SSTP сервер в режиме "точка доступа"?

[Dimm500]

Подскажите, пожалуйста, есть ли возможность поднять на Keenetic Extra SSTP сервер в режиме "точка доступа"? Нужно для того, чтобы подключаться по доменному имени к сети на объекте через  KeenDNS. 

[Dimm500]

 

4 hours ago, Le ecureuil said:

SSTP-сервер это фактически обычный SSL-сервер. Если у вас по https открывается web в этом режите, то и SSTP прекрасно будет работать.

Гейтвей можно указать где угодно, например
> ip route default 192.168.1.1 Home

Всё, спасибо, разобрался. В режиме "Роутера" все заработало. Основной косяк был в отсутствии DNS сервера на локальном интерфейсе. Прописывается в разделе Интернет-фильтр в веб-интерфейсе. Осталось найти как в режиме роутера переписать первый порт из WAN интерфейса в LAN и тогда вообще счастье будет .

 

UPD: Нашёл, похоже достаточно в CLI прописать interface FastEthernet0/0 no role , но проверить пока возможности не было. 

Edited June 18, 2019 by Dimm500
UPD: Нашёл, похоже достаточно в CLI прописать interface FastEthernet0/0 no role , но проверить пока возможности не было. 

[Dimm500]

Во-первых, небольшое дополнение к предыдущему моему посту - чтобы заработал первый порт в режиме бриджа, помимо снятия ролей с него, надо еще его в первый vlan отправить.

Возник еще один вопрос: к SSTP серверу я в итоге в таком конфиге подключался, видел ротуер и пинговал айпи роутера 192.168.4.3 (на SSTP был настроен другой диапазон, пусть будет 10.10.1.0), но остальные компы из сети я не пинговал, что логично т.к. у них гейтвеем стоит 192.168.4.1 и они о сети 10.10.1.0 ничего не знают). В итоге отключил на SSTP NAT и поменял диапазон на 192.168.4.40-192-168.4.45 (этот диапазон не входит в диапазон, который прописан на основном гейтвее  192.168.4.1). Всё заработало, но интересует один нюанс - я правильно понимаю, что SSTP сервер может выдавать IP адреса только тем устройствам, которые к нему подключены по SSTP. Т.е. он не начнет выдавать в локалку 192.168.4.0 всем компам свои 6 закреплённых за ним адресов? 

[Илья Картавенко]

11 минуту назад, Dimm500 сказал:

Подскажите, пожалуйста, есть ли возможность поднять на Keenetic Extra SSTP сервер в режиме "точка доступа"? Нужно для того, чтобы подключаться по доменному имени к сети на объекте через  KeenDNS. 

Вы с работы хотите ходить в домашнюю сеть, или из дома в рабочую? В любом случае есть 2 компонента в прошивке 2.15 это sstp сервер и клиент sstp. установите их.

 

[Leksey118]

@Илья Картавенко ТС спрашивает именно про режим "точка доступа".

[Le ecureuil]

В режиме ТД есть много вопросов с роутингом для VPN, пока этот вопрос в стадии проектирования.

[Dimm500]

Именно. В стандартном режиме все работает, но в "точке доступа" в веб интерфейсе нет старт/стопа и настройки SSTP сервера (как и любого другого впрочем), подозреваю, что можно его стартовать и настроить через CLI, хочется узнать как.

Если коротко, то суть проблемы: сеть - серый айпи за НАТ. На входе стоит не Zyxel. Этот не Zyxel не имеет аналога KeenDNS, соответственно подключится к нему по VPN не представляется возможном. Пусть внутренняя сеть будет с адресацией 192.168.X.0/24 . Граничный НЕ Zyxel соответственно является гейтвеем и имеет IP 192.168.X.1, ставим Zyxel в режим "Роутер" и присваиваем ему IP 192.168.X.2, активируем KeenDNS, присваиваем доменное имя, активируем SSTP сервер - всё отлично, можем подключиться по VPN и попасть в нашу сеть откуда угодно, но вынуждены компы за Zyxelem и устройства, которые подключаются к нему по вайфай вывести из нашей сети и задать другую адресацию т.к. Zyxel не даёт на внешнюю и внутреннюю сети повесить IP из одного диапазона. При переходе же в режим "Точка доступа" все интерфейсы находятся в одной сети, но исчезают страницы с активацией и настройкой SSTP сервера.     

[Dimm500]

13 minutes ago, Le ecureuil said:

В режиме ТД есть много вопросов с роутингом для VPN, пока этот вопрос в стадии проектирования.

На данный момент никакого временного костыля нет? Типа запуска SSTP сервера из CLI?

[Le ecureuil]

25 минут назад, Dimm500 сказал:

Именно. В стандартном режиме все работает, но в "точке доступа" в веб интерфейсе нет старт/стопа и настройки SSTP сервера (как и любого другого впрочем), подозреваю, что можно его стартовать и настроить через CLI, хочется узнать как.

Если коротко, то суть проблемы: сеть - серый айпи за НАТ. На входе стоит не Zyxel. Этот не Zyxel не имеет аналога KeenDNS, соответственно подключится к нему по VPN не представляется возможном. Пусть внутренняя сеть будет с адресацией 192.168.X.0/24 . Граничный НЕ Zyxel соответственно является гейтвеем и имеет IP 192.168.X.1, ставим Zyxel в режим "Роутер" и присваиваем ему IP 192.168.X.2, активируем KeenDNS, присваиваем доменное имя, активируем SSTP сервер - всё отлично, можем подключиться по VPN и попасть в нашу сеть откуда угодно, но вынуждены компы за Zyxelem и устройства, которые подключаются к нему по вайфай вывести из нашей сети и задать другую адресацию т.к. Zyxel не даёт на внешнюю и внутреннюю сети повесить IP из одного диапазона. При переходе же в режим "Точка доступа" все интерфейсы находятся в одной сети, но исчезают страницы с активацией и настройкой SSTP сервера.     

Что-то вы перемудрили. Если вы втыкаете upstream-роутер в LAN у Keenetic, то сеть линейная и все работает, никаких разных адресаций снаружи и изнутри не нужно.

[Dimm500]

7 minutes ago, Le ecureuil said:

Что-то вы перемудрили. Если вы втыкаете upstream-роутер в LAN у Keenetic, то сеть линейная и все работает, никаких разных адресаций снаружи и изнутри не нужно.

Я так понимаю речь о том, чтобы в режиме "Роутер" воткнуть и аплинк и клиентов в LAN порты (со второго по 5-ый), но в этом случае ложиться WAN интерфейс и перестаёт работать KeenDNS и SSTP сервер, т.к. они вешаются на WAN интерфейс. На LAN интерфейсе в режиме Роутер и статическом адресе, нет возможности указать правильный гейтвэй, гейтвэй можно повесить только на WAN, а т.к. в него ничего не воткнуто, то роутер вообще перестаёт в Интернет ходить.

[Илья Картавенко]

В режиме ТД ни какие подключения работать и не будут, так как это просто точка доступа.

[Le ecureuil]

3 часа назад, Dimm500 сказал:

Я так понимаю речь о том, чтобы в режиме "Роутер" воткнуть и аплинк и клиентов в LAN порты (со второго по 5-ый), но в этом случае ложиться WAN интерфейс и перестаёт работать KeenDNS и SSTP сервер, т.к. они вешаются на WAN интерфейс. На LAN интерфейсе в режиме Роутер и статическом адресе, нет возможности указать правильный гейтвэй, гейтвэй можно повесить только на WAN, а т.к. в него ничего не воткнуто, то роутер вообще перестаёт в Интернет ходить.

SSTP-сервер это фактически обычный SSL-сервер. Если у вас по https открывается web в этом режите, то и SSTP прекрасно будет работать.

Гейтвей можно указать где угодно, например
> ip route default 192.168.1.1 Home

[Le ecureuil]

> ip name-server 192.168.1.1

Ав ообще достаточно просто было спросить, всего 2 команды ввести-то )

[Le ecureuil]

1 час назад, Dimm500 сказал:

Во-первых, небольшое дополнение к предыдущему моему посту - чтобы заработал первый порт в режиме бриджа, помимо снятия ролей с него, надо еще его в первый vlan отправить.

Возник еще один вопрос: к SSTP серверу я в итоге в таком конфиге подключался, видел ротуер и пинговал айпи роутера 192.168.4.3 (на SSTP был настроен другой диапазон, пусть будет 10.10.1.0), но остальные компы из сети я не пинговал, что логично т.к. у них гейтвеем стоит 192.168.4.1 и они о сети 10.10.1.0 ничего не знают). В итоге отключил на SSTP NAT и поменял диапазон на 192.168.4.40-192-168.4.45 (этот диапазон не входит в диапазон, который прописан на основном гейтвее  192.168.4.1). Всё заработало, но интересует один нюанс - я правильно понимаю, что SSTP сервер может выдавать IP адреса только тем устройствам, которые к нему подключены по SSTP. Т.е. он не начнет выдавать в локалку 192.168.4.0 всем компам свои 6 закреплённых за ним адресов? 

Не начнет.