установка softether vpn server ubuntu

установка softether vpn server ubuntu

SoftEther на Ubuntu: установка сервера без рисков

Подробный гайд: установка softether vpn server ubuntu — настройка с нуля, защита от утечек и советы по безопасности для пользователей из России.

Установка softether vpn server ubuntu — задача, с которой сталкиваются системные администраторы, фрилансеры и даже продвинутые пользователи, стремящиеся контролировать свой трафик. В отличие от коммерческих VPN-сервисов, собственный сервер даёт полную прозрачность: вы сами решаете, какие протоколы использовать, как шифровать данные и куда направлять логи (или не вести их вовсе). Но именно эта свобода порождает скрытые риски: неправильная конфигурация может свести на нет все усилия по защите. В этом материале — не просто пошаговая инструкция, а глубокий разбор того, как сделать SoftEther действительно безопасным на Ubuntu 22.04 LTS, с учётом реалий российского интернета: DPI от провайдеров, блокировок Роскомнадзора и особенностей локального законодательства.

Почему SoftEther? И почему это не всегда хорошо

SoftEther — один из немногих open-source VPN-движков, поддерживающих сразу несколько протоколов: SSL-VPN (через HTTPS), L2TP/IPsec, OpenVPN и даже собственный EtherIP. Это делает его гибким инструментом для обхода блокировок: если провайдер «душит» OpenVPN через DPI, можно переключиться на SSL-туннель, маскирующийся под обычный трафик к сайту. Однако открытый исходный код не гарантирует безопасность по умолчанию. По умолчанию SoftEther:

• хранит пароли администратора в открытом виде в конфигурационных файлах;
• не включает автоматическую ротацию сертификатов;
• использует устаревшие шифры (например, 3DES) в некоторых режимах L2TP;
• не имеет встроенного kill switch — при обрыве соединения трафик пойдёт напрямую.

Это не баги, а особенности архитектуры. Их можно исправить — но только если знать, где копать.

Чего вам НЕ говорят в других гайдах

Большинство руководств по «установке softether vpn server ubuntu» заканчиваются на запуске службы. Они умалчивают о трёх критических моментах:

1. Юрисдикция и логирование.
   Даже если вы развернули сервер на VPS в Германии, ваш хостинг-провайдер может быть обязан хранить метаданные (время подключения, IP-адреса, объём трафика) по требованию местных органов. В странах «14 Eyes» (включая Германию) такие запросы обрабатываются в рамках международного сотрудничества. Если вы используете сервер для обхода блокировок в РФ, помните: сам факт использования может быть расценён как нарушение, если контент запрещён на территории России. Технически вы можете это сделать — юридически это рискованно.

2. Поддельные утечки и «прозрачные» kill switch.
   Многие пользователи проверяют утечки через ipleak.net и видят только свой серверный IP — и успокаиваются. Но DNS-запросы могут уходить через локальный резолвер, особенно если в клиенте не прописан block-outside-dns. WebRTC в браузере — ещё один канал утечки реального IP. А «kill switch» в SoftEther Manager — лишь интерфейсная галочка: она не блокирует весь трафик на уровне ядра при падении туннеля. Без правил iptables ваше устройство продолжит работать в открытом интернете.

3. Бесплатные клиенты и фрод.
   Существуют «официальные» клиенты SoftEther в магазинах приложений, которые на самом деле перенаправляют трафик через приватные серверы разработчиков. Исходный код клиента открыт, но сборки — нет. В 2023 году исследователи обнаружили, что одна из таких сборок для Android внедряла рекламный SDK, собирающий MAC-адрес и список установленных приложений. Всегда скачивайте бинарники только с официального сайта.

   🔐Защити свои данные

Подготовка системы: не просто apt install

Перед установкой SoftEther на Ubuntu 22.04 выполните эти шаги — они сэкономят часы отладки:

Обновление системы
sudo apt update && sudo apt upgrade -y

Установка зависимостей
sudo apt install build-essential libssl-dev libreadline-dev libncurses5-dev zlib1g-dev -y

Отключение cloud-init (если используется VPS)
sudo touch /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
echo "network: {config: disabled}" | sudo tee /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg

Настройка hostname (обязательно!)
sudo hostnamectl set-hostname vpn.example.local
echo "127.0.0.1 vpn.example.local" | sudo tee -a /etc/hosts

Почему hostname важен? SoftEther генерирует самоподписанный сертификат при первом запуске, и в нём будет указано имя хоста. Если оно localhost или IP-адрес, клиенты будут получать предупреждения о недоверенном сертификате. Лучше сразу задать осмысленное имя.

Теперь скачиваем и компилируем SoftEther:

cd /tmp
wget https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/releases/download/v4.44-9889-rtm/softether-vpnserver-v4.44-9889-rtm-linux-x64-64bit.tar.gz
tar xzf softether-vpnserver-v4.44-9889-rtm-linux-x64-64bit.tar.gz
sudo mv vpnserver /usr/local/
sudo chown root:root /usr/local/vpnserver
sudo chmod 755 /usr/local/vpnserver
sudo chmod 600 /usr/local/vpnserver/*

Запускаем впервые вручную, чтобы принять лицензионное соглашение:

cd /usr/local/vpnserver
sudo ./vpnserver start

После этого останавливаем и создаём systemd-юнит:

sudo ./vpnserver stop

sudo tee /etc/systemd/system/vpnserver.service <<EOF
[Unit]
Description=SoftEther VPN Server
After=network.target

[Service]
Type=forking
ExecStart=/usr/local/vpnserver/vpnserver start
ExecStop=/usr/local/vpnserver/vpnserver stop
Restart=on-failure
User=root
WorkingDirectory=/usr/local/vpnserver

[Install]
WantedBy=multi-user.target
EOF

sudo systemctl daemon-reload
sudo systemctl enable --now vpnserver

Безопасная конфигурация через vpncmd

Теперь настраиваем сервер. Используем командную утилиту vpncmd, а не графический менеджер — так надёжнее и безопаснее.

/usr/local/vpnserver/vpncmd

Выбираем 1. Management of VPN Server or gateway, указываем localhost, затем имя сервера (например, VPN_SERVER).

Основные команды:

ServerPasswordSet          # Установить пароль администратора сервера
HubCreate SECURE_HUB       # Создать виртуальный хаб
Hub SECURE_HUB
SecureNatEnable            # Включить встроенный NAT/DHCP (удобно для клиентов)
UserCreate user1 /GROUP:none /REALNAME:user1 /NOTE:"VPN user"
UserPasswordSet user1      # Задать пароль пользователю
BridgeDisable              # Отключить bridge — он небезопасен без VLAN
IPsecEnable /L2TP:yes /L2TPRAW:no /ETHERIP:no /PSK:your_strong_psk_here

Ключевые моменты:

• Используйте отдельный хаб (SECURE_HUB) вместо DEFAULT. Это изолирует пользователей.
• Отключите EtherIP и L2TP без IPsec — они передают данные без шифрования.
• Pre-Shared Key (PSK) для IPsec должен быть не менее 20 символов, случайным. Не используйте 12345678.
• Не включайте SSTP, если не нужен доступ из Windows без клиента — он использует SSL 3.0 по умолчанию, что уязвимо к POODLE.

Для OpenVPN-совместимости:

ListenerCreate 1194
OpenVpnEnable yes /PORTS:1194
OpenVpnMakeConfig /PATH:/root/openvpn_config.zip

Распакуйте архив и замените в .ovpn-файле:
- proto udp → proto tcp (лучше проходит DPI);
- добавьте cipher AES-256-GCM;
- добавьте block-outside-dns (для Windows).

Защита от утечек: iptables, DNS и WebRTC

Даже идеально настроенный SoftEther не спасёт, если система «просачивает» трафик. Настройте правила:

Блокировка всего, кроме туннеля
sudo iptables -P OUTPUT DROP
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -o vpn_vpn -j ACCEPT  # имя интерфейса SoftEther
sudo iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT  # только если DNS через сервер

Для DNS используйте DoT или DoH на стороне клиента, либо настройте dnsmasq на сервере с форвардом на 1.1.1.1 или 8.8.8.8.

WebRTC в Chrome и Firefox можно отключить:
- В Chrome: chrome://flags/#enable-webrtc → Disable non-proxied UDP.
- В Firefox: about:config → media.peerconnection.enabled = false.

Проверяйте утечки на browserleaks.com/webrtc и ipleak.net.

Сравнение: собственный SoftEther против коммерческих VPN

Как видно, собственный сервер дешевле и гибче, но требует технических знаний. Бесплатные сервисы вроде Hola — это не VPN, а P2P-прокси: ваш трафик идёт через устройства других пользователей, а ваш компьютер может раздавать чужой трафик без вашего ведома.

Сценарии использования в реалиях РФ

1. Обход блокировок Telegram и YouTube.
   Провайдеры Ростелеком и МТС используют DPI для анализа SNI в TLS-запросах. SoftEther в режиме SSL-VPN маскируется под обычное HTTPS-соединение к cloudflare.com или google.com. Для этого в клиенте укажите Hostname как www.google.com — трафик будет идти через ваш сервер, но выглядеть как легитимный.

2. Безопасность в публичных Wi-Fi.
   В кофейне или аэропорту злоумышленник может запустить атаку Man-in-the-Middle. SoftEther с включённым IPsec и сертификатной аутентификацией предотвращает перехват данных. Главное — не игнорировать предупреждения о смене сертификата.

3. Торренты и P2P.
   Если вы используете торренты, убедитесь, что:

   Технологии будущего🤖
4. включен NAT в SoftEther (SecureNatEnable);
5. клиент настроен на использование только интерфейса vpn_vpn;
6. включен kill switch через iptables.

Но помните: распространение пиратского контента в РФ — административное правонарушение. Технически вы можете скрыть IP, но это не отменяет ответственность.

1. Корпоративный доступ к внутренним ресурсам.
   SoftEther позволяет создавать L3-туннель между офисами. Используйте отдельный хаб с двухфакторной аутентификацией (через RADIUS или LDAP) и ограничьте маршруты через Access List.

FAQ

VPN замедляет интернет — на сколько реально?

На хорошем VPS с 1 Гбит/с портом и процессором без throttling (например, Hetzner AX41) SoftEther даёт 85–95% от исходной скорости. При использовании TCP вместо UDP потеря может быть до 30% из-за double encapsulation. Для торрентов лучше использовать L2TP/IPsec с AES-NI — тогда просадка не более 10%.

📖Свобода информации

Меня найдёт спецслужба при использовании своего VPN?

Если вы используете VPS за границей и не оставляете цифровых следов (логин через Tor, оплата криптой), установить личность сложно. Но если вы подключаетесь с домашнего IP к своему серверу, провайдер видит это соединение. В рамках уголовного дела суд может запросить данные у хостинга. Анонимность — это цепочка: слабое звено в любом месте её рушит.

WireGuard или OpenVPN — что безопаснее в SoftEther?

SoftEther не поддерживает WireGuard. Он эмулирует OpenVPN-клиент, но использует собственный протокол. Реально безопаснее встроенный SSL-VPN: он работает поверх TLS 1.3 с Perfect Forward Secrecy и не имеет известных уязвимостей. OpenVPN в SoftEther ограничен — нет поддержки tls-crypt и некоторых современных шифров.

Нужно ли обновлять SoftEther вручную?

Да. SoftEther не обновляется через apt. Следите за релизами на GitHub. Перед обновлением остановите службу, замените бинарники в /usr/local/vpnserver и запустите снова. Конфигурация сохраняется в vpn_server.config.

Технологии будущего🤖

Можно ли использовать SoftEther на роутере с OpenWrt?

Теоретически — да, но SoftEther требует много RAM (минимум 128 МБ). На большинстве роутеров это нереально. Лучше поднять сервер на VPS, а на роутере настроить OpenVPN-клиент, подключающийся к вашему SoftEther.

Что делать, если после настройки нет интернета у клиента?

Проверьте: 1) включён ли SecureNAT; 2) есть ли маршрут по умолчанию в хабе (в SoftEther Manager → Virtual Hub → Routing Table); 3) не блокирует ли UFW на сервере трафик. Команда `ip route show table all` на клиенте покажет, через какой интерфейс идёт трафик.

Вывод

Установка softether vpn server ubuntu — это не просто копипаста команд из интернета, а осознанный выбор архитектуры безопасности. Вы получаете максимальный контроль, но берёте на себя ответственность за каждую настройку: от шифрования и DNS до защиты от DPI и утечек WebRTC. В условиях российской цензуры и активного применения технологий глубокого анализа трафика такой подход оправдан — при условии, что вы готовы регулярно обновлять сервер, проверять логи и тестировать устойчивость к утечкам. Если же вам нужен «всё-в-одном» без риска ошибиться — лучше выбрать проверенный коммерческий VPN с аудитами и прозрачной no-log политикой. Но если вы технически подкованы и цените автономию — SoftEther на Ubuntu остаётся одним из самых мощных решений для создания собственного защищённого канала связи.