SSTP-сервер и клиент

[r13]

@Le ecureuil

Сделал клиент сервер, все практически по умолчанию

На клиенте выставляется DNS равный внешнему ip сервера. Странновато...

[I] Feb  1 22:36:04 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Feb  1 22:36:04 ndm: Network::Interface::Ppp: "SSTP0": disabled connection.
[I] Feb  1 22:36:04 ndm: Network::Interface::PppTunnel: "SSTP0": remote endpoint is resolved to "178.140.123.132".
[I] Feb  1 22:36:04 ndm: Network::Interface::PppTunnel: "SSTP0": local endpoint is resolved to "192.168.0.168" (via "CdcEthernet0").
[I] Feb  1 22:36:04 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 178.140.123.132 via 192.168.0.1 (CdcEthernet0).
[I] Feb  1 22:36:04 ndm: Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
[I] Feb  1 22:36:06 pppd[2875]: Plugin sstp-pppd-plugin.so loaded.
[I] Feb  1 22:36:06 pppd[2875]: pppd 2.4.4-4 started by root, uid 0
[I] Feb  1 22:36:06 pppd[2875]: Using interface ppp0
[I] Feb  1 22:36:06 pppd[2875]: Connect: ppp0 <--> /dev/pts/0
[I] Feb  1 22:36:07 pppd[2875]: CHAP authentication succeeded
[I] Feb  1 22:36:07 pppd[2875]: local  IP address 172.16.3.10
[I] Feb  1 22:36:07 pppd[2875]: remote IP address 178.140.123.132
[I] Feb  1 22:36:07 pppd[2875]: primary   DNS address 178.140.123.132
[I] Feb  1 22:36:07 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Feb  1 22:36:07 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Feb  1 22:36:07 ndm: Network::Interface::Ppp: "SSTP0": adding nameserver 178.140.123.132.
[I] Feb  1 22:36:07 ndm: Dns::Manager: name server 178.140.123.132 added, domain (default).
[I] Feb  1 22:36:07 ndm: Network::Interface::IP: "SSTP0": IP address is 172.16.3.10/32.

 

[r13]

@Le ecureuil и еще

Если соединяемся через облако remote endpoint определяется облачный, но затем remote IP address определяется как внешний адрес сервера

это так и задумано? Не понятно.

[I] Feb  1 22:48:27 ndm: Network::Interface::PppTunnel: "SSTP0": remote endpoint is resolved to "91.218.112.172".
[I] Feb  1 22:48:27 ndm: Core::ConfigurationSaver: saving configuration...
[I] Feb  1 22:48:27 ndm: Network::Interface::PppTunnel: "SSTP0": local endpoint is resolved to "192.168.0.168" (via "CdcEthernet0").
[I] Feb  1 22:48:27 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 91.218.112.172 via 192.168.0.1 (CdcEthernet0).
[I] Feb  1 22:48:28 ndm: Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
[I] Feb  1 22:48:30 pppd[3472]: Plugin sstp-pppd-plugin.so loaded.
[I] Feb  1 22:48:30 pppd[3472]: pppd 2.4.4-4 started by root, uid 0
[I] Feb  1 22:48:30 pppd[3472]: Using interface ppp0
[I] Feb  1 22:48:30 pppd[3472]: Connect: ppp0 <--> /dev/pts/0
[I] Feb  1 22:48:31 pppd[3472]: CHAP authentication succeeded
[I] Feb  1 22:48:31 pppd[3472]: local  IP address 172.16.3.10
[I] Feb  1 22:48:31 pppd[3472]: remote IP address 178.140.123.132
[I] Feb  1 22:48:31 pppd[3472]: primary   DNS address 178.140.123.132
[I] Feb  1 22:48:31 ndm: Core::ConfigurationSaver: configuration saved.
[I] Feb  1 22:48:31 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Feb  1 22:48:31 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Feb  1 22:48:31 ndm: Network::Interface::Ppp: "SSTP0": adding nameserver 178.140.123.132.
[I] Feb  1 22:48:31 ndm: Dns::Manager: name server 178.140.123.132 added, domain (default).
[I] Feb  1 22:48:31 ndm: Network::Interface::IP: "SSTP0": IP address is 172.16.3.10/32.

 

[Le ecureuil]

Я так понимаю, сервером выступает тоже Keenetic?

Прошу снять self-test с обоих устройств:

- на сервере нужно запустить > system debug

- на клиенте нужно запустить > interface SSTP0 debug

и после этого дождаться подключения.

[Le ecureuil]

5 минут назад, r13 сказал:

@Le ecureuil и еще

Если соединяемся через облако remote endpoint определяется облачный, но затем remote IP address определяется как внешний адрес сервера

это так и задумано? Не понятно.

[I] Feb  1 22:48:27 ndm: Network::Interface::PppTunnel: "SSTP0": remote endpoint is resolved to "91.218.112.172".
[I] Feb  1 22:48:27 ndm: Core::ConfigurationSaver: saving configuration...
[I] Feb  1 22:48:27 ndm: Network::Interface::PppTunnel: "SSTP0": local endpoint is resolved to "192.168.0.168" (via "CdcEthernet0").
[I] Feb  1 22:48:27 ndm: Network::Interface::PppTunnel: "SSTP0": added host route to 91.218.112.172 via 192.168.0.1 (CdcEthernet0).
[I] Feb  1 22:48:28 ndm: Network::Interface::Ppp: "SSTP0": enabled connection via any interface.
[I] Feb  1 22:48:30 pppd[3472]: Plugin sstp-pppd-plugin.so loaded.
[I] Feb  1 22:48:30 pppd[3472]: pppd 2.4.4-4 started by root, uid 0
[I] Feb  1 22:48:30 pppd[3472]: Using interface ppp0
[I] Feb  1 22:48:30 pppd[3472]: Connect: ppp0 <--> /dev/pts/0
[I] Feb  1 22:48:31 pppd[3472]: CHAP authentication succeeded
[I] Feb  1 22:48:31 pppd[3472]: local  IP address 172.16.3.10
[I] Feb  1 22:48:31 pppd[3472]: remote IP address 178.140.123.132
[I] Feb  1 22:48:31 pppd[3472]: primary   DNS address 178.140.123.132
[I] Feb  1 22:48:31 ndm: Core::ConfigurationSaver: configuration saved.
[I] Feb  1 22:48:31 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Feb  1 22:48:31 ndm: Network::Interface::Base: "SSTP0": interface is up.
[I] Feb  1 22:48:31 ndm: Network::Interface::Ppp: "SSTP0": adding nameserver 178.140.123.132.
[I] Feb  1 22:48:31 ndm: Dns::Manager: name server 178.140.123.132 added, domain (default).
[I] Feb  1 22:48:31 ndm: Network::Interface::IP: "SSTP0": IP address is 172.16.3.10/32.

 

Да, тут пока так и будет - особенность реализации.

[r13]

10 минут назад, Le ecureuil сказал:

Я так понимаю, сервером выступает тоже Keenetic?

Прошу снять self-test с обоих устройств:

- на сервере нужно запустить > system debug

- на клиенте нужно запустить > interface SSTP0 debug

и после этого дождаться подключения.

готово

[Le ecureuil]

11 час назад, r13 сказал:

готово

А можно еще попросить вывод
more temp:/run/sstp-server/accel.conf

с сервера, когда приходят такие DNS и удаленный хост (скрытым постом)? 

[pachalia]

У меня почему-то sstp просит зарегестрировать имя keendns, хотя имя у меня зарегестрированно. В логе написанно что нет имени keendns. Хотя имя есть. Что не так?

[r13]

10 минут назад, pachalia сказал:

У меня почему-то sstp просит зарегестрировать имя keendns, хотя имя у меня зарегестрированно. В логе написанно что нет имени keendns. Хотя имя есть. Что не так?

А сертификат на это имя получен?

[pachalia]

11 минуту назад, r13 сказал:

А сертификат на это имя получен?

Да.

[Le ecureuil]

32 минуты назад, pachalia сказал:

У меня почему-то sstp просит зарегестрировать имя keendns, хотя имя у меня зарегестрированно. В логе написанно что нет имени keendns. Хотя имя есть. Что не так?

self-test приложите.

И вывод команды show sstp-server.

[Le ecureuil]

1 час назад, pachalia сказал:

Да.

Старые домены (которые mykeenetic) не подходят.

Работает только на новых доменах, на которых есть автоматическое получение сертификата.

[r13]

10 часов назад, Le ecureuil сказал:

А можно еще попросить вывод
more temp:/run/sstp-server/accel.conf

с сервера, когда приходят такие DNS и удаленный хост (скрытым постом)? 

выложил

кстати, трафик у меня по этому туннелю пока не ходит...только эхо ходит судя по логу

Изменено 2 февраля, 2018 пользователем r13

[r13]

@Le ecureuil и еще, не смотря на настройку на сервере

sstp-server dhcp route 192.168.1.0 255.255.255.0

маршрут на клиенте не подхватился. не работает пока?

upd прописал маршрут на клиенте, заработал трафик с сервера, с клинта пока нет, видимо на сервере тоже с firewall ом тоже надо шаманить

и еще, кажись правила iptables замножаются

upd2

Да, судя по вот этой цепочке пакеты только на внешний адрес принимаютя?! если идти с клиента на внешний адрес сервера то пакеты проходят.

Изменено 2 февраля, 2018 пользователем r13

[Le ecureuil]

1 час назад, r13 сказал:

@Le ecureuil и еще, не смотря на настройку на сервере

sstp-server dhcp route 192.168.1.0 255.255.255.0

маршрут на клиенте не подхватился. не работает пока?

upd прописал маршрут на клиенте, заработал трафик с сервера, с клинта пока нет, видимо на сервере тоже с firewall ом тоже надо шаманить

и еще, кажись правила iptables замножаются

upd2

Да, судя по вот этой цепочке пакеты только на внешний адрес принимаютя?! если идти с клиента на внешний адрес сервера то пакеты проходят.

Все понятно с вами.

Цитата из конфига:

sstp-server
    interface ISP

interface здесь - это один из интерейсов в домашней сети, обычно это Bridge0 / Home, а не интерфейс на котором надо слушать подключения. Все абсолютно также, как в PPTP и как в L2TP/IPsec сервере.

У вас так настроилось через Web? Или руками вбили? Потому что это явный баг, если через Web.

[Le ecureuil]

Насчет маршрута - а клиент что? Он его запросил? Добавил к себе в таблицу маршрутизации?

Хотя, пока не исправите interface ISP на interface Home у вас так и будет мусорный роутинг и DNS.

[r13]

7 минут назад, Le ecureuil сказал:

Все понятно с вами.

Цитата из конфига:

sstp-server
    interface ISP

interface здесь - это один из интерейсов в домашней сети, обычно это Bridge0 / Home, а не интерфейс на котором надо слушать подключения. Все абсолютно также, как в PPTP и как в L2TP/IPsec сервере.

У вас так настроилось через Web? Или руками вбили? Потому что это явный баг, если через Web.

а блин, вот где собака порылась, я балбес его к isp привязал

ps вбивал руками, веб я только потом обнаружил

Изменено 2 февраля, 2018 пользователем r13

[Le ecureuil]

@r13 Насчет дублирования правил - спасибо, найдено и поправлено.

[r13]

8 минут назад, Le ecureuil сказал:

Насчет маршрута - а клиент что? Он его запросил? Добавил к себе в таблицу маршрутизации?

Хотя, пока не исправите interface ISP на interface Home у вас так и будет мусорный роутинг и DNS.

так интерфейс поправил, теперь ок,

что нужно чтобы клиент запросил маршруты?

зы клиента в вебе настраивал

 

[Le ecureuil]

12 минуты назад, r13 сказал:

так интерфейс поправил, теперь ок,

что нужно чтобы клиент запросил маршруты?

зы клиента в вебе настраивал

 

Там по идее должно прийти событие c DHCP INFORM, и отразиться в логе.

[r13]

Только что, Le ecureuil сказал:

Там по идее должно прийти событие c DHCP INFORM, и отразиться в логе.

нет, в логе его нет ни с какой стороны

[r13]

11 минуту назад, Le ecureuil сказал:

Там по идее должно прийти событие c DHCP INFORM, и отразиться в логе.

а если подключиться виндовым клиентом то есть dhcpinform на сервере. значит ndm клиент не запрашивает

принудительный ввод

ip dhcp client routes

не помог, но судя по документации и не должен помочь, так как по умолчанию включено.

Изменено 2 февраля, 2018 пользователем r13

[Le ecureuil]

15 минут назад, r13 сказал:

а если подключиться виндовым клиентом то есть dhcpinform на сервере. ndm значит клиент не запрашивает

Угу, отловил этот баг тоже. Поправлено.

[r13]

1 час назад, Le ecureuil сказал:

Угу, отловил этот баг тоже. Поправлено.

Чойта мне кажется @ndm поторопился, на 2.12.A.3.0-1 нету dhcpinform с встроенным SSTP клиентом.

Кстати это фикс клиента или сервера(На старых версиях клиенты PPTP, L2TP/IPSec запрашивают маршруты?)

 

Изменено 2 февраля, 2018 пользователем r13

[Le ecureuil]

24 минуты назад, r13 сказал:

Чойта мне кажется @ndm поторопился, на 2.12.A.3.0-1 нету dhcpinform с встроенным SSTP клиентом.

Кстати это фикс клиента или сервера(На старых версиях клиенты PPTP, L2TP/IPSec запрашивают маршруты?)

 

Там рассылка исправлена, а не прием.

Прием пока еще в стадии отладки. Когда сломался - неизвестно, но факт, что сейчас не работает.

[Le ecureuil]

13 часа назад, r13 сказал:

Чойта мне кажется @ndm поторопился, на 2.12.A.3.0-1 нету dhcpinform с встроенным SSTP клиентом.

Кстати это фикс клиента или сервера(На старых версиях клиенты PPTP, L2TP/IPSec запрашивают маршруты?)

 

Все поправлено, причем было сломано получение на всех интерфейсах, в том числе и на L2TP и PPTP.

Главное - удаленный адрес в VPN должен отличаться от локального, иначе из-за Reverse Path Filtering вы ничего не получите.

То есть если на сервере VPN привязан к интерфейсу с адресом 192.168.1.1, то на клиенте не должно быть интерфейса с таким адресом (а желательно чтобы и с подсетью, иначе будет конфликт роутинга, который будет маскироваться из-за метрики).

[pachalia]

Я не понял как мне при помощи sstp подключиться к диску на роутере.  Клиент пишет что подключение установленно. Роутер подтверждает что подключение есть.  А дальше что? Ведь цель была не установить подключение и потом смотреть на значок vpn, а получить доступ к диску,  который подключён к роутеру.

[r13]

3 минуты назад, pachalia сказал:

Я не понял как мне при помощи sstp подключиться к диску на роутере.  Клиент пишет что подключение установленно. Роутер подтверждает что подключение есть.  А дальше что? Ведь цель была не установить подключение и потом смотреть на значок vpn, а получить доступ к диску,  который подключён к роутеру.

А дальше как с любым другим vpn, заходите на него по ip. Важно чтобы маршруты были настроены на клиенте, и на сервере если нужно  (текущий клиент маршруты не запрашивает, появится в следующей сборке)

[pachalia]

Клиент получает адрес 172.168.3.33. Роутер имеет адрес 192.168.1.1. Попытался с роутера пропинговать адрес 172.168.3.33. Пинг не прошёл.

[r13]

5 минут назад, pachalia сказал:

Клиент получает адрес 172.168.3.33. Роутер имеет адрес 192.168.1.1. Попытался с роутера пропинговать адрес 172.168.3.33. Пинг не прошёл.

На клиенте firewall открыт для этого соединения?!

[pachalia]

2 минуты назад, r13 сказал:

На клиенте firewall открыт для этого соединения?!

Клиентом выступает vpn client pro. Это клиент для андроида. Клиент показывает что обмен идёт. Так же на роутере появляется запись в активных соединениях .  Но когда с роутера пытаешься пинговать клиент, то пинг не проходит.