SSTP: Ошибка 0x80092013: Невозможно проверить функцию отзыва

[malor]

Коннекчусь по VPN SSTP к роутеру Keenetic Hero 4G:

Ошибка 0x80092013: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.

По WEB-интерфейсу зайти могу в настройки роутера (нахожусь не рядом с роутером).

Почему не получается установить VPN-соединение?

Сегодня только SIM-поменял в роутере, с Мегафона на Beeline, но это ведь не должно спровоцировать такую ошибку...

Благополучно могу установить VPN SSTP подключение к другому своему Keenetic Hero 4G (именно в него переставил SIM Megafon).

 

Windows 8.1 

[strannik]

В качестве временного решения, можно добавить в реестр винды параметр DWORD

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters\NoCertRevocationCheck 

со значением 1

Это отключает проверку валидности сертификата на стороне виндового sstp-клиента, по идее уязвимость для MITM, использовать или нет - каждый решит сам.

[Илья Картавенко]

2 минуты назад, malor сказал:

Коннекчусь по VPN SSTP к роутеру Keenetic Hero 4G:

Ошибка 0x80092013: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.

По WEB-интерфейсу зайти могу в настройки роутера (нахожусь не рядом с роутером).

Почему не получается установить VPN-соединение?

Сегодня только SIM-поменял в роутере, с Мегафона на Beeline, но это ведь не должно спровоцировать такую ошибку...

Благополучно могу установить VPN SSTP подключение к другому своему Keenetic Hero 4G (именно в него переставил SIM Megafon).

 

Windows 8.1 

KeeDNS в каком режиме настроен на сервере? 

[malor]

Выделенный цветом кружочек "Авто", чуть ниже фраза "Подключено через облако".

[Илья Картавенко]

5 минут назад, malor сказал:

Выделенный цветом кружочек "Авто", чуть ниже фраза "Подключено через облако".

Для 8.1 инструкции нет, но есть для 7 и для 10. 8.1 ближе к 7, сравните ваши настройки на компьютере с приведенными в статье.

А вообще это ошибка винды, я посмотрел выдачу в яндексе по вашей ошибке. Так там очень много нашлось по этой проблеме. Первое, что бы я сделал, установил бы обновления системы.

  

[Zloy]

Словил такую же ошибку на одном ноуте с Win10 при попытке подключении к SSTP на Ultra2. На стороне клиента инет через Yota. 

Плюс в логе одного из кинетиков при подключении, как клиент SSTP обнаружил в логах:

Oct 22 12:25:20 sstpc_SSTP0[23948]
Info: Server certificate verification failed, ignoring

Здесь подключение к инету по меди.

При этом в первом случае соединение не устанавливается, видимо в винде нужно проверку отключать, во втором соединение устанавливается.

В обоих случаях белые IP на стороне сервера SSTP, обе Ultra2, в разных местах, провайдеры разные. Сертификаты проверял, все с ними ОК.

[vovka3003]

Добрый день!
Аналогичная ошибка..
Было подключение к нескольким keenetic-ам разных моделей по sstp.
В течении месяца по очереди легли все с этой ошибкой..

[Anton1CPro]

И у меня тоже самое, и 10 и 11 windows перестали подключаться с ошибкой "Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен."

Помогите!

[Расим]

17 часов назад, Anton1CPro сказал:

И у меня тоже самое, и 10 и 11 windows перестали подключаться с ошибкой "Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен."

Помогите!

Присоединяюсь, проблема та же, проявилась впервые вчера

[Александр..]

Подтверждаю проблему, обнаружил 16.06.2025. 3 разных sstp сервера, пробовал подключиться с разных провайдеров. Обновление на прошивку 4.3.3 не помогло.

Изменено Понедельник в 06:29 пользователем Александр..

[Александр..]

Параметр в реестре помог, спасибо.

Все же хотелось бы понять причину.

[Leshiyart]

17 минут назад, Александр.. сказал:

Все же хотелось бы понять причину.

проверьте доступность этого ресурса с проблемного клиента

[Le ecureuil]

Let's encrypt перешел с OCSP на CRL. Попробуйте удалить старые сертификаты через ip http ssl acme revoke, и перезагрузитесь для получения новых. В них должен быть только CRL.

[Le ecureuil]

Кроме параметра в реестре есть еще такой вариант:

https://answers.microsoft.com/en-us/windows/forum/all/how-do-i-completely-disable-certificate-revocation/1b0fcf24-9a10-427b-b2c5-e1e29d54c02e

Нужно снять только галку в   Uncheck the box next to "Check for server certificate revocation"

[Hawk.A]

40 минут назад, Le ecureuil сказал:

Кроме параметра в реестре есть еще такой вариант:

https://answers.microsoft.com/en-us/windows/forum/all/how-do-i-completely-disable-certificate-revocation/1b0fcf24-9a10-427b-b2c5-e1e29d54c02e

Нужно снять только галку в   Uncheck the box next to "Check for server certificate revocation"

Этот вариант не помог. Реестр помог.

[PHLINT]

42 минуты назад, Le ecureuil сказал:

Let's encrypt перешел с OCSP на CRL. Попробуйте удалить старые сертификаты через ip http ssl acme revoke, и перезагрузитесь для получения новых. В них должен быть только CRL.

Попробовал так: ip http ssl acme revoke, через ip http ssl acme list убедился, что серт удалился, не перезагружался, далее: ip http ssl acme get, получаю:

Acme::Client: Obtaining certificate for domain "*****.crazedns.ru" is started. Выжидаю пару минут, запускаю: ip http ssl acme list, чтобы убедиться, что всё создалось, ясно вижу:

is-ndns: yes          

should-be-renewed: no

is-expired: no

issue-time: 2025-06-16T08:25:33.000Z

expiration-time: 2025-09-13T08:25:33.000Z

Пробую подрубиться к Keenetic по SSTP, всё так же, не удалось... Перезагрузить Keenetic пока нет возможности. Во вне рабочее время попробую всё же, просто удалить, не создавать отдельно вручную, перезагрузиться, посмотреть создастся ли, ну, и попробовать проверить подключение по SSTP.

[Денис Сергеевич]

1 час назад, PHLINT сказал:

Попробовал так: ip http ssl acme revoke, через ip http ssl acme list убедился, что серт удалился, не перезагружался, далее: ip http ssl acme get, получаю:

Acme::Client: Obtaining certificate for domain "*****.crazedns.ru" is started. Выжидаю пару минут, запускаю: ip http ssl acme list, чтобы убедиться, что всё создалось, ясно вижу:

is-ndns: yes          

should-be-renewed: no

is-expired: no

issue-time: 2025-06-16T08:25:33.000Z

expiration-time: 2025-09-13T08:25:33.000Z

Пробую подрубиться к Keenetic по SSTP, всё так же, не удалось... Перезагрузить Keenetic пока нет возможности. Во вне рабочее время попробую всё же, просто удалить, не создавать отдельно вручную, перезагрузиться, посмотреть создастся ли, ну, и попробовать проверить подключение по SSTP.

Попробовал я это всё сделать, даже перезагрузил маршрутизатор, но результат тот же: "Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен." причем данная проблема так же на нескольких маршрутизаторах. Всё что сказано выше так же не помогает.

[Денис Сергеевич]

Я так понял что проблема именно с облаком через которое всё идёт. Если в настройках доменного имени выбрать облако то подключиться даже через RDP не получится ибо IP не работает должным образом, только прямое подключение. Если выбрать прямое подключение то так же не работает VPN но работает прямое подключение и по RDP возможно подключение. Причём заметил что такая проблема на старых маршрутизаторах, но более свежих такой проблемы нет и всё работает.

[Денис Сергеевич]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SstpSvc\Parameters]
"NoCertRevocationCheck"=dword:00000001

 

создать файл с расширением reg, внести туда эти данные и запустить и всё заработает, по крайней мере у меня заработало.

[strannik]

ip http ssl acme revoke

Даёт ошибку 

Цитата

(config)> ip http ssl acme revoke
Command::Base error[7405602]: argument parse error.

 

[PHLINT]

16 часов назад, Денис Сергеевич сказал:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SstpSvc\Parameters]
"NoCertRevocationCheck"=dword:00000001

 

создать файл с расширением reg, внести туда эти данные и запустить и всё заработает, по крайней мере у меня заработало.

Это-то поможет, но насколько это правильно и безопасно будет. Костыль временный.

[PHLINT]

На Keenetic добавил компонент VPN-сервер IKEv2/IPsec  в пользователях отметил галкой кому это нужно, (логин и пароль прежний), на винде, где SSTP было создано изменил на "IKEv2", тип данных для входа: Имя пользователя и пароль. Жму соединиться ...проверка данных для входа, некоторое мгновение и выдаёт: "Не удалось установить связь по сети между компьютером и VPN-сервером, так как удалённый сервер не отвечает. Возможная причина: одно из сетевых устройств (таких как брандмауэре, NAT, маршрутизаторы и т.п) между компьютером и удалённым сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг." Вот так. Пока замкнутый круг.

[Денис Сергеевич]

7 часов назад, PHLINT сказал:

Это-то поможет, но насколько это правильно и безопасно будет. Костыль временный.

При желании всё взломать можно, главное 3389 в открытый доступ не открывать, и на сколько это временно хз.

[Ahf]

я так понимаю, что вышеуказанный сайт со списком отзыва недоступен из-за того, что защищён cloudflare

 

[PHLINT]

В 16.06.2025 в 10:53, Le ecureuil сказал:

Let's encrypt перешел с OCSP на CRL. Попробуйте удалить старые сертификаты через ip http ssl acme revoke, и перезагрузитесь для получения новых. В них должен быть только CRL.

Ребятки, а ведь помогло! Сделал ровно так, как предлагается здесь:

0. ip http ssl acme list - посмотрел перечень сертификатов (2 шт.)

1. ip http ssl acme revoke ‹domain› - удалил сертификат.

2. ip http ssl acme list - убедился, что серт. (1) удалился.

3. Тут же в cli (telnet) отправляю на перезагрузку - (system)> reboot 20 (20 - секунды).

4. Выжидаю пару минуту, тут же в cli (telnet) авторизуюсь опять и проверяю создался ли сертификат - ip http ssl acme list. Да, создался.

5. Проверяю подключение (где не мог подключиться, соответственно там же НЕ менял в реестре) по SSTP, тут же подключается, две машины сразу же успешно (а были не успешно до этого...)

[Hawk.A]

49 минут назад, PHLINT сказал:

Ребятки, а ведь помогло! Сделал ровно так, как предлагается здесь:

0. ip http ssl acme list - посмотрел перечень сертификатов (2 шт.)

1. ip http ssl acme revoke ‹domain› - удалил сертификат.

2. ip http ssl acme list - убедился, что серт. (1) удалился.

3. Тут же в cli (telnet) отправляю на перезагрузку - (system)> reboot 20 (20 - секунды).

4. Выжидаю пару минуту, тут же в cli (telnet) авторизуюсь опять и проверяю создался ли сертификат - ip http ssl acme list. Да, создался.

5. Проверяю подключение (где не мог подключиться, соответственно там же НЕ менял в реестре) по SSTP, тут же подключается, две машины сразу же успешно (а были не успешно до этого...)

Не помогло (
А вчера на новом роутере новое доменное имя зарегистрировал, по делу должен уже новый сертификат получить, нет, та же проблема.