softether vpn server установка на ubuntu
softether vpn server установка на ubuntu
SoftEther на Ubuntu: как собрать свой VPN за час
Подробная инструкция: softether vpn server установка на ubuntu без ошибок. Защити трафик, обойди блокировки и избегай утечек — делай сам.
softether vpn server установка на ubuntu — это не просто «ещё один гайд». Это способ взять под контроль свой интернет-трафик, когда доверять нельзя даже провайдеру. В России, где Ростелеком и МТС обязаны хранить метаданные по закону №374-ФЗ, а Telegram или YouTube могут быть недоступны в любой момент, личный сервер становится щитом от цензуры и слежки. Но только если настроить его правильно — без дыр в безопасности и ложного чувства защищённости.
Почему SoftEther? И почему не WireGuard или OpenVPN?
SoftEther VPN — не модный тренд, а зрелое решение с 2013 года от японского исследователя Дайсукэ Фудзимото. Его главная фишка — мультпротокольность: один сервер одновременно поддерживает L2TP/IPsec, OpenVPN, SSTP (для Windows) и собственный высокоскоростной протокол EtherIP. Это критично для пользователей в регионах с DPI (Deep Packet Inspection), как в РФ: если один протокол заблокирован, переключаешься на другой без перезапуска сервера.
WireGuard быстрее — да. OpenVPN надёжнее в аудитах — возможно. Но SoftEther решает другую задачу: универсальность. Ты можешь подключиться с iPhone через L2TP, с Windows ноутбука через SSTP (обходит большинство корпоративных фаерволов), а с Linux-сервера — через собственный протокол со скоростью до 900 Мбит/с на железе среднего класса. При этом всё шифруется AES-256 или RSA-4096. Perfect Forward Secrecy включается в два клика.
Важно: SoftEther — open-source (лицензия Apache 2.0), но официальный сайт softether.org иногда недоступен в РФ. Зеркала и исходники есть на GitHub.
Чего вам НЕ говорят в других гайдах
Большинство инструкций в рунете заканчиваются на «сервер запущен — радуйся». Это опасно. Вот что упускают:
-
Логи по умолчанию включены. SoftEther пишет в
/usr/vpn_server/log/IP-адреса подключений, время сессий и даже имена виртуальных хостов. Если сервер стоит на VPS в юрисдикции 14 Eyes (например, Германия или Нидерланды), эти данные могут быть переданы спецслужбам по запросу. Удаляй логи вручную или настройlogrotateсmaxage 1. -
Нет kill switch «из коробки». Если твой клиент (например, на Android) потеряет связь с сервером, трафик пойдёт напрямую — с реальным IP. Это катастрофа при торрент-загрузках. На стороне клиента нужно настраивать правила iptables или использовать приложения с built-in kill switch (OpenVPN Connect, не все поддерживают SoftEther).
-
Уязвимость к атакам Man-in-the-Middle при SSTP. Протокол SSTP использует сертификаты. Если ты не заменишь самоподписанный сертификат на Let’s Encrypt или не добавишь отпечаток вручную на клиентах, злоумышленник в публичном Wi-Fi может подменить твой сервер.
-
DPI всё равно может распознать трафик. SoftEther маскирует трафик под HTTPS, но не идеально. Роскомнадзор использует поведенческий анализ: если твой «HTTPS» не содержит заголовков браузера, он помечается как подозрительный. Для обхода нужна дополнительная обёртка — например, stunnel или Shadowsocks поверх SoftEther.
-
Бесплатные VPS — ловушка. Хостинги типа FreeVPS.us или некоторые предложения на LowEndTalk часто сканируют трафик. Твой «личный» VPN превращается в источник данных для продажи. Минимальный бюджет — $3–5/мес на Hetzner (Германия) или TimeWeb (РФ, но с риском блокировок).
Подготовка Ubuntu: чистая установка без мусора
Используй Ubuntu Server 22.04 LTS (проверено на июнь 2026). Desktop-версии не подходят — лишние службы = лишние уязвимости.
Обновляем систему
sudo apt update && sudo apt upgrade -y
Устанавливаем зависимости
sudo apt install build-essential zlib1g-dev libncurses5-dev libssl-dev libreadline-dev libpthread-stubs0-dev -y
Отключаем IPv6 (часто вызывает конфликты в SoftEther)
echo 'net.ipv6.conf.all.disable_ipv6 = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
Не используй
ufwвместе с SoftEther! Сервер управляет своим firewall’ом через внутренний механизм. Лучше полностью отключиufw:
sudo ufw disable
Скачивание и компиляция SoftEther
Официальные бинарники для Linux не выпускаются — только исходники. Это плюс: ты точно знаешь, что внутри.
Переходим в домашнюю директорию
cd ~
Скачиваем последний релиз (на июнь 2026 — v4.43)
wget https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/releases/download/v4.43-9787/softether-vpnserver-v4.43-9787-rtm-2023.09.15-linux-x64-64bit.tar.gz
Распаковываем
tar xzvf softether-vpnserver-v4.43-9787-rtm-2023.09.15-linux-x64-64bit.tar.gz
Перемещаем в /usr
sudo mv vpnserver /usr/
Назначаем права
cd /usr/vpnserver
sudo chmod 600 *
sudo chmod 700 vpnserver vpncmd
Теперь запускаем установочный скрипт:
sudo ./vpnserver start
При первом запуске система предложит принять лицензию — жми Enter. Сервер стартует в фоне.
Базовая настройка через vpncmd
SoftEther управляется консольной утилитой vpncmd. Настраивать через веб-интерфейс (SecureNAT) не рекомендуется — он устарел и содержит XSS-уязвимости.
sudo ./vpncmd
Выбираем:
1. Use of VPN Server Administrator mode
Подключаемся к локальному серверу: нажимаем Enter (localhost).
Шаг 1: Создаём администратора
ServerPasswordSet
Укажи сложный пароль (не менее 16 символов). Он нужен для доступа к vpncmd с других машин.
Шаг 2: Создаём виртуальный хаб
Хаб — это аналог VLAN. Все пользователи внутри него видят друг друга.
HubCreate MYHUB
Придумай имя (латиница, без пробелов). Пароль для хаба можно оставить пустым — он не влияет на безопасность.
Шаг 3: Настраиваем локальный мост (Local Bridge)
Это связывает виртуальный хаб с реальным сетевым интерфейсом. Без этого клиенты не получат IP из твоей сети.
Сначала узнаём имя интерфейса:
ip a
Обычно это eth0 или ens3.
Возвращаемся в vpncmd:
BridgeCreate MYHUB /DEVICE:eth0
Альтернатива: использовать SecureNAT (встроенный DHCP/NAT). Но он медленнее и менее гибкий. Локальный мост + внешний DHCP — лучший выбор для скорости.
Шаг 4: Включаем протоколы
По умолчанию работают только SoftEther-клиенты. Чтобы подключаться через OpenVPN или L2TP:
ListenerEnable 443 # Для SSTP и SoftEther
ListenerEnable 1194 # Для OpenVPN
ListenerEnable 500 # Для IPsec (L2TP)
Шаг 5: Генерируем сертификат для SSTP
Без этого Windows будет ругаться на ненадёжное соединение.
ServerCertRegenerate your.domain.com
Если у тебя нет домена, используй IP-адрес сервера. Но лучше купи .xyz за 60 ₽ на Reg.ru и настрой DNS.
Настройка клиентов: как не проиграть в безопасности
Windows (SSTP)
1. Панель управления → Сеть → Создать подключение.
2. Выбери «Подключение к рабочему месту» → «Нет, создать новое».
3. Введи IP или домен сервера.
4. Обязательно в свойствах подключения → Безопасность → Дополнительно → проверь отпечаток сертификата (SHA1). Сравни с тем, что выдал ServerCertGet в vpncmd.
Android/iOS (L2TP/IPsec)
- Имя пользователя: тот, что создашь в хабе (UserCreate).
- PSK (Pre-Shared Key): по умолчанию vpn. Срочно меняй через IPsecSet в vpncmd.
- В настройках Android включи «Блокировать подключение без VPN» — это твой kill switch.
Linux (OpenVPN)
SoftEther генерирует .ovpn-файл:
OpenVpnMakeConfig /PATH:/tmp/myhub.ovpn /HUB:MYHUB /PROTOCOL:tcp
Импортируй его в NetworkManager. Убедись, что в файле есть remote-cert-tls server — иначе возможен MITM.
Диагностика утечек: проверь, пока не поздно
Даже идеально настроенный VPN может «протекать»:
-
DNS-утечки: зайди на ipleak.net. Если видишь IP провайдера — настрой DNS через
vpncmd:
Hub MYHUB SecureNatEnable SecureNatHostSet /START:192.168.30.10 /END:192.168.30.200 /MASK:255.255.255.0 /GW:192.168.30.1 /DNS1:8.8.8.8 /DNS2:77.88.8.8
Используй Яндекс.DNS (77.88.8.8) для обхода блокировок. -
WebRTC-утечки: в Chrome/Edge открой browserleaks.com/webrtc. Если показывает реальный IP — отключи WebRTC в настройках браузера или используй Firefox с
media.peerconnection.enabled = false. -
IPv6-утечки: даже если отключил IPv6 в системе, некоторые приложения (например, Telegram Desktop) могут использовать его. Проверь на test-ipv6.com.
Сравнение self-hosted решений: SoftEther против альтернатив
| Критерий | SoftEther на Ubuntu | WireGuard на Ubuntu | OpenVPN на Ubuntu | Бесплатный VPN (Hola, Betternet) |
|---|---|---|---|---|
| Скорость (на 100 Мбит/с канале) | 85–95 Мбит/с | 95–98 Мбит/с | 70–80 Мбит/с | 5–20 Мбит/с |
| Поддержка протоколов | 4+ (L2TP, SSTP, OpenVPN, EtherIP) | 1 (собственный) | 1 (OpenVPN) | 1 (часто проприетарный) |
| Обход DPI в РФ | Высокая (маскировка под HTTPS) | Средняя (UDP легко детектится) | Низкая (без obfsproxy) | Нулевая (блокируется мгновенно) |
| Юрисдикция | Твоя (VPS) | Твоя (VPS) | Твоя (VPS) | США/Израиль (14 Eyes) |
| Логирование | Только если не удалишь | Нет (ядерный модуль) | Только в логах, если включено | Полное (продажа данных) |
| Цена (месяц) | От 250 ₽ (TimeWeb) | От 250 ₽ | От 250 ₽ | «Бесплатно» (платишь данными) |
Бесплатные сервисы — не VPN, а ботнеты. Hola в 2019 году продавал трафик для DDoS-атак. Betternet в 2021 слил 37 млн записей пользователей.
Реальные сценарии использования в РФ
-
Журналист в командировке
Подключается через SSTP к своему SoftEther-серверу в Германии. Все материалы уходят зашифрованными, провайдер в отеле видит только трафик к Microsoft (SSTP маскируется под Windows Update). -
IT-специалист в кафе
Использует Android с L2TP и включённым kill switch. Даже если Wi-Fi отвалится, торрент-клиент не начнёт раздавать с реального IP. -
Обход блокировки YouTube
Сервер в Финляндии + DNS через Яндекс. Видео грузится без прокси, потому что весь трафик идёт через туннель. -
Корпоративная защита для фрилансера
Создаёт отдельный хаб для каждого клиента. Один проект — один изолированный сегмент. Никаких пересечений данных. -
Защита от слежки Ростелекома
Провайдер видит только зашифрованный трафик к одному IP. Метаданные (какие сайты, сколько трафика) — недоступны.
Вывод
softether vpn server установка на ubuntu — это не просто техническое упражнение. Это осознанный выбор в пользу контроля над собственным цифровым пространством в условиях российской реальности. Да, потребуется час времени и 250 ₽ в месяц. Но ты получишь то, что не дают даже дорогие коммерческие VPN: уверенность, что твои данные не продаются, не логируются и не передаются третьим лицам по первому требованию. Главное — не останавливайся на «сервер запущен». Отключи логи, настрой сертификаты, проверь утечки и включи kill switch на клиентах. Только так softether vpn server установка на ubuntu станет настоящим инструментом защиты, а не иллюзией приватности.
VPN замедляет интернет на сколько реально?
На self-hosted SoftEther с хорошим VPS (Hetzner, TimeWeb) потеря скорости — 5–15%. На 100 Мбит/с канале получишь 85–95 Мбит/с. Бесплатные VPN режут до 10% от исходной скорости.
Меня найдёт спецслужба при использовании VPN?
Если сервер стоит в РФ — да, по запросу. Если в юрисдикции 14 Eyes — тоже, но дольше. Если в Швейцарии или на Сейшелах — маловероятно, но не невозможно. SoftEther не даёт анонимности — только конфиденциальность трафика.
WireGuard или OpenVPN — что безопаснее?
WireGuard проще и быстрее, но использует статические ключи — если их украсть, весь трафик расшифруют. OpenVPN с PFS (Perfect Forward Secrecy) генерирует новые ключи каждые N минут. Для максимальной безопасности в SoftEther используй OpenVPN поверх TLS 1.3.
Можно ли использовать SoftEther для торрентов?
Да, но только если VPS-провайдер разрешает P2P (Hetzner — да, DigitalOcean — нет). Обязательно настрой kill switch на клиенте, иначе при обрыве раздача пойдёт с реального IP — это риск блокировки аккаунта провайдера.
Нужен ли домен для SoftEther?
Не обязателен, но крайне желателен. Без домена SSTP в Windows будет выдавать предупреждение о ненадёжном сертификате. Домен .xyz стоит 60 ₽/год и решает проблему.
Что делать, если Роскомнадзор заблокировал IP моего VPS?
Купи новый VPS у другого провайдера (лучше вне РФ). Используй динамический DNS или Cloudflare Tunnel, чтобы не менять IP в клиентах. SoftEther позволяет быстро перенести конфигурацию: скопируй папку /usr/vpnserver на новый сервер.
One thing I liked here is the focus on common login issues. The structure helps you find answers quickly.