SSTP-сервер и клиент

distinctive · 1 апреля, 2018

Я правильно понимаю что клиент SSTP работает только с роутерами кинетик? Потому что мне нужно подключиться к удаленному SSTP серверу Mikrotik а для этого как то нужно указать сертификат на клиенте.

Le ecureuil · 4 апреля, 2018

В 4/1/2018 в 17:12, distinctive сказал:

Я правильно понимаю что клиент SSTP работает только с роутерами кинетик? Потому что мне нужно подключиться к удаленному SSTP серверу Mikrotik а для этого как то нужно указать сертификат на клиенте.

Нет, можно подключиться к любому серверу.

Аутентификация клиентов по сертификатам не работает, это верно. Но ее и не обещали - это опциональная фича.

Если же вы про проверку серверного сертификата, то можете ничего не указывать - Keenetic в случае, если сертификат ненастоящий, всего лишь поругается в консоль, но соединение установит.

pachalia · 5 апреля, 2018

Какова максимальная скорость sstp? Просто у меня больше 1 мбайта/с не поднимается.

Le ecureuil · 5 апреля, 2018

4 часа назад, pachalia сказал:

Какова максимальная скорость sstp? Просто у меня больше 1 мбайта/с не поднимается.

Через облако? Прямое соединение?

pachalia · 5 апреля, 2018

40 минут назад, Le ecureuil сказал:

Через облако? Прямое соединение?

Через облако.

Le ecureuil · 5 апреля, 2018

35 минут назад, pachalia сказал:

Через облако.

Вполне ожидаемо, облако не резиновое. Оно лишь запасной вариант для тех, кто не может использовать прямой режим.

qwqw1212 · 19 мая, 2018

Поясните, зачем для создания VPN сервера SSTP необходимо регистрировать доменное имя, если уже есть белый ip адрес?

Изменено 19 мая, 2018 пользователем qwqw1212

ndm · 19 мая, 2018

3 часа назад, qwqw1212 сказал:

Поясните, зачем для создания VPN сервера SSTP необходимо регистрировать доменное имя, если уже есть белый ip адрес?

Затем, чтобы сертификат на него получить.

ajs · 14 июня, 2018

В 19.05.2018 в 12:17, ndm сказал:

Затем, чтобы сертификат на него получить.

А если есть уже сертификат на белое доменное имя и белый ip?

r13 · 14 июня, 2018

1 час назад, ajs сказал:

А если есть уже сертификат на белое доменное имя и белый ip?

на данный момент свое в кинетик не воткнуть. но можете на свой домен завести let’s encrypt сертификат,будет работать так же.

Изменено 14 июня, 2018 пользователем r13

ajs · 15 июня, 2018

Почитал о let’s encrypt в хелпе, там написано что использовать его я могу только тогда когда открыт доступ к админке из интернет, открыт 80 порт (который у меня проброшен на сервер вместе с 443) и при всем этом установлен и настроен KeenDNS.

Как то с пол пинка, не выходит в "завести let’s encrypt сертификат на свой домен" ... Или я то то не то читал?

r13 · 15 июня, 2018

в cli

ip http ssl acme get <ваш домен>

и вся магия произойдет автоматически( на время получения порт 80 роутер открывает самостоятельно). только надо чтобы на 80 отвечал кинетик

Изменено 15 июня, 2018 пользователем r13

ajs · 15 июня, 2018

Ок, т.е пробросить 80 порта придется убрать? Не сильно подходит, но подумаю [emoji4]

--

WBR, ajs

Adigo Buono · 3 июля, 2018

Подскажите, пытаюсь поднять sstp, на ULTRA 2 c 2.12.B.0.0-2, примерно вот так

sudo /usr/local/sbin/sstpc --log-stderr --log-level 4 --cert-warn --tls-ext --user USER --password PASS SERVER  usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp refuse-pap refuse-mschap

но в ответ получаю вот такое, на клиенте

Jul  3 10:39:31 sstpc[67324]: Resolved ЧЧЧЧ.keenetic.pro to 188.227.18.ЧЧЧ
Jul  3 10:39:32 sstpc[67324]: Connected to ЧЧЧЧ.keenetic.pro
Jul  3 10:39:33 sstpc[67324]: Sending Connect-Request Message
Jul  3 10:39:33 sstpc[67324]: SEND SSTP CRTL PKT(14) 
Jul  3 10:39:33 sstpc[67324]:   TYPE(1): CONNECT REQUEST, ATTR(1):
Jul  3 10:39:33 sstpc[67324]:     ENCAP PROTO(1): 6
Jul  3 10:39:33 sstpc[67324]: RECV SSTP CRTL PKT(48) 
Jul  3 10:39:33 sstpc[67324]:   TYPE(2): CONNECT ACK, ATTR(1):
Jul  3 10:39:33 sstpc[67324]:     CRYPTO BIND REQ(4): 40
Jul  3 10:39:33 sstpc[67324]: Started PPP Link Negotiation
Jul  3 10:39:39 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:39 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:39 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:39 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:40 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:40 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:42 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:42 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:45 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:45 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:48 sstpc[67324]: RECV SSTP CRTL PKT(20) 
Jul  3 10:39:48 sstpc[67324]:   TYPE(6): DISCONNECT, ATTR(1):
Jul  3 10:39:48 sstpc[67324]:     STATUS INFO(2): 12
Jul  3 10:39:48 sstpc[67324]: Sending Disconnect Ack Message
Jul  3 10:39:48 sstpc[67324]: SEND SSTP CRTL PKT(8) 
Jul  3 10:39:48 sstpc[67324]:   TYPE(7): DISCONNECT ACK, ATTR(0):
Jul  3 10:39:48 sstpc[67324]: Connection was aborted, Reason was not known
**Error: Connection was aborted, Reason was not known, (-1)

а на сервере в логе, несмотря на то что пароль верный и пользователю доступ дал

Июл 3 10:55:20 ndm
Http::SslServer: "SSL proxy 192.168.8.100: 59689": new SSTP tunnel: 192.168.8.100:59689 (SSL) <-> (sstp).
Июл 3 10:55:26 ppp-sstp
:: mschap-v2: timeout
Июл 3 10:55:26 ppp-sstp
:admin: admin: authentication failed
Июл 3 10:55:26 ppp-sstp
admin: authentication failed
Июл 3 10:55:35 ppp-sstp
:: sstp: ppp: read: Input/output error

Изменено 3 июля, 2018 пользователем Antimike
добавил больше логов

Le ecureuil · 3 июля, 2018

Кто-то еще подтверждает похожие проблемы?

Какой режим (облако / прямой) используется?

Adigo Buono · 3 июля, 2018

3 часа назад, Le ecureuil сказал:

Какой режим (облако / прямой) используется?

Облако, прошу прощения что сразу не написал.

По факту интернет раздает LTE модем Huaweu, со включенным DMZ режимом.

Если имеет значение, на Kenetic DHCP в домашней сети 192.168.2.0\24, LTE модем на 192.168.8.1 живет, настройки sstp - оставил по умолчанию за исключением доступа.

Pavel Bulatov · 4 июля, 2018

В 03.07.2018 в 10:54, Antimike сказал:

Подскажите, пытаюсь поднять sstp, на ULTRA 2 c 2.12.B.0.0-2, примерно вот так


sudo /usr/local/sbin/sstpc --log-stderr --log-level 4 --cert-warn --tls-ext --user USER --password PASS SERVER  usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp refuse-pap refuse-mschap

но в ответ получаю вот такое, на клиенте


Jul  3 10:39:31 sstpc[67324]: Resolved ЧЧЧЧ.keenetic.pro to 188.227.18.ЧЧЧ
Jul  3 10:39:32 sstpc[67324]: Connected to ЧЧЧЧ.keenetic.pro
Jul  3 10:39:33 sstpc[67324]: Sending Connect-Request Message
Jul  3 10:39:33 sstpc[67324]: SEND SSTP CRTL PKT(14) 
Jul  3 10:39:33 sstpc[67324]:   TYPE(1): CONNECT REQUEST, ATTR(1):
Jul  3 10:39:33 sstpc[67324]:     ENCAP PROTO(1): 6
Jul  3 10:39:33 sstpc[67324]: RECV SSTP CRTL PKT(48) 
Jul  3 10:39:33 sstpc[67324]:   TYPE(2): CONNECT ACK, ATTR(1):
Jul  3 10:39:33 sstpc[67324]:     CRYPTO BIND REQ(4): 40
Jul  3 10:39:33 sstpc[67324]: Started PPP Link Negotiation
Jul  3 10:39:39 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:39 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:39 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:39 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:40 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:40 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:42 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:42 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:45 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:45 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:48 sstpc[67324]: RECV SSTP CRTL PKT(20) 
Jul  3 10:39:48 sstpc[67324]:   TYPE(6): DISCONNECT, ATTR(1):
Jul  3 10:39:48 sstpc[67324]:     STATUS INFO(2): 12
Jul  3 10:39:48 sstpc[67324]: Sending Disconnect Ack Message
Jul  3 10:39:48 sstpc[67324]: SEND SSTP CRTL PKT(8) 
Jul  3 10:39:48 sstpc[67324]:   TYPE(7): DISCONNECT ACK, ATTR(0):
Jul  3 10:39:48 sstpc[67324]: Connection was aborted, Reason was not known
**Error: Connection was aborted, Reason was not known, (-1)

а на сервере в логе, несмотря на то что пароль верный и пользователю доступ дал


Июл 3 10:55:20 ndm
Http::SslServer: "SSL proxy 192.168.8.100: 59689": new SSTP tunnel: 192.168.8.100:59689 (SSL) <-> (sstp).
Июл 3 10:55:26 ppp-sstp
:: mschap-v2: timeout
Июл 3 10:55:26 ppp-sstp
:admin: admin: authentication failed
Июл 3 10:55:26 ppp-sstp
admin: authentication failed
Июл 3 10:55:35 ppp-sstp
:: sstp: ppp: read: Input/output error

прям с приведенной в Вашем примере командой (чуть другой набор опций, поэтому проверил отдельно Ваш вариант, но со своим сервером/паролями) цепляется отлично.

Вопрос: ssl сертификат получен ультрой? (то что получен мною сертификат видно на приложенном изображении)

просто в логе не вижу инфы о TLS (TLS hostname extension is enabled), в моем логе всегда есть:

Jul  4 12:16:09 sstpc[15809]: Resolved XXXX.keenetic.pro to XX.XX.235.71
Jul  4 12:16:09 sstpc[15809]: TLS hostname extension is enabled
Jul  4 12:16:09 sstpc[15809]: Connected to XXXX.keenetic.pro
Jul  4 12:16:10 sstpc[15809]: Sending Connect-Request Message

Adigo Buono · 4 июля, 2018

Сертификат получен, в GUI отображается.

Что странно, я сделал другого пользователя, исключительно и только с доступами к этому сервису, и все заработало. Хотя я уверен что credentials верные и для первоначально использованного ( это был встроенная учетка admin )

С одной стороны мой вопрос снимается, т.е. все заработало, но сама ситуация может быть кого то интересна.

На всякий случай лог успешного соединения

Jul  4 16:26:09 sstpc[98854]: Resolved ччч.keenetic.pro to 23.105.235.чч
Jul  4 16:26:09 sstpc[98854]: Connected to ччч.keenetic.pro
Jul  4 16:26:10 sstpc[98854]: Sending Connect-Request Message
Jul  4 16:26:10 sstpc[98854]: SEND SSTP CRTL PKT(14) 
Jul  4 16:26:10 sstpc[98854]:   TYPE(1): CONNECT REQUEST, ATTR(1):
Jul  4 16:26:10 sstpc[98854]:     ENCAP PROTO(1): 6
Jul  4 16:26:10 sstpc[98854]: RECV SSTP CRTL PKT(48) 
Jul  4 16:26:10 sstpc[98854]:   TYPE(2): CONNECT ACK, ATTR(1):
Jul  4 16:26:10 sstpc[98854]:     CRYPTO BIND REQ(4): 40
Jul  4 16:26:10 sstpc[98854]: Started PPP Link Negotiation
Jul  4 16:26:15 sstpc[98854]: Sending Connected Message
Jul  4 16:26:15 sstpc[98854]: SEND SSTP CRTL PKT(112) 
Jul  4 16:26:15 sstpc[98854]:   TYPE(4): CONNECTED, ATTR(1):
Jul  4 16:26:15 sstpc[98854]:     CRYPTO BIND(3): 104
Jul  4 16:26:15 sstpc[98854]: Connection Established
^CJul  4 16:26:25 sstpc[98854]: Terminating on Interrupt: 2 (2)
Jul  4 16:26:25 sstpc[98854]: SSTP session was established for 15 seconds
Jul  4 16:26:25 sstpc[98854]: Received 184.23 Kb, sent 110.29 Kb
Jul  4 16:26:25 sstpc[98854]: Could not remove temporary file, No such file or directory (2)

Клиент используется sstp-client version 1.0.12

msml01 · 3 августа, 2018

Добрый день. Подскажите пожалуйста как для клиента прописать порт отличный от 443, в веб интерфейсе не получается после ip адреса через двоеточие.

r13 · 3 августа, 2018

2 часа назад, msml01 сказал:

Добрый день. Подскажите пожалуйста как для клиента прописать порт отличный от 443, в веб интерфейсе не получается после ip адреса через двоеточие.

Через cli дожно работать.

Если через web нельзя, то призовем @eralde чтобы поправил валидацию на поле или добавил поле для порта

Le ecureuil · 3 августа, 2018

46 минут назад, msml01 сказал:

Добрый день. Подскажите пожалуйста как для клиента прописать порт отличный от 443, в веб интерфейсе не получается после ip адреса через двоеточие.

В последних draft уже должно быть можно.

msml01 · 3 августа, 2018

Благодорю за ответы. Поставил 2.13.A.3.0-4 там это работает. Но не подключается зараза. На винде, на андроиде, и sstpc подключается с пол пинка к этому серверу, а на кинетике ни в какую... Устал уже. Я сейчас в Египте здесь файрвол режет впн. Работает только сстп и опенвпн на 443/тсп (и то только openvpn3, openvpn2** зависает при проверке TLS). Вот и получается что кинетик который с дома привез с собой ни как не могу подключить. Ибо опенвпн 2.*.* у него, и сстп ни как не заводится.

self-test-3.txt

Изменено 3 августа, 2018 пользователем msml01

eralde · 3 августа, 2018

1 час назад, r13 сказал:

Через cli дожно работать.

Если через web нельзя, то призовем @eralde чтобы поправил валидацию на поле или добавил поле для порта

39 минут назад, Le ecureuil сказал:

В последних draft уже должно быть можно.

В последних драфтах и в вебе должно нормально задаваться уже.

Le ecureuil · 3 августа, 2018

35 минут назад, msml01 сказал:

Благодорю за ответы. Поставил 2.13.A.3.0-4 там это работает. Но не подключается зараза. На винде, на андроиде, и sstpc подключается с пол пинка к этому серверу, а на кинетике ни в какую... Устал уже. Я сейчас в Египте здесь файрвол режет впн. Работает только сстп и опенвпн на 443/тсп (и то только openvpn3, openvpn2** зависает при проверке TLS). Вот и получается что кинетик который с дома привез с собой ни как не могу подключить. Ибо опенвпн 2.*.* у него, и сстп ни как не заводится.

self-test-3.txt

А что у вас является сервером и как он настроен? Почему-то он не хочет выдавать адрес.

msml01 · 3 августа, 2018

52 минуты назад, Le ecureuil сказал:

А что у вас является сервером и как он настроен? Почему-то он не хочет выдавать адрес.

Сервер на базе SofteherVPN + Local Bridge + dnsmasq. Другие клиенты подключаются, в том числе sstpc скомпилированный для macOS. Да и на Win7 стандартный работает после импорта сертификата (self sign).

sstpc --log-stderr --cert-warn --user user0 --password ***** 123.123.123.123:444 usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp

П.С. К другому кинетику цепляется без проблем. Может каким нибудь образом с 53/67 портами связано. Как я понял здесь udp трафик блокируется.

Изменено 3 августа, 2018 пользователем msml01

Le ecureuil · 3 августа, 2018

1 час назад, msml01 сказал:

Сервер на базе SofteherVPN + Local Bridge + dnsmasq. Другие клиенты подключаются, в том числе sstpc скомпилированный для macOS. Да и на Win7 стандартный работает после импорта сертификата (self sign).

sstpc --log-stderr --cert-warn --user user0 --password ***** 123.123.123.123:444 usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp

П.С. К другому кинетику цепляется без проблем. Может каким нибудь образом с 53/67 портами связано. Как я понял здесь udp трафик блокируется.

Если только дадите доступ к вашему серверу (в личку), тогда смогу продиагностировать (и возможно поправить в draft).

ajs · 3 августа, 2018

1 час назад, msml01 сказал:

Может каким нибудь образом с 53/67 портами связано

SSTP использует только 443 порт в этом его преимущество

msml01 · 3 августа, 2018

26 минут назад, ajs сказал:

SSTP использует только 443 порт в этом его преимущество

Не совсем так я думаю. Запрос днс и дхцп по стандартным скорее всего идёт.. после авторизации на 443. Но может от дхцп сервера зависит это. dnsmasq точно с ними работает.

Изменено 3 августа, 2018 пользователем msml01

ajs · 3 августа, 2018

Внутри SSL канала, который использует 443 порт.

--
WBR, ajs

msml01 · 3 августа, 2018

1 час назад, Le ecureuil сказал:

Если только дадите доступ к вашему серверу (в личку), тогда смогу продиагностировать (и возможно поправить в draft)

Закинул в личку.

SSTP-сервер и клиент

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Le ecureuil

Le ecureuil

r13

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация