openwrt上搭建softetherv@p@n实现远程连接局域网

yyyzt

openwrt上的softether相比于padavan上的在网络设置上比较好，可视化高。本贴介绍如何在openwrt上搭建softether实现远程接入局域网以及通过v@p@ago n上网等功能。

首先先安装softether，openwrt官方软件包已经有相关安装包，可以在软件包安装，lean的openwrt也可以选择集成相关软件，也可以在软件包安装，luci可以选择性安装，只是比较方便控制开关服务器软件。

安装：（已经集成的可以忽略，这样步主要面向openwrt官方固件使用者）
在openwrt中开启ssh并连接到终端
输入  opkg install && opkg install softetherv@p@n   (去掉@，下同）
安装成功后输入
/etc/init.d/softetherv@p@nbridge stop
/etc/init.d/softetherv@p@nbridge disable
/etc/init.d/softetherv@p@nclient stop
/etc/init.d/softetherv@p@nclient disable
/etc/init.d/softetherv@p@nserver enable
/etc/init.d/softetherv@p@nserver restart
因为安装softether后会自动额外安装桥接服务器和客户端，我们只用服务器（server），故禁用桥接服务器和客户端开机运行和结束相关进程，同时开启服务器并设置开机启动。

然后下载安装管理软件
下载地址 http://softether.fishinfo.cn/cn.aspx
下载Softether V@P@N Manager如1.png

然后打开管理软件，点击新设置

然后跟着这个帖子一步一步做，从7做到15步
https://www.right.com.cn/forum/thread-149729-1-1.html

帖子的19步是关闭日志功能，这个功能在路由器上没啥用，会占空间，20步是设置sstp和openv@p@n，可以选择，21步切换算法也可以选择性做。
注意：不要做18-20步，不然会和下面起冲突！


做完上述工作，服务器搭建的差不多了，现在开始配置网络。
还是管理界面，我们点击本地桥接设置，然后，hub选择默认那个，然后下面选择新tap设备桥接，后面的名字随便取，这里记做sf，然后我们点击创建，错误提示忽略。
创建后，在ssh终端输入 ifconfig 可以看到有一个 tap_sf的设备

此时softether设置完毕，下面开始在openwrt luci中设置，我们登录到luci
这里有两条路可以选：
1.直接将v@p@n网段设置与lan网段相同，即直接将tap设备桥接到lan下。
2.额外划分一段网段专门提供给softether使用。

这两种都对实际性能没有太大影响，只是对于喜欢v@p@n网段与内网隔离开的人，2会好些，对于要求低的可以选择1

#########

下面是1的设置，比较简单，直接将tap设备桥接到lan下即可

我们点击网络-接口，选择lan的修改，到物理设置界面，在接口那里勾选tap_sf，然后保存应用即可。
如2.png


#########

下面是2的设置方法

我们进入网络-接口，点击添加新接口，接口名随意，这里设置为v@p@n，这里填sf，协议选静态地址，多接口创建桥接不要勾选，接口选择tap_sf 然后提交
如3.png

进到4.png界面，A填你的v@p@n网关ip，例如192.168.90.1   B选255.255.255.0    C选已禁用或者不管他都行
然后保存
下面的dhcp服务器点击启用，然后保存
点击防火墙设置，选不指定或创建，然后保存并应用。
然后到接口查看状态5.png

接下来到防火墙设置
如图，6.png  点击添加然后如7.png 8.png设置

接下来的步骤非常必要，否则无法上网如9.png##################
在防火墙--自定义规则添加以下内容
iptables -t nat -A POSTROUTING -s 你的网段/24 -j MASQUERADE
假设你的接口设置ip（即4.png A）是192.168.90.1 则网段是192.168.90.0  内容应该填：
iptables -t nat -A POSTROUTING -s 192.168.90.0/24 -j MASQUERADE

然后重启防火墙
##################

上述操作（上面的##内）可能会有静态路由方面的缺陷，有更好的解决方案：
上面的操作就不用了，在V*P*N 防火墙区域把“IP 动态伪装”勾选，重启防火墙即可
重启防火墙命令：/etc/init.d/firewall restart

#########

至此配置完毕

bennyzhou

新建tap比挂接口稳定多了

还有没必要用新的软桥。直接把tap做到br-lan里面和eth0.1和wifi一起桥接就好了。这样你在外面直接可以访问到内网所有资源。

同理防火墙也无需改动。只要开一个992的tcp入站就好

mac007cn

我最近也在搞softether，在家宽搭建server端，在单位搭建client或用l2tp，这样可以穿透单位的深信服！
话说 softether 真是个好东西，延迟低，效率高。

mac007cn

经过N次的看官网文档、百度、爬楼和挖坟，终于有了点经验：
1、sever和bridge不能同时装在一个机器上，也没有必要。同时启动二者会cpu100%，官网文档说的。其实bridge仅是一个简易版的server，起中转站作用，其上游仍需要连接有公网IP的server端。
2、server端 secureNAT 和 虚拟TAP（虚拟网卡）不能同时启用，否则cpu会100%。据说后者效率更高。
目前正想把client端也装载openwrt上，用虚拟网卡做一个虚拟wan口，client端的内网理论上都可以访问server端内网，不过据说需要使用mwan3、iptables等分流，我尚未实现。
以上。请高手不吝赐教。

yyyzt

bennyzhou 发表于 2020-12-31 20:46
新建tap比挂接口稳定多了

还有没必要用新的软桥。直接把tap做到br-lan里面和eth0.1和wifi一起桥接就好了 ...

v4是稳定版，v5是测试版，都可以，另外tap直接桥接到br-lan下是1的情况，单独给v@p@n划分一个网段是有特殊需求才做的，比如想把lan下客户端和v@p@n下客户端用不同网段地址表示。。。992我记得是softether自身协议用的端口，不过我个人用softether主要是用openv@p@n，就放行1194，这个因人而异。。

yyyzt

mac007cn 发表于 2020-12-31 21:09
经过N次的看官网文档、百度、爬楼和挖坟，终于有了点经验：
1、sever和bridge不能同时装在一个机器上，也 ...

server其实包含了bridge的功能，没必要两个都启用。另外secureNAT和tap模式都会用到dhcp服务器，在同个网络内不能同时有两台dhcp服务器，否则会有冲突造成资源消耗。另外secureNAT是softether自带的功能，性能并不是很好，所有都建议该为tap模式

yyyzt

另外补充一点，softether官方的源码设置的openvirtual** ping-reset 值比较低，我用padavan自带的客户端会不断重连。需要自行更改源码自行编译才可以解决这个问题。不知道我是不是个例。。。

bennyzhou

mac007cn 发表于 2020-12-31 21:09
经过N次的看官网文档、百度、爬楼和挖坟，终于有了点经验：
1、sever和bridge不能同时装在一个机器上，也 ...

我已经搞出来了

不需要装client。server包含client全部功能（级联便是）。

openwrt装server，新建一个hub，然后这个hub级联外面的server就行。

内部，这个hub新建一个tap。然后做一个br把这个tap和wifi和vlan包含进来即可
（wifi就是新做一个ssid，vlan就是交换机设置那边新建vlan，比如eth0.3，把几个口untag进来）

bennyzhou

yyyzt 发表于 2020-12-31 21:26
server其实包含了bridge的功能，没必要两个都启用。另外secureNAT和tap模式都会用到dhcp服务器，在同个网 ...

secureNAT其实是特殊情况才用的

实验下来，secureNAT开了后只能访问wan口以外的资源。内网完全找不到

如果你只是要通过远端主机进行游戏加速的话，那secureNAT就比较方便了

bennyzhou

yyyzt 发表于 2020-12-31 21:21
v4是稳定版，v5是测试版，都可以，另外tap直接桥接到br-lan下是1的情况，单独给v@p@n划分一个网段是有特 ...

992不单是是自身协议用。客户端连服务器也可以的。softether做的比较人性化。每个开的端口都是可以跑全功能协议的

默认支持443，992，5555。都能用于客户端连接
但是现在情况。公网开443容易自找麻烦。

bennyzhou

另外还能配合frp玩。做成类似花生壳的功能。

还有就是udp加速关。运营商qos的。开了反而慢。连接数软路由可以多开。硬路由比如7621还是1吧

mac007cn

bennyzhou 发表于 2020-12-31 21:30
我已经搞出来了

不需要装client。server包含client全部功能（级联便是）。

把tap桥接到lan，那内网机器能实现按目标地址或域名分流吗？

yyyzt

bennyzhou 发表于 2020-12-31 21:37
secureNAT其实是特殊情况才用的

实验下来，secureNAT开了后只能访问wan口以外的资源。内网完全找不到
...

准确来说，secureNAT是软件自带功能，下面的客户端访问流量对外表现为v@p@nserver这个程序对外流量，在本地lan下是无法发现NAT下客户端的，但是NAT下客户端理论上是可以访问lan下设备的

mac007cn

yyyzt 发表于 2020-12-31 21:26
server其实包含了bridge的功能，没必要两个都启用。另外secureNAT和tap模式都会用到dhcp服务器，在同个网 ...

受教了！

yyyzt

bennyzhou 发表于 2020-12-31 21:51
另外还能配合frp玩。做成类似花生壳的功能。

还有就是udp加速关。运营商qos的。开了反而慢。连接数软路 ...

我就是用它的openvirtual**服务器配合frp的xtcp穿透我移动大内网的。。。

另外还有一点刚发现，如果服务器网段有ipv6分配，客户端用softether自身的协议可以获取到，但是用openvirtual**的tun模式没法获取，得改用tap模式才可以。另外softether上的sstp l2tp本身是没有ipv6支持的