PALMisLIFE 討論區

標題: [轉貼] SoftEther [列印本頁]

作者: 阿輝    時間: 2004-1-10 19:04
標題: [轉貼] SoftEther
去年年底,日本不少IT媒體都報導了一個免費軟體的公開。
這是築波大學一年級學生登游大自編的軟體,名叫SoftEther。
此軟體簡而言之,就是模擬乙太網卡的工作順序,甚至可以模擬HUB功能
使用tunnel特性,實現VPN的功能。
使得系統把此軟體完全無礙的識別成一塊網路卡

有了這個東西,可以不再買VPN 路由器,而實現從Internet訪問自家LAN的目標

主要實現思路是:
1)在OSI Level2(資料鏈路層)上軟體模擬網路通訊,把物理層的通訊內容封包到TCP Package裡去(軟體模擬Ethernet)
2)把自己的通訊包變成SSL Session,用HTTPS傳輸協定穿越Internet,甚至混過Firewall(128bit RC4)

然而,此後沒兩天,日本信息處理事業協會(IPA,負責日本Internet運營管理/安全的機構)就要求這個築波大學學生停止公開此程序,理由自然也很簡單:有了這個東西,可以毫不誇張地說,所有的Firewall保護下的LAN都要面臨重大的安全性挑戰了,因為只要局內網中有一台機器通過此軟體虛擬成LAN網路卡,就可以通過Internet毫無障礙地訪問局內網........恐怖

上述實現思路中,第一條並不能成為合法的罪名
只有第二條,成為勉好的借口。

但禁令維持了僅有三四天,IPA就不得不同意此人再次公開下載的主頁。

經歷了這麼一場風波,SoftEther名氣更大。
有興趣的朋友不妨下載一個玩玩

安裝這個,需要你有LAN的管理權。
比如自己家的LAN,就可以安上一個,來實現從Internet訪問自家Server的功能;
而服務機構的LAN,就那個那個啥了.

下載位址:
http://www.softether.com/jp/download/
是不是還有人沒明白這東西的劃時代意義啊?呵呵

再來通俗的介紹一下吧!

這東西說白了,就是用來打破一般用的那些防火牆限制的東西。
使局內網和Internet可以相互自由訪問

直接舉幾個例子來說吧!

比如你的公司有防火牆,只能http/https出去,外面的人無論是FTP也好,TELNET也好,都別想進到你們公司的局內網裡面來,更別指望能找到你的機器接續了。
所以,回了家想要從家裡的寬帶上操作辦公室的電腦,就是不可能的,對吧?

但有了這個東西,我們來看看如何把這種「mission impossible」變為可能!

1)在自己的電腦上安裝這個軟體,然後再定義一個虛擬HUB,定義上用戶/密碼,並把家裡這台機器掛上Internet位址

2)在辦公室的電腦上安裝這個軟體,然後接續家裡的虛擬HUB,這個軟體就成了一枚動態的(Runtime)虛擬網路卡。

3)從自己家裡就可以訪問這台辦公室的機器拉(走的是HTTPS傳輸協定,看到的是LAN)

如果你還不甘心,還要貪婪地想要從家裡連接辦公室別的網路資源,也好說,在辦公室那台你自己的電腦上,把辦公室的物理LAN和step 3)接好的那個虛擬網路卡所在LAN之間架設網路橋接(bridge),就可以從家裡一直訪問到辦公室所有資源啦!

這bridge,在WinXP/Win2K3都是有內裝功能的。可惜Win2K稍微麻煩一些.....

補充一件重要的事情!

這個軟體裝好後,在HUB管理畫面裡,可以看到一個預設的「通用HUB」
這個虛擬HUB,就是設在築波大學的

有了這個,你就可以驗證自己的安裝是否成功;

但我奉勸大家試驗連接這個之前,千萬千萬要慎重:
因為世界所有人裝上這個軟體,都會有接續這個虛擬HUB的傾向;如果你也接上去,就已經和成百上千的人同在一個LAN下了!!(據我看,那個虛擬LAN裡,一直保持著至少有三五十台機器.....)
小心遭到黑客攻擊哦!

不過,有了這麼一台虛擬HUB,這個軟體的另一個功能也就發揮出來了:你所受限制的任何internet傳輸協定,經由這個虛擬HUB,都不再受限制......

1)比如你所在的公司,不許使用QQ,只要接上這個虛擬HUB,就立即能用了,呵呵呵

2)又比如你所在的國家地區,有啥不能訪問的網站,都不用擔心訪問不了了,呵呵呵

1)和2),都是通過HTTPS封包走出去/走進來的,所以你那裡的網路只要能通過HTTPS傳輸協定,就可以搞定!

我試過,用它,可以突破限制的IP位址。
我的qq的IP也成了日本的了。

建議各位在打號修正檔漏洞之後安裝使用此軟體。因為你已經把你的機器放到了一個網際網路範圍的區域網路內。
安全第一。
我裝上試了。預設連線到了日本的這個預設的虛擬hub。然後從網路芳鄰中發現自己處在了一個大區域網路內……
作者: 小酒蟲    時間: 2004-1-10 19:14
標題: Re: [轉貼] SoftEther
另一種 VPN?等一下寄給我的 digital security 教授來玩看看。

[ Last edited by 小酒蟲 on 2004-2-1 at 13:18 ]
作者: erictsai    時間: 2004-1-10 19:58
標題: Re: [轉貼] SoftEther
感覺上好像很早就有類似的東西了?!
Tunnel之類的想法,很早之前我曾試過用兩台Appltalk gateway,把兩個大學的AppleTalk網路連接起來。透過這樣的連法,就可以直接透過廣域TCP/IP網路連接兩個非標準TCP/IP通訊協定區域網路了。
VPN之類的東西,不就是把被檔掉的區域網路連接起來嗎?

這個軟體,我想與tunneling不同點只是在「tunnel雙方並不是都在寬域網路上可見(有IP address)」,形式上有點像"reverse proxy"的作法。

在保全的觀念上,永遠都會有「被打洞」的顧慮存在,這個作法之所以為網管人員害怕,可能是因為反向通聯會造成頻寬的使用效率降低吧?

對不起表達不好,外行話太多還請指教。
作者: jamesanna    時間: 2004-1-14 04:34
標題: Re: [轉貼] SoftEther
剛把玩了一下,只有一個字可表示,就是"強".......

決定要把它收納到我的隨身碟,隨身趴趴走了....
作者: gasolin    時間: 2004-2-2 05:12
標題: Re: [轉貼] SoftEther
事實上還是沒有從根本上解決事情,
用各種網路軟體時, 等於繞了一圈增加網路頻寬, 再加上模擬Hub的特性....
作者: Katsuya    時間: 2004-2-2 11:13
標題: Re: [轉貼] SoftEther
Originally posted by gasolin at 2004-2-2 07:12 AM:
事實上還是沒有從根本上解決事情,
用各種網路軟體時, 等於繞了一圈增加網路頻寬, 再加上模擬Hub的特性....

雖然慢了點,但他至少隱藏了你的IP、跳過公司的Firewall!
這樣就解決了一堆事啦! 或許這不是最根本的解決方法,但老闆不會答應你玩Game 或聊天吧?!
作者: wind001    時間: 2004-3-29 01:16
標題: Re: [轉貼] SoftEther
用了softether
好像adsldns的軟體,還是沒辦法使用
如果要同樣位於NAT後面的機器(沒安裝softether)或真實IP的電腦
連到另一NAT後的電腦(已安裝且連線)

也還是沒辦法連線

好像都需要 連到 softhub上面才有辦法行的通
作者: Harvey    時間: 2004-3-31 15:51
標題: Re: [轉貼] SoftEther
這個軟體的特性本來就是這個樣子啊。
利用一個virtual hub把不同網段下的機器集中起來,形成一個虛擬的區網。
這樣倒是蠻方便的,加上有128bit的加密,還算可以用。
不過網管人員真的要開始擔心了,因為這樣防不勝防的軟體,增加管理上的困擾啊。
不過有誰在linux上的virtaul hub可以用的,我這邊是有連上virtual hub可是沒辦法取回DHCP的ip,設定靜態ip也不行。
作者: mfhsieh    時間: 2004-3-31 15:58
標題: Re: [轉貼] SoftEther
我這邊是有連上virtual hub可是沒辦法取回DHCP的ip,設定靜態ip也不行。


我這可以使用 SoftEther ,可正常用 DHCP 及 Static IP。
作者: nox    時間: 2004-3-31 16:52
標題: Re: [轉貼] SoftEther
連上 Virtual HUB 的時候, 不可以從 Virtual HUB 端取得 DHCP 的資訊; 請參照 http://www.softether.com/jp/overview/onepage/ 下方關於 Layer-3 packet filter 的說明.

基本上這個程式有趣的是在於出現的起因, 可以參考看看 [開發日記]. 將這個服務加上固定IP, 其實應用方面真的是非常具有彈性:

ex. 規劃通過  Internet 使固定的兩端 gateway 使用 VPN 作固定服務, 但是各自開出 Virtual HUB 給所有的行動裝置使用 SoftEther 連線; 也就是不管使用者到那, 都可以有效的連繫區網.

對於行動裝置來說, 這可是非常大的突破... 雖然目前只有 WinNT 與 Linux 的環境可用.

[ Last edited by nox on 2004-3-31 at 17:32 ]
作者: Lucian    時間: 2004-3-31 22:29
標題: Re: [轉貼] SoftEther
感覺跟商業用的 SSL VPN 很像,
看起來有比 SSL VPN 強大不少;

這個月我們剛上了一台 F5 FirePass SSL VPN,
讓使用者能在公司外面的環境使用 https/443/SSL 輕而易舉的連回公司使用資源,
基本的是 SSL Tunnel連接,連上後跟公司的網路無異,
另買了一個模組 App Tunnel,直接透過 IE 使用公司的程式,
目前我仍在調整當中。
作者: nox    時間: 2004-4-1 02:29
標題: Re: [轉貼] SoftEther
修正一些剛提到 Layer-3 packet filter 的錯誤.

不是不能使用 DHCP, 而是因為在一個網段中, 不能有一台以上的 DHCP 伺服; 因為這樣的情況下無法指派 IP 給客戶端, 因此在安全設定上有個選項是 [過濾掉 DHCP 的封包].

但這個選項在 HUB 的設定中是可以設為不針對這個部分作過濾, 也就是如果使用者自己的 HUB 不啟用這個這定的情況下, 其實是可以正常在 SoftEther Virtual LAN Connection 設定 IP 為 DHCP 指派; 只不過可能要作一下 [修復] 這個動作, 才會得到由 DHCP 伺服所提供的 IP 而已.

小弟使用 NB 稍微測試了一下, 發現這個程式還蠻好用的, 只不過因為環境中沒有 WinXP 或 Win2003 的關係, 無法直接建立 Bridge 連結 SoftEther 與 區網 的關係, 只能直接連結建立 Virtual HUB 與 Virtual Card 的機器 ( 小弟可不想區網中每個機器都裝上這個程式, 而且除了 PDC, WorkStation 與 NB 外, 其他機器都不是 M$ 的環境說... ).

不過如果開啟 TSC 的情況下, 其實已經跟身處區網也沒多大差別了. 再加上小弟使用 HiNET ADSL 新啟用的固定 IP, 火牆開個 443 的 port, 再用 natd 把 443 轉向給 Virtual HUB 後... 實在是建議有 NB 的人都該裝這個程式.
作者: HUANGLIFU    時間: 2004-4-1 03:39
標題: Re: [轉貼] SoftEther
其實一個網段裡可以有兩個以上的DHCP伺服器啦,只是設定的部分要做一些調整就是了。
作者: nox    時間: 2004-4-1 04:54
標題: Re: [轉貼] SoftEther
一個網段裡可以有兩個以上的 DHCP 伺服器是可以實作, 但最好是不要... 真要這樣處理的情況下, 是否該考慮把網段切開? 而網段與網段間用 Bridge 連結.

當然, BDC 例外; 但這種情況下平時應該不會動作, 所以也不存在同一網段同時有一台以上的 DHCP.

當然, 這只是小弟個人的認知啦...
作者: Lucian    時間: 2004-4-1 21:26
標題: Re: [轉貼] SoftEther
身為 IT 人員,顧慮到資安方面的問題,
一方面覺得這個軟體實在棒,另一方面又怕公司內有人不當使用而IT部門又不知道,
與廠商討論的結果,目前的防火牆完全無法擋,唯有入侵偵測系統有可能可以防範。
作者: nox    時間: 2004-4-1 23:03
標題: Re: [轉貼] SoftEther
小弟的想法是 SQUID 之類的 proxy server 需使用者認證; 80 就強制走 proxy, 鎖 目的IP, 443 不開放, 除非申請有必要用到 https. 至於其他的 port 基本上就是不開放的.

其實目前的版本在 session start 時還會送出 SoftEther Protocol, 比較麻煩的還是在於往後版本會使用 https 的標準 get/post 作為起始, 就如同 http://www.softether.com/jp/news/040110.aspx 所說的: 改善現有偽裝成 https 走 443 port, 而以真實 https 的協定方式走 443 port.

不過小弟印象中一個 ip 只能提供一個 https 服務的樣子, 因此是否針對流量異常的 443 目標ip 作檢查? 至於偽裝成其他 port 的話, 基本上應該就比較好分析出來的.

此外, http://www.softether.com/jp/news/040401.aspx 也出現 SoftEther 公司化, 也推出商業版的 SoftEther CA, 而且該公司預計 3 年後年商一億... 看樣子得找其他解決方案了.
作者: HUANGLIFU    時間: 2004-4-2 00:53
標題: Re: [轉貼] SoftEther
Originally posted by nox at 2004-4-1 04:54:
一個網段裡可以有兩個以上的 DHCP 伺服器是可以實作, 但最好是不要... 真要這樣處理的情況下, 是否該考慮把網段切開? 而網段與網段間用 Bridge 連結.

當然, BDC 例外; 但這種情況下平時應該不會動作, 所以也不存在同一網段同時有一台以上的 DHCP.

當然, 這只是小弟個人的認知啦...


pool切開,基本上就不會有什麼問題,多DHCP還有很多好處,當然,要會用就是了。
作者: star69    時間: 2004-4-16 03:45
標題: Re: [轉貼] SoftEther
http://uniorg.net/viewthread.php?tid=11543#pid61994
這一篇有人提供 雜誌上掃描的 說明與使用教學 應該對你有幫助
作者: mfhsieh    時間: 2004-4-16 04:40
標題: Re: [轉貼] SoftEther
可以請您略為指點一下好嗎?
謝謝^^


細節其實記不是很清楚。

不過主要有幾個重點:

1. 善用 tracert 找出 packet 走的路徑,如果封包沒依預想的路徑走,就改 metric。
2. 如果有裝防火牆之類的軟體,請記得打個通道給 softether。
3. 若要從公司連回家裏再連接 internet,則家裏的機器要把真實網卡及虛擬網卡的兩個網段橋接 (bridge)。
4. 若要從家裏接回公司存取區域網路或網芳,那公司的機器也要把真實網卡及虛擬網卡橋接。
5. 若要把公司的機器開放 service,那家裏的橋接要開通 NAT 來轉接 port。
5. 改過 metric 後,封包都會繞一大圈,記得用 route 改特定 ip 位址的封包路徑,不然有些 ip 位址會到不了。
6. 若要用 DHCP,則在裝 hub 的機器上要啟動 DHCP 的服務。
7. 記得設密碼。.

大概是這樣吧!當初也是一邊試一邊觀察,再一邊改一邊修正,完整的步驟也記不得了。
作者: xChou    時間: 2004-4-16 06:18
標題: Re: [轉貼] SoftEther
公司的NIC2能連上家裡的那個虛擬 HUB
192.168.0.2 PING不到192.168.0.1
192.168.0.1 也PING不到192.168.0.2
二個都己經接上家裡的虛擬 HUB了
就是不能互PING >_<

記得上次同事也有遇到這樣的問題,後來好像是把IP設為
192.168.1.1 & 192.168.1.2就莫名其妙的好了....
作者: taisani    時間: 2004-4-16 07:03
標題: Re: [轉貼] SoftEther
唉~雜誌一出,
我公司某位仁兄就很得意的四處吹捧這套軟體,
姑且不論方不方便,只可以以確定的是~
如果使用者不當利用,遲早會出問題的~~~~

如果裝了對個人生產力沒加成~那就算公司的大傷害吧!!!

這軟體特性讓我聯想到 精X死命想突破保險X的防護往前衝~
作者: erictsai    時間: 2004-4-16 07:50
標題: Re: [轉貼] SoftEther
看來好像反應都是又愛又怕。

要怎麼防範?不要想得太複雜的話,用那種需要登入認證的Proxy server,尤其是M$的challenge and response,大概市面上的proxy tunnel軟體就都不支援了吧。

賤招,大概有點用?有軟體支援ISA的登入嗎?
作者: Lucian    時間: 2004-4-16 07:54
標題: Re: [轉貼] SoftEther
昨天下午一位久未聯絡的台灣製造 IDP的廠商打電話來,
跟他提到了這套軟體,他說前一陣子他也由客戶端知道這套軟體,
也通知他們的工程部馬上研究,據說在一個星期內,
他們這一套自行研發的 IDP 系統已經成功的攔阻 SoftEther,
當時,在我們公司內剛好有另一個網路 SI 系統商,
聽了之後也覺得實在不容易。

聽說(sales說的),此 IDP 以SoftEther 的行為模式來阻擋,
並未因為 128 bits 的加密而看不到它的通訊模式,
有機會的話,在跟他們借測第二次看看。
(第一次在去年,當時還不知道有 SoftEther 這套軟體)

未公布該廠牌,據說這一陣子他們準備發新聞稿,到時候大家就知道了,
在這只透露,該公司由一位清大教授所主持。
作者: alberthk    時間: 2004-4-16 08:51
標題: Re: [轉貼] SoftEther
Originally posted by erictsai at 2004-4-16 07:50 AM:
看來好像反應都是又愛又怕。

要怎麼防範?不要想得太複雜的話,用那種需要登入認證的Proxy server,尤其是M$的challenge and response,大概市面上的proxy tunnel軟體就都不支援了吧。

賤招,大概有點用?有軟體支援ISA的登入嗎?


用 NTLM Proxy 吧,MS 的NTLM 認證在去年就被 NTLM Proxy 解決掉
目前我是用這個在穿過公司的 ISA Server

[ Last edited by alberthk on 2004-4-16 at 08:54 ]
作者: alberthk    時間: 2004-4-16 13:17
標題: Re: [轉貼] SoftEther
Originally posted by pigbaby at 2004-4-16 09:07 AM:

不過這個好像只要遇到是
SNAT+Firewall模式的
就沒有用了說

[ Last edited by pigbaby on 2004-4-16 at 09:20 ]


你是指 softether 還是 NTLM Proxy?
作者: Kevin ^_^y    時間: 2004-4-16 14:02
標題: Re: [轉貼] SoftEther
拿來用在無線網路上使用,剛好可以補強無線網路安全性不足的問題.
如果害怕連上SoftEther Virtual Hub而遭到入侵攻擊,記得將SoftEther虛擬網卡上的防火牆功能啟動.

[ Last edited by Kevin ^_^y on 2004-4-16 at 14:28 ]
作者: taisani    時間: 2004-4-16 14:45
標題: Re: [轉貼] SoftEther
~_~ 今天跟同事談到了反制的軟體可能要出來了,
他老兄倒是憤憤不平的說這是他的權利.......
直囔囔說著,反正是SSL如何又SSL如何~
我真想說:權你XX,萬一有心人從你家溜進公司,那大家的資料不......
作者: Kevin ^_^y    時間: 2004-4-16 15:29
標題: Re: [轉貼] SoftEther
幹IT的人真辛苦,每天都要想辦法堵東堵西的.......
不過其實老實說,內賊比外賊可怕!!

在一般公司的網路上,隨時可能都有人會在公司裡裝封包監聽程式,不管是Hub或是Switch,都可以監聽所有的封包.

[ Last edited by Kevin ^_^y on 2004-4-16 at 15:38 ]
作者: alberthk    時間: 2004-4-19 00:20
標題: Re: [轉貼] SoftEther
Originally posted by Kevin ^_^y at 2004-4-16 03:29 PM:
幹IT的人真辛苦,每天都要想辦法堵東堵西的.......
不過其實老實說,內賊比外賊可怕!!

在一般公司的網路上,隨時可能都有人會在公司裡裝封包監聽程式,不管是Hub或是Switch,都可以監聽所有的封包.

[ Last edited by Kevin ^_^y on 2004-4-16 at 15:38 ]


原則上SWITCH上應該無法監聽所有封包吧
作者: Kevin ^_^y    時間: 2004-4-19 00:27
標題: Re: [轉貼] SoftEther
Originally posted by alberthk at 2004-4-19 00:20:


原則上SWITCH上應該無法監聽所有封包吧


可以的,而且不需要設Mirror Port就可以......常見的方法是利用arp的弱點. (細節不在這多談)
作者: alberthk    時間: 2004-4-19 13:58
標題: Re: [轉貼] SoftEther
Originally posted by Kevin ^_^y at 2004-4-19 12:27 AM:


可以的,而且不需要設Mirror Port就可以......常見的方法是利用arp的弱點. (細節不在這多談)



一般switch不一定有mirror port的設定,使用ARP的特性去報假MAC給SWITCH及Source,但這也只能抓取部份的的封包吧
作者: lifaung    時間: 2004-4-19 15:20
標題: Re: [轉貼] SoftEther
看你在多上游....在最上方建立據點的話,大概誰的都可以抓下來

以前幹網管的時候就是讓自己在最上方的SWITCH上面,就有辦法去弄到所有人的封包
作者: alberthk    時間: 2004-4-20 14:20
標題: Re: [轉貼] SoftEther
Originally posted by lifaung at 2004-4-19 03:20 PM:
看你在多上游....在最上方建立據點的話,大概誰的都可以抓下來

以前幹網管的時候就是讓自己在最上方的SWITCH上面,就有辦法去弄到所有人的封包


如果要抓所有進出公司的封包,最上游就是ROUTER接的那個SWITCH,但除非SWITCH有支援設定類似mirror port的功能,否則依switch的工作原理來說,你還是抓不到封包,否則這個switch的作用就和hub無異了,常見的較平宜的方式是把router接到hub去再接到switch
作者: badch    時間: 2004-4-21 07:37
標題: Re: [轉貼] SoftEther
我想要在公司利用家裡的網路上網,但是經由家裡上網後,雖然成功了,但是MSN卻不能登入,怪怪的,我家裡適用hinet計時制adsl,有可能跟黑洞路由有關嗎
有沒有人也這樣嘗試過啊
作者: Kevin ^_^y    時間: 2004-4-21 09:40
標題: Re: [轉貼] SoftEther
Originally posted by alberthk at 2004-4-20 14:20:


如果要抓所有進出公司的封包,最上游就是ROUTER接的那個SWITCH,但除非SWITCH有支援設定類似mirror port的功能,否則依switch的工作原理來說,你還是抓不到封包,否則這個switch的作用就和hub無異了,常見的較平宜的方式是把router接到hub去再接到switch


一般而言,將Sniffer接在Hub上可以監聽所有封包,將Sniffer接在Switch上可以監聽到想聽的封包. (只需指定要監聽的對象,但不需在Switch上設Mirror Port即可以進行監聽)

大概的原理是利用ARP Spoolfing技術來進行封包監聽. (不想說太多,以免教壞小孩 )
一些Switch硬體廠商也慢慢發現有這個網路安全漏洞,所以也發展出一套反制的技術稱之為Port Security.

[ Last edited by Kevin ^_^y on 2004-4-21 at 09:52 ]
作者: alberthk    時間: 2004-4-21 10:22
標題: Re: [轉貼] SoftEther
Originally posted by Kevin ^_^y at 2004-4-21 09:40 AM:


一般而言,將Sniffer接在Hub上可以監聽所有封包,將Sniffer接在Switch上可以監聽到想聽的封包. (只需指定要監聽的對象,但不需在Switch上設Mirror Port即可以進行監聽)

大概的原理是利用ARP Spoolfing技術來進行封包監聽. (不想說太多,以免教壞小孩 )
一些Switch硬體廠商也慢慢發現有這個網路安全漏洞,所以也發展出一套反制的技術稱之為Port Security.

[ Last edited by Kevin ^_^y on 2004-4-21 at 09:52 ]


ARP Spoofing 已經不算什麼秘密了,會用sniffier去監聽的人大概都知道了
基本就是去騙對方我就是你要找的人(不想說太多,以免教壞小孩 ),收到封包後再轉給真正的人。

Port Security的廠商目前還不多吧
作者: 阿輝    時間: 2004-5-12 05:16
標題: Re: [轉貼] SoftEther
1.0 版也出了
應該結束 beta 了

今天有空也把它給裝了起來
真是好物啊

因為阿輝家中有簡單防火牆,因此在學校不能再有 NAT 的情況下連家中 FTP
而是裝了 SoftEther 就解決了

這樣連線 FTP 甚至比原先透過實體 IP 連過去速度還快... 真是讚啊

當然危險性的確應該也蠻多的,好一把兩面刃吧
作者: 西瓜太郎    時間: 2004-5-14 11:18
標題: Re: [轉貼] SoftEther
有沒有辦法選擇要從哪一條線路連出去阿??
作者: 阿輝    時間: 2004-5-14 14:33
標題: Re: [轉貼] SoftEther
Originally posted by 西瓜太郎 at 2004-5-14 11:18 AM:
有沒有辦法選擇要從哪一條線路連出去阿??


連出去@@?

以這個軟體的目的我很難理解這個問題
作者: ccjui    時間: 2004-5-15 21:54
標題: Re: [轉貼] SoftEther
我想西瓜太郎的意思是
程式執行時
可不可以指定由真實網卡或虛擬網卡連出去

例如公司可以上網
可是擋住MSN
那可以指定MSN執行時由softether出去嗎?
作者: 阿輝    時間: 2004-5-15 21:58
標題: Re: [轉貼] SoftEther
Originally posted by ccjui at 2004-5-15 09:54 PM:
我想西瓜太郎的意思是
程式執行時
可不可以指定由真實網卡或虛擬網卡連出去

例如公司可以上網
可是擋住MSN
那可以指定MSN執行時由softether出去嗎?


這個就是不是 SofrEther 的問題了
變成程式/OS 要支援頻寬合併


不過變通的作法是將公司連回家中的電腦上網變成便有限制

公司  -- (SoftEther) --> 家中 (開啟連線分享)

這樣子就可以利用家中沒有設限的網路來上網
作者: ychao    時間: 2004-5-15 22:47
標題: Re: [轉貼] SoftEther
Originally posted by 阿輝 at 2004-5-12 05:16 AM:
因為阿輝家中有簡單防火牆,因此在學校不能再有 NAT 的情況下連家中 FTP
而是裝了 SoftEther 就解決了

這個不是設一下virtual host就OK了嗎?

這個跟vpn實在很像,不過是走https的port。只是說即使有softether,完全不設virtual host的話,兩個NAT下的主機應該還是沒辦法通的吧?

另外,tsukuba應該是叫『筑波』才對。
作者: Kevin ^_^y    時間: 2004-5-16 00:11
標題: Re: [轉貼] SoftEther
Originally posted by ccjui at 2004-5-15 21:54:
我想西瓜太郎的意思是
程式執行時
可不可以指定由真實網卡或虛擬網卡連出去

例如公司可以上網
可是擋住MSN
那可以指定MSN執行時由softether出去嗎?


可以,但是要用設定Proxy(HTTP/Socks Proxy)的方式,去改變每個應用程式的設定.
作者: 阿輝    時間: 2004-5-16 01:00
標題: Re: [轉貼] SoftEther
這個不是設一下virtual host就OK了嗎?


no 還是不行
在部分的 Firewall (例如我用的) 如果兩方都在  NAT 後
可以連線但是無法正確取得目錄資料,會停調
也就是要兩邊至少有一邊沒有在 NAT 下 (當然是 client 端)
而透過  SoftEther 則可以規避這個問題

完全不設virtual host的話,兩個NAT下的主機應該還是沒辦法通的吧?


只要有一台 "SoftEther" 開啟 Hub 並開  7777 port
下面所有的機器都不需要開,哪管是虛擬 IP 也沒關係
因為全部都透過 SoftEther 當區網了

有點難解釋,不過實際上實在是強大

簡單來說只要有一台有實體 IP 可以開 port 對應的機器當  Hub
所有其他連過去的機器就可以互通有無
作者: 阿輝    時間: 2004-5-16 01:04
標題: Re: [轉貼] SoftEther
Originally posted by Kevin ^_^y at 2004-5-16 12:11 AM:
可以,但是要用設定Proxy(HTTP/Socks Proxy)的方式,去改變每個應用程式的設定.


可以說明一下方式嗎?
應該是不行的吧

這樣的話不是可以透過一台機器連接兩台網路 ?
單純設定 proxy 的方式走的線路是同一條吧 @@?

其實結果效果可以是差不多的
不過等於用 Proxy 的方式還要多弄一台 Proxy Server

透過 SoftEther 走網路分享等於是整個網路都換線了 @@~

==============================================

以阿輝在做管理方面的話
SoftEther 還有個好處,不用讓過多的  Port 直接暴露出來
除了必要的 80 /25 port 等 web 服務之外,只要開 SoftEther 7777 的 port
目前看來 SoftEther 安全加密不錯
這樣只要開一個  7777 port 而不用開一堆管理用 Port 多增加危險性

不然以往都還要開... 遠端遙控、Telnet、Mail 管理、FTP.... 開一拖拉庫
現在都不用

透過 SoftEther 就可以解決
蠻奇怪的是,光連 FTP 部分的話,比走標準 Port 速度反應還要快   =''=
作者: 小耕    時間: 2004-5-25 04:59
標題: Re: [轉貼] SoftEther
Q:可以說明一下方式嗎?
應該是不行的吧

A:他說的是不是這樣啊???

home(adsl 固1)
nic1(實體) (真實ip 123.123.123.123)
nic2 (softether創造)(和home的虛擬 HUB連接中)(192.168.0.1,子網路遮罩255.255.255.0)沒有Gateway沒有NET轉送功能
有虛擬 HUB,有CCPROXY在8080 port

公司
機器(虛擬 IP)
nic1(實體) (虛擬 IP 10.1.7.20)
nic2 (softether創造)(和home的虛擬 HUB連接中)(192.168.0.2,子網路遮罩255.255.255.0)沒有Gateway

這樣可用公司電腦,使用MSN連接一個proxy在192.168.0.1 8080 port上面的proxy服務
然後這樣如果有抓檔不就不會受到家中電腦的上傳限制啦
因為不消耗home電腦上面的上傳,可以直接和外部連接

=======================================================
Q:這樣的話不是可以透過一台機器連接兩台網路 ?
A:不算是吧??


Q:單純設定 proxy 的方式走的線路是同一條吧 @@?
其實結果效果可以是差不多的
不過等於用 Proxy 的方式還要多弄一台 Proxy Server
A:是差不多啊......但是這樣可以決定「要不要」開啟讓特定程式過去
而不是一股腦而往全部往家中的softether送,這樣還能養驢子,FTP啊,不用受限家中的上傳

Q:透過 SoftEther 走網路分享等於是整個網路都換線了 @@~
A:看你怎樣弄了^^

※以上部份文章直接引用別人寫的片段,經過修改後,因為我懶得自己打
請見諒啊.....

如有任何錯誤的地方請多多指正^^
作者: jedij    時間: 2004-5-26 18:03
標題: Re: [轉貼] SoftEther
請問:
家中是中華電信ADSL浮動IP
HUB是否設在公司的PC較好?
(因家中PC的IP不定)

若是如此
怎樣查出公司連接Internet
是Direct connect或經proxy?以及公司對外IP?
我已在公司內的PC設定好HUB及localhost連接
但家中接不過去!
作者: alberthuang    時間: 2004-7-1 16:59
標題: Re: [轉貼] SoftEther
Originally posted by alberthk at 2004-4-16 08:51 AM:


用 NTLM Proxy 吧,MS 的NTLM 認證在去年就被 NTLM Proxy 解決掉
目前我是用這個在穿過公司的 ISA Server

[ Last edited by alberthk on 2004-4-16 at 08:54 ]

哪裡可以試用NTML Proxy這軟體呢?
我目前在大陸工廠,完全無法使用msn message。
能不能指點一下。
作者: yuyudiabo    時間: 2004-7-1 17:52
標題: Re: [轉貼] SoftEther
我在Hub端用ccproxy這個軟體就解決了, 不過要做一些設定
我晚上再把我的做法POST出來好了
作者: jamesanna    時間: 2004-8-6 06:06
標題: Re: [轉貼] SoftEther
Originally posted by 阿輝 at 2004-5-15 21:58:


這個就是不是 SofrEther 的問題了
變成程式/OS 要支援頻寬合併


不過變通的作法是將公司連回家中的電腦上網變成便有限制

公司  -- (SoftEther) --> 家中 (開啟連線分享)

這樣子就可以利用家中沒有設限的網路來上網


是地,小弟目前身在大陸工作,大陸這邊把台灣很多新聞網站鎖住了,
要來之前,已經在家中架好SoftEther HUB,現在都是先連回家中,在連
出去,速度還可以接受,主要是沒有"受限"的感覺真是棒啊。
作者: npc    時間: 2004-8-6 11:38
標題: Re: [轉貼] SoftEther
請教一下,有人試成功過上頭的 Security 功能嬤?!

在 USER ADMINISTRATION 設定內,不管是設定 Limit to 1 IP Address 或是 Limit to 1 MAC Address 都無法正常WORK,也就是任何知道帳號密碼的人都可以隨意登入 >_<

想做到限制一個帳號只能登入一個SESSION,不知道怎麼設定才可以WORK,多多指教了。
作者: andy1100    時間: 2004-10-13 10:22
標題: Re: [轉貼] SoftEther
目前遇到一個問題,家裡的PC是經由BENQ AWL-700當分享器連到網路上。
PC的IP是10.0.0.11

在AWL-700中的虛擬伺服器,設定softether轉換
port no:443
server ip:10.0.11
server port no:443

此時,我在公司,有HTTP PROXY,利用SOFTETHER可以連到家裡的PC,也可以不受公司網路設定的限制上FTP,TELNET。
可是我想要用遠端桌面連回家,公司把PORT鎖起來了,所以當然要經由SOFTETHER。
而在AWL-700上的虛擬伺服器要多一組TS的設定:
port no:3389
server ip:10.0.0.11
server port no:3389

但是先經由SOFTETHER連回PC後,開啟TS,卻無法連TS,不過其他網路功能都可正常無誤的使用。

到朋友家用ADSL,不使用SOFTETHER,直接連回家裡PC卻又可以。
請問設定上出了什麼問題呢?
謝謝。
作者: andy1100    時間: 2005-1-12 18:36
標題: Re: [轉貼] SoftEther
<p>在WIN2K以上可以通過static route的方式作到,不過要下command。我的狀況是這樣: </p><p>公司notebook: LAN IP為10.0.0.3,proxy為10.0.1.1,gateway為10.0.0.1。 softether nic ip為192.168.0.2。 </p><p>家裡pc: adsl nic ip為214.0.0.3,softether nic ip為192.168.0.1,gateway為192.168.0.1。 </p><p /><p>公司可以上msn,是透過proxy。但是只要softether一連上,msn會自動的轉由softether上線。這樣一來如果我跟公司內的同事傳大檔的話,就會經由softether跑回家再傳進公司,所以想可不可以限制msn使用LAN傳輸。在網路上找了一些資料,發現內建的route command可以達到這個功能,不過重開機後要重設一次,我是寫.bat來執行。設定方式如下: </p><p /><p>1.在LAN及softether都連線的狀況下,執行以下commad,來取得nic的編號: route print 會得下類似以下的資訊: </p><p /><p>C:\Documents and Settings\andy&gt;route print =========================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x3 ...54 55 43 44 52 0f ...... Check Point Virtual Network Adapter For SSL Netw ork Extender - Packet Scheduler Miniport 0x5 ...00 09 c5 03 0b 97 ...... Bluetooth LAN Access Server Driver - Packet Sche duler Miniport 0x70002 ...00 ac 7a ec 43 8e ...... SoftEther Virtual LAN Card Adapter - Packet Scheduler Miniport 0x70007 ...00 d0 59 c5 71 00 ...... Intel(R) PRO/100 P Mobile Combo Adapter - Pa cket Scheduler Miniport =========================================================================== =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 172.16.1.254 172.16.167.91 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.16.0.0 255.255.0.0 172.16.167.91 172.16.167.91 20 172.16.167.91 255.255.255.255 127.0.0.1 127.0.0.1 20 172.16.255.255 255.255.255.255 172.16.167.91 172.16.167.91 20 224.0.0.0 240.0.0.0 172.16.167.91 172.16.167.91 20 255.255.255.255 255.255.255.255 172.16.167.91 70002 1 255.255.255.255 255.255.255.255 172.16.167.91 5 1 255.255.255.255 255.255.255.255 172.16.167.91 172.16.167.91 1 255.255.255.255 255.255.255.255 172.16.167.91 3 1 Default Gateway: 172.16.1.254 =========================================================================== Persistent Routes: None </p><p>重點是在Interface List這邊。</p><p>&nbsp;Interface List </p><p><font color="#ff0000">0x1</font>........................... MS TCP Loopback interface <font color="#ff0000"></font></p><p><font color="#ff0000">0x3 </font>...54 55 43 44 52 0f ...... Check Point Virtual Network Adapter For SSL Netw ork Extender - Packet Scheduler Miniport </p><p><font color="#ff0000">0x5</font> ...00 09 c5 03 0b 97 ...... Bluetooth LAN Access Server Driver - Packet Sche duler Miniport </p><p><font color="#ff0000">0x70002</font> ...00 ac 7a ec 43 8e ...... SoftEther Virtual LAN Card Adapter - Packet Scheduler Miniport </p><p><font color="#ff0000">0x70007</font> ...00 d0 59 c5 71 00 ...... Intel(R) PRO/100 P Mobile Combo Adapter - Pa cket Scheduler Miniport </p><p>紅色的部分,就是NIC在系統中的編號。</p><p>現在如果我要MSN都由Intel(R) PRO/100 P Mobile Combo Adapter 進出的話,先得知msn server的ip range約在207.46.0.0這附近,所以使用以下command:</p>route add 207.46.0.0 mask 255.255.0.0 10.0.0.1 metric 1 if <font color="#ff0000">0x70007</font> <p>這個意思是如果網段在207.46.0.0的,由gateway 10.0.0.1出去,用的是<font color="#ff0000">0x70007</font> 這張卡。</p><p /><p>這樣一來,所有網路上的封包,如果是207.46.0.0的話都會走10.0.0.1及<font color="#ff0000">0x70007</font> 來處理。</p><p>成功的話,再打一次route print會出現這一行:</p>207.46.0.0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 255.255.0.0&nbsp;&nbsp;&nbsp;&nbsp; 172.16.1.254&nbsp;&nbsp; 172.16.167.91&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<p /><p>如果要取消,請用以下command:</p><p>route delete 207.46.0.0</p><p /><p /><p /><p>
Originally posted by 西瓜太郎 at 2004-5-14 11:18 AM: 有沒有辦法選擇要從哪一條線路連出去阿??
</p>
作者: tsoua    時間: 2005-6-10 16:27
標題: Re: [轉貼] SoftEther
大家好
我也是用1.0版的
我使用的目的是用來打區網的遊戲
可是滿lag的
我想請問一下是不是在client的編碼方式作選擇會不會有效?
謝謝
作者: s0341969    時間: 2011-11-5 23:24
好久的新聞囉....




歡迎光臨 PALMisLIFE 討論區 (http://pil.tw/) Powered by Discuz! X2.5