关于 SoftEther VPN 的重要声明
2014.11.03
嵌入在本软件的 VPN 通信功能比以往任何时候都要强大。这个强大的 VPN 能力将为您带来巨大的好处。然而,如果你滥用此软件, IT 可能会损害你自己。为了避免这样的风险,本文档为愿意使用本软件的客户公布了重要提示。下面的说明是非常重要的。仔细阅读并理解它。
1. VPN 通信协议
1.1. SoftEther VPN 协议
SoftEther VPN 可以进行 VPN 通信。不同于传统的 VPN 协议, SoftEther VPN 有一个全新设计的 "SoftEther VPN 协议 (SE-VPN 协议)" 的实现。SE-VPN 协议将任何以太网数据包封装进 HTTPS (HTTP over SSL) 连接。因此 SE-VPN 协议可以越过防火墙通信,即使防火墙被网络管理员配置阻止传统的 VPN 数据包。SE-VPN 协议的设计和实施以符合 TLS 1.0 (RFC 5246) 和 HTTPS (RFC 2818)。然面,有时对 RFC 有不同的行为。如果你是一个网络
管理员,要在防火墙上阻止 SE-VPN 协议,你可以在防火墙上采取 "白名单" 策略,来过滤任何在边界上的 TCP 或 UDP 数据包,除了明确允许到特定网站和服务器的数据包。
1.2. NAT 穿透功能
一般来说,如果你使用传统的 VPN 系统,你必须要求网络管理员把 NAT 或防火墙设置为 "打开" 或 "中继" 特定的 TCP 或 UDP 端口。然而,也有需要以某种方式消除网络管理员的这种工作成本。为了满足这种需求, SoftEther VPN 有一个新实施的 "NAT 穿越" 功能。NAT 穿越默认情况下是启用的。一个在 NAT 或防火墙后面、在电脑上运行的 SoftEther VPN 服务器可以接受来自互联网的 VPN 连接,在防火墙或 NAT 上没有任何特殊的配置。如果你想禁用 NAT 穿越功能,修改 SoftEther VPN 服务器上的配置文件 "DisableNatTraversal" 为 "true" 。为了在客户端禁用它,在目标主机添加 "/ tcp" 后缀。
1.3. 动态 DNS 功能
传统的 VPN 系统在 VPN 服务器上需要一个静态全球 IP 地址。鉴于全球 IP 地址的短缺, SoftEther 公司在 SoftEther VPN 服务器上实施了 "动态 DNS 功能" 。动态 DNS 是默认启
用的。动态 DNS 功能通知计算机的当前全球 IP 地址到由 SoftEther 公司操作的动态 DNS 服务器。一个全球唯一主机名 (FQDN) ,如 "abc.softether" ( "ABC" 随每个用户唯一而不同) 将在 VPN 服务器上被指定。如果你告诉一个 VPN 用户这个唯一的主机名,用户可以在 VPN 客户端上将其指定为目标 VPN 服务器的主机名,将能连接到 VPN 服务器。事先无需知道 IP 地址。如果 VPN 服务器的 IP 地址变化了,相关动态 DNS 服务的主机名注册的 IP 地址会自动改变。通过这种机制,不再需要每月向 ISP 缴费的全球静态 IP 地址。您可以使用带动态 IP 地址的、消费者级、廉价的互联网连接,来操作一个企业级的 VPN 系统。如果你想禁用动态 DNS ,把 SoftEther VPN 服务器配置文件中的 "DDnsClient" 指令的 "Disabled" 项目指定为 "true" 。* 中华人民共和国的居民请注意:如果你的 VPN 服务器运行在中华人民共和国, DNS 后缀将被替换为 "sedns" 域名。 "sedns" 域名服务由 "北京大游索易科技有限公司" 拥有和运营的,它是一个中国本地的企业。
1.4. VPN over ICMP / VPN over DNS 功能
如果你想在 SoftEther VPN 客户端 / 网桥和 SoftEther VPN 服务器之间建立一个 VPN 连接,但如果 TCP 和 UDP 数据包被防火墙禁止通过,那么你可以把有效载荷封装进 "ICMP"
(被称为 Ping) 或 "DNS" 数据包。通过使用 ICMP 或 DNS ,即使防火墙或路由器阻止每个 TCP 或 UDP 连接,此功能可以实现 VPN 连接。VPN over ICMP/ VPN over DNS 功能尽可能的设计符合标准 ICMP 和 DNS 规范,但有时也不完全符合他们的行为。因此,一些劣质路由器可能会导致内存溢出或当有很多 ICMP 或 DNS 数据包通过时产生麻烦,这种路由器有时死机或重新启动。它可能会影响在同一网络上的其他用户。为了避免这样的风险,在 VPN 客户端指定的目标主机名上附加后缀 "/tcp" ,禁用 VPN over ICMP / DNS 功能。
1.5. VPN Azure 云服务
如果您的 SoftEther VPN 服务器放置在 NAT 或防火墙后面,由于某种原因,你不能使用 NAT 穿透功能、动态 DNS 功能或 VPN over ICMP/DNS 功能,您可以使用 VPN Azure Clouse 服务。 SoftEther 公司在互联网上运行 VPN Azure 云。VPN 服务器连接到 VPN Azure 云,主机名 "abc.vpnazure" ( "abc" 是一个唯一的主机名) 通过 VPN Azure 云可以被指定连接到 VPN 服务器。实际上,这样的一个主机名指向一个由 SoftEther 公司所操作的云服务器的全球 IP 地址。如果一个 VPN 客户端连接到一个 VPN Azure 主机,那么 VPN Azure 主机转播在 VPN 客户端和 VPN 服务器之间的所有流量。VPN Azure 在默认情况下是禁用的。您可以通过使用 VPN 服务器配置工具很容易地激活它。
1.6. UDP 加速
SoftEther VPN 具有 UDP 加速功能。如果一个 VPN 是由两个站点组成检测到 UDP 通道已建立, UDP 将自动使用。通过此功能, UDP 的吞吐量增加了。如果直接的 UDP 通道已被建立,直接的 UDP 数据包将被使用。但是,如果有一些障碍,如防火墙或 NAT , "UDP 冲孔" 技术将被使用。 "UDP 冲孔" 使用 SoftEther 公司在互联网上操作的云服务器。UDP 加速通过在 VPN 客户端一侧进行设置在任何时候可以被禁用。
2. VPN 软件
2.1. SoftEther VPN 客户端
如果您在 Windows 上使用 SoftEther VPN 客户端,虚拟网络适配器设备驱动程序将安装在 Windows 上。虚拟网络适配器作为一个内核模式驱动程序实施在 Windows 上。驱动程序是数字签名的,由 VeriSign , Inc 所签发的证书,还由 Symantec Corporation (赛门铁克公司) 签署。问你要确保安装驱动程序的一条消息可能会弹出在屏幕上。如果可能的话, SoftEther VPN 客户端可能会响应消息。SoftEther VPN 客户端还优化了在 Windows 上 MMCSS (多媒体类计划程序服务) 的配置。您以后可以撤消 MMCSS 的优化。
2.2. SoftEther VPN 服务器 / 网桥
如果您使用 SoftEther VPN 服务器 / 网桥在 Windows 上的 "本地网桥" 功能,你必须在电脑上安装低级别的以太网数据包处理驱动程序。驱动程序是数字签名的,由 VeriSign , Inc 所签发的证书,还由 Symantec Corporation (赛门铁克公司) 签署。SoftEther VPN 服务器 / 网桥在物理网络适配器本地网桥功能中可以禁用 TCP / IP 卸载特性。在 Windows Vista /2008 或更高版本, VPN 服务器可以注入一个符合 Windows 过滤平台 (WPF) 规范的数据包过滤驱动程序至内核以提供 IPsec 功能。数据包过滤驱动程序将被加载仅当启用 IPsec 功能时。一旦您启用 SoftEther VPN 服务器的 IPsec 功能, Windows 内置的 IPsec 功能将被禁用。在您禁用了 SoftEther VPN 服务器的 IPsec 功能之后,那么 Windows 内置的 IPsec 功能将复苏。为了提供本地桥功能, SoftEther VPN 服务器 / 网桥在操作系统上禁用 TCP / IP 卸载功能。
2.3. 用户模式安装
您可以在 Windows 以 "用户模式" 安装 SoftEther VPN 服务器和 SoftEther VPN 网桥。换句话说,即使你没有 Windows 系统管理员的权限,你可以作为一个普通用户安装 SoftEth
er VPN。用户模式安装将禁用一些功能,但其他大部分功能都能正常工作。因此,例如,雇员可以在办公室网络中的计算机上安装 SoftEther VPN 服务器端,他将能够从他家连接到服务器。为了由用户自己实现这样的系统,在技术观点上无须系统管理员权限。然而,违反公司规定未经授权在计算机上安装软件可能会被视为不受欢迎的行为。如果你是一名雇员属于该公司,该公司的政策禁止安装软件或未经允许进行互联网通信,你必须事先从网络管理员或您公司的总裁获得许可,再安装 SoftEther VPN。如果您以用户模式安装 VPN 服务器 / 网桥,图标将出现在 Windows 任务托盘。如果您觉得该图标妨碍你了,你可以操作将其隐藏。然而,你不能利用此隐藏功能在其他人的电脑上安装 VPN 服务器作为间谍软件。这种行为可能是违反刑法的犯罪。
2.4. 保持活跃功能
默认情况下, SoftEther VPN 服务器和 SoftEther VPN 网桥有保持活跃的功能。此功能的目的是为了维持互连网线路的活跃。该功能定期发送带有随机 - 字节 - 数组 - 有效载荷的 UDP 数据包。此功能为避免移动或拨号连接的自动断开是非常有用的。您可以随时禁用保持活跃功能。
2.5. 卸载
SoftEther VPN 软件的卸载过程将删除所有程序文件。然而,非程序文件 (如程序运行所产生的文件和数据) 将不会被删除。由于技术原因,卸载程序的 exe 和资源文件可能仍然存在。这些剩余的文件决不会影响使用计算机,但是你可以手动删除它。内核模式驱动程序可能不会被删除,但是这样的驱动程序在 Windows 下次启动时不会被加载。您可以使用 Windows 的 "sc" 命令手动删除内核模式驱动程序。
2.6. 安全
你应该在安装后在 SoftEther VPN 服务器 / 网桥设置管理员的密码。如果你没有做到这一点,其他人未经您许可可以访问 SoftEther VPN 服务器 / 网桥,并可以设置密码。这个警告可能也适用于 Linux 版本的 SoftEther VPN 客户端。
2.7. 自动更新通知
Windows 版的 SoftEther VPN 软件有自动更新通知功能。它定期访问 SoftEther 更新服务器检查是否发布了最新版本的软件。如果最新版已发布,通知消息将在屏幕上弹出。为了
达到这个目的,版本、语言设置、您的计算机的 IP 地址、唯一标识符、连接到 VPN 服务器的主机名将被发送到 SoftEther 的更新服务器。任何个人信息将不被发送。默认情况下自动更新通知是启用的,然而你可以在配置屏幕上禁用它。通过 VPN 服务器管理器,设置是否打开或关闭将被单独保存对应每个目标 VPN 服务器。
2.8. 虚拟 NAT 功能
免费个人云服务器虚拟 HUB 在 SoftEther VPN 服务器 / 网桥上有 "虚拟 NAT 功能" 。虚拟 NAT 功能可以通过 VPN 客户端的多个私有 IP 地址共享同一个物理网络上的单一 IP 地址。有两种虚拟 NAT 的操作模式:用户模式和内核模式。在用户模式下运行,虚拟 NAT 共享主操作系统上分配的一个 IP 地址。不同于用户模式,内核模式的操作试图到物理网络上的 DHCP 服务器。如果有两个或以上的物理网络,每个网段上的 DHCP 服务器会被自动连续寻。如果发现 DHCP 服务器,并获取一个 IP 地址, IP 地址将被虚拟 NAT 使用。在这种情况下,作为 DHCP 客户端的 IP 条目将被登记在物理 DHCP 服务器的 IP 池。为了在互连网中和主机进行通信,物理默认网关和 DNS 服务器将被虚拟 NAT 使用。在内核模式的操作中,虚拟 HUB 上有一个运行在物理以太网段上的虚拟 MAC 地址。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论