Jump to content

SSTP-сервер и клиент


Recommended Posts

поднял sstp на Speedster, и он при норм нагрузке отваливается (потом переподключается). Под норм нагрузкой понимаю просмотр фильмов и даже speedtest.

Это известная проблема? как я могу посмотреть-почитать логи чтобы понять что именно не так?

при 1 подключеном пользователе система выгледит как-то так

image.thumb.png.bea5a6842598d9f9ca80e151d8794eb1.png

Link to comment
Share on other sites

  • 2 months later...

Вопрос по раздаче адреса IPv6 через SSTP.

Сервер - Keenetic Giga III, белый IP.

Клиент - Keenetic Giga KN-1010, серый IP.

Настройки сервера (фрагменты):

system
    set net.ipv6.conf.all.forwarding 1
!
interface TunnelSixToFour0
    ipv6 force-default
    up
!
sstp-server
    interface Home
    ipv6cp
    pool-range 172.16.3.33 150
    multi-login
    lcp echo 30 3
!

Настройки клиента:

system
    set net.ipv6.conf.all.forwarding 1
!
interface SSTP0
    description ***
    role misc
    peer ***
    ipv6cp
    ipv6 address auto
    ipv6 prefix auto
    ipv6 force-default
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ***
    authentication password ns3 ***
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss pmtu
    connect
    up
!

При подключении на сервере в логе:

SstpServer::Manager: user "***" connected from "***.***.***.***" with address "172.16.3.33", IPv6 address "2002:****:****:0:****:****:0:7/128".

Т.е. пользователю присваивается адрес IPv6 сервером. Только на клиенте никаких следов этого нет, в логах только Link-local адреса:

local LL address fe80::7373:7470:0000:0007
remote LL address fe80::1ff3:73ec:7527:1c0a
Ip6::Nd::Node: SSTP0 IPv6 local address: fe80::7373:7470:0000:0007.
Ip6::Nd::Node: SSTP0 IPv6 remote address: fe80::1ff3:73ec:7527:1c0a.

Почему клиент не получает IPv6 адрес через IPv6CP/DHCPv6? Я что-то недонастроил или прошивка ещё такого не может? C IPv4 проблем нет.

Link to comment
Share on other sites

22 часа назад, Windom_Earle сказал:

Вопрос по раздаче адреса IPv6 через SSTP.

Сервер - Keenetic Giga III, белый IP.

Клиент - Keenetic Giga KN-1010, серый IP.

Настройки сервера (фрагменты):


system
    set net.ipv6.conf.all.forwarding 1
!
interface TunnelSixToFour0
    ipv6 force-default
    up
!
sstp-server
    interface Home
    ipv6cp
    pool-range 172.16.3.33 150
    multi-login
    lcp echo 30 3
!

Настройки клиента:


system
    set net.ipv6.conf.all.forwarding 1
!
interface SSTP0
    description ***
    role misc
    peer ***
    ipv6cp
    ipv6 address auto
    ipv6 prefix auto
    ipv6 force-default
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity ***
    authentication password ns3 ***
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss pmtu
    connect
    up
!

При подключении на сервере в логе:


SstpServer::Manager: user "***" connected from "***.***.***.***" with address "172.16.3.33", IPv6 address "2002:****:****:0:****:****:0:7/128".

Т.е. пользователю присваивается адрес IPv6 сервером. Только на клиенте никаких следов этого нет, в логах только Link-local адреса:


local LL address fe80::7373:7470:0000:0007
remote LL address fe80::1ff3:73ec:7527:1c0a
Ip6::Nd::Node: SSTP0 IPv6 local address: fe80::7373:7470:0000:0007.
Ip6::Nd::Node: SSTP0 IPv6 remote address: fe80::1ff3:73ec:7527:1c0a.

Почему клиент не получает IPv6 адрес через IPv6CP/DHCPv6? Я что-то недонастроил или прошивка ещё такого не может? C IPv4 проблем нет.

dhcpv6 стартует на клиенте?

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

dhcpv6 стартует на клиенте?

@Le ecureuil
оно вроде и не работало никогда, у меня тикет про это уже пару лет болтается #437371

Сначала были ошибки, потом как и у вопрошающего адрес не подхватывался клиентом. Если надо могу свежих селфтестов понаделать.

Link to comment
Share on other sites

6 hours ago, Le ecureuil said:

dhcpv6 стартует на клиенте?

Посмотрел self-test - ни в настройках, ни в логах нет ничего про DHCPv6. Как должен отображаться запуск?

Есть:

ndm: Command::LogResponse: IPv6CP enabled.

при инициализации интерфейса SSTP0.

Ещё, из self-test - в списке запущенных процессов есть Ip6::Dhcp::Client-ppp0.

Edited by Windom_Earle
Link to comment
Share on other sites

На интерфейсе клиента после установки соединения меняется link-local:
                "link-local": "fe80::7373:7470:0:7",
                "interface": "SSTP0",
                "valid-lifetime": "infinite"

Отличается от того адреса, который присваивается сервером только link-local префиксом. Начинаясь в последних разрядах с 0:0, адрес увеличивается на единицу после каждого пересоединения у одного и того же клиента. А вот адрес не назначается, т.е. остаётся таким же, как и link-local. принудительная установка префикса настройками интерфейса не помогает.

Можно только вручную статичный адрес прописать в настройках интерфейса клиента, но для работы нужно чтобы он всегда совпадал с адресом, назначаемым сервером - а тот динамический, инкрементируется, т.е. работает только до следующей переустановки соединения.

Link to comment
Share on other sites

  • 2 weeks later...

Update.

Протёр глаза, увидел в логе dhcp6_check_ia_status: status code 0x6: no prefixes (честное слово, раньше не было 😲).

На фоне этого погуглил и удалил ipv6 prefix auto из настроек SSTP-интерфейса клиента.

Теперь адрес раздаётся. Жаль, что только динамический - при каждом подключении клиента инкрементируется, но всё равно - прогресс.

Link to comment
Share on other sites

Posted (edited)

Добрый день!

Не могу удаленно подключиться к ip камере. Обращался в Тех. под., с начало отвечали, потом залегли на дно.

Имеется kn-1910, дом сеть 192.168.1.1, поднят SSTP сервер, установлена маршрутизация в дом. сеть 102.168.2.0, через шлюз 172.16.3.33

На kn-1211, дом. сеть 192.168.2.0, установлен клиент SSTP, открыты порты tcp/udp/icmp, добавлен маршрут в сеть 192.168.1.1, через шлюз 172.16.3.33.

К kn-1211, подключена ip камера WI-FI Reolink E1, интернет через модем Мегафон.

Подключиться к камере не получается. С центра  kn-1910, зайти на kn-1211 тоже. А вот с kn 1211  через  KeenDNS, к SSTP серверу подключиться можно. Все делал по инструкциям с сайта Кеенетик. Где я сделал ошибки.

Имеет ли значение где поднят sstp сервер, может лучше его на kn-1211 поднять, где камера подключена.

 

IMG_20210630_102225[1].jpg

IMG_20210702_181717[1].jpg

self-test (1).txt kn-1910.txt self-test kn-1211 (2).txt

Edited by Lafani
Link to comment
Share on other sites

20 минут назад, Le ecureuil сказал:

Да, лучше на 1211.

Надо переделывать все. Ну а почему в такой конфигурации не работает. Ведь kn-1910, мощнее и работает быстрей чем kn-1211.

Link to comment
Share on other sites

2 минуты назад, Lafani сказал:

Надо переделывать все. Ну а почему в такой конфигурации не работает. Ведь kn-1910, мощнее и работает быстрей чем kn-1211.

Потому что очень желательно иметь камеры в сети сервера, так проще настроить доступ.
По мощности все равно будет ограничение в самом слабом звене - у вас в обоих случаях 1211 им является.

Link to comment
Share on other sites

2 часа назад, Le ecureuil сказал:

Да, лучше на 1211.

Перенастроил. На kn-1211 сервер SSTP, а на kn-1910 настроен клиент sstp. С kn-1910, через KeenDNS, захожу в веб kn-1211, вижу подключенную камеру, но подключиться к ней из ПО Reolink Client не получается.

Link to comment
Share on other sites

16 минут назад, Lafani сказал:

Перенастроил. На kn-1211 сервер SSTP, а на kn-1910 настроен клиент sstp. С kn-1910, через KeenDNS, захожу в веб kn-1211, вижу подключенную камеру, но подключиться к ней из ПО Reolink Client не получается.

Тогда рассказывайте какие протоколы использует Reolink. Скорее всего с multicast у вас ничего не получится.

Link to comment
Share on other sites

9 часов назад, Le ecureuil сказал:

какие протоколы использует Reolink

Если подключить камеру проводом, в ПО Реалинка , "сеть" видно:

Media port-9000, 

RTSP port 554

DDNS port 123

я открыл:___________________, но это все, сделано не осознанно, как в приведенных статьях.

 

IMG_20210703_093145[1].jpg

Link to comment
Share on other sites

  • 1 month later...

Всем привет!

Сразу скажу, что в сетевых делах понимаю очень поверхностно.

Имеется роутер Giga 3 (прошивка 2.16), IP серый за NAT'ом провайдера, и комп "домашний сервер" (файрволл отключен) подключенный проводом к роутеру. Задача - получить доступ к домашней сети с ноутбука (win10) через мобильный инет.

По этой статье на роутере настроил впн-сервер sstp.

По этой статье настроил клиент на ноуте, но подключиться не удаётся:

Скрытый текст

2021-08-10_11-48-12.png.e1acecb527bb9c51daf7033122b7b26c.png

Настройки:

Скрытый текст

2021-08-10_11-50-04.thumb.png.dfd58be686ec6eabe8e7110c7fc61730.png

Настройки впн-сервера:

Скрытый текст

2021-08-10_12-17-47.png.a747f38a385093065381eefdf4897389.png

 

self-test.txt

Edited by WLF
Link to comment
Share on other sites

  • 2 months later...

Здравствуйте! Кто-нибудь имеет опыт настройки SSTP сервера на ubuntu.  Делал всё по этой инструкции https://github.com/maxqfz/SSTP  на своей vps, но не заработало.  Теперь концов не найду что ни так сделал.  Что посоветуете сделать?

Link to comment
Share on other sites

  • 3 weeks later...

Добрый день!
Подскажите  какую сторону копать, наткнулся на описанную иже ситуацию.

Проверено на Keenetic Viva - 2.16.D.12.0-1(где это и нужно, но после того как наткнулся на данную ситуацию, стал уже экспериментировать), Giga (KN-1010) - 3.7 Beta 3, в роли клиентов выступали Win7 и Win10, ситуация везде повторяемая и воспроизводимая.
На кинетике настроено две внутренних подсети, одна из диапазона 192.168.*.*/24 и для одного порта из 10.*.*.*/24.

Народ для удаленной работы к рабочим машинам подсоединяется через циско конекшен и в маршрутах вдается несколько подсетей 10.*.*.*/24. Понадобилось сделать доступ к технической сети из диапазона 10.*.*.*/24, который соответственно не совпадает с диапазонами выделяемыми циско конекшен, подключение осуществляется по SSTP через облако.
так вот при соединении по SSTP винда получает маршрут 10.0.0.0/8 через SSTP. Циско конекшен видя такое безобразие делает реконект и после этого трафик через SSTP уже не идет.

Ради интереса пробовал назначать на кинетике для клиентов диапазон из 192.168.*.*/24, в этом случае винде прилетает нормальный маршрут /24, а вот если на кинетике для клиентов установлено 10.*.*.*/24, то клиентам прилетает маршрут 10.0.0.0/8 через SSTP.

Можно ли как сделать чтобы клиентам приходил маршрут 10.*.*.*/24

Отвечу на любые вопросы.

 

2021-10-19_13-20-24.png

Link to comment
Share on other sites

В 31.10.2021 в 11:32, feoser сказал:

Добрый день!
Подскажите  какую сторону копать, наткнулся на описанную иже ситуацию.

Проверено на Keenetic Viva - 2.16.D.12.0-1(где это и нужно, но после того как наткнулся на данную ситуацию, стал уже экспериментировать), Giga (KN-1010) - 3.7 Beta 3, в роли клиентов выступали Win7 и Win10, ситуация везде повторяемая и воспроизводимая.
На кинетике настроено две внутренних подсети, одна из диапазона 192.168.*.*/24 и для одного порта из 10.*.*.*/24.

Народ для удаленной работы к рабочим машинам подсоединяется через циско конекшен и в маршрутах вдается несколько подсетей 10.*.*.*/24. Понадобилось сделать доступ к технической сети из диапазона 10.*.*.*/24, который соответственно не совпадает с диапазонами выделяемыми циско конекшен, подключение осуществляется по SSTP через облако.
так вот при соединении по SSTP винда получает маршрут 10.0.0.0/8 через SSTP. Циско конекшен видя такое безобразие делает реконект и после этого трафик через SSTP уже не идет.

Ради интереса пробовал назначать на кинетике для клиентов диапазон из 192.168.*.*/24, в этом случае винде прилетает нормальный маршрут /24, а вот если на кинетике для клиентов установлено 10.*.*.*/24, то клиентам прилетает маршрут 10.0.0.0/8 через SSTP.

Можно ли как сделать чтобы клиентам приходил маршрут 10.*.*.*/24

Отвечу на любые вопросы.

 

2021-10-19_13-20-24.png

Скорее всего кривая шиндошс использует class routing, потому для сетей из 10.0.0.0 всегда будет /8 маска.
В качестве решения можно транзитную сеть сделать из 192.168.x.x, а затем через sstp-server dhcp route добавить нужное, но... Возможно винда и там выберет class routing, нужно проверять наживую.

  • Upvote 1
Link to comment
Share on other sites

Доброго времени суток. Помогите, пожалуйста, разобраться.
У меня Keenetic Giga (KN-1010). Версия ОС 3.6.12
Создал VPN-сервер SSTP. На Кинетике на сером IP.

Скрытый текст

Доменное имя: ЧЧЧ.keenetic.pro С сертификатом SSL
Режим работы (IPv4) Через облако
Режим работы (IPv6) Через облако
Доступ к веб-конфигуратору - ДА

Домашняя сеть 192.168.1.1-200
VPN SSTP 192.168.1.100-120

Скрытый текст

(специально сделал пересекающиеся диапазоны по https://help.keenetic.com/hc/ru/articles/360000594640)

Важно! Если "Начальный IP-адрес" попадает в диапазон сети указанного в поле "Доступ к сети" сегмента, включается функция ARP-Proxy, что позволит обращаться к такому VPN-клиенту из указанного локального сегмента. Например, если в поле "Доступ к сети" выбрана домашняя сеть 192.168.1.0 с маской 255.255.255.0 и настройками DHCP-сервера: "Начальный адрес пула": 192.168.1.33, "Размер пула адресов": 120, вы можете задать "Начальный IP-адрес" VPN-сервера 192.168.1.154, который попадает в диапазон 192.168.1.1-192.168.1.254, и иметь доступ из домашней сети к VPN-клиентам наравне с доступом к локальным устройствам.

множественный вход отключён
у каждой адрес и логин-пароль.
NAT для клиентов - ДА.

Подключился с 2х машин под Win10 к VPN. Одна 101 другая 102,
Проблем нет, успешно пингуют домашнюю сеть, роутер. Но не друг-друга. Делал по инструкции, руками ничего не прописывал, кроме логинов, паролей и адресов для VPN клиентов.
https://help.keenetic.com/hc/ru/articles/360000594640-VPN-сервер-SSTP

В настройках VPN на клиентах убраны галки "использовать как основной шлюз". Всё остальное по стандарту.
чтобы в интернет выход иметь локальный.
Со 101 не могу 102 пропинговать, и наоборот. А ради этого всё затевалось (подключаться с ноута в командировке к рабочему ПК через домашнюю VPN).

Докопался до того, что, чтобы иметь доступ от сервере к клиенту нужно прописать статический маршрут.
 

Скрытый текст

https://help.keenetic.com/hc/ru/articles/360001390359
У меня не сеть за втоом роутером, а ПК.
Попробовал сделать маршнут до узла
Вбил в настройках маршрутизации правило:

Маршрут к ноуту
 

Скрытый текст

Тип - до узла
Адрес узла назначения 192.168.1.102
Адрес шлюза 192.168.1.1 (был автоматический в DHCP (пустое поле), прописал строго 192.168.1.1 (перед этим проверил, что на устройствах в домашней сети именно так автоматом ставит)) - не уверен, что именно так прописать нужно было. Справку по стат маршрутам прочитал - не помогло.
Интерфейс - любое
Добавлять автоматически - ДА.

Перезапускаю соединение VPN на клиенте - перестаёт вообще пинговаться домашняя сеть.
Ни шлюз 192.168.1.1 (он же роутер), ни ПК 192.168.1.2 в домашней сети. Роутер, соответственно, не видит 102.
То же самое с 101 рабочим компом.

Не уверен, что имеет отношение к теме, но читая тему встечал про это(вероятно): Удаленное управление - доступ к конфигуратору - только HTTPS (т.е. 80 закрыт?).
    
Может я что-то не так делаю по глупому?

В каком состоянии снять Файл диагностики?

Направьте, пожалуйста по смежным темам:
1)

Скрытый текст

куда копать, чтобы с клиента только на подсеть 192.188.1.0-255 перенаправлялись запросы.
Или нужно ли этим заниматься вообще?


2)

Скрытый текст

Можно ли как-то назначить выбранным приложениям выход в интернет через VPN? Например торренты с работы качать (трафик будет через облако идти?
или облако только для соединения служит? https://help.keenetic.com/hc/ru/articles/360000594640).

 

 

Link to comment
Share on other sites

3 часа назад, Le ecureuil сказал:

Рабочий комп у вас в локальной сети, или тоже где-то в интернете?

Домашняя локальная сеть - роутер .1 и домашний ПК - .2
Ну и на вайфае по мелочи сидят камера, телефоны.
.101 - рабочий не в локалке, в интернете (имеет белый IP).
.102 - ноут не в локалке, в интернете.

Link to comment
Share on other sites

1 час назад, Ivan G сказал:

Домашняя локальная сеть - роутер .1 и домашний ПК - .2
Ну и на вайфае по мелочи сидят камера, телефоны.
.101 - рабочий не в локалке, в интернете (имеет белый IP).
.102 - ноут не в локалке, в интернете.

Думаю надо не сюда, а в поддержку писать.

Link to comment
Share on other sites

  • 3 weeks later...

3.7 b8

sstp постоянно рвется, что не так?

Core::Syslog: the system log has been cleared.
Ноя 26 16:24:08 ppp-sstp
sstp0:xxxx: failed to get interface statistics
Ноя 26 16:24:08 ndm
SstpServer::Manager: user xxxx" from "xx.xx.xx.xx" disconnected.

Edited by snark
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...