© Sophie McAulay, 123RF

Linux kommt mit verschiedenen VPN-Lösungen klar: Mit IPsec- und L2TP-VPN-Verbindungen genauso wie mit dem weitverbreiteten Open VPN. Will ein Administrator aber mehrere dieser Protokolle gleichzeitig anbieten, kann er nun auf eine Lösung zurückgreifen, die alles unter einem Dach bietet.

Softether wurde an der Universität von Tsukuba in Japan im Rahmen einer Diplomarbeit entwickelt und 2013 von Daiyuu Norobi zum freien Download bereitgestellt. Neben zwei eigenen Protokollen unterstützt die Software IPsec, L2TP, Microsofts SSTP und Open VPN. Damit sind Windows, Mac OS X, Android und I-OS als Clients abgedeckt, ohne dass der Anwender auf einem der Geräte einen extra Client installieren muss.

Im Internet stellt das Projekt [1] sich im Vergleich zu Open VPN dar und behauptet, Gigabit-Tempo zu beherrschen, was im Vergleich zu den 100 MBit/s für Open VPN eine Beschleunigung um den Faktor 10 wäre. Das bestätigte sich jedoch im Test des Linux-Magazins nicht.

Die Software steht für Linux, Mac OS X, Windows, Solaris und Free BSD bereit. Dabei gibt es Linux-Binaries für x86 (32 und 64 Bit), ARM, MIPS, Power PC sowie SH-4. Bei Solaris lassen sich Sparc- oder Intel-CPUs mit 32 und 64 Bit verwenden. Mac OS X unterstützt die Software in allen CPU-Architekturen seit dem G4. Free BSD sowie Windows sind nur auf Intel-CPUs möglich.

Wenn an beiden Enden der Verbindung die Softether-Software im Einsatz ist und die konfigurierten Ports zum Beispiel aus Sicherheitserwägungen gesperrt sein sollten, dann weicht die Software automatisch auf Port 53 beziehungsweise ICMP (Ping-Pakete) aus, um den verschlüsselten Payload zu übertragen.

Zum Aufbau einer VPN-Verbindung gehört auch die Authentisierung. Dabei unterstützt Softether sowohl Preshared Keys als auch eine Zertifikat-basierte Anmeldung. Client-seitig (für Remote-Access-VPNs) kommen sogar Smartcards in Frage. Neben einer eigenen Benutzerdatenbank kann der Softether-Server auf Active Directory oder Radius zugreifen.

Die Projektseite bietet Links zu Downloads an. Abgesehen von der Windows-Version erhält der Anwender ein komprimiertes Tar-Archiv, das Bibliotheken und ein passendes Makefile enthält.

Eine einfache Installation

Zur Installation ist bei allen Unix-Derivaten eine GCC-Entwicklungsumgebung notwendig. Nach dem Aufruf von »make« entstehen zwei Binaries: »vpncmd« , der Kommandozeilenclient, und – je nach heruntergeladener Software – ein Binary namens »vpnclient« , »vpnbridge« oder »vpnserver« .

Der Admin startet die Software durch das Kommando »vpnserver|bridge|client start« . Die Anleitung verschweigt leider, dass er vor dem Start notwendige Kernelmodule laden muss. Das betrifft auf jeden Fall das Modul für Softethers TAP-Interfaces (die via Layer 2 arbeiten und ein Ethernet-Gerät simulieren). Beim VPN-Server sind auch die l2TP-Module notwendig, sofern der Kompatibilitätsmodus Verwendung findet.

Nach dem Start (und der Bestätigung der Lizenz beim ersten Aufruf) ruft der Administrator »vpncmd« auf. Das Kommando fragt zunächst ab, ob der Anwender einen Server oder eine Bridge oder einen Client konfigurieren will. Im zweiten Schritt geht es darum, wo die Softether-Komponente laufen soll, deren Konfiguration der Administrator in Angriff genommen hat. Drückt er hier einfach die [Enter]-Taste, erfolgt die Installation auf dem lokalen Host. Es existiert auch ein GUI-Client, der aber nur für Windows bereitsteht (Abbildung 1).

Die Grundkonfiguration des Servers besteht aus den folgenden Schritten: