SSTP-сервер и клиент

[Neytrino]

31 минуту назад, Le ecureuil сказал:

Но connect без via,

вроде работает.

А ещё, в дополнительных настройках SSTP-подключения (создаваемого в веб-конфигураторе) - стоит галка "Подстройка TCP MSS", как её поставить через cli? И надо ли? (в PDF'е, по запросу "tcp mss" ничего не находит)

[Le ecureuil]

16 часов назад, Neytrino сказал:

вроде работает.

А ещё, в дополнительных настройках SSTP-подключения (создаваемого в веб-конфигураторе) - стоит галка "Подстройка TCP MSS", как её поставить через cli? И надо ли? (в PDF'е, по запросу "tcp mss" ничего не находит)

interface ip tcp adjust-mss

[Neytrino]

6 часов назад, Le ecureuil сказал:

interface ip tcp adjust-mss

Спасибо, ещё раз.

[-ЯR-]

В 18.04.2025 в 15:21, ObaNa сказал:

Только что попробовал. (Правда не из Win11, а с linux)

На роутере:

Стоит ddns, поднят sstp,  в файерволе на интерфейсе домашней сети прописаны правила.

На клиенте:

Прописан маршрут указанный dr.Wolf.

Итог:

Подключился. Пинг идет и в лицо роутера (192.168.1.1) и в его сеть (192.168.1.19).

Вы скорее всего раздаете домашнюю подсеть 192.168.1.1 в SSTP, а я раздаю новую подсеть 192.168.11.1 и в своей подсети 192.168.11.1 все пингуется но вот из 192.168.11.1 не пингуется 192.168.111.1 (Надеюсь я понятно изложил)

[ObaNa]

1 час назад, -ЯR- сказал:

Вы скорее всего раздаете домашнюю подсеть 192.168.1.1 в SSTP, а я раздаю новую подсеть 192.168.11.1 и в своей подсети 192.168.11.1 все пингуется но вот из 192.168.11.1 не пингуется 192.168.111.1 (Надеюсь я понятно изложил)

Без схемы сети такое не осилю, увы...

 

[fullspb]

В 21.04.2025 в 14:41, -ЯR- сказал:

Вы скорее всего раздаете домашнюю подсеть 192.168.1.1 в SSTP, а я раздаю новую подсеть 192.168.11.1 и в своей подсети 192.168.11.1 все пингуется но вот из 192.168.11.1 не пингуется 192.168.111.1 (Надеюсь я понятно изложил)

вот у меня такая же история примерно.

и с разных подсетей (что ожидаемо) и с одной подсети не могу попасть на локальный дейвас.

(на даче точка доступа висит, по проводу подключена к кинетику)

update. точка пингуется

Изменено 26 апреля пользователем fullspb

[Neytrino]

В 20.03.2025 в 13:57, Le ecureuil сказал:

show interface system-name SSTPX

Начиная с 4.3.

Я учёл в скрипте ваш ответ, вот - пришло обновление до 4.3.2 (и даже 4.3.3), и...

Цитата

{
	"prompt": "(config)",
	"status": [
		{
			"status": "error",
			"code": "7405602",
			"ident": "Command::Base",
			"message": "argument parse error."
		}
	]
}

 

[Le ecureuil]

39 минут назад, Neytrino сказал:

Я учёл в скрипте ваш ответ, вот - пришло обновление до 4.3.2 (и даже 4.3.3), и...

 

Потому что команда выглядит как

> show interface SSTPX system-name

[GAL]

Добрый день

Роутер KN-3810 с установленным сервером VPN SSTP. Роутер также выступает dns-сервером с локальными клиентами в сети 10.10.10.0/32. Все клиенты с постоянными адресами.

Подключаюсь извне штатным клиентом Windows 10. Клиентов не вижу. Хотя по локальному 10.10.10.1 подключаюсь к ЛК роутера.

Вопрос - как увидеть других клиентов.

Если подключаюсь изнутри сети - всех клиентов вижу. В личном кабинете роутера тоже вижу всех клиентов при подключении извне.

Дополнение.

Проверил зайти с Андроида - кроме роутера и подключенного к нему диска других устройств не вижу

Дополнение 2. Вопрос снимается. Сам разобрался.

Изменено 30 июня пользователем GAL
Разобрался

[bzzztomas77]

подскажите, а в sstp можно завернуть трафик (как в WG) со стороны SSTP-сервера? интерфейс sstp вроде не появляется

 

[Kirk]

Добрый день!

Недавно обновил домашний роутер и соответственно прошивку на нём. Была OpenWRT 21, стала 24.
Перестали работать SSTP подключения к Кинетикам (как старым с веткой софта 2.хх, так и новым с 5.хх).

Похоже в новой OpenWRT сломали SSTP ((((
Если просто завести в интерфейсах подключение - вообще не ломится подключаться.
Если руками запускать sstpc - на стороне клиента (openwrt) -**Error: Connection was aborted, Unknown Status Attribute, (-1)
На стороне сервера
(старый кинетик):Jul 7 20:15:44 ppp-sstp
sstp: proxy: connection from 192.168.77.17:53570
Jul 7 20:15:44 ppp-sstp
ppp0:: connect: ppp0 <--> sstp(192.168.77.17:53570)
Jul 7 20:15:45 ppp-sstp
ppp0:Kirk: Kirk: authentication succeeded
Jul 7 20:15:45 ppp-sstp
ppp0:Kirk: sstp: invalid Compound MAC
Jul 7 20:15:45 ppp-sstp
ppp0:Kirk: failed to get interface statistics

(новый кинетик)Jul 7 20:29:57
ppp-sstp
sstp: proxy: connection from 77.51.215.243:65535
Jul 7 20:29:57
ppp-sstp
ppp0:: connect: ppp0 <--> sstp(77.51.215.243:65535)
Jul 7 20:30:03
ppp-sstp
ppp0:: mschap-v2: timeout
Jul 7 20:30:03
ndm
Radius::Server: {1} MS-CHAPv2 auth.
Jul 7 20:30:03
ndm
Core::Authenticator: user "Kirk" authenticated, realm "Keenetic Extra", tag "sstp".
Jul 7 20:30:03
ppp-sstp
ppp0:Kirk: Kirk: authentication succeeded
Jul 7 20:30:03
ppp-sstp
ppp0:Kirk: sstp: invalid Compound MAC
Jul 7 20:30:03
ppp-sstp
ppp0:Kirk: failed to get interface statistics

Понимаю, что дело скорее всего в OpenWRT, ибо с телефона всё по прежнему работает. Но хоть куда копать бы понять.

[Rea0911]

Добрый день! Вопрос какие настройки нужно сделать, чтобы хост подключаемый по SSTP получил доступ в сеть подключенную по WireGuard? (Описание всех страданий ниже)

Keenetic В подключается к Keenetic A по SSTP VPN (server Keenetic A)

Keenetic Б подключается к Keenetic A по Wireguard VPN (server Keenetic A)

требуется используя данную схему подключения чтобы

1) Хост 192.168.49.20 в локальной сети Keenetic B имел доступ к серверу 192.168.1.100 в локальной сети за Keenetic A и к хосту 192.168.21.100 локальной сети за Keenetic Б;

2) Хост 192.168.21.100 локальной сети Keenetic Б имел доступ к серверу 192.168.1.100 локальной сети за Keenetic A и к хосту 192.168.49.20 локальной сети за Keenetic В;

3) Сервер 192.168.1.100 локальной сети Keenetic А имел доступ к хосту 192.168.49.20 локальной сети за Keenetic Б и к хосту 192.168.21.100 за Keenetic В

 

На роутере Keenetic Б 192.168.21.250/24 сделаны настройки:

- Раздел другие подключения

            Создано подключение WIreguard Keen Б to A

                        IPv4 адрес -172.16.21.2/24

                        Имя пира Keen A

                        Адрес и порт пира – (Публичный IP):16621

                        Разрешенные сети IPv4 172.16.21.1/32

                                                                 192.168.1.0/24

                                                                 192.168.49.0/24

                                                                 172.8.7.0/24

                        Проверка активности – 30

 

- Раздел Маршрутизация сделаны настройки

            1. Маршрут до сети 192.168.49.0/24, интерфейс Keen Б to A, добавлять автоматически, эксклюзивный маршрут.

            2. Маршрут до сети 192.168.1.0/24, интерфейс Keen Б to A, добавлять автоматически, эксклюзивный маршрут.

            3. Маршрут до сети 172.8.7.0/24, интерфейс Keen Б to A, добавлять автоматически, эксклюзивный маршрут.

 

- Раздел Межсетевой экран соединение Keen Б to A

            1. Протокол IP

Действие – разрешить

IP адрес источника – любой

IP адрес назначения – любой

            2. Протокол ICMP

Действие – разрешить

IP адрес источника – любой

IP адрес назначения – любой

 

На роутере Keenetic А 192.168.1.250/24 сделаны настройки:

- Раздел другие подключения

            Создано подключение Wireguard Keen Б to A

                        IPv4 адрес -172.16.21.1/24

                        Порт прослушивания - 16621

                        Имя пира Keen Б

                        Разрешенные сети IPv4 172.16.21.2/32

                                                                 192.168.21.0/24

- Раздел Приложения

            Создан VPN-сервер SSTP

            Начальный IP-адрес -172.8.7.47

            Пул IP-адресов – 4

            Режим Camouflage

            Пользователь KeenВ

            Доступ - да

            Постоянный IP-адрес 172.8.7.49

- Раздел Маршрутизация сделаны настройки

1. Маршрут до сети 192.168.49.0/24, адрес шлюза 172.8.7.49, интерфейс Любой, добавлять автоматически, эксклюзивный маршрут.

            2. Маршрут до сети 192.168.21.0/24, интерфейс Keen Б to A, добавлять автоматически, эксклюзивный маршрут.

 

- Раздел Межсетевой экран соединение Keen Б to A

1. Протокол IP

Действие – разрешить

IP адрес источника – любой

IP адрес назначения – любой

            2. Протокол ICMP

Действие – разрешить

IP адрес источника – любой

IP адрес назначения – любой

           

 

На роутере Keenetic В 192.168.49.250/24 сделаны настройки:

 

- Раздел другие подключения

            Создано подключение VPN- подключение Keen В to A

                        Тип – SSTP

                        Адрес сервера - keenA.keenetic.link/?f0d3x93b

                        Пользователь – KeenВ

 

- Раздел Маршрутизация сделаны настройки

            1. Маршрут до сети 192.168.1.0/24, интерфейс Keen В to A, добавлять автоматически, эксклюзивный маршрут.

            2. Маршрут до сети 192.168.21.0/24, интерфейс Keen В to A, добавлять автоматически, эксклюзивный маршрут.

            3. Маршрут до сети 172.16.21.0/24, интерфейс Keen Б to A, добавлять автоматически, эксклюзивный маршрут.

 

- Раздел Межсетевой экран соединение Keen В to A

1. Протокол TCP

Действие – разрешить

IP адрес источника – любой

IP адрес назначения – любой

            2. Протокол UDP

Действие – разрешить

IP адрес источника – любой

IP адрес назначения – любой

            3. Протокол ICMP

Действие – разрешить

IP адрес источника – любой

IP адрес назначения – любой

 

После произведенных настроек включены все соединения.

На всех хостах в брандмауэрах настроены соответствующие разрешающие правила

 

На роутере Keen Б в разделе Диагностика – Проверка сетевого соединения

Ping 172.16.21.1

sending ICMP ECHO request to 172.16.21.1...

PING 172.16.21.1 (172.16.21.1) 56 (84) bytes of data.

84 bytes from 172.16.21.1: icmp_req=1, ttl=64, time=8.81 ms.

 

--- 172.16.21.1 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss,

0 duplicate(s), time 9.08 ms.

Round-trip min/avg/max = 8.81/8.81/8.81 ms.

 

Ping 192.168.1.250

sending ICMP ECHO request to 192.168.1.250...

PING 192.168.1.250 (192.168.1.250) 56 (84) bytes of data.

84 bytes from 192.168.1.250: icmp_req=1, ttl=64, time=7.08 ms.

 

--- 192.168.1.250 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss,

0 duplicate(s), time 7.15 ms.

Round-trip min/avg/max = 7.08/7.08/7.08 ms.

 

Ping 172.8.7.49

sending ICMP ECHO request to 172.8.7.49...

PING 172.8.7.49 (172.8.7.49) 56 (84) bytes of data.

84 bytes from 172.8.7.49: icmp_req=1, ttl=63, time=50.26 ms.

 

--- 172.8.7.49 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss,

0 duplicate(s), time 50.32 ms.

Round-trip min/avg/max = 50.26/50.26/50.26 ms.

 

Ping 192.168.49.250

sending ICMP ECHO request to 192.168.49.250...

PING 192.168.49.250 (192.168.49.250) 56 (84) bytes of data.

84 bytes from 192.168.49.250: icmp_req=1, ttl=63, time=64.65 ms.

 

--- 192.168.49.250 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss,

0 duplicate(s), time 64.71 ms.

Round-trip min/avg/max = 64.65/64.65/64.65 ms.

 

 

На роутере Keen А в разделе Диагностика – Проверка сетевого соединения

Ping 172.16.21.2

sending ICMP ECHO request to 172.16.21.2...

PING 172.16.21.2 (172.16.21.2) 56 (84) bytes of data.

84 bytes from 172.16.21.2: icmp_req=1, ttl=64, time=6.63 ms.

 

--- 172.16.21.2 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss,

0 duplicate(s), time 6.71 ms.

Round-trip min/avg/max = 6.63/6.63/6.63 ms.

 

Ping 192.168.21.250

sending ICMP ECHO request to 192.168.21.250...

PING 192.168.21.250 (192.168.21.250) 56 (84) bytes of data.

84 bytes from 192.168.21.250: icmp_req=1, ttl=64, time=7.72 ms.

 

--- 192.168.21.250 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss,

0 duplicate(s), time 7.80 ms.

Round-trip min/avg/max = 7.72/7.72/7.72 ms.

 

Ping 172.8.7.49

sending ICMP ECHO request to 172.8.7.49...

PING 172.8.7.49 (172.8.7.49) 56 (84) bytes of data.

84 bytes from 172.8.7.49: icmp_req=1, ttl=64, time=42.37 ms.

 

--- 172.8.7.49 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss,

0 duplicate(s), time 42.44 ms.

Round-trip min/avg/max = 42.37/42.37/42.37 ms.

 

Ping 192.168.49.250

sending ICMP ECHO request to 192.168.49.250...

PING 192.168.49.250 (192.168.49.250) 56 (84) bytes of data.

84 bytes from 192.168.49.250: icmp_req=1, ttl=64, time=42.90 ms.

 

--- 192.168.49.250 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss,

0 duplicate(s), time 42.96 ms.

Round-trip min/avg/max = 42.90/42.90/42.90 ms.

 

На роутере Keen В в разделе Диагностика – Проверка сетевого соединения

Ping 192.168.1.250

sending ICMP ECHO request to 192.168.1.250...

PING 192.168.1.250 (192.168.1.250) 56 (84) bytes of data.

84 bytes from 192.168.1.250: icmp_req=1, ttl=64, time=45.75 ms.

 

--- 192.168.1.250 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss,

0 duplicate(s), time 46.00 ms.

Round-trip min/avg/max = 45.75/45.75/45.75 ms.

 

Ping 172.16.21.1

sending ICMP ECHO request to 172.16.21.1...

PING 172.16.21.1 (172.16.21.1) 56 (84) bytes of data.

 

--- 172.16.21.1 ping statistics ---

1 packets transmitted, 0 packets received, 100% packet loss,

0 duplicate(s), time 1000.13 ms.

 

Ping 172.16.21.2

sending ICMP ECHO request to 172.16.21.2...

PING 172.16.21.2 (172.16.21.2) 56 (84) bytes of data.

 

--- 172.16.21.2 ping statistics ---

1 packets transmitted, 0 packets received, 100% packet loss,

0 duplicate(s), time 1000.98 ms

 

Ping 192.168.21.250

sending ICMP ECHO request to 192.168.21.250...

PING 192.168.21.250 (192.168.21.250) 56 (84) bytes of data.

 

--- 192.168.21.250 ping statistics ---

1 packets transmitted, 0 packets received, 100% packet loss,

0 duplicate(s), time 1000.34 ms.

 

Traceroute 192.168.21.250

starting traceroute to 192.168.21.250...

traceroute to 192.168.21.250 (192.168.21.250), 30 hops maximum, 84 byte packets.

 1  192.168.1.250 (192.168.1.250)  42.670 ms  42.957 ms  42.587 ms

 2  * * *

 3  * * *

 4  * * *

 5  * * *

-//-

30  * * *          

 

Изменено Суббота в 23:42 пользователем Rea0911