[轉貼] SoftEther

阿輝

去年年底，日本不少IT媒體都報導了一個免費軟體的公開。
這是築波大學一年級學生登游大自編的軟體，名叫SoftEther。
此軟體簡而言之，就是模擬乙太網卡的工作順序，甚至可以模擬HUB功能
使用tunnel特性，實現VPN的功能。
使得系統把此軟體完全無礙的識別成一塊網路卡

有了這個東西，可以不再買VPN 路由器，而實現從Internet訪問自家LAN的目標

主要實現思路是：
1）在OSI Level2(資料鏈路層)上軟體模擬網路通訊，把物理層的通訊內容封包到TCP Package裡去(軟體模擬Ethernet)
2）把自己的通訊包變成SSL Session，用HTTPS傳輸協定穿越Internet，甚至混過Firewall（128bit RC4）

然而，此後沒兩天，日本信息處理事業協會（IPA，負責日本Internet運營管理/安全的機構）就要求這個築波大學學生停止公開此程序，理由自然也很簡單：有了這個東西，可以毫不誇張地說，所有的Firewall保護下的LAN都要面臨重大的安全性挑戰了，因為只要局內網中有一台機器通過此軟體虛擬成LAN網路卡，就可以通過Internet毫無障礙地訪問局內網........恐怖

上述實現思路中，第一條並不能成為合法的罪名
只有第二條，成為勉好的借口。

但禁令維持了僅有三四天，IPA就不得不同意此人再次公開下載的主頁。

經歷了這麼一場風波，SoftEther名氣更大。
有興趣的朋友不妨下載一個玩玩

安裝這個，需要你有LAN的管理權。
比如自己家的LAN，就可以安上一個，來實現從Internet訪問自家Server的功能；
而服務機構的LAN，就那個那個啥了.

下載位址：
http://www.softether.com/jp/download/
是不是還有人沒明白這東西的劃時代意義啊？呵呵

再來通俗的介紹一下吧！

這東西說白了，就是用來打破一般用的那些防火牆限制的東西。
使局內網和Internet可以相互自由訪問

直接舉幾個例子來說吧！

比如你的公司有防火牆，只能http/https出去，外面的人無論是FTP也好，TELNET也好，都別想進到你們公司的局內網裡面來，更別指望能找到你的機器接續了。
所以，回了家想要從家裡的寬帶上操作辦公室的電腦，就是不可能的，對吧？

但有了這個東西，我們來看看如何把這種「mission impossible」變為可能！

1）在自己的電腦上安裝這個軟體，然後再定義一個虛擬HUB，定義上用戶/密碼，並把家裡這台機器掛上Internet位址

2）在辦公室的電腦上安裝這個軟體，然後接續家裡的虛擬HUB，這個軟體就成了一枚動態的（Runtime）虛擬網路卡。

3）從自己家裡就可以訪問這台辦公室的機器拉（走的是HTTPS傳輸協定，看到的是LAN）

如果你還不甘心，還要貪婪地想要從家裡連接辦公室別的網路資源，也好說，在辦公室那台你自己的電腦上，把辦公室的物理LAN和step 3）接好的那個虛擬網路卡所在LAN之間架設網路橋接（bridge），就可以從家裡一直訪問到辦公室所有資源啦！

這bridge，在WinXP/Win2K3都是有內裝功能的。可惜Win2K稍微麻煩一些.....

補充一件重要的事情！

這個軟體裝好後，在HUB管理畫面裡，可以看到一個預設的「通用HUB」
這個虛擬HUB，就是設在築波大學的

有了這個，你就可以驗證自己的安裝是否成功；

但我奉勸大家試驗連接這個之前，千萬千萬要慎重：
因為世界所有人裝上這個軟體，都會有接續這個虛擬HUB的傾向；如果你也接上去，就已經和成百上千的人同在一個LAN下了！！（據我看，那個虛擬LAN裡，一直保持著至少有三五十台機器.....）
小心遭到黑客攻擊哦！

不過，有了這麼一台虛擬HUB，這個軟體的另一個功能也就發揮出來了：你所受限制的任何internet傳輸協定，經由這個虛擬HUB，都不再受限制......

1）比如你所在的公司，不許使用QQ，只要接上這個虛擬HUB，就立即能用了，呵呵呵

2）又比如你所在的國家地區，有啥不能訪問的網站，都不用擔心訪問不了了，呵呵呵

1）和2），都是通過HTTPS封包走出去/走進來的，所以你那裡的網路只要能通過HTTPS傳輸協定，就可以搞定！

我試過，用它，可以突破限制的IP位址。
我的qq的IP也成了日本的了。

建議各位在打號修正檔漏洞之後安裝使用此軟體。因為你已經把你的機器放到了一個網際網路範圍的區域網路內。
安全第一。
我裝上試了。預設連線到了日本的這個預設的虛擬hub。然後從網路芳鄰中發現自己處在了一個大區域網路內……

阿輝

1.0 版也出了
應該結束 beta 了

今天有空也把它給裝了起來
真是好物啊

因為阿輝家中有簡單防火牆，因此在學校不能再有 NAT 的情況下連家中 FTP
而是裝了 SoftEther 就解決了

這樣連線 FTP 甚至比原先透過實體 IP 連過去速度還快... 真是讚啊

當然危險性的確應該也蠻多的，好一把兩面刃吧

阿輝

Originally posted by 西瓜太郎 at 2004-5-14 11:18 AM:
有沒有辦法選擇要從哪一條線路連出去阿??

連出去@@?

以這個軟體的目的我很難理解這個問題

阿輝

Originally posted by ccjui at 2004-5-15 09:54 PM:
我想西瓜太郎的意思是
程式執行時
可不可以指定由真實網卡或虛擬網卡連出去

例如公司可以上網
可是擋住MSN
那可以指定MSN執行時由softether出去嗎?

這個就是不是 SofrEther 的問題了
變成程式/OS 要支援頻寬合併

不過變通的作法是將公司連回家中的電腦上網變成便有限制

公司  -- (SoftEther) --> 家中 (開啟連線分享)

這樣子就可以利用家中沒有設限的網路來上網

阿輝

這個不是設一下virtual host就OK了嗎？

no 還是不行
在部分的 Firewall (例如我用的) 如果兩方都在  NAT 後
可以連線但是無法正確取得目錄資料，會停調
也就是要兩邊至少有一邊沒有在 NAT 下 (當然是 client 端)
而透過  SoftEther 則可以規避這個問題

完全不設virtual host的話，兩個NAT下的主機應該還是沒辦法通的吧？

只要有一台 "SoftEther" 開啟 Hub 並開  7777 port
下面所有的機器都不需要開，哪管是虛擬 IP 也沒關係
因為全部都透過 SoftEther 當區網了

有點難解釋，不過實際上實在是強大

簡單來說只要有一台有實體 IP 可以開 port 對應的機器當  Hub
所有其他連過去的機器就可以互通有無

阿輝

Originally posted by Kevin ^_^y at 2004-5-16 12:11 AM:
可以,但是要用設定Proxy(HTTP/Socks Proxy)的方式,去改變每個應用程式的設定.

可以說明一下方式嗎?
應該是不行的吧

這樣的話不是可以透過一台機器連接兩台網路 ?
單純設定 proxy 的方式走的線路是同一條吧 @@?

其實結果效果可以是差不多的
不過等於用 Proxy 的方式還要多弄一台 Proxy Server

透過 SoftEther 走網路分享等於是整個網路都換線了 @@~

==============================================

以阿輝在做管理方面的話
SoftEther 還有個好處，不用讓過多的  Port 直接暴露出來
除了必要的 80 /25 port 等 web 服務之外，只要開 SoftEther 7777 的 port
目前看來 SoftEther 安全加密不錯
這樣只要開一個  7777 port 而不用開一堆管理用 Port 多增加危險性

不然以往都還要開... 遠端遙控、Telnet、Mail 管理、FTP.... 開一拖拉庫
現在都不用

透過 SoftEther 就可以解決
蠻奇怪的是，光連 FTP 部分的話，比走標準 Port 速度反應還要快   =''=