SSTP-сервер и клиент

[Neytrino]

1 час назад, Le ecureuil сказал:

Ну или через события ifcreated.d собирать данные в файлы

Понял, спасибо ещё раз...

[LordMerlin]

Подскажите, sstp по легче чем wireguard? Можно на 7628 выжать больше 30Мбит?

[r13]

22 минуты назад, LordMerlin сказал:

Подскажите, sstp по легче чем wireguard? Можно на 7628 выжать больше 30Мбит?

Тяжелее. Легче wg который в ядре крутится вряд ли найдете.

[Кинетиковод]

25 минут назад, LordMerlin сказал:

Можно на 7628 выжать больше 30Мбит?

wg по проводу на 7628 даёт в районе 50 мегабит.

[LordMerlin]

52 минуты назад, r13 сказал:

Тяжелее. Легче wg который в ядре крутится вряд ли найдете.

А он таки в ядре в кинетике? Тогда да, согласен.

[LordMerlin]

49 минут назад, Кинетиковод сказал:

wg по проводу на 7628 даёт в районе 50 мегабит.

Скачет на самом деле, от 30 до 50. При загрузке процессора под 100%.

Думал может что по легче есть.

[Кинетиковод]

27 минут назад, LordMerlin сказал:

Скачет на самом деле, от 30 до 50. При загрузке процессора под 100%

На 7628 новая вебморда грузит проц даже в простое. Следить за загрузкой процессора во время замера не стоит, она точно будет 100%. По моим замерам 45-50 мегабит получалось довольно стабильно. Но если проц отвлечь другой задачей, то будет просадка скорости.

32 минуты назад, LordMerlin сказал:

Думал может что по легче есть.

Легче только туннели без шифрования. Можно попробовать PPTP без шифрования. Или вообще какой-нибудь IPIP. Всё зависит от вашей ситуации. Точно не помню, но PPTP без шифрования что-то в районе 70 мегабит выдавал вроде, но это было давно. Какая картина сейчас надо замерять по факту. Если цель выжать максимум любой ценой, то можно пожертвовать шифрованием. Дальше только апгрейд.

[stefbarinov]

1 минуту назад, Кинетиковод сказал:

Или вообще какой-нибудь IPIP

Лучше GRE, у него оверхед меньше

[LordMerlin]

Мне прям ВЕСЬ трафик на VPS завернуть как то.

Что можно штатно сделать?

[Le ecureuil]

1 час назад, LordMerlin сказал:

Мне прям ВЕСЬ трафик на VPS завернуть как то.

Что можно штатно сделать?

Сделать через туннель до него маршрут по умолчанию.

[LordMerlin]

13 минут назад, Le ecureuil сказал:

Сделать через туннель до него маршрут по умолчанию.

Туннель имеете ввиду разные КВНы?
Что-то бы типа прозрачного перенаправления, чтоб не ело процессор роутера)

[Neytrino]

В 20.03.2025 в 17:44, Le ecureuil сказал:

Обновиться. Ну или через события ifcreated.d собирать данные в файлы, где-то на форуме уже была тема.

Пришло тут обновление до 4.2.6.3, и алгоритм настроенный для "ppp8" - дал сбой. Запустил определитель system_name'а - а он изменился на ppp9. Это теперь после каждой перезагрузки проверять?

[dr.Wolf]

Подключаюсь кинетиком к SSTP серверу softether на линуксе. Если клиенты сидят в политике где впн в приоритете, то все работает. А вот в обычной политике нет, не применяются статические маршруты. При подключении l2tp/ipsec статические маршруты работают.

Если добавить маршрут или отредактировать, то он работает до переподключения sstp.

[Le ecureuil]

В 07.04.2025 в 16:59, dr.Wolf сказал:

Подключаюсь кинетиком к SSTP серверу softether на линуксе. Если клиенты сидят в политике где впн в приоритете, то все работает. А вот в обычной политике нет, не применяются статические маршруты. При подключении l2tp/ipsec статические маршруты работают.

Если добавить маршрут или отредактировать, то он работает до переподключения sstp.

Покажите self-test в момент когда маршруты не работают.

[Neytrino]

Le ecureui, а подскажите пожалуйста, ещё такую штуку...

Создаю sstp-подключение скриптом:

ndmc -c interface $INTERFACE
ndmc -c interface $INTERFACE description $INTERFACE_NAME
ndmc -c interface $INTERFACE peer example.com
ndmc -c interface $INTERFACE authentication identity mylogin
ndmc -c interface $INTERFACE authentication password mypass
ndmc -c interface $INTERFACE ip global auto
ndmc -c system configuration save

подключение создаётся, все поля - заполнены правильно, но при попытке подключиться - не получается (такое ощущение, что подключение не знает через что ему стучаться в интернет)... Чего не хватает в моей последовательности команд? (или возможно причина в чём-то другом..?)

[dr.Wolf]

Добрый день.

Добавил маршруты, они заработали. Переподключил SSTP и тишина.

Похоже кинетик не получает шлюз для этого подключения, хотя сервер его присылает.

self-test_KN-1810_stable_4.02.C.6.3-1_router_2025-04-11T11-13-46.575Z.txt

vm1774017.firstbyte.club_server_log_vpn_20250411.log

Изменено 11 апреля пользователем dr.Wolf

[ObaNa]

On 4/11/2025 at 11:17 AM, dr.Wolf said:

Добрый день.

Добавил маршруты, они заработали. Переподключил SSTP и тишина.

Похоже кинетик не получает шлюз для этого подключения, хотя сервер его присылает.

self-test_KN-1810_stable_4.02.C.6.3-1_router_2025-04-11T11-13-46.575Z.txt 1.18 MB · 0 downloads

vm1774017.firstbyte.club_server_log_vpn_20250411.log 189.4 kB · 0 downloads

Похожая конфигурация. SoftEther на VPS (), по SSTP подключены четыре Keenetic'а с серыми внешними IP и статическими IP в vpn. В пределах VPN все друг-друга видят/пингуют. Через пробросы нормально подключаюсь по RDP к любым клиентам. Но во внутренние сетки роутеров попасть не могу, никак. Это вообще возможно?

Где-то в ветках читал предположение, что из за nat на vpn такое может быть, но может что-то не так понял.

PS: Тапками не кидайтесь, я тут впервые.

[-ЯR-]

Здравствуйте. Подскажите пожалуйста на Keenetic SSTP сервер (белый ip) и для него создал подсеть 192.168.11.ххх подключаюсь с Windows 11 и вся подсеть пингуется, а вот домашняя подсеть 192.168.1.ххх не пингуется как открыть доступ. Много всего перепробовал и все не верно((

Изменено 17 апреля пользователем -ЯR-

[ObaNa]

6 hours ago, -ЯR- said:

Здравствуйте. Подскажите пожалуйста на Keenetic SSTP сервер (белый ip) и для него создал подсеть 192.168.11.ххх подключаюсь с Windows 11 и вся подсеть пингуется, а вот домашняя подсеть 192.168.1.ххх не пингуется как открыть доступ. Много всего перепробовал и все не верно((

Я в этих делах недавно, но попробую...

Если из Win11 подключаетесь к Keenetic'у через инет, то дайте на роутере в межсетевом экране  в разделе "домашняя сеть" разрешение на ICMP и IP. 

[dr.Wolf]

Скорее всего нет маршрута.

В Windows можно попробовать добавить маршрут - route add 192.168.1.0 MASK 255.255.255.0 192.168.11.1

Проверить как идет пинг по маршруту можно командой tracert IP.узла.в.сети

[-ЯR-]

19 часов назад, ObaNa сказал:

Я в этих делах недавно, но попробую...

Если из Win11 подключаетесь к Keenetic'у через инет, то дайте на роутере в межсетевом экране  в разделе "домашняя сеть" разрешение на ICMP и IP. 

Пробовал не помогает

[-ЯR-]

3 часа назад, dr.Wolf сказал:

Скорее всего нет маршрута.

В Windows можно попробовать добавить маршрут - route add 192.168.1.0 MASK 255.255.255.0 192.168.11.1

Проверить как идет пинг по маршруту можно командой tracert IP.узла.в.сети

Пробовал не помогает, НО когда прописываю этот маршрут комп с Windows 11 могут пинговать клиенты из домашней сети 192.168.1.0 

[ObaNa]

43 минуты назад, -ЯR- сказал:

Пробовал не помогает

Только что попробовал. (Правда не из Win11, а с linux)

На роутере:

Стоит ddns, поднят sstp,  в файерволе на интерфейсе домашней сети прописаны правила.

На клиенте:

Прописан маршрут указанный dr.Wolf.

Итог:

Подключился. Пинг идет и в лицо роутера (192.168.1.1) и в его сеть (192.168.1.19).

[Neytrino]

В 10.04.2025 в 21:32, Neytrino сказал:

Le ecureui, а подскажите пожалуйста, ещё такую штуку...

Создаю sstp-подключение скриптом:

ndmc -c interface $INTERFACE
ndmc -c interface $INTERFACE description $INTERFACE_NAME
ndmc -c interface $INTERFACE peer example.com
ndmc -c interface $INTERFACE authentication identity mylogin
ndmc -c interface $INTERFACE authentication password mypass
ndmc -c interface $INTERFACE ip global auto
ndmc -c system configuration save

подключение создаётся, все поля - заполнены правильно, но при попытке подключиться - не получается (такое ощущение, что подключение не знает через что ему стучаться в интернет)... Чего не хватает в моей последовательности команд? (или возможно причина в чём-то другом..?)

Команда - нашлась (спасибо уважаемому BiOMeX ) ndmc -c interface $INTERFACE connect via GigabitEthernet1

Правда, (я ещё не тестил) но, что если в данный момент - интернет на основном канале отсутствует (или вообще используется какой-нить WirelessISP)..?

 

А ещё - прилетело откуда не ждали... На двух Hopper SE - всё работает как надо, а на просто Hopper (3811), на котором я имею возможность отлаживать скрипт - вылезает "Подлежащее соединение не готово" и подключаться никуда не хочет.

Изменено 18 апреля пользователем Neytrino

[Le ecureuil]

connect via по идее в общем случае не нужен, а почему не подключается нужно смотреть в логе.

Включайте interface SSTP0 debug когда connect via выключен, и покажите что там ему не нравится.

[Neytrino]

2 часа назад, Le ecureuil сказал:

connect via по идее в общем случае не нужен, а почему не подключается нужно смотреть в логе.

Включайте interface SSTP0 debug когда connect via выключен, и покажите что там ему не нравится.

правильно ли я понимаю, что вместо 0 - должен стоять идентификатор моего подключения? Если да - вот реакция в логе на его включение:

Апр 18 19:34:53
ndm
Network::Interface::Base: "SSTP8": "base" changed "conf" layer state "disabled" to "running".
Апр 18 19:34:53
ndm
Network::Interface::Base: "SSTP8": interface is up.

при этом, в интерфейсе оно висит вот в таком виде...

Изменено 18 апреля пользователем Neytrino

[Le ecureuil]

Вы точно поняли про interface debug? Нужно ввести эту команду когда все отключено, и затем включить. Ну и логи приложить нормально, в виде self-test, а не обрубком, которым вам показалось достаточно.

[Neytrino]

20 минут назад, Le ecureuil сказал:

когда все отключено

У вас есть клавиатура под пальцами - которая дана вам для выражения того что вы хотите написать (угадывателем ваших мыслей - я пока не работаю)...

"все " это что? SSTP подключение?

Вы хотите чтобы я выключил SSTP8 (созданное без connect via), ввёл команду: interface SSTP8 debug, затем включил подключение и через некоторое время - выгрузил self-test (приложив его сюда)?

[Le ecureuil]

26 минут назад, Neytrino сказал:

У вас есть клавиатура под пальцами - которая дана вам для выражения того что вы хотите написать (угадывателем ваших мыслей - я пока не работаю)...

"все " это что? SSTP подключение?

Вы хотите чтобы я выключил SSTP8 (созданное без connect via), ввёл команду: interface SSTP8 debug, затем включил подключение и через некоторое время - выгрузил self-test (приложив его сюда)?

Ну вот видите, прекрасно же поняли что нужно.

Так где же логи?

[Le ecureuil]

Ну так у вас на SSTP8 стоит одновременно up и no connect.

Все верно, оно не будет подключаться.

Чтобы были попытки, нужно чтобы было и up, и connect. Но connect без via, просто connect и все.