.softether.com/jp/news/040110.aspx 所說的: 改善現有偽裝成 https 走 443 port, 而以真實 https 的協定方式走 443 port.

不過小弟印象中一個 ip 只能提供一個 https 服務的樣子, 因此是否針對流量異常的 443 目標ip 作檢查? 至於偽裝成其他 port 的話, 基本上應該就比較好分析出來的.

此外, http://www.softether.com/jp/news/040401.aspx 也出現 SoftEther 公司化, 也推出商業版的 SoftEther CA, 而且該公司預計 3 年後年商一億... 看樣子得找其他解決方案了.