オープンソース版: SoftEther VPN 4.42 Build 9798 RTM (2023/06/30)
製品版: PacketiX VPN 4.42 Build 9798 RTM
米国 Cisco Systems, Inc. による高度なコードレビューと技術協力の結果、CVE-2023-27395 等の 6 件の脆弱性を修正しました。今回修正したいずれの脆弱性も、通常の使用方法と使用環境においては、不正侵入等のセキュリティ侵害に悪用されるリスクは比較的低く、実際の攻撃は容易ではありませんが、将来発見される可能性がある複数の脆弱性が組み合わさると攻撃に悪用される可能性もあるため、できるだけ、アップデートをお勧めします。
情報源: バージョン更新履歴 (ChangeLog) – SoftEther VPN プロジェクト
「アップデートをお勧めします」なんて書かれてるとやらざるを得ない。
SoftEther VPN Server は定期的にバージョンアップを実施する必要があります。放置しているとセキュリティホールを突かれて不正アクセスに繋がります。バージョンアップは容易に実施できるので手順を押さえましょう。
情報源: SoftEther VPN Server バージョンアップ手順 | りんか ネット
こちらを参考にまず、家のサーバーのRaspberry Pi 4のアップデート作業から始める。
要は、vpn_server.config のファイルをコピーすればいいだけだな。
# wget https://jp.softether-download.com/files/softether/v4.42-9798-rtm-2023.06.30-tree/Linux/SoftEther_VPN_Server/64bit_-_ARM_64bit/softether-vpnserver-v4.42-9798-rtm-2023.06.30-linux-arm64-64bit.tar.gz # tar xvzf softether-vpnserver-v4.42-9798-rtm-2023.06.30-linux-arm64-64bit.tar.gz # cd vpnserver # make # cd .. # mv vpnserver /usr/local/vpnserver-v4.42 # cd /usr/local # cp vpnserver/vpn_server.config vpnserver-v4.42/ # chmod -R og-rwx vpnserver-v4.42 # chmod +x vpnserver-v4.42/vpncmd vpnserver-v4.42/vpnserver # systemctl stop softether-vpnserver.service # mv vpnserver vpnserver-v4.38 # ln -sf vpnserver-v4.42 vpnserver # systemctl start softether-vpnserver.service
ごちゃっとしてるけど、手順メモ(笑)
SoftEther VPN ダウンロードのページから、最新版のARM 64bit のファイルをダウンロードして、/user/local に設置。
旧バージョンに戻せるようにそれぞれフォルダ名にバージョン名を含め、systemd のスクリプトで矛盾が無いように vpnserver のシンボリックリンクを最新バージョンに張る。
具体的には、
/usr/local/vpnserver → /usr/local/vpnserver-v4.38
/usr/local/vpnserver のシンボリックリンクを /usr/local/vpnserver-v4.42 に張る。
そういや、SoftEther vpnserver 設置に試行錯誤で苦労した覚えがあるが、作業記録を全然残して無かったな(汗
systemd のスクリプトが次の通り。
[/etc/systemd/system/multi-user.target.wants/softether-vpnserver.service]
[Unit] Description=SoftEther VPN Server After=network.target network-online.target [Service] ExecStart=/usr/local/vpnserver/vpnserver start ExecStop=/usr/local/vpnserver/vpnserver stop WorkingDirectory=/usr/local/vpnserver/ ExecStartPre=/sbin/ip link set dev eth0 arp off promisc on ExecStartPost=sh /root/bin/addif_tap.sh Type=forking RestartSec=3s [Install] WantedBy=multi-user.target
#!/bin/sh /bin/sleep 10 ; brctl addif br0 tap_softether &
linux は vpnサーバーに接続すると、クライアントから vpn サーバーに ssh ログインできないという問題がある。
Unnumbered eth0 に br0 のブリッジで、IPアドレス振って、SoftEther VPN側から tap デバイスで br0 にローカルブリッジ設定してやると vpn接続後に、ssh 192.168.11.254 とか、サーバーのIPアドレス指定でログインできるようになる。
この辺、無茶苦茶苦労したのに全然記録に残してない(滝汗
なんせ、家のサーバーで br0 のブリッジデバイス作成に失敗して、完全通信途絶したので、USB キーボード&マウスとHDMIでディスプレイ繋いで、ローカル端末で修正しなくてはいけなかった。
ちなみにRaspberry Pi 4には、マウスとキーボードが一つのレシーバーで使えるELECOM TK-FDM063BKとかが便利。
わしはこれをNTT西日本のポイントで貰い、使い途に困ってたがRaspberry Piに使った時に、「コレだ!」っておもっちゃいました。 🙂
Kagoya VPS の irc.noizumi.org なんかは、通信途絶したらどうしようと冷や汗もので設定した。多分、通信途絶しても、VPS管理画面のコンソールだけは使えるだろうから大丈夫だとは思うけど。
後は、irc.noizumi.org のSoftEther vpnserverをアップデートすればいいけど、Intel x64版をダウンロードして、vpn_server.configコピーするだけだからすぐ済むな 🙂