Jump to content

SSTP-сервер и клиент


Recommended Posts

2 часа назад, msml01 сказал:

Закинул в личку.

На последнем draft все прекрасно подключается:

(config)> interface SSTP0 debug
[I] Aug  3 22:55:18 ndm: Core::ConfigurationSaver: saving configuration...
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": interface state is changed, reconnecting.
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": remote endpoint is resolved to "123.123.123.123".
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": connecting via ISP (GigabitEthernet1).
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": local endpoint is resolved to "172.16.120.56".
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 172.16.120.1 (GigabitEthernet1).
[I] Aug  3 22:55:19 ndm: Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
[I] Aug  3 22:55:19 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "GigabitEthernet1" as new local source.
[I] Aug  3 22:55:19 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
[I] Aug  3 22:55:19 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
[I] Aug  3 22:55:19 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 700, new global priority: 700.
Plugin sstp-pppd-plugin.so loaded.
[I] Aug  3 22:55:21 pppd[636]: Plugin sstp-pppd-plugin.so loaded.
[I] Aug  3 22:55:21 pppd[636]: pppd 2.4.4-4 started by root, uid 0
using channel 1
[I] Aug  3 22:55:21 pppd[636]: using channel 1
Using interface ppp0
[I] Aug  3 22:55:21 pppd[636]: Using interface ppp0
Connect: ppp0 <--> /dev/pts/0
[I] Aug  3 22:55:21 pppd[636]: Connect: ppp0 <--> /dev/pts/0
[I] Aug  3 22:55:21 sstpc_SSTP0[639]: Waiting for sstp-plugin to connect on: /var/run/sstpc-SSTP0
[I] Aug  3 22:55:21 sstpc_SSTP0[639]: Resolved 123.123.123.123 to 123.123.123.123
[I] Aug  3 22:55:21 sstpc_SSTP0[639]: Connected to 123.123.123.123 (host: 123.123.123.123)
[I] Aug  3 22:55:22 sstpc_SSTP0[639]: The certificate (123.123.123.123) did not match the host: 123.123.123.123
[I] Aug  3 22:55:22 sstpc_SSTP0[639]: Server certificate verification failed, ignoring
[I] Aug  3 22:55:22 sstpc_SSTP0[639]: Sending Connect-Request Message
[C] Aug  3 22:55:22 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(14) 
[C] Aug  3 22:55:22 sstpc_SSTP0[639]:   TYPE(1): CONNECT REQUEST, ATTR(1):
[C] Aug  3 22:55:22 sstpc_SSTP0[639]:     ENCAP PROTO(1): 6
[C] Aug  3 22:55:22 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(48) 
[C] Aug  3 22:55:22 sstpc_SSTP0[639]:   TYPE(2): CONNECT ACK, ATTR(1):
[C] Aug  3 22:55:22 sstpc_SSTP0[639]:     CRYPTO BIND REQ(4): 40
[I] Aug  3 22:55:22 sstpc_SSTP0[639]: Started PPP Link Negotiation
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xb9fcc391>]
[I] Aug  3 22:55:22 pppd[636]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xb9fcc391>]
[I] Aug  3 22:55:22 ndm: Core::ConfigurationSaver: configuration saved.
rcvd [LCP ConfReq id=0x0 <auth pap>]
[I] Aug  3 22:55:22 pppd[636]: rcvd [LCP ConfReq id=0x0 <auth pap>]
sent [LCP ConfAck id=0x0 <auth pap>]
[I] Aug  3 22:55:22 pppd[636]: sent [LCP ConfAck id=0x0 <auth pap>]
rcvd [LCP ConfRej id=0x1 <asyncmap 0x0> <magic 0xb9fcc391>]
[I] Aug  3 22:55:22 pppd[636]: rcvd [LCP ConfRej id=0x1 <asyncmap 0x0> <magic 0xb9fcc391>]
sent [LCP ConfReq id=0x2]
[I] Aug  3 22:55:22 pppd[636]: sent [LCP ConfReq id=0x2]
rcvd [LCP ConfAck id=0x2]
[I] Aug  3 22:55:22 pppd[636]: rcvd [LCP ConfAck id=0x2]
sent [LCP EchoReq id=0x0 magic=0x0]
[I] Aug  3 22:55:22 pppd[636]: sent [LCP EchoReq id=0x0 magic=0x0]
sent [PAP AuthReq id=0x1 user="user" password=<hidden>]
[I] Aug  3 22:55:22 pppd[636]: sent [PAP AuthReq id=0x1 user="user" password=<hidden>]
rcvd [LCP EchoRep id=0x0 magic=0x0]
[I] Aug  3 22:55:22 pppd[636]: rcvd [LCP EchoRep id=0x0 magic=0x0]
rcvd [PAP AuthAck id=0x1]
[I] Aug  3 22:55:23 pppd[636]: rcvd [PAP AuthAck id=0x1]
PAP authentication succeeded
[I] Aug  3 22:55:23 pppd[636]: PAP authentication succeeded
Script /etc/ppp/pre-up-ppp0 started (pid 641)
[I] Aug  3 22:55:23 pppd[636]: Script /etc/ppp/pre-up-ppp0 started (pid 641)
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 172.16.120.1 (GigabitEthernet1).
Script /etc/ppp/pre-up-ppp0 finished (pid 641), status = 0x0
[I] Aug  3 22:55:23 pppd[636]: Script /etc/ppp/pre-up-ppp0 finished (pid 641), status = 0x0
sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
[I] Aug  3 22:55:23 pppd[636]: sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
rcvd [IPCP ConfReq id=0x1 <addr 1.0.0.1>]
sent [IPCP ConfAck id=0x1 <addr 1.0.0.1>][I] Aug  3 22:55:23 pppd[636]: rcvd [IPCP ConfReq id=0x1 <addr 1.0.0.1>]

[I] Aug  3 22:55:23 pppd[636]: sent [IPCP ConfAck id=0x1 <addr 1.0.0.1>]
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "GigabitEthernet1" as new local source.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 700, new global priority: 700.
rcvd [IPCP ConfNak id=0x1 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]
sent [IPCP ConfReq id=0x2 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>][I] Aug  3 22:55:23 pppd[636]: rcvd [IPCP ConfNak id=0x1 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]

[I] Aug  3 22:55:23 pppd[636]: sent [IPCP ConfReq id=0x2 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]
rcvd [IPCP ConfAck id=0x2 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]
[I] Aug  3 22:55:23 pppd[636]: rcvd [IPCP ConfAck id=0x2 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]
local  IP address 192.168.234.19
[I] Aug  3 22:55:23 pppd[636]: local  IP address 192.168.234.19
remote IP address 1.0.0.1
[I] Aug  3 22:55:23 pppd[636]: remote IP address 1.0.0.1
primary   DNS address 1.1.1.1
[I] Aug  3 22:55:23 pppd[636]: primary   DNS address 1.1.1.1
secondary DNS address 208.67.220.220
[I] Aug  3 22:55:23 pppd[636]: secondary DNS address 208.67.220.220
[I] Aug  3 22:55:23 sstpc_SSTP0[639]: Received callback from sstp-plugin
[I] Aug  3 22:55:23 sstpc_SSTP0[639]: Sending Connected Message
[C] Aug  3 22:55:23 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(112) 
[C] Aug  3 22:55:23 sstpc_SSTP0[639]:   TYPE(4): CONNECTED, ATTR(1):
[C] Aug  3 22:55:23 sstpc_SSTP0[639]:     CRYPTO BIND(3): 104
[I] Aug  3 22:55:23 sstpc_SSTP0[639]: Connection Established
Script /etc/ppp/ip-up-ppp0 started (pid 648)
[I] Aug  3 22:55:23 pppd[636]: Script /etc/ppp/ip-up-ppp0 started (pid 648)
[I] Aug  3 22:55:23 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Aug  3 22:55:23 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Aug  3 22:55:23 ndm: Network::Interface::Ppp: "SSTP0": adding nameserver 1.1.1.1.
[I] Aug  3 22:55:23 ndm: Dns::Manager: name server 1.1.1.1 added, domain (default).
[I] Aug  3 22:55:23 ndm: Network::Interface::Ppp: "SSTP0": adding nameserver 208.67.220.220.
[I] Aug  3 22:55:23 ndm: Dns::Manager: name server 208.67.220.220 added, domain (default).
[I] Aug  3 22:55:23 ndm: Network::Interface::IP: "SSTP0": IP address is 192.168.234.19/32.
[C] Aug  3 19:55:23 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:23 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:23 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:23 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:23 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "GigabitEthernet1" as new local source.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 700, new global priority: 700.
Script /etc/ppp/ip-up-ppp0 finished (pid 648), status = 0x0
[I] Aug  3 22:55:24 pppd[636]: Script /etc/ppp/ip-up-ppp0 finished (pid 648), status = 0x0
[I] Aug  3 22:55:25 ndhcpc: SSTP0: NDM DHCP client (version 3.2.19) started.
[I] Aug  3 22:55:25 ndhcpc: SSTP0: created PID file "/var/run/ndhcpc-ppp0.pid".
[C] Aug  3 19:55:27 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:27 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:27 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:27 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:27 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):
[C] Aug  3 19:55:30 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:30 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:30 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:30 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:30 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):
[C] Aug  3 19:55:35 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:35 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:35 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:35 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:35 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):
[C] Aug  3 19:55:39 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:39 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:39 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:39 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:39 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):

 

Link to comment
Share on other sites

5 часов назад, msml01 сказал:

Сервер на базе SofteherVPN + Local Bridge + dnsmasq. Другие клиенты подключаются, в том числе sstpc скомпилированный для macOS. Да и на Win7 стандартный работает после импорта сертификата (self sign). 

sstpc --log-stderr --cert-warn --user user0 --password ***** 123.123.123.123:444 usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp

П.С. К другому кинетику цепляется без проблем. Может каким нибудь образом с 53/67 портами связано. Как я понял здесь udp трафик блокируется. 

 

А вообще судя по логу, у вас адрес на WAN, и адрес, который хочет получить туннель находятся в одной подсети.

Это аяй и бардак, надо поправить. Скорее всего в этом дело.

Link to comment
Share on other sites

6 часов назад, Le ecureuil сказал:

А вообще судя по логу, у вас адрес на WAN, и адрес, который хочет получить туннель находятся в одной подсети.

Возможно у провайдера adsl в сети такая подсеть есть. Я заметил что здесь 192.168.234.1 пингуется, а у меня это как шлюз как раз используется на серваке. Сейчас попробую поменять подсеть. Благодарю за наводку! 

Link to comment
Share on other sites

7 часов назад, Le ecureuil сказал:

Это аяй и бардак, надо поправить. Скорее всего в этом дело.

Поменял на другую подсеть, результата нет к сожалению. Я вам скину в личку адрес и пароль от кинетика, может посмотрите если время будет что не так. 

  • Thanks 1
Link to comment
Share on other sites

8 часов назад, msml01 сказал:

Поменял на другую подсеть, результата нет к сожалению. Я вам скину в личку адрес и пароль от кинетика, может посмотрите если время будет что не так. 

Нашел проблему и даже прошил вам прошивку с исправлением. Теперь все работает. ;)

Только не стал интерфейс делать глобальным, чтобы ничего не отвалилось. Это попробуйте сделать сами.

  • Upvote 4
Link to comment
Share on other sites

14 минуты назад, Le ecureuil сказал:

Нашел проблему и даже прошил вам прошивку с исправлением. Теперь все работает. ;)

Только не стал интерфейс делать глобальным, чтобы ничего не отвалилось. Это попробуйте сделать сами.

сервис однако :-D 

  • Upvote 2
Link to comment
Share on other sites

6 часов назад, Le ecureuil сказал:

Нашел проблему и даже прошил вам прошивку с исправлением. Теперь все работает. ;)

Благодорю, на самом деле все работает! ??

 

6 часов назад, Le ecureuil сказал:

только не стал интерфейс делать глобальным, чтобы ничего не отвалилось.

Понял, благодарю ещё раз.

 

6 часов назад, r13 сказал:

сервис однако :-D 

Еще один плюс в копилку сборной Keenetic! 

Edited by msml01
  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

  • 1 month later...

Добрый день, при настройке sstp vpn-сервера приходится открывать удаленный доступ из интернета по http. При этом из интернета теперь можно открывать страницу роутера если набрать ХТТПС:// ИМЯ.keenetic. что-то. Я просто взял ради интереса открыл два адреса из имен тех, что были заняты, когда я себе подбирал. По одному так же открылась страница входа в настройки роутера, а по-второму был настроен проброс на NAS и я увидел фотографии какого-то мужика. Второй, конечно, сам себе такое понастраивал, но это не особо успокаивает. 

При том, что "Порт управления по HTTP" у меня выставлен в 80, но т.к. роутер у меня в интернет выходит через другой роутер, то проброса на него нет и по HTTP он не открывается. А по https открывается, хотя 443 нигде не указан для управления.

Edited by watchmenx
Link to comment
Share on other sites

  • 1 month later...

Подскажите, в чем может быть проблема.

Устанавливаю SSTP с Кинетика до Микротика, не работает, если вместо Кинетика использовать Микрот, между обоими все ок.

(Адрес внешнего сервера в логе изменен на 123.123.123.123)

 

Oct 26 10:44:36 ndm: Network::Interface::Base: "SSTP0": interface is up.
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": remote endpoint is resolved to "123.123.123.123".
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": connecting via Home (Bridge0).
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": local endpoint is resolved to "192.168.8.2".
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 192.168.8.1 (Bridge0).
Oct 26 10:44:36 ndm: Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "Bridge0" as new local source.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 0, new global priority: 0.
Oct 26 10:44:40 pppd[3110]: Plugin sstp-pppd-plugin.so loaded.
Oct 26 10:44:40 pppd[3110]: pppd 2.4.4-4 started by root, uid 0
Oct 26 10:44:40 pppd[3110]: Using interface ppp1
Oct 26 10:44:40 pppd[3110]: Connect: ppp1 <--> /dev/pts/1
Oct 26 10:44:40 sstpc_SSTP0[3111]: Unrecoverable SSL error: 1 (error:14094410:lib(20):func(148):reason(1040))
Oct 26 10:44:40 sstpc_SSTP0[3111]: HTTP handshake with server failed
Oct 26 10:44:40 pppd[3110]: Modem hangup
Oct 26 10:44:40 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 192.168.8.1 (Bridge0).
Oct 26 10:44:40 pppd[3110]: Connection terminated.
Oct 26 10:44:40 pppd[3110]: Exit.
[E] Oct 26 10:44:40 ndm: Service: "SSTP0": unexpectedly stopped.
 

Link to comment
Share on other sites

В 26.10.2018 в 10:49, pigovina сказал:

Подскажите, в чем может быть проблема.

Устанавливаю SSTP с Кинетика до Микротика, не работает, если вместо Кинетика использовать Микрот, между обоими все ок.

(Адрес внешнего сервера в логе изменен на 123.123.123.123)

 

Oct 26 10:44:36 ndm: Network::Interface::Base: "SSTP0": interface is up.
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": remote endpoint is resolved to "123.123.123.123".
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": connecting via Home (Bridge0).
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": local endpoint is resolved to "192.168.8.2".
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 192.168.8.1 (Bridge0).
Oct 26 10:44:36 ndm: Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "Bridge0" as new local source.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 0, new global priority: 0.
Oct 26 10:44:40 pppd[3110]: Plugin sstp-pppd-plugin.so loaded.
Oct 26 10:44:40 pppd[3110]: pppd 2.4.4-4 started by root, uid 0
Oct 26 10:44:40 pppd[3110]: Using interface ppp1
Oct 26 10:44:40 pppd[3110]: Connect: ppp1 <--> /dev/pts/1
Oct 26 10:44:40 sstpc_SSTP0[3111]: Unrecoverable SSL error: 1 (error:14094410:lib(20):func(148):reason(1040))
Oct 26 10:44:40 sstpc_SSTP0[3111]: HTTP handshake with server failed
Oct 26 10:44:40 pppd[3110]: Modem hangup
Oct 26 10:44:40 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 192.168.8.1 (Bridge0).
Oct 26 10:44:40 pppd[3110]: Connection terminated.
Oct 26 10:44:40 pppd[3110]: Exit.
[E] Oct 26 10:44:40 ndm: Service: "SSTP0": unexpectedly stopped.
 

Какой серверный сертификат залит в M? Если вообще непонятно о чем я, то скорее всего нужно включить anonymous dh.

Link to comment
Share on other sites

14 часа назад, Le ecureuil сказал:

Какой серверный сертификат залит в M? Если вообще непонятно о чем я, то скорее всего нужно включить anonymous dh.

Со стороны Mikrotik в настройках SSTP сертификат не выбран, галочки напротив "Verify Client Certificate", "Force AES", "PFS" не стоят.

В логах Mikrotik вообще никаких событий нет, даже если поставить/снять галочки.

Link to comment
Share on other sites

  • 1 month later...
В 07.09.2018 в 16:12, watchmenx сказал:

Добрый день, при настройке sstp vpn-сервера приходится открывать удаленный доступ из интернета по http. При этом из интернета теперь можно открывать страницу роутера если набрать ХТТПС:// ИМЯ.keenetic. что-то. Я просто взял ради интереса открыл два адреса из имен тех, что были заняты, когда я себе подбирал. По одному так же открылась страница входа в настройки роутера, а по-второму был настроен проброс на NAS и я увидел фотографии какого-то мужика. Второй, конечно, сам себе такое понастраивал, но это не особо успокаивает. 

При том, что "Порт управления по HTTP" у меня выставлен в 80, но т.к. роутер у меня в интернет выходит через другой роутер, то проброса на него нет и по HTTP он не открывается. А по https открывается, хотя 443 нигде не указан для управления.

Поддерживаю вопрос, только немного с другого ракурса.

Подскажите, почему нельзя настроить VPN-сервер SSTP, но не разрешать доступ к интернет-центру напрямую из интернета? А то получается любой кто введет наш IP адрес в адресной строке, попадает сразу на страницу входа в интернет-центр... Как-то не очень безопасно получается.

Если же запретить 80 TCP на WAN IP роутера в файрволле, тогда остается только 443 порт и безопасный доступ по https. По IP-адресу тогда ничего открываться не будет, подключение к роутеру и к SSTP серверу будет возможно только по доменному имени и только по https. НО, сертификат истечет через 90 дней. Запрет 80 TCP будет препятствовать его обновлению (проверено).

По этому вопросу обращался в техподдержку, там длинная переписка с привлечением специалиста, который в keenetic занимается разработкой SSTP, он подтверждает техническую возможность смены порта для SSTP. Но в результате сказали, что пока мало обращений по этому поводу и дело с места не двигается.

Edited by Timoha
Ошибки пунктуации.
Link to comment
Share on other sites

2 часа назад, Timoha сказал:

Поддерживаю вопрос, только немного с другого ракурса.

Подскажите, почему нельзя настроить VPN-сервер SSTP, но не разрешать доступ к интернет-центру напрямую из интернета? А то получается любой кто введет наш IP адрес в адресной строке, попадает сразу на страницу входа в интернет-центр... Как-то не очень безопасно получается.

Если же запретить 80 TCP на WAN IP роутера в файрволле, тогда остается только 443 порт и безопасный доступ по https. По IP-адресу тогда ничего открываться не будет, подключение к роутеру и к SSTP серверу будет возможно только по доменному имени и только по https. НО, сертификат истечет через 90 дней. Запрет 80 TCP будет препятствовать его обновлению (проверено).

По этому вопросу обращался в техподдержку, там длинная переписка с привлечением специалиста, который в keenetic занимается разработкой SSTP, он подтверждает техническую возможность смены порта для SSTP. Но в результате сказали, что пока мало обращений по этому поводу и дело с места не двигается.

Начиная с 2.15  можно смело закрывать, для обновления сертификата 80 порт более не требуется.

ЗЫ а на текущих прошивках можно открыть 443 через firewall а не галкой, тогда 80 будет закрыт, но это не помешает обновлению сертификатов.

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

1 час назад, r13 сказал:

Начиная с 2.15  можно смело закрывать, для обновления сертификата 80 порт более не требуется.

ЗЫ а на текущих прошивках можно открыть 443 через firewall а не галкой, тогда 80 будет закрыт, но это не помешает обновлению сертификатов.

Если снять галку SSTP сервер отключается. Пока логику SSTP не поменяют галку придётся оставить, а порт закрыть в межсетевом экране. Если теперь проблемы с сертификатом при закрытом 80 порту не будет, то это хорошо.

Link to comment
Share on other sites

2 часа назад, r13 сказал:

Начиная с 2.15  можно смело закрывать, для обновления сертификата 80 порт более не требуется.

ЗЫ а на текущих прошивках можно открыть 443 через firewall а не галкой, тогда 80 будет закрыт, но это не помешает обновлению сертификатов.

Попробовал. Нет, так не работает. Порт управления 443 (или любой другой), в firewall 80 порт перекрыт. В логах видим строки:
Dec 18 15:08:46 ndm: Acme::Client: start automatic reissuing of certificate for domain "xxx.keenetic.link".
[E] Dec 18 15:08:46 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.

 

Если же порт управления не менять, оставить 80, но в firewall его перекрыть, то получаем вот такое:
Dec 18 15:33:34 ndm: Acme::V2: got result from server.
Dec 18 15:33:34 ndm: [truncated] Acme::Tools: [309] "out": "{"identifier":{"type":"dns","value":"xxx.keenetic.pro"},"status":"invalid","expires":"2018-12-25T12:33:21Z","challenges":[{"type":"tls-alpn-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384827","token":"OZjzLA5HkgscpsNt2KpJ8e1WmnMBmbHaEz2ho55n_oI"},{"type":"dns-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384828","token":"vT5ky5ivFy-AQ_yKBOieipUbPeybGwhuVm77txh2iqk"},{"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:connection","detail":"Fetching http://xxx.keenetic.pro/.well-known/acme-challenge/rOCvbPYln_wPIwiL5HR6I2fdB3EFQHcj8rG_3OAS0Cg: Timeout during connect (likely firewall problem)","status":400},"url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384829","token":"rOCvbPYln_wPIw
[C] Dec 18 15:33:34 ndm: Acme::V2: system failed [0xcffd030d], got invalid answer from server.
Dec 18 15:33:34 ndm: Http::Manager: security level unchanged.
Dec 18 15:33:34 ndm: Acme::Client: retry after 15 s, retry 1.

 

А что за 2.15 прошивка? У меня Keenetic Extra II на последней стабильной 2.14. Когда ожидать выход 2.15 не известно?

 

1 час назад, Кинетиковод сказал:

Если снять галку SSTP сервер отключается. Пока логику SSTP не поменяют галку придётся оставить, а порт закрыть в межсетевом экране. Если теперь проблемы с сертификатом при закрытом 80 порту не будет, то это хорошо.

Да, без галки сервер SSTP не работает. Проблемы с сертификатом при закрытом 80 порту остаются. 

Вообще я много чего перепробовал уже, судя по всему, пока это не переделают в прошивке - обойти не получится.

Edited by Timoha
Link to comment
Share on other sites

4 минуты назад, Timoha сказал:

Попробовал. Нет, так не работает. Порт управления 443 (или любой другой), в firewall 80 порт перекрыт. В логах видим строки:
Dec 18 15:08:46 ndm: Acme::Client: start automatic reissuing of certificate for domain "xxx.keenetic.link".
[E] Dec 18 15:08:46 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.

 

Если же порт управления не менять, оставить 80, но в firewall его перекрыть, то получаем вот такое:
Dec 18 15:33:34 ndm: Acme::V2: got result from server.
Dec 18 15:33:34 ndm: [truncated] Acme::Tools: [309] "out": "{"identifier":{"type":"dns","value":"xxx.keenetic.pro"},"status":"invalid","expires":"2018-12-25T12:33:21Z","challenges":[{"type":"tls-alpn-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384827","token":"OZjzLA5HkgscpsNt2KpJ8e1WmnMBmbHaEz2ho55n_oI"},{"type":"dns-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384828","token":"vT5ky5ivFy-AQ_yKBOieipUbPeybGwhuVm77txh2iqk"},{"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:connection","detail":"Fetching http://xxx.keenetic.pro/.well-known/acme-challenge/rOCvbPYln_wPIwiL5HR6I2fdB3EFQHcj8rG_3OAS0Cg: Timeout during connect (likely firewall problem)","status":400},"url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384829","token":"rOCvbPYln_wPIw
[C] Dec 18 15:33:34 ndm: Acme::V2: system failed [0xcffd030d], got invalid answer from server.
Dec 18 15:33:34 ndm: Http::Manager: security level unchanged.
Dec 18 15:33:34 ndm: Acme::Client: retry after 15 s, retry 1.

 

А что за 2.15 прошивка? У меня Keenetic Extra II на последней стабильной 2.14. Когда ожидать выход 2.15 не известно?

Да, я указал что для такого сценария нужна 2.15, выйдет наверное через пару месяцев, сейчас пока в драфте.

2й сценарий проверю на досуге.

Link to comment
Share on other sites

2й сценарий рабочий.

Открываете доступ галкой, включаете sstp, закрываете доступ галкой, и открываете 443 в firewall. sstp работает

Edited by r13
Link to comment
Share on other sites

11 час назад, r13 сказал:

2й сценарий рабочий.

Открываете доступ галкой, включаете sstp, закрываете доступ галкой, и открываете 443 в firewall. sstp работает

Хм, да, действительно. В настройках везде ругается, что для работы нужен доступ по HTTP.  Но попробовал подключиться к сети VPN и оказалось, что сервер работает...

Отлично, спасибо! Ждём 2.15, чтобы сертификат обновлялся без проблем))
 

image.png

image.png

Edited by Timoha
Link to comment
Share on other sites

  • 2 months later...

Версия ОС 2.14.C.0.0-4

SSTP сервер работает. Клиент - windows 10. Доступ к устройствам домашней сети возможен, если они только находятся в Основном профиле Приоритета подключений. Перевод устройств в любой из других профилей приоритета подключений приводит к недоступности их (в том числе не пингуются) для клиента SSTP. Так и должно быть?

Link to comment
Share on other sites

9 часов назад, Dimash сказал:

Версия ОС 2.14.C.0.0-4

SSTP сервер работает. Клиент - windows 10. Доступ к устройствам домашней сети возможен, если они только находятся в Основном профиле Приоритета подключений. Перевод устройств в любой из других профилей приоритета подключений приводит к недоступности их (в том числе не пингуются) для клиента SSTP. Так и должно быть?

Пока да.

Link to comment
Share on other sites

  • 1 month later...
13 часа назад, utya сказал:

А если у меня есть внешний ip мне все равно надо настраивать sstp сервер через keendns облако?

Внешний может быть серый или белый. Если белый ip, то прямой доступ, если серый, то облако.

Link to comment
Share on other sites

Здравствуйте

Возникла проблема с клиентом SSTP

Роутер Зиксель Гига II

Прошивка ОС2.15.C.2.0-2 отладочная

Доменное имя зарегистрировано с сертификатом - через облако

Установил компоненты  клиент SSTP и  SSTP VPN сервер

На вкладке другие подключения установил SSTP подключение. Сделал все по инструкции

https://help.keenetic.com/hc/ru/articles/360000599979?utm_source=webhelp&utm_campaign=2.15.C2.2&utm_medium=ui_notes&utm_content=controlpanel/otherconnections

Однако подключения нет

Файлы (фото, лог и selftest) прилагаю

Кто может помочь в этой проблеме?

 

02.jpg

01.jpg

03.jpg

log.txt self-test (1).txt

Link to comment
Share on other sites

39 минут назад, Le ecureuil сказал:

Клиент у вас на какой версии?

Или обновите его на 2.15, или включите PAP в параметрах аутентификации на клиенте.

Я как бы не спец в этих делах - но что касается прошивки Роутера я написал

ОС2.15.C.2.0-2 отладочная

Поэтому не совсем понятно что именно обновить до версии 2.15 - если вся прошивка роутера последней версии ОС2.15.C.2.0-2 отладочная

" включите PAP в параметрах аутентификации на клиенте"

Не совсем понятно где это сделать

 

Link to comment
Share on other sites

2 минуты назад, Mihail сказал:

включите PAP в параметрах аутентификации на клиенте"

 Не совсем понятно где это сделать

Там где проверка подлинности на клиенте

Link to comment
Share on other sites

4 минуты назад, r13 сказал:

Там где проверка подлинности на клиенте

Поменял - то же самое - нет соединения - ошибка авторизации

Edited by Mihail
Link to comment
Share on other sites

7 минут назад, Mihail сказал:

Поменял - то же самое - нет соединения - ошибка авторизации

А вебморда по адресу нормально открывается?

Логины пароли с обоих сторон еще сверить можно и что на сервере разрешон доступ по sstp для выбранного логина.

Edited by r13
Link to comment
Share on other sites

9 минут назад, r13 сказал:

А вебморда по адресу нормально открывается?

Логины пароли с обоих сторон еще сверить можно и что на сервере разрешон доступ по sstp для выбранного логина.

Отлично открывается по Интернет адресу (удаленно)  - и Вэбморда и Приложение Transmission все отлично

И файлы через Вэморду (я имею ввиду удаленно через Интернет) с ЮСБ диска подключенного к роутеру отлично качаются

 

Хотелось бы уточнить а как выяснить что у провайдера разрешен доступ по sstp??

 

Вот только эта проблема с SSTP клиентом 

Image3.jpg

Edited by Mihail
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...