SSTP-сервер и клиент

[kireev]

2 hours ago, Кинетиковод said:

Может маршрут до DNS прописать?

Маршрут в ту сеть есть и по ip всё работает.

[kireev]

2 hours ago, Кинетиковод said:

Может маршрут до DNS прописать?

Пинги и коннекты в туннель идут и видны в packet capture, а вот DNS запросы, даже с явным указанием сервера нет. Как так?

[Le ecureuil]

21 час назад, kireev сказал:

Пинги и коннекты в туннель идут и видны в packet capture, а вот DNS запросы, даже с явным указанием сервера нет. Как так?

Странно как-то.

А если на странице dns-серверов явно указать, что нужно ходить на такой-то домен с такого-то интерфейса?

[kireev]

On 5/16/2020 at 10:13 PM, Le ecureuil said:

Странно как-то.

А если на странице dns-серверов явно указать, что нужно ходить на такой-то домен с такого-то интерфейса?

Всё, разобрался. Был включен SkyDNS, на который все запросы и разворачивались.

[Oxide]

Всем доброго времени суток!

Помогите разобраться, пожалуйста, где я косячу.

 

Есть два роутера, которые я связываю между собой с помощью SSTP через облако (оба роутера имеют "серые" внешние IP, поэтому и SSTP):

1. Keenetic Extra II (прошивка 3.4.1). Выступает SSTP-сервером. Имеет адресацию домашней сети: 192.168.1.х

2. Keenetic Omni II (прошивка 2.11.D.6.0-2). Выступает SSTP-клиентом. Имеет адресацию домашней сети: 192.168.2.х. При подключении к SSTP-серверу получает постоянный IP-адрес 172.16.3.33.

 

Подключение проходит успешно. С любого ПК за роутером клиентом-SSTP получаю доступ к подсети сервера (в т.ч. захожу на HDD, подключенный в USB).

Пытаюсь настроить "обратную" связь - чтобы ПК за роутером сервером-SSTP получили доступ к подсети клиента - для этого делаю три вещи:

1. На роутере сервере-SSTP добавляю статический маршрут (как это указано в инструкциях здесь же)

2. На роутере клиенте-SSTP в файрволе на интерфейсе SSTP разрешаю весь входящий трафик (опять же как это указано в инструкциях здесь же).

3. Перезагружаю оба роутера (на всякий случай).

 

В итоге - так ни один ПК за роутером сервером-SSTP не может даже пропинговать роутер клиент-SSTP. При этом пинг с самого роутера сервера-SSTP до роутера клиента-SSTP и любого ПК находящегося за ним идет.

 

Складывается такое впечатление, что роутер сервер-SSTP не перенаправляет трафик в SSTP-туннель.

 

Если ситуация "классическая" - ткните ссылкой на решение.

Заранее спасибо )))

[r13]

@Oxide

Посмотрите на клиенте есть ли маршрут до сети за сервером, 

Скорее всего нет, нужно добавить.

Зы возможно это поможет

https://help.keenetic.com/hc/ru/articles/360001390359

Изменено 25 мая, 2020 пользователем r13

[Oxide]

16 minutes ago, r13 said:

@Oxide

Посмотрите на клиенте есть ли маршрут до сети за сервером, 

Скорее всего нет, нужно добавить.

Зы возможно это поможет

https://help.keenetic.com/hc/ru/articles/360001390359

Маршруты сейчас посмотреть не могу, это только уже завтра.

Но, если не ошибаюсь, в списке был маршрут к подсети сервера через интерфейс SSTP + во всех инструкциях по этой теме указано, что на клиенте как таковом не нужно указывать маршруты - он их автоматом получает от сервера. В том числе и в статье, ссылку на которую Вы дали. По ней, собственно, я и пытался настроить ))

[Oxide]

@r13

Добрейший!

Действительно, оказалось необходимым добавить вручную маршрут на клиенте для сети за сервером. После этого все заработало.

[polycom]

В 25.05.2020 в 23:44, r13 сказал:

@Oxide

 

подскажите, если в аналогичной ситуации нужно достучаться до др. ПК в сети провайдера роутера сервера-SSTP (не локальной сети) с адресом 10.5.11.204, как поступить? Сеть провайдера 10.5.11.ххх

Изменено 28 мая, 2020 пользователем polycom

[r13]

Только что, polycom сказал:

подскажите, если в аналогичной ситуации нужно достучаться до др. ПК в сети провайдера роутера сервера-SSTP (не локальной сети) с адресом 10.5.11.204, как поступить? Сеть провайдера 10.5.11.ххх

По идее если прописан маршрут на клиенте, стоит галка "nat для клиентов" на сервере, и есть доступ к этому хосту из локалки сервера, должно работать.

Если не работает, можно на интерфейсах поснимать пакеты, и найти в каком месте не идет пакет в нужном направлении.

[dslkzru]

Ребята подскажите куда копать, SSTP сервер на Keenetic Ultra Версия ОС 2.16.D.3.0-5, ip серый, через встроенный Windows клиент соединяюсь с ноутбука к этому серверу через интернет, но не могу получить доступ к устройствам домашней сети, даже пинг не проходит, задача была соединиться через серый SSTP по RDP к серверу в домашней сети.

Заметил что если ткнуть галочки в приоритетах подключения (просто убрать на любом подключении и сохранить) то всё работает до закрытия соединения с SSTP сервером.

Заранее спасибо.

Изменено 29 июня, 2020 пользователем dslkzru

[kostya4000]

вот такая ошибка при подключении из ubuntu 20.04: ppp1:: sstp: invalid Compound MAC

из винды подключается нормально. 

настройки такие 

 

[kostya4000]

кто знает как исправить?

[Le ecureuil]

Настроить на использование pap, и отключить mschapv2.

[kostya4000]

если ставлю галку только на Pap то после сохранения настроек она сама убирается

[Le ecureuil]

Это уже не к keenetic вопрос, а к пакетам в ubuntu.

[Andrey812]

Добрый день, есть домашняя сеть на Ultra, в ней несколько телевизоров поддерживающих Upnp, также в сети несколько dlna серверов, один из них штатный от keennetic..

И внутри домашней сети все работает(медиафункции) все друг друга видят, и например можно пересылать контент с интерфейса/DLNA сервера на Линукс для его проигрывания на телевизоре...

И на  keenetic запущенны несколько(разные протоколы-ещё не определил оптимальный) VPN серверов, для доступа из интернета к ресурсам домашней сети,с со смартфона, с удаленного ПК, а держать проброшенными за NAT порты от всех служб-темболее некоторые без авторизации-не лучшая идея)..

Так вот при Коннект через VPN, что по ,PPTP что по L2tp/IPSec, что по прочим...VPN работают, компьютеры/службы на них, сетевые принтеры все отзываются так как будто ты сам находишься в этой домашней сети.. также виден DLNA сервер запущенный на keenetic, и с него можно запустить контент но только на сам смартфон с которого подключаюсь... Никаких других плееров (клиентов), или же прочих DLNA серверов существующих в сети через VPN не видно*,  подозреваю что через VPN не проходит протокол UpNP- отвечающий за обнаружение и возможность управления(принимать/отдавать контент)...

Вопрос это можно как-то исправить? В смысле чтоб  подключаясь клиентом DLNA  к DLNA серверу(на keenetic)через VPN, я видел не только сервер, но и другие доступные для приема/передачи контента устройства в  домашней сети(другие DLNA  серверы, телевизоры и т.д)?

 

*-клиеетов upnp не видно при подключении к домашней сети через VPN из интернета, при физическом нахождении в домашней сети без VPN все друг друга видят.

Пробовал в программах клиентах DLNA.:

-Media house upnp/Dlna (android)

-VLC(android)

-serviio (windows)

-windows media player(встроенный DLNAи функция "play to") (windows)

-gerbera (Linux)

UPNP-AV control(Linux)

 

 

Права пользователям VPN  на использование в VPN -DLNA -даны,

А как сделать/включить поддержку upnp  в VPN нигде не нашел..

Подскажите это возможно? С помощью чего?

[Le ecureuil]

Нет, другие устройства видеть нельзя, потому что это требует работы с multicast.

[Andrey812]

51 минуту назад, Le ecureuil сказал:

Нет, другие устройства видеть нельзя, потому что это требует работы с multicast.

А  multicast как-то можно настроить через VPN, хочется реализовать в итоге, чтоб я подключившись к ресурсам домашней сети через VPN  работал так же как будто бы я в этой сети нахожусь без всякого VPN...ну или в частности удаленно находясь в другом конце города/мира детям на телевизор мог запускать мультики с Dlna сервера..на телевизоре при этом не выполняется никаких доп действий, просто начинается воспроизведение данного мультфильма.(при физическом нахождении в домашней сети это работает). Удаленно же пока приходится заходить на медиацентр стоящий внутри сети по VNC  и в графическом интерфейсе заходить на какой-нибудь dlna сервер в этой сети и оттуда уже запускать контент(мультфильм) детям на телевизор. Хочется найти способ проще и напрямую свой клиент dlna через VPN подключать к DLNA серверу и в нем выполнять вышеозвученное(выбрать источник, выбрать проигрыватель, запустить)...

 

[stefbarinov]

В 13.11.2020 в 16:33, Andrey812 сказал:

А  multicast как-то можно настроить через VPN, хочется реализовать в итоге, чтоб я подключившись к ресурсам домашней сети через VPN  работал так же как будто бы я в этой сети нахожусь без всякого VPN...

 

Если только настроить eoip))

[Le ecureuil]

Multicast в IPv4 настолько сложен и спроектирован через одно место, что я бы не хотел даже начинать что-то делать в эту сторону.

[stefbarinov]

47 минут назад, Le ecureuil сказал:

Multicast в IPv4 настолько сложен и спроектирован через одно место, что я бы не хотел даже начинать что-то делать в эту сторону.

И это верно)) Но для любителей "разврата" dlna over eoip самое то)) Хотя некоторые отписывались здесь, на форуме, со словами, что вполне себе корректно бегал мультикаст через eoip и даже картинка не сыпалась)

Изменено 17 ноября, 2020 пользователем stefbarinov

[ViN]

Добрый день.
У меня 2 роутера
Ultra (установлен дома) и Keenetic 4G KN-1211 (установлен на даче).
На роутере Ultra поднят SSTP-сервер, на роутере 4G-SSTP клиент соответственно.
Роутер Keenetic 4G все время подключен к роутеру Ultra по VPN SSTP. В статистике подключений IP адрес 172.16.3.35
Без проблем работает так:
Если я нахожусь дома и подключен к домашнему роутеру Ultra непосредственно по Wi-Fi, то я без проблем пингую роутер-клиент Keenetic 4G и устройства за ним.
Но если я нахожусь вне дома (например в командировке) и подключаюсь к домашнему роутеру Ultra по VPN SSTP, то я не могу сделать пинг роутера Keenetic 4G и устройств за ним.
Что нужно сделать в настройках роутеров, чтобы сделать ping роутера Keenetic 4G, с компьютера, подключенного к роутеру Ultra по VPN SSTP. В статистике подключений IP адрес 172.16.3.33 (нахожусь в командировке в другом городе)
Т.е. как второму клиенту (компьютеру, который подключается через VPN SSTP и имеет адрес подключения 172.16.3.33 достучаться до клиента 172.16.3.35)
Настройки.
Роутер Giga:
адрес домашней сети 192.168.1.1
В инет выходит по кабелю от провайдера.
На нем поднят SSTP сервер,через KeenDNS, работает через облако.
Также сделана маршрутизация:
Адрес сети назначения 192.162.5.0 (сеть роутера Keenetic 4G )
Адрес Шлюза 172.16.3.35

Роутер Keenetic 4G:
адрес домашней сети 192.168.5.5
В инет выходит по 4G модему (но пробовал разные варианты подключений).
Сделаны настройки межсетевого экрана: разрешены TCP,UDP, ICMP.

P.S. Иногда очень нужно, не находясь дома, получить доступ к устройствам за роутером 4G, но не получается.

Прочитал тему. Вроде нужно на клиенте Keenetic 4G сделать маршрут в сеть Ultra.

Но как? Что прописывать?
Спасибо.

[Mihail_Boyanskiy]

Привет. Проблема при подключении по sstp-server через облако. Зарегил домен domen.keenetic.pro около недели назад, работало-работало, сегодня при попытке подключиться пишет: Ошибка 0x800B0101: Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле. Перед этим ещё часто возникала ошибка при доступе из вне к веб-конфигуратору роутера ошибка 522, хотя у меня инет точно не пропадал. Если есть возможность поправьте доступ через облако, а то ну очень уж не надёжно.

[The_Immortal]

Приветствую!

На Keenetic II (2.16.D.11.0-0 ) через облачный доступ зареган KeenDNS и поднят SSTP-сервер. При попытки подключиться к этому серверу с вендового клиента выдается следующее:

>rasdial SSTP_Work(keenetic)
Установка связи с SSTP_Work(keenetic)...
Проверка имени и пароля пользователя...

Ошибка службы удаленного доступа 691 - В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа.

Логины-пароли, разумеется, верные. Куда копать, подскажите, пожалуйста? Скрин настройки соединения по безопасности на Венде прилагаю:

SSTP-сервер перезапускался, роутер перезагружался...

 

Спасибо!

Изменено 27 февраля, 2021 пользователем The_Immortal

[Le ecureuil]

А что в логах роутера? (можно system debug включить да проверить для достоверности)

Пока похоже что логин/пароль неверные.

[The_Immortal]

36 минут назад, Le ecureuil сказал:

Пока похоже что логин/пароль неверные

Как будто бы да, но я уже банальных юзер-пассвордов насоздавал и предоставил им доступ на стороне роутера - один результат.

36 минут назад, Le ecureuil сказал:

А что в логах роутера?

Фев 27 16:24:51
ppp-sstp
sstp: new connection from unix:NULL
Фев 27 16:24:51
ppp-sstp
sstp: starting
Фев 27 16:24:51
ppp-sstp
sstp: started
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <SSTP_DUPLEX_POST /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ HTTP/1.1>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <Host: myste.keenetic.link>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <X-Sni-Host: myste.keenetic.link>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <X-Forwarded-For: 192.168.12.90>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP X-Forwarded-For <192.168.12.90>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <X-Forwarded-For-Port: 56593>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP X-Forwarded-For-Port <56593>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <X-Forwarded-From: 192.168.12.90>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP X-Forwarded-From <192.168.12.90>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <X-Forwarded-From-Port: 443>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP X-Forwarded-From-Port <443>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <Connection: close>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <Content-Length: 9223372036854775806>]
Фев 27 16:24:51
ppp-sstp
:: recv [HTTP <SSTPCORRELATIONID: {242EDD20-DB89-45E9-9F8C-2BF6DA05F109}>]
Фев 27 16:24:51
ppp-sstp
sstp: proxy: connection from 192.168.12.90:56593
Фев 27 16:24:51
ppp-sstp
:: send [HTTP <HTTP/1.1 200 OK>]
Фев 27 16:24:51
ppp-sstp
:: send [HTTP <Date: Sat, 27 Feb 2021 13:24:51 GMT>]
Фев 27 16:24:51
ppp-sstp
:: send [HTTP <Content-Length: 18446744073709551615>]
Фев 27 16:24:51
ppp-sstp
:: recv [SSTP SSTP_MSG_CALL_CONNECT_REQUEST]
Фев 27 16:24:51
ppp-sstp
:: send [SSTP SSTP_MSG_CALL_CONNECT_ACK]
Фев 27 16:24:51
ppp-sstp
:: lcp_layer_init
Фев 27 16:24:51
ppp-sstp
:: auth_layer_init
Фев 27 16:24:51
ppp-sstp
:: ccp_layer_init
Фев 27 16:24:51
ppp-sstp
:: mppe: init
Фев 27 16:24:51
ppp-sstp
:: mppe: {state m=ffffffff e=0 p=0 40=1 128=0 r=0}
Фев 27 16:24:51
ppp-sstp
:: ipcp_layer_init
Фев 27 16:24:51
ppp-sstp
:: ipv6cp_layer_init
Фев 27 16:24:51
ppp-sstp
ppp1:: connect: ppp1 <--> sstp(192.168.12.90:56593)
Фев 27 16:24:51
ppp-sstp
ppp1:: ppp connected
Фев 27 16:24:51
ppp-sstp
ppp1:: lcp_layer_start
Фев 27 16:24:51
ppp-sstp
ppp1:: send [LCP ConfReq id=b8 <auth MSCHAP-v2> <magic 40501a43> <mru 1350>]
Фев 27 16:24:51
ppp-sstp
ppp1:: recv [LCP ConfReq id=0 <mru 4091> <magic 29d57097> <pcomp> <accomp> < d 3 6 >]
Фев 27 16:24:51
ppp-sstp
ppp1:: send [LCP ConfRej id=0 <pcomp> <accomp> < d 3 6 >]
Фев 27 16:24:51
ppp-sstp
ppp1:: recv [LCP ConfAck id=b8 <auth MSCHAP-v2> <magic 40501a43> <mru 1350>]
Фев 27 16:24:51
ppp-sstp
ppp1:: recv [LCP ConfReq id=1 <mru 4091> <magic 29d57097>]
Фев 27 16:24:51
ppp-sstp
ppp1:: send [LCP ConfNak id=1 <mru 1350>]
Фев 27 16:24:51
ppp-sstp
ppp1:: recv [LCP ConfReq id=2 <mru 1350> <magic 29d57097>]
Фев 27 16:24:51
ppp-sstp
ppp1:: send [LCP ConfAck id=2 ]
Фев 27 16:24:51
ppp-sstp
ppp1:: lcp_layer_started
Фев 27 16:24:51
ppp-sstp
ppp1:: lcp: accm: disabled
Фев 27 16:24:51
ppp-sstp
ppp1:: auth_layer_start
Фев 27 16:24:51
ppp-sstp
ppp1:: send [MSCHAP-v2 Challenge id=1 <1d70249d86261f8174e9b121e7a5d5d>]
Фев 27 16:24:51
ppp-sstp
ppp1:: recv [LCP Ident id=3 <MSRASV5.20>]
Фев 27 16:24:51
ppp-sstp
ppp1:: recv [LCP Ident id=4 <MSRAS-0-WIN-56B6HPQTOP2>]
Фев 27 16:24:51
ppp-sstp
ppp1:: recv [LCP Ident id=5 < �.$���E��+��?� >]
Фев 27 16:24:51
ppp-sstp
ppp1:: recv [MSCHAP-v2 Response id=1 <6058a091f0d0b3e447bb492dbd2dad5a>, <27d97e45b93237eacad551bd65c2f617621423ce76c5259>, F=0, name="User"]
Фев 27 16:24:51
ppp-sstp
ppp1:: mschap-v2: user not found
Фев 27 16:24:51
ppp-sstp
ppp1:: send [MSCHAP-v2 Failure id=1 "E=691 R=0 V=3 M=Authentication failure"]
Фев 27 16:24:51
ppp-sstp
ppp1:User: User: authentication failed
Фев 27 16:24:51
ppp-sstp
ppp1:User: terminate
Фев 27 16:24:51
ppp-sstp
ppp1:User: lcp_layer_finish
Фев 27 16:24:51
ppp-sstp
ppp1:User: send [LCP TermReq id=186]
Фев 27 16:24:51
ppp-sstp
ppp1:User: auth_layer_finish
Фев 27 16:24:51
ppp-sstp
ppp1:User: auth_layer_finished
Фев 27 16:24:51
ppp-sstp
ppp1:User: recv [LCP TermReq id=6]
Фев 27 16:24:51
ppp-sstp
ppp1:User: send [LCP TermAck id=6]
Фев 27 16:24:51
ppp-sstp
ppp1:User: recv [LCP TermAck id=ba]
Фев 27 16:24:51
ppp-sstp
ppp1:User: lcp_layer_finished
Фев 27 16:24:51
ppp-sstp
ppp1:User: sstp: ppp: finished
Фев 27 16:24:51
ppp-sstp
ppp1:User: send [SSTP SSTP_MSG_CALL_DISCONNECT]
Фев 27 16:24:51
ppp-sstp
ppp1:: lcp_layer_free
Фев 27 16:24:51
ppp-sstp
ppp1:: auth_layer_free
Фев 27 16:24:51
ppp-sstp
ppp1:: ccp_layer_free
Фев 27 16:24:51
ppp-sstp
ppp1:: ipcp_layer_free
Фев 27 16:24:51
ppp-sstp
ppp1:: ipv6cp_layer_free
Фев 27 16:24:51
ppp-sstp
ppp1:: ppp destablished
Фев 27 16:24:51
ppp-sstp
ppp1:: sstp: ppp: read: Input/output error
Фев 27 16:24:51
ppp-sstp
ppp1:: disconnecting
Фев 27 16:24:51
ppp-sstp
sstp: disconnected

P.S. Блин, а как эту поляну подуменьшить со скроллированием?..

Изменено 27 февраля, 2021 пользователем The_Immortal

[The_Immortal]

self-test.txt

Также пробовал другого клиента (правда также на Windows 10) - поведение аналогичное.

P.S. Доменное имя я подменил.

Изменено 27 февраля, 2021 пользователем The_Immortal

[The_Immortal]

Так-с, похоже, что проблемка-то именно с самим rasdial'ом и применительно к SSTP. В общем, надо в параметрах соединения "палить" логин и пароль - тогда нормально коннектится.

Изменено 27 февраля, 2021 пользователем The_Immortal

[Le ecureuil]

Да, по логу с кинетика отлично видно что логин/пароль неверные.