Brenn Ko Posted September 13, 2018 Share Posted September 13, 2018 (edited) Добрый день! Не могу никак разобраться с настройкой SSTP-сервера на Giga (KN-1010) 2.13.B.0.0-2 (на стабильной версии то же самое). Все сделал по инструкции https://help.keenetic.com/hc/ru/articles/360000029659-Использование-туннеля-SSTP-в-Keenetic В чем суть: подключение ПК с роутером по SSTP работает только если компьютер (Windows 10) подключен к самому роутеру. То есть, подключение SSTP работает только если ПК в локальной сети, т.е. подключен к самому роутеру. При подключении того же ПК с внешней сети - ошибка, соединение не проходит до роутера. На самом кинетике нет логов о попытках соединения извне, т.к. судя по всему, что-то не так с KeenDNS. Сертификат SSL получен. IP внешний точно белый (динамический), т.к. по другим VPN-протоколам (IPsec, PPTP и т.д.) по доменному имени KeenDNS соединяется и работает нормально. Также нормально все и с прочими другими сетевыми протоколами. За роутер нормально порты пробрасываются на другие устройства и все работает. Вот само соединение с сетью (L2TP от beeline): Что я упустил при настройке? Или что-то не так с KeenDNS? Как завести SSTP-сервер на роутере? Edited September 13, 2018 by Brenn Ko Quote Link to comment Share on other sites More sharing options...
hellonow Posted September 13, 2018 Share Posted September 13, 2018 @Brenn Ko SSTP-сервер работает только с access-режимом 'cloud' - через облако. В случае, если у Вас серый ип адрес. Сервер "жестко" привязан к 443 порту и сертификату доменного имени. 1 Quote Link to comment Share on other sites More sharing options...
Brenn Ko Posted September 13, 2018 Author Share Posted September 13, 2018 (edited) @enpa Собственно, я на эту же статью и сам сослался в начале своего сообщения. И там не написано, что только через облако. Облако, в случае серого IP. Но у меня белый. И облако в этом случае не обязательно - исходя из той же статьи. Edited September 13, 2018 by Brenn Ko 1 Quote Link to comment Share on other sites More sharing options...
Mamay Posted September 13, 2018 Share Posted September 13, 2018 Никакие танцы. Читай облако = https = 443 port. Всё. Quote Link to comment Share on other sites More sharing options...
hellonow Posted September 13, 2018 Share Posted September 13, 2018 @Brenn Ko стоп, да, у Вас же динамический белый ип адрес. Тогда должно подключаться. Судя по скрину, Вы сертификат получили. Сейчас проверил у себя, на сервере выставил 'direct' и по доменному имени подключилось все корректно: [I] Sep 13 17:42:33 ndm: Http::SslServer: "SSL proxy 193.0.174.xx: 58804": new SSTP tunnel: 193.0.174.xx:58804 (SSL) <-> (sstp). [I] Sep 13 17:42:36 ppp-sstp: ppp1:enpa: connect: ppp1 <--> sstp(193.0.174.xx) [I] Sep 13 17:42:36 ppp-sstp: ppp1:enpa: enpa: authentication succeeded Настройки на стороне sstp-сервера и ndns (keendns) такие: (config)> show ndns name: enpagiga3 booked: enpagiga3 domain: keenetic.link address: 81.5.116.15 updated: yes access: direct xns: ub3 ttp: direct: yes interface: GigabitEthernet1 address: 81.5.116.15 ! sstp-server interface Home pool-range 172.16.200.33 20 multi-login lcp echo 30 3 Надо посмотреть Ваш self-test на стороне сервера и что за клиент подключается? Quote Link to comment Share on other sites More sharing options...
Brenn Ko Posted September 13, 2018 Author Share Posted September 13, 2018 Только что, enpa сказал: что за клиент подключается? Стандартный клиент Windows 10 при попытке подключаться из внешней сети никаких логов нет в кинетике. соединение не доходит до роутера. При подключении из локальной сети все ок: Цитата Сен 13 17:50:45 ppp-sstp ppp1:foo: connect: ppp1 <--> sstp(192.168.1.14) Сен 13 17:50:45 ppp-sstp ppp1:foo: foo: authentication succeeded Сен 13 17:50:45 ndm SstpServer::Manager: user "foo" connected from "192.168.1.14" with address "172.16.3.33". Сен 13 17:50:45 ndm Dhcp::Pool: system failed [0xcffd0640]. Сен 13 17:50:45 ndhcps DHCPINFORM received for 172.16.3.33 from 00:00:00:00:00:00. Сен 13 17:50:45 ndhcps sending INFORM to 00:00:00:00:00:00. Quote Link to comment Share on other sites More sharing options...
hellonow Posted September 13, 2018 Share Posted September 13, 2018 @Brenn Ko написал Вам в лс. Quote Link to comment Share on other sites More sharing options...
Brenn Ko Posted September 13, 2018 Author Share Posted September 13, 2018 Вопрос закрыт. Проблема найдена и устранена. Спасибо ув. @enpa за потраченное в лс время. Оказалось все до банального просто. У Билайн есть внутренний NAT с интерфейсом файрволла, который по-умолчанию режет все посторонние порты. Его нужно переключить в режим "Нет защиты". находится это в личном кабинете Билайн -> Услуги -> Домашний интернет -> Защита от интернет-атак (Firewall). https://moscow.beeline.ru/customers/products/home/catalog/service/firewall/ прямая ссылка. Описание работы файрволла Билайн: Цитата Защита отключена Фильтрация входящих ТСР-соединений не происводится, все порты с 0 по 65535 открыты. Средний уровень защиты Фильтрация входящих ТСР-соединений на порты с 0 по 1024, за исключением 21 (FTP), 22 (SSH), 25 (SMTP), 80 (HTTP), 110 (POP3), таким образом осуществляется защита от известных "Интернет-червей". Входящие ТСР-соединения на порты с 1025 по 65535 не фильтруются,существует вероятность вторжения вредоносных программ на компьютер или в домашнюю сеть. Средний уровень защиты + блокировка SMTP Фильтрация входящих ТСР-соединений на порты с 0 по 1024, за исключением 21 (FTP), 22 (SSH), 80 (HTTP), 110 (POP3), таким образом осуществляется защита от известных "Интернет-червей". Входящие ТСР-соединения на порты с 1025 по 65535 не фильтруются,существует вероятность вторжения вредоносных программ на компьютер или в домашнюю сеть. Также предотвращаются массовые рассылки нежелательной электронной почты (спама). Высокий уровень защиты Фильтрация всех входящих ТСР-соединений. При выборе данного варианта защиты могут не работать FTP в активном режиме, DCC (Direct Client-to-Client) в IRC-клиентах (передача файлов и личный чат), прямая передача файлов в ICQ и аналогичных клиентах, а также некоторые другие программы. По умолчанию установлен средний уровень защиты с блокировкой SMTP. 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.