Jump to content

Timoha

Forum Members
 View Profile  See their activity

  • Posts

    9

  • Joined

  • Last visited

 Content Type 

Posts posted by Timoha

    3.9 Beta 2: SSTP-клиент Windows 7 не подключается к SSTP-серверу

    in Тестирование Dev-сборок

    Posted

    В 17.01.2023 в 17:18, krass сказал:

    Всё-таки виновной оказалась вин 7 ?
    А какие конкретно дополнительные обновы ставили? Или все сразу?

    Там было не очевидно, какое необязательное обновление на это влияет. Я уже думал ждать обновления ПО роутера, но на последок решил на бум установить ВСЕ необязательные обновления. И помогло.

    3.9 Beta 2: SSTP-клиент Windows 7 не подключается к SSTP-серверу

    in Тестирование Dev-сборок

    Posted

    13 часа назад, Mamay сказал:

    Данная ошибка чисто Win и не имеет никакого отношения к данной теме.

    Тема называется: "SSTP-клиент Windows 7 не подключается к SSTP-серверу".

    У меня именно такая проблема, клиент SSTP на Windows 7 x32 не подключается к SSTP серверу Giant (KN-2610) Версия ОС: 3.9.2.
    А если ошибка чисто Win, то почему всё прекрасно работало до обновления на 3.9.0 и выше?

    3.9 Beta 2: SSTP-клиент Windows 7 не подключается к SSTP-серверу

    in Тестирование Dev-сборок

    Posted · Edited by Timoha

    У меня точно такая же проблема на Windows 7 x32. Ошибка: "не удаётся установить связь с локальным администратором безопасности".

    Правда обновления пока не все установил, но сертификаты из статьи установил вручную.

    Модель: Giant (KN-2610)

    Версия ОС: 3.9.2

    SSTP-сервер и клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    2 часа назад, Mihail сказал:

    Да заносите чо хотите Я пока подсказки то дельной не вижу

    Вы и не получите нормальной подсказки, пока не дадите четкие ответы на поставленные Вам вопросы... Вы пока сами не понимаете, что пытаетесь сделать.

    Я так понял Вам нужно SSTP-сервер поднять, а Вы выполняете инструкцию для клиента-SSTP... Это совершенно разные вещи! А говорите, что всё по инструкции делаете. Может не по той, которая нужна в Вашем случае?

    Если Вам действительно нужно сделать подключение роутера Гига, как клиента, то дайте информацию о том, какой у Вас сервер и как он настроен?

    • Upvote 2

    SSTP-сервер и клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Timoha

    11 час назад, r13 сказал:

    2й сценарий рабочий.

    Открываете доступ галкой, включаете sstp, закрываете доступ галкой, и открываете 443 в firewall. sstp работает

    Хм, да, действительно. В настройках везде ругается, что для работы нужен доступ по HTTP.  Но попробовал подключиться к сети VPN и оказалось, что сервер работает...

    Отлично, спасибо! Ждём 2.15, чтобы сертификат обновлялся без проблем))
     

    image.png

    image.png

    SSTP-сервер и клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Timoha

    2 часа назад, r13 сказал:

    Начиная с 2.15  можно смело закрывать, для обновления сертификата 80 порт более не требуется.

    ЗЫ а на текущих прошивках можно открыть 443 через firewall а не галкой, тогда 80 будет закрыт, но это не помешает обновлению сертификатов.

    Попробовал. Нет, так не работает. Порт управления 443 (или любой другой), в firewall 80 порт перекрыт. В логах видим строки:
    Dec 18 15:08:46 ndm: Acme::Client: start automatic reissuing of certificate for domain "xxx.keenetic.link".
    [E] Dec 18 15:08:46 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.

     

    Если же порт управления не менять, оставить 80, но в firewall его перекрыть, то получаем вот такое:
    Dec 18 15:33:34 ndm: Acme::V2: got result from server.
    Dec 18 15:33:34 ndm: [truncated] Acme::Tools: [309] "out": "{"identifier":{"type":"dns","value":"xxx.keenetic.pro"},"status":"invalid","expires":"2018-12-25T12:33:21Z","challenges":[{"type":"tls-alpn-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384827","token":"OZjzLA5HkgscpsNt2KpJ8e1WmnMBmbHaEz2ho55n_oI"},{"type":"dns-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384828","token":"vT5ky5ivFy-AQ_yKBOieipUbPeybGwhuVm77txh2iqk"},{"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:connection","detail":"Fetching http://xxx.keenetic.pro/.well-known/acme-challenge/rOCvbPYln_wPIwiL5HR6I2fdB3EFQHcj8rG_3OAS0Cg: Timeout during connect (likely firewall problem)","status":400},"url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384829","token":"rOCvbPYln_wPIw
    [C] Dec 18 15:33:34 ndm: Acme::V2: system failed [0xcffd030d], got invalid answer from server.
    Dec 18 15:33:34 ndm: Http::Manager: security level unchanged.
    Dec 18 15:33:34 ndm: Acme::Client: retry after 15 s, retry 1.

     

    А что за 2.15 прошивка? У меня Keenetic Extra II на последней стабильной 2.14. Когда ожидать выход 2.15 не известно?

     

    1 час назад, Кинетиковод сказал:

    Если снять галку SSTP сервер отключается. Пока логику SSTP не поменяют галку придётся оставить, а порт закрыть в межсетевом экране. Если теперь проблемы с сертификатом при закрытом 80 порту не будет, то это хорошо.

    Да, без галки сервер SSTP не работает. Проблемы с сертификатом при закрытом 80 порту остаются. 

    Вообще я много чего перепробовал уже, судя по всему, пока это не переделают в прошивке - обойти не получится.

    SSTP-сервер и клиент

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Timoha
    Ошибки пунктуации.

    В 07.09.2018 в 16:12, watchmenx сказал:

    Добрый день, при настройке sstp vpn-сервера приходится открывать удаленный доступ из интернета по http. При этом из интернета теперь можно открывать страницу роутера если набрать ХТТПС:// ИМЯ.keenetic. что-то. Я просто взял ради интереса открыл два адреса из имен тех, что были заняты, когда я себе подбирал. По одному так же открылась страница входа в настройки роутера, а по-второму был настроен проброс на NAS и я увидел фотографии какого-то мужика. Второй, конечно, сам себе такое понастраивал, но это не особо успокаивает. 

    При том, что "Порт управления по HTTP" у меня выставлен в 80, но т.к. роутер у меня в интернет выходит через другой роутер, то проброса на него нет и по HTTP он не открывается. А по https открывается, хотя 443 нигде не указан для управления.

    Поддерживаю вопрос, только немного с другого ракурса.

    Подскажите, почему нельзя настроить VPN-сервер SSTP, но не разрешать доступ к интернет-центру напрямую из интернета? А то получается любой кто введет наш IP адрес в адресной строке, попадает сразу на страницу входа в интернет-центр... Как-то не очень безопасно получается.

    Если же запретить 80 TCP на WAN IP роутера в файрволле, тогда остается только 443 порт и безопасный доступ по https. По IP-адресу тогда ничего открываться не будет, подключение к роутеру и к SSTP серверу будет возможно только по доменному имени и только по https. НО, сертификат истечет через 90 дней. Запрет 80 TCP будет препятствовать его обновлению (проверено).

    По этому вопросу обращался в техподдержку, там длинная переписка с привлечением специалиста, который в keenetic занимается разработкой SSTP, он подтверждает техническую возможность смены порта для SSTP. Но в результате сказали, что пока мало обращений по этому поводу и дело с места не двигается.

×
×
  • Create New...