SSTP-сервер и клиент

[A]

поднял sstp на Speedster, и он при норм нагрузке отваливается (потом переподключается). Под норм нагрузкой понимаю просмотр фильмов и даже speedtest.

Это известная проблема? как я могу посмотреть-почитать логи чтобы понять что именно не так?

при 1 подключеном пользователе система выгледит как-то так

[Le ecureuil]

Нужны логи со включеной отладкой.

[Windom_Earle]

Вопрос по раздаче адреса IPv6 через SSTP.

Сервер - Keenetic Giga III, белый IP.

Клиент - Keenetic Giga KN-1010, серый IP.

Настройки сервера (фрагменты):

system
    set net.ipv6.conf.all.forwarding 1
!
interface TunnelSixToFour0
    ipv6 force-default
    up
!
sstp-server
    interface Home
    ipv6cp
    pool-range 172.16.3.33 150
    multi-login
    lcp echo 30 3
!

Настройки клиента:

system
    set net.ipv6.conf.all.forwarding 1
!
interface SSTP0
    description ***
    role misc
    peer ***
    ipv6cp
    ipv6 address auto
    ipv6 prefix auto
    ipv6 force-default
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ***
    authentication password ns3 ***
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss pmtu
    connect
    up
!

При подключении на сервере в логе:

SstpServer::Manager: user "***" connected from "***.***.***.***" with address "172.16.3.33", IPv6 address "2002:****:****:0:****:****:0:7/128".

Т.е. пользователю присваивается адрес IPv6 сервером. Только на клиенте никаких следов этого нет, в логах только Link-local адреса:

local LL address fe80::7373:7470:0000:0007
remote LL address fe80::1ff3:73ec:7527:1c0a
Ip6::Nd::Node: SSTP0 IPv6 local address: fe80::7373:7470:0000:0007.
Ip6::Nd::Node: SSTP0 IPv6 remote address: fe80::1ff3:73ec:7527:1c0a.

Почему клиент не получает IPv6 адрес через IPv6CP/DHCPv6? Я что-то недонастроил или прошивка ещё такого не может? C IPv4 проблем нет.

[Le ecureuil]

22 часа назад, Windom_Earle сказал:

Вопрос по раздаче адреса IPv6 через SSTP.

Сервер - Keenetic Giga III, белый IP.

Клиент - Keenetic Giga KN-1010, серый IP.

Настройки сервера (фрагменты):

system
    set net.ipv6.conf.all.forwarding 1
!
interface TunnelSixToFour0
    ipv6 force-default
    up
!
sstp-server
    interface Home
    ipv6cp
    pool-range 172.16.3.33 150
    multi-login
    lcp echo 30 3
!

Настройки клиента:

system
    set net.ipv6.conf.all.forwarding 1
!
interface SSTP0
    description ***
    role misc
    peer ***
    ipv6cp
    ipv6 address auto
    ipv6 prefix auto
    ipv6 force-default
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ***
    authentication password ns3 ***
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss pmtu
    connect
    up
!

При подключении на сервере в логе:

SstpServer::Manager: user "***" connected from "***.***.***.***" with address "172.16.3.33", IPv6 address "2002:****:****:0:****:****:0:7/128".

Т.е. пользователю присваивается адрес IPv6 сервером. Только на клиенте никаких следов этого нет, в логах только Link-local адреса:

local LL address fe80::7373:7470:0000:0007
remote LL address fe80::1ff3:73ec:7527:1c0a
Ip6::Nd::Node: SSTP0 IPv6 local address: fe80::7373:7470:0000:0007.
Ip6::Nd::Node: SSTP0 IPv6 remote address: fe80::1ff3:73ec:7527:1c0a.

Почему клиент не получает IPv6 адрес через IPv6CP/DHCPv6? Я что-то недонастроил или прошивка ещё такого не может? C IPv4 проблем нет.

dhcpv6 стартует на клиенте?

[r13]

1 час назад, Le ecureuil сказал:

dhcpv6 стартует на клиенте?

@Le ecureuil
оно вроде и не работало никогда, у меня тикет про это уже пару лет болтается #437371

Сначала были ошибки, потом как и у вопрошающего адрес не подхватывался клиентом. Если надо могу свежих селфтестов понаделать.

[Windom_Earle]

6 hours ago, Le ecureuil said:

dhcpv6 стартует на клиенте?

Посмотрел self-test - ни в настройках, ни в логах нет ничего про DHCPv6. Как должен отображаться запуск?

Есть:

ndm: Command::LogResponse: IPv6CP enabled.

при инициализации интерфейса SSTP0.

Ещё, из self-test - в списке запущенных процессов есть Ip6::Dhcp::Client-ppp0.

Edited June 13, 2021 by Windom_Earle

[Windom_Earle]

На интерфейсе клиента после установки соединения меняется link-local:

                "link-local": "fe80::7373:7470:0:7",
                "interface": "SSTP0",
                "valid-lifetime": "infinite"

Отличается от того адреса, который присваивается сервером только link-local префиксом. Начинаясь в последних разрядах с 0:0, адрес увеличивается на единицу после каждого пересоединения у одного и того же клиента. А вот адрес не назначается, т.е. остаётся таким же, как и link-local. принудительная установка префикса настройками интерфейса не помогает.

Можно только вручную статичный адрес прописать в настройках интерфейса клиента, но для работы нужно чтобы он всегда совпадал с адресом, назначаемым сервером - а тот динамический, инкрементируется, т.е. работает только до следующей переустановки соединения.

[Windom_Earle]

Update.

Протёр глаза, увидел в логе dhcp6_check_ia_status: status code 0x6: no prefixes (честное слово, раньше не было 😲).

На фоне этого погуглил и удалил ipv6 prefix auto из настроек SSTP-интерфейса клиента.

Теперь адрес раздаётся. Жаль, что только динамический - при каждом подключении клиента инкрементируется, но всё равно - прогресс.

[Lafani]

Добрый день!

Не могу удаленно подключиться к ip камере. Обращался в Тех. под., с начало отвечали, потом залегли на дно.

Имеется kn-1910, дом сеть 192.168.1.1, поднят SSTP сервер, установлена маршрутизация в дом. сеть 102.168.2.0, через шлюз 172.16.3.33

На kn-1211, дом. сеть 192.168.2.0, установлен клиент SSTP, открыты порты tcp/udp/icmp, добавлен маршрут в сеть 192.168.1.1, через шлюз 172.16.3.33.

К kn-1211, подключена ip камера WI-FI Reolink E1, интернет через модем Мегафон.

Подключиться к камере не получается. С центра  kn-1910, зайти на kn-1211 тоже. А вот с kn 1211  через  KeenDNS, к SSTP серверу подключиться можно. Все делал по инструкциям с сайта Кеенетик. Где я сделал ошибки.

Имеет ли значение где поднят sstp сервер, может лучше его на kn-1211 поднять, где камера подключена.

 

self-test (1).txt kn-1910.txt self-test kn-1211 (2).txt

Edited July 2, 2021 by Lafani

[Le ecureuil]

Да, лучше на 1211.

[Lafani]

20 минут назад, Le ecureuil сказал:

Да, лучше на 1211.

Надо переделывать все. Ну а почему в такой конфигурации не работает. Ведь kn-1910, мощнее и работает быстрей чем kn-1211.

[Le ecureuil]

2 минуты назад, Lafani сказал:

Надо переделывать все. Ну а почему в такой конфигурации не работает. Ведь kn-1910, мощнее и работает быстрей чем kn-1211.

Потому что очень желательно иметь камеры в сети сервера, так проще настроить доступ.
По мощности все равно будет ограничение в самом слабом звене - у вас в обоих случаях 1211 им является.

[Lafani]

2 часа назад, Le ecureuil сказал:

Да, лучше на 1211.

Перенастроил. На kn-1211 сервер SSTP, а на kn-1910 настроен клиент sstp. С kn-1910, через KeenDNS, захожу в веб kn-1211, вижу подключенную камеру, но подключиться к ней из ПО Reolink Client не получается.

[Le ecureuil]

16 минут назад, Lafani сказал:

Перенастроил. На kn-1211 сервер SSTP, а на kn-1910 настроен клиент sstp. С kn-1910, через KeenDNS, захожу в веб kn-1211, вижу подключенную камеру, но подключиться к ней из ПО Reolink Client не получается.

Тогда рассказывайте какие протоколы использует Reolink. Скорее всего с multicast у вас ничего не получится.

[Lafani]

9 часов назад, Le ecureuil сказал:

какие протоколы использует Reolink

Если подключить камеру проводом, в ПО Реалинка , "сеть" видно:

Media port-9000, 

RTSP port 554

DDNS port 123

я открыл:___________________, но это все, сделано не осознанно, как в приведенных статьях.

 

[Le ecureuil]

RTSP намекает на мультикаст. Есть ощущение, что и не заработает.

[WLF]

Всем привет!

Сразу скажу, что в сетевых делах понимаю очень поверхностно.

Имеется роутер Giga 3 (прошивка 2.16), IP серый за NAT'ом провайдера, и комп "домашний сервер" (файрволл отключен) подключенный проводом к роутеру. Задача - получить доступ к домашней сети с ноутбука (win10) через мобильный инет.

По этой статье на роутере настроил впн-сервер sstp.

По этой статье настроил клиент на ноуте, но подключиться не удаётся:

Скрытый текст

Настройки:

Скрытый текст

Настройки впн-сервера:

Скрытый текст

 

self-test.txt

Edited August 10, 2021 by WLF

[pachalia]

Здравствуйте! Кто-нибудь имеет опыт настройки SSTP сервера на ubuntu.  Делал всё по этой инструкции https://github.com/maxqfz/SSTP  на своей vps, но не заработало.  Теперь концов не найду что ни так сделал.  Что посоветуете сделать?

[feoser]

Добрый день!
Подскажите  какую сторону копать, наткнулся на описанную иже ситуацию.

Проверено на Keenetic Viva - 2.16.D.12.0-1(где это и нужно, но после того как наткнулся на данную ситуацию, стал уже экспериментировать), Giga (KN-1010) - 3.7 Beta 3, в роли клиентов выступали Win7 и Win10, ситуация везде повторяемая и воспроизводимая.
На кинетике настроено две внутренних подсети, одна из диапазона 192.168.*.*/24 и для одного порта из 10.*.*.*/24.

Народ для удаленной работы к рабочим машинам подсоединяется через циско конекшен и в маршрутах вдается несколько подсетей 10.*.*.*/24. Понадобилось сделать доступ к технической сети из диапазона 10.*.*.*/24, который соответственно не совпадает с диапазонами выделяемыми циско конекшен, подключение осуществляется по SSTP через облако.
так вот при соединении по SSTP винда получает маршрут 10.0.0.0/8 через SSTP. Циско конекшен видя такое безобразие делает реконект и после этого трафик через SSTP уже не идет.

Ради интереса пробовал назначать на кинетике для клиентов диапазон из 192.168.*.*/24, в этом случае винде прилетает нормальный маршрут /24, а вот если на кинетике для клиентов установлено 10.*.*.*/24, то клиентам прилетает маршрут 10.0.0.0/8 через SSTP.

Можно ли как сделать чтобы клиентам приходил маршрут 10.*.*.*/24

Отвечу на любые вопросы.

 

[Le ecureuil]

В 31.10.2021 в 11:32, feoser сказал:

Добрый день!
Подскажите  какую сторону копать, наткнулся на описанную иже ситуацию.

Проверено на Keenetic Viva - 2.16.D.12.0-1(где это и нужно, но после того как наткнулся на данную ситуацию, стал уже экспериментировать), Giga (KN-1010) - 3.7 Beta 3, в роли клиентов выступали Win7 и Win10, ситуация везде повторяемая и воспроизводимая.
На кинетике настроено две внутренних подсети, одна из диапазона 192.168.*.*/24 и для одного порта из 10.*.*.*/24.

Народ для удаленной работы к рабочим машинам подсоединяется через циско конекшен и в маршрутах вдается несколько подсетей 10.*.*.*/24. Понадобилось сделать доступ к технической сети из диапазона 10.*.*.*/24, который соответственно не совпадает с диапазонами выделяемыми циско конекшен, подключение осуществляется по SSTP через облако.
так вот при соединении по SSTP винда получает маршрут 10.0.0.0/8 через SSTP. Циско конекшен видя такое безобразие делает реконект и после этого трафик через SSTP уже не идет.

Ради интереса пробовал назначать на кинетике для клиентов диапазон из 192.168.*.*/24, в этом случае винде прилетает нормальный маршрут /24, а вот если на кинетике для клиентов установлено 10.*.*.*/24, то клиентам прилетает маршрут 10.0.0.0/8 через SSTP.

Можно ли как сделать чтобы клиентам приходил маршрут 10.*.*.*/24

Отвечу на любые вопросы.

 

Скорее всего кривая шиндошс использует class routing, потому для сетей из 10.0.0.0 всегда будет /8 маска.
В качестве решения можно транзитную сеть сделать из 192.168.x.x, а затем через sstp-server dhcp route добавить нужное, но... Возможно винда и там выберет class routing, нужно проверять наживую.

[Ivan G]

Доброго времени суток. Помогите, пожалуйста, разобраться.
У меня Keenetic Giga (KN-1010). Версия ОС 3.6.12
Создал VPN-сервер SSTP. На Кинетике на сером IP.

Скрытый текст

Доменное имя: ЧЧЧ.keenetic.pro С сертификатом SSL
Режим работы (IPv4) Через облако
Режим работы (IPv6) Через облако
Доступ к веб-конфигуратору - ДА

Домашняя сеть 192.168.1.1-200
VPN SSTP 192.168.1.100-120

Скрытый текст

(специально сделал пересекающиеся диапазоны по https://help.keenetic.com/hc/ru/articles/360000594640)

Важно! Если "Начальный IP-адрес" попадает в диапазон сети указанного в поле "Доступ к сети" сегмента, включается функция ARP-Proxy, что позволит обращаться к такому VPN-клиенту из указанного локального сегмента. Например, если в поле "Доступ к сети" выбрана домашняя сеть 192.168.1.0 с маской 255.255.255.0 и настройками DHCP-сервера: "Начальный адрес пула": 192.168.1.33, "Размер пула адресов": 120, вы можете задать "Начальный IP-адрес" VPN-сервера 192.168.1.154, который попадает в диапазон 192.168.1.1-192.168.1.254, и иметь доступ из домашней сети к VPN-клиентам наравне с доступом к локальным устройствам.

множественный вход отключён
у каждой адрес и логин-пароль.
NAT для клиентов - ДА.

Подключился с 2х машин под Win10 к VPN. Одна 101 другая 102,
Проблем нет, успешно пингуют домашнюю сеть, роутер. Но не друг-друга. Делал по инструкции, руками ничего не прописывал, кроме логинов, паролей и адресов для VPN клиентов.
https://help.keenetic.com/hc/ru/articles/360000594640-VPN-сервер-SSTP

В настройках VPN на клиентах убраны галки "использовать как основной шлюз". Всё остальное по стандарту.
чтобы в интернет выход иметь локальный.
Со 101 не могу 102 пропинговать, и наоборот. А ради этого всё затевалось (подключаться с ноута в командировке к рабочему ПК через домашнюю VPN).

Докопался до того, что, чтобы иметь доступ от сервере к клиенту нужно прописать статический маршрут.
 

Скрытый текст

https://help.keenetic.com/hc/ru/articles/360001390359
У меня не сеть за втоом роутером, а ПК.
Попробовал сделать маршнут до узла
Вбил в настройках маршрутизации правило:

Маршрут к ноуту
 

Скрытый текст

Тип - до узла
Адрес узла назначения 192.168.1.102
Адрес шлюза 192.168.1.1 (был автоматический в DHCP (пустое поле), прописал строго 192.168.1.1 (перед этим проверил, что на устройствах в домашней сети именно так автоматом ставит)) - не уверен, что именно так прописать нужно было. Справку по стат маршрутам прочитал - не помогло.
Интерфейс - любое
Добавлять автоматически - ДА.

Перезапускаю соединение VPN на клиенте - перестаёт вообще пинговаться домашняя сеть.
Ни шлюз 192.168.1.1 (он же роутер), ни ПК 192.168.1.2 в домашней сети. Роутер, соответственно, не видит 102.
То же самое с 101 рабочим компом.

Не уверен, что имеет отношение к теме, но читая тему встечал про это(вероятно): Удаленное управление - доступ к конфигуратору - только HTTPS (т.е. 80 закрыт?).
    
Может я что-то не так делаю по глупому?

В каком состоянии снять Файл диагностики?

Направьте, пожалуйста по смежным темам:
1)

Скрытый текст

куда копать, чтобы с клиента только на подсеть 192.188.1.0-255 перенаправлялись запросы.
Или нужно ли этим заниматься вообще?

2)

Скрытый текст

Можно ли как-то назначить выбранным приложениям выход в интернет через VPN? Например торренты с работы качать (трафик будет через облако идти?
или облако только для соединения служит? https://help.keenetic.com/hc/ru/articles/360000594640).

 

 

[Le ecureuil]

Рабочий комп у вас в локальной сети, или тоже где-то в интернете?

[Ivan G]

3 часа назад, Le ecureuil сказал:

Рабочий комп у вас в локальной сети, или тоже где-то в интернете?

Домашняя локальная сеть - роутер .1 и домашний ПК - .2
Ну и на вайфае по мелочи сидят камера, телефоны.
.101 - рабочий не в локалке, в интернете (имеет белый IP).
.102 - ноут не в локалке, в интернете.

[Le ecureuil]

1 час назад, Ivan G сказал:

Домашняя локальная сеть - роутер .1 и домашний ПК - .2
Ну и на вайфае по мелочи сидят камера, телефоны.
.101 - рабочий не в локалке, в интернете (имеет белый IP).
.102 - ноут не в локалке, в интернете.

Думаю надо не сюда, а в поддержку писать.

[Ivan G]

Спасибо. Попробую.

[snark]

3.7 b8

sstp постоянно рвется, что не так?

Core::Syslog: the system log has been cleared.
Ноя 26 16:24:08 ppp-sstp
sstp0:xxxx: failed to get interface statistics
Ноя 26 16:24:08 ndm
SstpServer::Manager: user xxxx" from "xx.xx.xx.xx" disconnected.

Edited November 26, 2021 by snark

[Mamay]

14 минуты назад, snark сказал:

3.7 b8

Пишите в профильную ветку. 

[snark]

В 26.11.2021 в 16:42, Mamay сказал:

Пишите в профильную ветку. 

После обновления до 3.7.0 можно уже писать сюда?

Ничего не изменилось, постоянный дисконект.

Edited November 28, 2021 by snark

[Le ecureuil]

16 часов назад, snark сказал:

После обновления до 3.7.0 можно уже писать сюда?

Ничего не изменилось, постоянный дисконект.

Включите system debug чтобы поподробнее было.
Кто клиент?

Пока видно что разрыв инициирован клиентом, но подробнее нужно конечно.

[The_Immortal]

Внезапно пропал коннект между двумя Кинами по SSTP. На клиенте (3.8 Alpha 8 ) пишет:

Could not connect to sstp-client (/var/run/sstpc-SSTP0), Connection refused (146)

На сервере вообще ничего не пишет.

Сервер перезапускал.

С виндового клиента коннект идет.

---

Обновился на 3.8.0 - проблема осталась.

Edited June 17, 2022 by The_Immortal