SSTP-сервер и клиент

Le ecureuil · August 3, 2018

2 часа назад, msml01 сказал:

Закинул в личку.

На последнем draft все прекрасно подключается:

(config)> interface SSTP0 debug
[I] Aug  3 22:55:18 ndm: Core::ConfigurationSaver: saving configuration...
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": interface state is changed, reconnecting.
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": remote endpoint is resolved to "123.123.123.123".
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": connecting via ISP (GigabitEthernet1).
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": local endpoint is resolved to "172.16.120.56".
[I] Aug  3 22:55:18 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 172.16.120.1 (GigabitEthernet1).
[I] Aug  3 22:55:19 ndm: Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
[I] Aug  3 22:55:19 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "GigabitEthernet1" as new local source.
[I] Aug  3 22:55:19 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
[I] Aug  3 22:55:19 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
[I] Aug  3 22:55:19 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 700, new global priority: 700.
Plugin sstp-pppd-plugin.so loaded.
[I] Aug  3 22:55:21 pppd[636]: Plugin sstp-pppd-plugin.so loaded.
[I] Aug  3 22:55:21 pppd[636]: pppd 2.4.4-4 started by root, uid 0
using channel 1
[I] Aug  3 22:55:21 pppd[636]: using channel 1
Using interface ppp0
[I] Aug  3 22:55:21 pppd[636]: Using interface ppp0
Connect: ppp0 <--> /dev/pts/0
[I] Aug  3 22:55:21 pppd[636]: Connect: ppp0 <--> /dev/pts/0
[I] Aug  3 22:55:21 sstpc_SSTP0[639]: Waiting for sstp-plugin to connect on: /var/run/sstpc-SSTP0
[I] Aug  3 22:55:21 sstpc_SSTP0[639]: Resolved 123.123.123.123 to 123.123.123.123
[I] Aug  3 22:55:21 sstpc_SSTP0[639]: Connected to 123.123.123.123 (host: 123.123.123.123)
[I] Aug  3 22:55:22 sstpc_SSTP0[639]: The certificate (123.123.123.123) did not match the host: 123.123.123.123
[I] Aug  3 22:55:22 sstpc_SSTP0[639]: Server certificate verification failed, ignoring
[I] Aug  3 22:55:22 sstpc_SSTP0[639]: Sending Connect-Request Message
[C] Aug  3 22:55:22 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(14) 
[C] Aug  3 22:55:22 sstpc_SSTP0[639]:   TYPE(1): CONNECT REQUEST, ATTR(1):
[C] Aug  3 22:55:22 sstpc_SSTP0[639]:     ENCAP PROTO(1): 6
[C] Aug  3 22:55:22 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(48) 
[C] Aug  3 22:55:22 sstpc_SSTP0[639]:   TYPE(2): CONNECT ACK, ATTR(1):
[C] Aug  3 22:55:22 sstpc_SSTP0[639]:     CRYPTO BIND REQ(4): 40
[I] Aug  3 22:55:22 sstpc_SSTP0[639]: Started PPP Link Negotiation
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xb9fcc391>]
[I] Aug  3 22:55:22 pppd[636]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xb9fcc391>]
[I] Aug  3 22:55:22 ndm: Core::ConfigurationSaver: configuration saved.
rcvd [LCP ConfReq id=0x0 <auth pap>]
[I] Aug  3 22:55:22 pppd[636]: rcvd [LCP ConfReq id=0x0 <auth pap>]
sent [LCP ConfAck id=0x0 <auth pap>]
[I] Aug  3 22:55:22 pppd[636]: sent [LCP ConfAck id=0x0 <auth pap>]
rcvd [LCP ConfRej id=0x1 <asyncmap 0x0> <magic 0xb9fcc391>]
[I] Aug  3 22:55:22 pppd[636]: rcvd [LCP ConfRej id=0x1 <asyncmap 0x0> <magic 0xb9fcc391>]
sent [LCP ConfReq id=0x2]
[I] Aug  3 22:55:22 pppd[636]: sent [LCP ConfReq id=0x2]
rcvd [LCP ConfAck id=0x2]
[I] Aug  3 22:55:22 pppd[636]: rcvd [LCP ConfAck id=0x2]
sent [LCP EchoReq id=0x0 magic=0x0]
[I] Aug  3 22:55:22 pppd[636]: sent [LCP EchoReq id=0x0 magic=0x0]
sent [PAP AuthReq id=0x1 user="user" password=<hidden>]
[I] Aug  3 22:55:22 pppd[636]: sent [PAP AuthReq id=0x1 user="user" password=<hidden>]
rcvd [LCP EchoRep id=0x0 magic=0x0]
[I] Aug  3 22:55:22 pppd[636]: rcvd [LCP EchoRep id=0x0 magic=0x0]
rcvd [PAP AuthAck id=0x1]
[I] Aug  3 22:55:23 pppd[636]: rcvd [PAP AuthAck id=0x1]
PAP authentication succeeded
[I] Aug  3 22:55:23 pppd[636]: PAP authentication succeeded
Script /etc/ppp/pre-up-ppp0 started (pid 641)
[I] Aug  3 22:55:23 pppd[636]: Script /etc/ppp/pre-up-ppp0 started (pid 641)
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 172.16.120.1 (GigabitEthernet1).
Script /etc/ppp/pre-up-ppp0 finished (pid 641), status = 0x0
[I] Aug  3 22:55:23 pppd[636]: Script /etc/ppp/pre-up-ppp0 finished (pid 641), status = 0x0
sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
[I] Aug  3 22:55:23 pppd[636]: sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
rcvd [IPCP ConfReq id=0x1 <addr 1.0.0.1>]
sent [IPCP ConfAck id=0x1 <addr 1.0.0.1>][I] Aug  3 22:55:23 pppd[636]: rcvd [IPCP ConfReq id=0x1 <addr 1.0.0.1>]

[I] Aug  3 22:55:23 pppd[636]: sent [IPCP ConfAck id=0x1 <addr 1.0.0.1>]
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "GigabitEthernet1" as new local source.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 700, new global priority: 700.
rcvd [IPCP ConfNak id=0x1 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]
sent [IPCP ConfReq id=0x2 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>][I] Aug  3 22:55:23 pppd[636]: rcvd [IPCP ConfNak id=0x1 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]

[I] Aug  3 22:55:23 pppd[636]: sent [IPCP ConfReq id=0x2 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]
rcvd [IPCP ConfAck id=0x2 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]
[I] Aug  3 22:55:23 pppd[636]: rcvd [IPCP ConfAck id=0x2 <addr 192.168.234.19> <ms-dns1 1.1.1.1> <ms-dns3 208.67.220.220>]
local  IP address 192.168.234.19
[I] Aug  3 22:55:23 pppd[636]: local  IP address 192.168.234.19
remote IP address 1.0.0.1
[I] Aug  3 22:55:23 pppd[636]: remote IP address 1.0.0.1
primary   DNS address 1.1.1.1
[I] Aug  3 22:55:23 pppd[636]: primary   DNS address 1.1.1.1
secondary DNS address 208.67.220.220
[I] Aug  3 22:55:23 pppd[636]: secondary DNS address 208.67.220.220
[I] Aug  3 22:55:23 sstpc_SSTP0[639]: Received callback from sstp-plugin
[I] Aug  3 22:55:23 sstpc_SSTP0[639]: Sending Connected Message
[C] Aug  3 22:55:23 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(112) 
[C] Aug  3 22:55:23 sstpc_SSTP0[639]:   TYPE(4): CONNECTED, ATTR(1):
[C] Aug  3 22:55:23 sstpc_SSTP0[639]:     CRYPTO BIND(3): 104
[I] Aug  3 22:55:23 sstpc_SSTP0[639]: Connection Established
Script /etc/ppp/ip-up-ppp0 started (pid 648)
[I] Aug  3 22:55:23 pppd[636]: Script /etc/ppp/ip-up-ppp0 started (pid 648)
[I] Aug  3 22:55:23 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Aug  3 22:55:23 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Aug  3 22:55:23 ndm: Network::Interface::Ppp: "SSTP0": adding nameserver 1.1.1.1.
[I] Aug  3 22:55:23 ndm: Dns::Manager: name server 1.1.1.1 added, domain (default).
[I] Aug  3 22:55:23 ndm: Network::Interface::Ppp: "SSTP0": adding nameserver 208.67.220.220.
[I] Aug  3 22:55:23 ndm: Dns::Manager: name server 208.67.220.220 added, domain (default).
[I] Aug  3 22:55:23 ndm: Network::Interface::IP: "SSTP0": IP address is 192.168.234.19/32.
[C] Aug  3 19:55:23 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:23 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:23 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:23 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:23 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "GigabitEthernet1" as new local source.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
[I] Aug  3 22:55:23 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 700, new global priority: 700.
Script /etc/ppp/ip-up-ppp0 finished (pid 648), status = 0x0
[I] Aug  3 22:55:24 pppd[636]: Script /etc/ppp/ip-up-ppp0 finished (pid 648), status = 0x0
[I] Aug  3 22:55:25 ndhcpc: SSTP0: NDM DHCP client (version 3.2.19) started.
[I] Aug  3 22:55:25 ndhcpc: SSTP0: created PID file "/var/run/ndhcpc-ppp0.pid".
[C] Aug  3 19:55:27 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:27 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:27 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:27 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:27 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):
[C] Aug  3 19:55:30 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:30 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:30 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:30 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:30 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):
[C] Aug  3 19:55:35 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:35 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:35 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:35 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:35 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):
[C] Aug  3 19:55:39 sstpc_SSTP0[639]: RECV SSTP CRTL PKT(8) 
[C] Aug  3 19:55:39 sstpc_SSTP0[639]:   TYPE(8): ECHO REQUEST, ATTR(0):
[I] Aug  3 19:55:39 sstpc_SSTP0[639]: Sending Echo-Reply Message
[C] Aug  3 19:55:39 sstpc_SSTP0[639]: SEND SSTP CRTL PKT(8) 
[C] Aug  3 19:55:39 sstpc_SSTP0[639]:   TYPE(9): ECHO REPLY, ATTR(0):

Le ecureuil · August 3, 2018

5 часов назад, msml01 сказал:

Сервер на базе SofteherVPN + Local Bridge + dnsmasq. Другие клиенты подключаются, в том числе sstpc скомпилированный для macOS. Да и на Win7 стандартный работает после импорта сертификата (self sign).

sstpc --log-stderr --cert-warn --user user0 --password ***** 123.123.123.123:444 usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp

П.С. К другому кинетику цепляется без проблем. Может каким нибудь образом с 53/67 портами связано. Как я понял здесь udp трафик блокируется.

А вообще судя по логу, у вас адрес на WAN, и адрес, который хочет получить туннель находятся в одной подсети.

Это аяй и бардак, надо поправить. Скорее всего в этом дело.

msml01 · August 4, 2018

6 часов назад, Le ecureuil сказал:

А вообще судя по логу, у вас адрес на WAN, и адрес, который хочет получить туннель находятся в одной подсети.

Возможно у провайдера adsl в сети такая подсеть есть. Я заметил что здесь 192.168.234.1 пингуется, а у меня это как шлюз как раз используется на серваке. Сейчас попробую поменять подсеть. Благодарю за наводку!

msml01 · August 4, 2018

7 часов назад, Le ecureuil сказал:

Это аяй и бардак, надо поправить. Скорее всего в этом дело.

Поменял на другую подсеть, результата нет к сожалению. Я вам скину в личку адрес и пароль от кинетика, может посмотрите если время будет что не так.

Le ecureuil · August 4, 2018

8 часов назад, msml01 сказал:

Поменял на другую подсеть, результата нет к сожалению. Я вам скину в личку адрес и пароль от кинетика, может посмотрите если время будет что не так.

Нашел проблему и даже прошил вам прошивку с исправлением. Теперь все работает.

Только не стал интерфейс делать глобальным, чтобы ничего не отвалилось. Это попробуйте сделать сами.

r13 · August 4, 2018

14 минуты назад, Le ecureuil сказал:

Нашел проблему и даже прошил вам прошивку с исправлением. Теперь все работает.

Только не стал интерфейс делать глобальным, чтобы ничего не отвалилось. Это попробуйте сделать сами.

сервис однако

msml01 · August 4, 2018

6 часов назад, Le ecureuil сказал:

Нашел проблему и даже прошил вам прошивку с исправлением. Теперь все работает.

Благодорю, на самом деле все работает! ??

6 часов назад, Le ecureuil сказал:

только не стал интерфейс делать глобальным, чтобы ничего не отвалилось.

Понял, благодарю ещё раз.

6 часов назад, r13 сказал:

сервис однако

Еще один плюс в копилку сборной Keenetic!

Edited August 4, 2018 by msml01

watchmenx · September 7, 2018

Добрый день, при настройке sstp vpn-сервера приходится открывать удаленный доступ из интернета по http. При этом из интернета теперь можно открывать страницу роутера если набрать ХТТПС:// ИМЯ.keenetic. что-то. Я просто взял ради интереса открыл два адреса из имен тех, что были заняты, когда я себе подбирал. По одному так же открылась страница входа в настройки роутера, а по-второму был настроен проброс на NAS и я увидел фотографии какого-то мужика. Второй, конечно, сам себе такое понастраивал, но это не особо успокаивает.

При том, что "Порт управления по HTTP" у меня выставлен в 80, но т.к. роутер у меня в интернет выходит через другой роутер, то проброса на него нет и по HTTP он не открывается. А по https открывается, хотя 443 нигде не указан для управления.

Edited September 7, 2018 by watchmenx

pigovina · October 26, 2018

Подскажите, в чем может быть проблема.

Устанавливаю SSTP с Кинетика до Микротика, не работает, если вместо Кинетика использовать Микрот, между обоими все ок.

(Адрес внешнего сервера в логе изменен на 123.123.123.123)

Oct 26 10:44:36 ndm: Network::Interface::Base: "SSTP0": interface is up.
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": remote endpoint is resolved to "123.123.123.123".
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": connecting via Home (Bridge0).
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": local endpoint is resolved to "192.168.8.2".
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 192.168.8.1 (Bridge0).
Oct 26 10:44:36 ndm: Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "Bridge0" as new local source.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 0, new global priority: 0.
Oct 26 10:44:40 pppd[3110]: Plugin sstp-pppd-plugin.so loaded.
Oct 26 10:44:40 pppd[3110]: pppd 2.4.4-4 started by root, uid 0
Oct 26 10:44:40 pppd[3110]: Using interface ppp1
Oct 26 10:44:40 pppd[3110]: Connect: ppp1 <--> /dev/pts/1
Oct 26 10:44:40 sstpc_SSTP0[3111]: Unrecoverable SSL error: 1 (error:14094410:lib(20):func(148):reason(1040))
Oct 26 10:44:40 sstpc_SSTP0[3111]: HTTP handshake with server failed
Oct 26 10:44:40 pppd[3110]: Modem hangup
Oct 26 10:44:40 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 192.168.8.1 (Bridge0).
Oct 26 10:44:40 pppd[3110]: Connection terminated.
Oct 26 10:44:40 pppd[3110]: Exit.
[E] Oct 26 10:44:40 ndm: Service: "SSTP0": unexpectedly stopped.

Le ecureuil · October 29, 2018

В 26.10.2018 в 10:49, pigovina сказал:

Подскажите, в чем может быть проблема.

Устанавливаю SSTP с Кинетика до Микротика, не работает, если вместо Кинетика использовать Микрот, между обоими все ок.

(Адрес внешнего сервера в логе изменен на 123.123.123.123)

Oct 26 10:44:36 ndm: Network::Interface::Base: "SSTP0": interface is up.
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": remote endpoint is resolved to "123.123.123.123".
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": connecting via Home (Bridge0).
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": local endpoint is resolved to "192.168.8.2".
Oct 26 10:44:36 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 192.168.8.1 (Bridge0).
Oct 26 10:44:36 ndm: Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": check interface "Bridge0" as new local source.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": state = up, network mask = 0, fixed.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": current network mask = 0.
Oct 26 10:44:37 ndm: Network::Interface::PppTunnel: "SSTP0": network masks are equal, current global priority: 0, new global priority: 0.
Oct 26 10:44:40 pppd[3110]: Plugin sstp-pppd-plugin.so loaded.
Oct 26 10:44:40 pppd[3110]: pppd 2.4.4-4 started by root, uid 0
Oct 26 10:44:40 pppd[3110]: Using interface ppp1
Oct 26 10:44:40 pppd[3110]: Connect: ppp1 <--> /dev/pts/1
Oct 26 10:44:40 sstpc_SSTP0[3111]: Unrecoverable SSL error: 1 (error:14094410:lib(20):func(148):reason(1040))
Oct 26 10:44:40 sstpc_SSTP0[3111]: HTTP handshake with server failed
Oct 26 10:44:40 pppd[3110]: Modem hangup
Oct 26 10:44:40 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 123.123.123.123 via 192.168.8.1 (Bridge0).
Oct 26 10:44:40 pppd[3110]: Connection terminated.
Oct 26 10:44:40 pppd[3110]: Exit.
[E] Oct 26 10:44:40 ndm: Service: "SSTP0": unexpectedly stopped.

Какой серверный сертификат залит в M? Если вообще непонятно о чем я, то скорее всего нужно включить anonymous dh.

pigovina · October 30, 2018

14 часа назад, Le ecureuil сказал:

Какой серверный сертификат залит в M? Если вообще непонятно о чем я, то скорее всего нужно включить anonymous dh.

Со стороны Mikrotik в настройках SSTP сертификат не выбран, галочки напротив "Verify Client Certificate", "Force AES", "PFS" не стоят.

В логах Mikrotik вообще никаких событий нет, даже если поставить/снять галочки.

Timoha · December 18, 2018

В 07.09.2018 в 16:12, watchmenx сказал:

Добрый день, при настройке sstp vpn-сервера приходится открывать удаленный доступ из интернета по http. При этом из интернета теперь можно открывать страницу роутера если набрать ХТТПС:// ИМЯ.keenetic. что-то. Я просто взял ради интереса открыл два адреса из имен тех, что были заняты, когда я себе подбирал. По одному так же открылась страница входа в настройки роутера, а по-второму был настроен проброс на NAS и я увидел фотографии какого-то мужика. Второй, конечно, сам себе такое понастраивал, но это не особо успокаивает.

При том, что "Порт управления по HTTP" у меня выставлен в 80, но т.к. роутер у меня в интернет выходит через другой роутер, то проброса на него нет и по HTTP он не открывается. А по https открывается, хотя 443 нигде не указан для управления.

Поддерживаю вопрос, только немного с другого ракурса.

Подскажите, почему нельзя настроить VPN-сервер SSTP, но не разрешать доступ к интернет-центру напрямую из интернета? А то получается любой кто введет наш IP адрес в адресной строке, попадает сразу на страницу входа в интернет-центр... Как-то не очень безопасно получается.

Если же запретить 80 TCP на WAN IP роутера в файрволле, тогда остается только 443 порт и безопасный доступ по https. По IP-адресу тогда ничего открываться не будет, подключение к роутеру и к SSTP серверу будет возможно только по доменному имени и только по https. НО, сертификат истечет через 90 дней. Запрет 80 TCP будет препятствовать его обновлению (проверено).

По этому вопросу обращался в техподдержку, там длинная переписка с привлечением специалиста, который в keenetic занимается разработкой SSTP, он подтверждает техническую возможность смены порта для SSTP. Но в результате сказали, что пока мало обращений по этому поводу и дело с места не двигается.

Edited December 18, 2018 by Timoha
Ошибки пунктуации.

r13 · December 18, 2018

2 часа назад, Timoha сказал:

Поддерживаю вопрос, только немного с другого ракурса.

Подскажите, почему нельзя настроить VPN-сервер SSTP, но не разрешать доступ к интернет-центру напрямую из интернета? А то получается любой кто введет наш IP адрес в адресной строке, попадает сразу на страницу входа в интернет-центр... Как-то не очень безопасно получается.

Если же запретить 80 TCP на WAN IP роутера в файрволле, тогда остается только 443 порт и безопасный доступ по https. По IP-адресу тогда ничего открываться не будет, подключение к роутеру и к SSTP серверу будет возможно только по доменному имени и только по https. НО, сертификат истечет через 90 дней. Запрет 80 TCP будет препятствовать его обновлению (проверено).

По этому вопросу обращался в техподдержку, там длинная переписка с привлечением специалиста, который в keenetic занимается разработкой SSTP, он подтверждает техническую возможность смены порта для SSTP. Но в результате сказали, что пока мало обращений по этому поводу и дело с места не двигается.

Начиная с 2.15 можно смело закрывать, для обновления сертификата 80 порт более не требуется.

ЗЫ а на текущих прошивках можно открыть 443 через firewall а не галкой, тогда 80 будет закрыт, но это не помешает обновлению сертификатов.

Edited December 18, 2018 by r13

Кинетиковод · December 18, 2018

1 час назад, r13 сказал:

Начиная с 2.15 можно смело закрывать, для обновления сертификата 80 порт более не требуется.

ЗЫ а на текущих прошивках можно открыть 443 через firewall а не галкой, тогда 80 будет закрыт, но это не помешает обновлению сертификатов.

Если снять галку SSTP сервер отключается. Пока логику SSTP не поменяют галку придётся оставить, а порт закрыть в межсетевом экране. Если теперь проблемы с сертификатом при закрытом 80 порту не будет, то это хорошо.

Timoha · December 18, 2018

2 часа назад, r13 сказал:

Начиная с 2.15 можно смело закрывать, для обновления сертификата 80 порт более не требуется.

ЗЫ а на текущих прошивках можно открыть 443 через firewall а не галкой, тогда 80 будет закрыт, но это не помешает обновлению сертификатов.

Попробовал. Нет, так не работает. Порт управления 443 (или любой другой), в firewall 80 порт перекрыт. В логах видим строки:
Dec 18 15:08:46 ndm: Acme::Client: start automatic reissuing of certificate for domain "xxx.keenetic.link".
[E] Dec 18 15:08:46 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.

Если же порт управления не менять, оставить 80, но в firewall его перекрыть, то получаем вот такое:
Dec 18 15:33:34 ndm: Acme::V2: got result from server.
Dec 18 15:33:34 ndm: [truncated] Acme::Tools: [309] "out": "{"identifier":{"type":"dns","value":"xxx.keenetic.pro"},"status":"invalid","expires":"2018-12-25T12:33:21Z","challenges":[{"type":"tls-alpn-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384827","token":"OZjzLA5HkgscpsNt2KpJ8e1WmnMBmbHaEz2ho55n_oI"},{"type":"dns-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384828","token":"vT5ky5ivFy-AQ_yKBOieipUbPeybGwhuVm77txh2iqk"},{"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:connection","detail":"Fetching http://xxx.keenetic.pro/.well-known/acme-challenge/rOCvbPYln_wPIwiL5HR6I2fdB3EFQHcj8rG_3OAS0Cg: Timeout during connect (likely firewall problem)","status":400},"url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384829","token":"rOCvbPYln_wPIw
[C] Dec 18 15:33:34 ndm: Acme::V2: system failed [0xcffd030d], got invalid answer from server.
Dec 18 15:33:34 ndm: Http::Manager: security level unchanged.
Dec 18 15:33:34 ndm: Acme::Client: retry after 15 s, retry 1.

А что за 2.15 прошивка? У меня Keenetic Extra II на последней стабильной 2.14. Когда ожидать выход 2.15 не известно?

1 час назад, Кинетиковод сказал:

Если снять галку SSTP сервер отключается. Пока логику SSTP не поменяют галку придётся оставить, а порт закрыть в межсетевом экране. Если теперь проблемы с сертификатом при закрытом 80 порту не будет, то это хорошо.

Да, без галки сервер SSTP не работает. Проблемы с сертификатом при закрытом 80 порту остаются.

Вообще я много чего перепробовал уже, судя по всему, пока это не переделают в прошивке - обойти не получится.

Edited December 18, 2018 by Timoha

r13 · December 18, 2018

4 минуты назад, Timoha сказал:

Попробовал. Нет, так не работает. Порт управления 443 (или любой другой), в firewall 80 порт перекрыт. В логах видим строки:
Dec 18 15:08:46 ndm: Acme::Client: start automatic reissuing of certificate for domain "xxx.keenetic.link".
[E] Dec 18 15:08:46 ndm: Acme::Client: obtaining certificate is available only when HTTP port is set to 80.

Если же порт управления не менять, оставить 80, но в firewall его перекрыть, то получаем вот такое:
Dec 18 15:33:34 ndm: Acme::V2: got result from server.
Dec 18 15:33:34 ndm: [truncated] Acme::Tools: [309] "out": "{"identifier":{"type":"dns","value":"xxx.keenetic.pro"},"status":"invalid","expires":"2018-12-25T12:33:21Z","challenges":[{"type":"tls-alpn-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384827","token":"OZjzLA5HkgscpsNt2KpJ8e1WmnMBmbHaEz2ho55n_oI"},{"type":"dns-01","status":"invalid","url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384828","token":"vT5ky5ivFy-AQ_yKBOieipUbPeybGwhuVm77txh2iqk"},{"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:connection","detail":"Fetching http://xxx.keenetic.pro/.well-known/acme-challenge/rOCvbPYln_wPIwiL5HR6I2fdB3EFQHcj8rG_3OAS0Cg: Timeout during connect (likely firewall problem)","status":400},"url":"https://acme-v02.api.letsencrypt.org/acme/challenge/UwZOGvZ1wYLGKBsUgBI8-WF2loJ3od8_EVBZiQMBEUE/10463384829","token":"rOCvbPYln_wPIw
[C] Dec 18 15:33:34 ndm: Acme::V2: system failed [0xcffd030d], got invalid answer from server.
Dec 18 15:33:34 ndm: Http::Manager: security level unchanged.
Dec 18 15:33:34 ndm: Acme::Client: retry after 15 s, retry 1.

А что за 2.15 прошивка? У меня Keenetic Extra II на последней стабильной 2.14. Когда ожидать выход 2.15 не известно?

Да, я указал что для такого сценария нужна 2.15, выйдет наверное через пару месяцев, сейчас пока в драфте.

2й сценарий проверю на досуге.

r13 · December 18, 2018

2й сценарий рабочий.

Открываете доступ галкой, включаете sstp, закрываете доступ галкой, и открываете 443 в firewall. sstp работает

Edited December 18, 2018 by r13

Timoha · December 19, 2018

11 час назад, r13 сказал:

2й сценарий рабочий.

Открываете доступ галкой, включаете sstp, закрываете доступ галкой, и открываете 443 в firewall. sstp работает

Хм, да, действительно. В настройках везде ругается, что для работы нужен доступ по HTTP. Но попробовал подключиться к сети VPN и оказалось, что сервер работает...

Отлично, спасибо! Ждём 2.15, чтобы сертификат обновлялся без проблем))

Edited December 19, 2018 by Timoha

Dimash · February 20, 2019

Версия ОС 2.14.C.0.0-4

SSTP сервер работает. Клиент - windows 10. Доступ к устройствам домашней сети возможен, если они только находятся в Основном профиле Приоритета подключений. Перевод устройств в любой из других профилей приоритета подключений приводит к недоступности их (в том числе не пингуются) для клиента SSTP. Так и должно быть?

Le ecureuil · February 21, 2019

9 часов назад, Dimash сказал:

Версия ОС 2.14.C.0.0-4

SSTP сервер работает. Клиент - windows 10. Доступ к устройствам домашней сети возможен, если они только находятся в Основном профиле Приоритета подключений. Перевод устройств в любой из других профилей приоритета подключений приводит к недоступности их (в том числе не пингуются) для клиента SSTP. Так и должно быть?

Пока да.

utya · March 22, 2019

А если у меня есть внешний ip мне все равно надо настраивать sstp сервер через keendns облако?

Кинетиковод · March 23, 2019

13 часа назад, utya сказал:

А если у меня есть внешний ip мне все равно надо настраивать sstp сервер через keendns облако?

Внешний может быть серый или белый. Если белый ip, то прямой доступ, если серый, то облако.

Mihail · March 27, 2019

Здравствуйте

Возникла проблема с клиентом SSTP

Роутер Зиксель Гига II

Прошивка ОС2.15.C.2.0-2 отладочная

Доменное имя зарегистрировано с сертификатом - через облако

Установил компоненты клиент SSTP и SSTP VPN сервер

На вкладке другие подключения установил SSTP подключение. Сделал все по инструкции

https://help.keenetic.com/hc/ru/articles/360000599979?utm_source=webhelp&utm_campaign=2.15.C2.2&utm_medium=ui_notes&utm_content=controlpanel/otherconnections

Однако подключения нет

Файлы (фото, лог и selftest) прилагаю

Кто может помочь в этой проблеме?

log.txt self-test (1).txt

Le ecureuil · March 27, 2019

Клиент у вас на какой версии?

Или обновите его на 2.15, или включите PAP в параметрах аутентификации на клиенте.

Mihail · March 27, 2019

39 минут назад, Le ecureuil сказал:

Клиент у вас на какой версии?

Или обновите его на 2.15, или включите PAP в параметрах аутентификации на клиенте.

Я как бы не спец в этих делах - но что касается прошивки Роутера я написал

ОС2.15.C.2.0-2 отладочная

Поэтому не совсем понятно что именно обновить до версии 2.15 - если вся прошивка роутера последней версии ОС2.15.C.2.0-2 отладочная

" включите PAP в параметрах аутентификации на клиенте"

Не совсем понятно где это сделать

r13 · March 27, 2019

2 минуты назад, Mihail сказал:

включите PAP в параметрах аутентификации на клиенте"

Не совсем понятно где это сделать

Там где проверка подлинности на клиенте

Mihail · March 27, 2019

Mihail · March 27, 2019

4 минуты назад, r13 сказал:

Там где проверка подлинности на клиенте

Поменял - то же самое - нет соединения - ошибка авторизации

Edited March 27, 2019 by Mihail

r13 · March 27, 2019

7 минут назад, Mihail сказал:

Поменял - то же самое - нет соединения - ошибка авторизации

А вебморда по адресу нормально открывается?

Логины пароли с обоих сторон еще сверить можно и что на сервере разрешон доступ по sstp для выбранного логина.

Edited March 27, 2019 by r13

Mihail · March 27, 2019

9 минут назад, r13 сказал:

А вебморда по адресу нормально открывается?

Логины пароли с обоих сторон еще сверить можно и что на сервере разрешон доступ по sstp для выбранного логина.

Отлично открывается по Интернет адресу (удаленно) - и Вэбморда и Приложение Transmission все отлично

И файлы через Вэморду (я имею ввиду удаленно через Интернет) с ЮСБ диска подключенного к роутеру отлично качаются

Хотелось бы уточнить а как выяснить что у провайдера разрешен доступ по sstp??

Вот только эта проблема с SSTP клиентом

Edited March 27, 2019 by Mihail

Sign In

SSTP-сервер и клиент

Recommended Posts

Link to comment

Share on other sites

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Le ecureuil

Le ecureuil

r13

Posted Images

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Join the conversation

Recently Browsing 0 members