نصب و پیکربندی سرور SoftEther روی اوبونتو 22.04/20.04

چطور یک سرور SoftEther امن و سریع روی اوبونتو راه‌اندازی کنم؟

در این راهنما گام‌به‌گام و عملی یاد می‌گیرید چگونه سرور SoftEther را روی اوبونتو 22.04 یا 20.04 نصب، پیکربندی و ایمن‌سازی کنید. این مقاله مناسب مدیران شبکه، DevOps، مدیران سایت و کاربران فنی است که به VPN پایدار با پشتیبانی از OpenVPN, L2TP/IPsec, SSTP و تونل لایهٔ 2/3 نیاز دارند.

پیش‌نیازها (Prerequisites)

قبل از شروع مطمئن شوید که شرایط زیر فراهم است:

• سرور Ubuntu 22.04 یا 20.04 با دسترسی root یا کاربر دارای sudo
• حداقل 1GB RAM (برای محیط‌های تولید پیشنهاد می‌شود 2GB+)
• دسترسی به پورت‌های موردنیاز یا امکان تنظیم فایروال
• بسته‌های ساخت (build tools) در صورت ساخت از سورس یا دانلود باینری رسمی

بخش 1 — نصب SoftEther VPN (کامپایل از سورس)

۱. به‌روز‌رسانی سیستم و نصب پیش‌نیازها

sudo apt update && sudo apt upgrade -y
sudo apt install -y build-essential gcc make git libreadline-dev libssl-dev libncurses-dev zlib1g-dev liblzma-dev

۲. کلون کردن مخزن رسمی و ساخت

مخزن رسمی SoftEther را کلون و کامپایل کنید؛ هنگام اجرای make از شما پرسش‌هایی برای قبول شرایط خواهد شد.

git clone https://github.com/SoftEtherVPN/SoftEtherVPN_Stable.git
cd SoftEtherVPN_Stable
make

در طی make، گزینهٔ 1 را وارد کنید تا ساخت ادامه یابد. بعد از پایان، باینری‌ها در پوشهٔ vpnserver ساخته می‌شوند.

۳. نصب در مسیر استاندارد و تنظیم مجوزها

sudo mv vpnserver /usr/local/
cd /usr/local/vpnserver
sudo chmod 600 *
sudo chmod 700 vpnserver vpncmd

۴. ایجاد سرویس systemd

فایل سرویس را بسازید و سرویس را فعال کنید:

sudo tee /etc/systemd/system/vpnserver.service > /dev/null <<'SERVICE'
[Unit]
Description=SoftEther VPN Server
After=network.target

[Service]
Type=forking
ExecStart=/usr/local/vpnserver/vpnserver start
ExecStop=/usr/local/vpnserver/vpnserver stop
Restart=on-abort

[Install]
WantedBy=multi-user.target
SERVICE

sudo systemctl daemon-reload
sudo systemctl enable --now vpnserver
sudo systemctl status vpnserver

بخش 2 — پیکربندی اولیه با vpncmd

۱. تنظیم پسورد مدیریتی سرور

برای ورود به ابزار مدیریت:

sudo /usr/local/vpnserver/vpncmd

در منوی اول گزینهٔ 1 (Management of VPN Server or VPN Bridge) را انتخاب کرده و سپس برای تعیین پسورد سرور دستور زیر را اجرا کنید:

ServerPasswordSet

۲. ایجاد Virtual Hub و کاربر

HubCreate MyHub
Hub MyHub
UserCreate user1 /GROUP:none /REALNAME:"Trader" /NOTE:"VPS for trading"
UserPasswordSet user1

با دستور UserPasswordSet، پسورد کاربر را تعیین کنید.

۳. فعال‌سازی SecureNAT

Hub MyHub
SecureNatEnable

SecureNAT سریع‌ترین روش برای ایجاد شبکهٔ داخلی با DHCP و NAT است و نیازی به Local Bridge ندارد؛ مناسب VPSهای عمومی و استفاده‌های ساده.

۴. راه‌اندازی Local Bridge

برای اتصال هاب به اینترفیس فیزیکی (مثلاً eth0):

BridgeCreate MyHub /DEVICE:eth0

نکته: Local Bridge نیاز به مجوز root دارد و در برخی VMها با تنظیمات شبکهٔ hypervisor ممکن است کار نکند.

بخش 3 — فعال‌سازی پروتکل‌ها: OpenVPN، L2TP/IPsec، SSTP

۱. OpenVPN (صدور فایل .ovpn)

OpenVpnEnable yes /PORTS:1194 /HUB:MyHub

پس از فعال‌سازی می‌توانید فایل .ovpn را صادر کنید و به کلاینت OpenVPN بدهید.

۲. L2TP/IPsec

IPsecEnable /L2TP:yes /L2TPRAW:yes /ETHERIP:yes /PSK:YourSharedSecret /DEFAULTHUB:MyHub

PSK (Pre Shared Key) را قوی انتخاب کنید. L2TP برای موبایل‌ها و سیستم‌عامل‌های پیش‌فرض مناسب است.

۳. SSTP

SstpEnable yes /PORTS:443

SSTP از TCP/443 استفاده می‌کند و برای عبور از فایروال‌های سخت مفید است.

بخش 4 — فایروال و NAT (iptables / ufw)

فعال کردن IP Forwarding

sudo sysctl -w net.ipv4.ip_forward=1
sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf

قوانین نمونه iptables برای SecureNAT (شبکه داخلی 10.10.10.0/24)

sudo iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT

sudo iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

قوانین نمونه با ufw

sudo ufw allow 443/tcp
sudo ufw allow 992/tcp
sudo ufw allow 1194/tcp
sudo ufw allow 1701/udp
sudo ufw allow 500/udp
sudo ufw allow 4500/udp

در صورت نیاز پورت 5555 را فقط برای مدیریت داخلی باز کنید — توصیه می‌شود از اینترنت باز نکنید.

ذخیره قوانین iptables

sudo apt install -y iptables-persistent
sudo netfilter-persistent save

بخش 5 — امنیت و بهترین شیوه‌ها

• پسوردهای قوی برای Server، Hub و Users انتخاب کنید؛ از عبارت‌های عبور طولانی و پیچیده استفاده کنید.
• پورت مدیریت (5555) را به اینترنت باز نکنید. از VPN داخلی یا SSH tunnel برای مدیریت استفاده کنید.
• De falla2ban برای محافظت در برابر حملات بروت فورس استفاده کنید.
• برای TLS از گواهی معتبر (Let’s Encrypt) استفاده کنید؛ فایل‌های fullchain.pem y privkey.pem را وارد کنید یا از stunnel/HAProxy برای TLS termination بهره ببرید.
• در صورت نیاز از احراز هویت با کلید/گواهی برای کاربران حساس و اتصال به RADIUS/LDAP استفاده کنید.
• پشتیبان‌گیری منظم از فایل پیکربندی و ذخیره در مکان امن (S3/فضای ابری) را انجام دهید.
• لاگ‌ها را به سامانهٔ مرکزی (ELK/Graylog) ارسال و بررسی کنید تا رفتار غیرعادی سریع‌تر شناسایی شود.

بخش 6 — بهینه‌سازی عملکرد (برای ترید/گیم/AI)

نکات کلیدی برای کاهش پینگ و افزایش پایداری:

• انتخاب لوکیشن: سرور VPN را در نزدیک‌ترین لوکیشن به سرویس مقصد قرار دهید. برای ترید سرور نزدیک به اکچِنج‌ها؛ برای گیم نزدیک به دیتاسنتر بازی.
• سخت‌افزار: برای بارهای رمزنگاری سنگین از سرورهایی با پشتیبانی AES-NI Usar.
• شبکه: پلن‌های با پهنای باند بالا، BGP و استفاده از CDN می‌تواند تاخیر را کاهش دهد. در صورت نیاز از سرورهای ضد DDoS استفاده کنید.
• تنظیم MTU و MSS روی مسیرهایی با تونل‌های طولانی یا پل‌های متعدد برای جلوگیری از Fragmentation ضروری است.
• انتخاب پروتکل: برای بیشترین سرعت از OpenVPN UDP یا SoftEther native روی پورت UDP/SSL استفاده کنید؛ اگر فایروال محدود است، SSTP (TCP/443) مناسب‌تر است.

بخش 7 — سناریوهای کاربردی و مثال‌ها

مثال ۱ — VPS مخصوص ترید

• لوکیشن: نزدیک به سرور بروکر یا اکچِنج (مثلاً New York, London, Tokyo).
• پیکربندی: SecureNAT ساده یا Local Bridge، QoS و Anti-DDoS.
• توصیه: Keepalive کوتاه، پینگ-مانیتورینگ و انتخاب CPU با نرخ تأخیر پایین.

مثال ۲ — VPS مخصوص گیم

• لوکیشن: نزدیک به سرور بازی یا استفاده از multi-region.
• پیکربندی: Local Bridge برای پشتیبانی از LAN، کاهش overhead رمزنگاری در صورت نیاز.
• توصیه: شبکهٔ 10Gbps و پورت مستقیم برای کاهش پینگ و jitter.

مثال ۳ — دسترسی از راه دور و DevOps

• فعال‌سازی OpenVPN و L2TP برای موبایل‌ها، مدیریت کلید برای توسعه‌دهندگان و اتصال RADIUS برای احراز هویت یکپارچه.

بخش 8 — مانیتورینگ، بک‌آپ و نگهداری

دستورالعمل‌های ساده برای نگهداری روزمره:

sudo cp -r /usr/local/vpnserver/ /root/backup/vpnserver-$(date +%F).tar.gz

sudo systemctl status vpnserver
sudo journalctl -u vpnserver -f

لاگ‌های SoftEther در مسیر /usr/local/vpnserver/ قرار دارند؛ برای ارسال به سرور لاگ مرکزی از rsyslog یا Filebeat استفاده کنید.

Conclusión

راه‌اندازی SoftEther روی اوبونتو 22.04/20.04 ساده اما نیازمند رعایت نکات شبکه‌ای و امنیتی است. با استفاده از SecureNAT یا Local Bridge، فعال‌سازی OpenVPN/L2TP/SSTP و اعمال قوانین فایروال و NAT می‌توانید یک VPN امن و پرسرعت برای کاربردهای ترید، گیم و دسترسی از راه دور ایجاد کنید. برای بارهای رمزنگاری سنگین، انتخاب سرور با پشتیبانی AES-NI و لوکیشن مناسب بسیار مهم است.

خدمات و گزینه‌های مرتبط

اگر نیاز به VPS یا سرور ابری با لوکیشن‌های متنوع، سرور گرافیکی (GPU)، سرور ضد DDoS یا پلن‌های مخصوص ترید و گیم دارید، می‌توانید از گزینه‌های پیش‌فرض شرکت برای انتخاب لوکیشن و کانفیگ کمک بگیرید. تیم فنی امکان راه‌اندازی SoftEther، Local Bridge، تنظیم فایروال و بهینه‌سازی پینگ را ارائه می‌کند.

Preguntas frecuentes