SSTP-сервер и клиент

[Le ecureuil]

3 часа назад, chromo сказал:

Добрый день. Подскажите, как правильно прописать "секрет" у стандартного виндового клиента? Пытаюсь заставить заработать sstp сервер на кинетике с флагом camouflage, но не понимаю куда эту строку вставить. На других видах vpn она вроде пишется в строку подключения, типа myhost.keenetic.pro/?12345678, но в таком формате у меня клиент вообще кинетик не находит

Никак.

[leo249]

On 3/30/2024 at 9:00 PM, alexk6 said:

 Только проверил, Windows в отличии от роутера подключается по SSTP и VPN работает.

В интернете есть большой список публичных, бесплатных VPN по протоколу SSTP. Несколько из них я проверял на Wundows и все хорошо, а на роутере не работают

Хотел бы добавить свой опыт потому же вопросу - отказ в пропуске трафика через тоннель  SSTP запущенного с Keentic, при том, что работает успешно с Windows через этот же Keenetic! Имею ту же ситуацию уже на надежном  ПЛАТНОМ VPN (Hide.me), который на Windows дает  100 Мбит, на Keentic - 0. Собственно то же происходило и на другом протоколе - OVPN и проблема ЗАВИСИТ ОТ ИНТЕРНЕТ ПРОВАДЕРА!! То есть на некоторых провайдерах отсутствует.  

Есть серьезное подозрение на DPI провайдеров, но непонятно как тогда они отличают пакеты идущие от Keentic от пакетов исходящих из Windows? По TTL? Но  в одном из тестов я имел 4G  модем c TTL фиксированным на 64 в нем, и тем не менее это не помогло.

Подскажите, в чем еще может быть разница за которую может цепляться DPI и какие можно провести эксперименты для выяснения хотя-бы  в каком месте проблема? Если это не DPI, то что??

[snark]

Только сегодня хотел написать пост.  Если кинетик выступает клиентом sstp, то трафик через интерфейс sstp не хочет идти, и вряд ли это dpi. Проверено на 4.3 Alpha 9 - 12. На

 

[leo249]

Ну, 

4 hours ago, snark said:

Только сегодня хотел написать пост.  Если кинетик выступает клиентом sstp, то трафик через интерфейс sstp не хочет идти, и вряд ли это dpi. Проверено на 4.3 Alpha 9 - 12. На

 

Ну, типа прямо так и не хочет идти  Вы уж как-то конкретизируйте ситуацию, потому, что "не идет" он только в каких-то редких случаях и надо разбираться почему!  У меня в большинстве случаев идет трафик через SSTP и очень хорошо, а "не идет" на конкретных интернет провайдерах и конкретных VPN провайдерах и отсюда вполне очевидно, что проблема в каких-то тонкостях и различиях. Для этого и нужны посты с конкретными опытами.

 

[snark]

Да нечего конкретизировать, провайдер не причём, сервер тоже рабочий. Напрямую, с нативного клиента windows, с macOS через sstpc - все ок. Кинетик тоже подключение поднимает, но дальше все. Если интерфейс sstp поднять выше всего остального, или назначить конкретному клиенту политику у которой sstp в приоритете, трафик никуда не идет.

И ещё в догонку, в настройках днс невозможно добавить днс сервер для интерфейса sstp, ибо он в перечислении интерфейсов отсутствует 

Добавлю: что с самого кинетика и traceroute и ping проходит. Не идёт трафик с клиентов

Изменено 8 января пользователем snark

[leo249]

>Если интерфейс sstp поднять выше всего остального, или назначить конкретному клиенту политику у которой sstp в приоритете, трафик никуда не идет.

Простите, а что у Вас означает "ЕСЛИ"?? А если не "если" - то идет? Так когда идет и когда не идет? Вы описываете проблему, и чтобы ее воспроизвести нужны точные условия, потому что в других условиях SSTP клиенты в кинетике работают у сотен людей абсолютно исправно.

У меня более 5 разных SSTP в Кинетик, несколько клиентов, несколько серверов  работают 24 часа в сутки, "по политикам в приоритете" перекачивают трафик с удаленных видеокамер и никаких проблем не имеется! Проблемы имеются только в конкретных условиях на конкретном VPN провайдере и конкретном интернет провайдере, да еще возможно зависят того в какой стране VPN сервер  находится.

Изменено 8 января пользователем leo249

[Le ecureuil]

Пришлите пожалуйста self-test с включенным interface SSTP0 debug когда трафик должен идти, но не идет.

[snark]

self выложил скрытым постом. Клиенту в локалке с ip *.84, назначена политика в которой sstp

 в приоритете

Изменено 12 января пользователем snark

[Le ecureuil]

Воспроизвел проблему именно с hide.me и sstp - соединение и правда устаналивается без вопросов, но трафик в обратную сторону не идет совсем.

[Le ecureuil]

Провел исследования - и пока вывод у меня, что проблемы на стороне сервера.

Коннектится нормально, данные туда все идут - а оттуда ответа нет. Причем очень выборочно - оттуда приходят IPv6 RA, ну и есть доступ к яндексу. К остальным адресам, даже DNS 1.1.1.1 и 8.8.8.8 - нет доступа вообще.

Потому пока возлагаю всю вину на сервис.

[snark]

В 13.01.2025 в 12:13, Le ecureuil сказал:

Провел исследования - и пока вывод у меня, что проблемы на стороне сервера.

Коннектится нормально, данные туда все идут - а оттуда ответа нет. Причем очень выборочно - оттуда приходят IPv6 RA, ну и есть доступ к яндексу. К остальным адресам, даже DNS 1.1.1.1 и 8.8.8.8 - нет доступа вообще.

Потому пока возлагаю всю вину на сервис.

У товарища который написал про Hide.me может так и есть. У меня не Hide.me. У меня трафик с самого кинетика через интерфейс sstp идёт, а с хостов локальной сети нет

[Chikk]

Да, это мой первый псто вна этом форуме. Да, я прочитал не более 5-10 страниц треда. Тем не менее, как я понимаю, вопрос-ответов по SSTP тут наиболее много.

Где-то примерно летом давно заметил (после того-самого обновления прошивки ради модного интерфейса) момент про то, что пропала возможность на SSTP сервере назначать постоянный IP клиентам вне пула IP-адресов, указанного в настройках сервера. Раньше точно можно было, а теперь вот никак, но - заметил и забыл. А теперь пришёл к тому, что это реально неудобно. Вроде бы зрение не очень упало за год, вроде бы особо ничего не поменялось в интерфейсе, но вот дать клиенту, допустим, IP 172.16.5.40, если стартовый 172.16.5.50 и пул, допустим, 50 - никак нельзя. А раньше было льзя.

Ну или ок, иначе. Задаём имя пользователя SSTP с постоянным IP (да, нюанс - IP задаём из самого начала пула адресов) и имя пользователя без IP, то есть подразумеваем, что второму при подключении будет выдан IP из пула, но точно не тот, который задали первому пользователю. Подключаемся вторым (первый в этот момент не подключён) - вуаля, получаем IP из начала пула, то есть то, который был "зарезервирован" за первым пользователем. Или это я переработал и на ноль делю сижу?

[wildchild]

Друзья, установил SSTP сервер на свой Giga 3. Прошивка 4.3 Beta 0 . Ни один из клиентов не подключается и не вижу попыток на самом роутере. В то же время есть 2 других роутера(Start и Air), на других адресах(провайдер один и тот же, настройки идентичны, белого ip нет, работает через KeenDNS) , прошивки 4.2.5 с основного канала. Если активировать SSTP сервер на них(с такими же точно настройками) , то все работает. Даже гигу к ним по SSTP клиенту коннектил и все гуд. Не пойму в чем затык. Скидывать гигу до заводских пока не хочется. Пробовал удалять компонент SSTP сервера и ставить обратно, не помогло.  Нет ли на 4.3 Beta 0 каких то проблем с SSTP сервером? 

Изменено 28 января пользователем wildchild

[Le ecureuil]

59 минут назад, wildchild сказал:

Друзья, установил SSTP сервер на свой Giga 3. Прошивка 4.3 Beta 0 . Ни один из клиентов не подключается и не вижу попыток на самом роутере. В то же время есть 2 других роутера(Start и Air), на других адресах(провайдер один и тот же, настройки идентичны, белого ip нет, работает через KeenDNS) , прошивки 4.2.5 с основного канала. Если активировать SSTP сервер на них(с такими же точно настройками) , то все работает. Даже гигу к ним по SSTP клиенту коннектил и все гуд. Не пойму в чем затык. Скидывать гигу до заводских пока не хочется. Пробовал удалять компонент SSTP сервера и ставить обратно, не помогло.  Нет ли на 4.3 Beta 0 каких то проблем с SSTP сервером? 

Покажите self-test.

[Денис Бурков]

Здравствуйте, подскажите в чём проблема? настроил SSTP сервер всё работало, узнав что Keenetic превращается в netcraze жмякнул кнопку не думая, теперь по SSTP не подключается. в логе такое:

Cloud::Tunnel: "NDNS/66800cb7e16f6e27ffc79b685271d5e8": failed to read first handshake response line.

Фев 15 17:27:15

 

ndm

Cloud::Tunnel: "NDNS/d15beca081935e56a8939128ef2d1c7a": failed to read first handshake response line.

Фев 15 17:27:21

 

ndm

Cloud::Tunnel: "NDNS/cd87ffcdd0522cc25eb62d6d5d7eb69b": failed to read first handshake response line.

Фев 15 17:27:22

 

ndm

Cloud::Tunnel: "NDNS/31b75c4583400116ec741c35b8e68817": failed to read first handshake response line.

 подскажите что делать?

SSL сертификат менял, KeenDNS адрес тоже менял, ип серый...

[Nikl]

Проблема аналогичная, правда я в роутере ничего не жмякал, а сработало автообновление, после чего все и произошло. Причем обновив точно такой же Runner 4G (KN-2211) на туже версию 4.2.6 с ним ничего не произошло и спокойно захожу под тем же кинетиковским сертификатом. Сменил на телефоне приложение на Crazy и перенес туда все 5 роутеров и только у этого про которого начал рассказывать проблема осталась даже после резета. При этом само приложение его видит, из него видно всех пользователей, которые к нему подключены и позволяет менять настройки. Но подключиться по SSTP не дает.

Error: Cloud::Tunnel::Actions: "NDNS/ad85c58597": failed to read first handshake response line.

Изменено 16 февраля пользователем Nikl

[Nikl]

Частично (опишу позже) решил проблему следующим алгоритмом:

1. Освободил доменное имя, снял клиента и сервер SSTP в настройках ОС и обновил систему.

2. Установил все галки туннелей в сетевых функциях, обновил систему.

3. Убрал все галки туннелей в сетевых функциях, обновил систему.

4. Установил клиента и сервер SSTP и обновил систему.

5. Присвоил доменное имя, запустил в приложениях VPN-SSTP, вернул доступ пользователям.

После этого появился доступ в морду роутера через вход по доменному имени и доступ в сеть VPN-SSTP.

Частично, потому что сессии vpn слетали через 1,2 минуты. Но пока писал отзыв, отвлекаясь 10 раз и сессия еще не оборвалась. Может и все отлично стало.

[Денис Бурков]

Скорей всего проблема в ssl сертификате, потому что по http подключается к сервисам, а всё что требует https , в том числе и веб-конфигуратор(через keen/craze dns) выдает ошибку... Видимо у ребят завал полный и раньше первого марта ничего не решится( и рег.ру пишет что нет сертификата 

[Neytrino]

Всем доброго времени суток.

Есть необходимость включать, выключать sstp-подключение sstp0 и менять в нём адрес сервера с помощью cli. Замучался уже искать информацию на эту тему. Если кто знает - подскажите как...

[Le ecureuil]

В 04.03.2025 в 15:47, Neytrino сказал:

Всем доброго времени суток.

Есть необходимость включать, выключать sstp-подключение sstp0 и менять в нём адрес сервера с помощью cli. Замучался уже искать информацию на эту тему. Если кто знает - подскажите как...

А что там особо искать-то?

> interface SSTP0 down
> interface SSTP0 peer test.peer.com

> interface SSTP0 up

Можно даже только одной командой peer ограничиться - соединение само по себе перезапустится.

[Neytrino]

13 минут назад, Le ecureuil сказал:

А что там особо искать-то?

Когда знаешь что и где искать - то искать действительно нечего. Спасибо! (к сожалению, ничего подобного гугл, его аналоги и нейросети - не выдают, по запросу типа "как включить подключение sstp0 через cli")

[Le ecureuil]

18 часов назад, Neytrino сказал:

Когда знаешь что и где искать - то искать действительно нечего. Спасибо! (к сожалению, ничего подобного гугл, его аналоги и нейросети - не выдают, по запросу типа "как включить подключение sstp0 через cli")

Потому что по командной строке нужно смотреть не в искусственном дураке, а в официальном CLI Guide в виде pdf.

[Neytrino]

16 минут назад, Le ecureuil сказал:

Потому что по командной строке нужно смотреть не в искусственном дураке, а в официальном CLI Guide в виде pdf.

Это хорошо когда вы хотите весь его изучить, а если вам нужна одна единственная команда (которую вы не знаете) - (быстро) найти её там нереально... (если бы оно было в виде гипертекста с описанием всех команд и их параметров - было бы куда удобнее)

[Le ecureuil]

8 минут назад, Neytrino сказал:

Это хорошо когда вы хотите весь его изучить, а если вам нужна одна единственная команда (которую вы не знаете) - (быстро) найти её там нереально... (если бы оно было в виде гипертекста с описанием всех команд и их параметров - было бы куда удобнее)

Именно в таком виде оно там и есть + полнотекстовый поиск.