sstp SSTP-сервер не работает через внешнюю сеть (Билайн)

[Brenn Ko]

Добрый день!

Не могу никак разобраться с настройкой SSTP-сервера на Giga (KN-1010) 2.13.B.0.0-2 (на стабильной версии то же самое). Все сделал по инструкции https://help.keenetic.com/hc/ru/articles/360000029659-Использование-туннеля-SSTP-в-Keenetic

В чем суть: подключение ПК с роутером по SSTP работает только если компьютер (Windows 10) подключен к самому роутеру. То есть, подключение SSTP работает только если ПК в локальной сети, т.е. подключен к самому роутеру. При подключении того же ПК с внешней сети - ошибка, соединение не проходит до роутера. На самом кинетике нет логов о попытках соединения извне, т.к. судя по всему, что-то не так с KeenDNS. Сертификат SSL получен.

 

 IP внешний точно белый (динамический), т.к. по другим VPN-протоколам (IPsec, PPTP и т.д.) по доменному имени KeenDNS соединяется и работает нормально. Также нормально все и с прочими другими сетевыми протоколами. За роутер нормально порты пробрасываются на другие устройства и все работает. Вот само соединение с сетью (L2TP от beeline):

Что я упустил при настройке? Или что-то не так с KeenDNS? Как завести SSTP-сервер на роутере?

Изменено 13 сентября, 2018 пользователем Brenn Ko

[hellonow]

@Brenn Ko SSTP-сервер работает только с access-режимом 'cloud' - через облако. В случае, если у Вас серый ип адрес.

Сервер "жестко" привязан к 443 порту и сертификату доменного имени.

[Brenn Ko]

@enpa Собственно, я на эту же статью и сам сослался в начале своего сообщения. И там не написано, что только через облако. Облако, в случае серого IP. Но у меня белый. И облако в этом случае не обязательно - исходя из той же статьи.

Изменено 13 сентября, 2018 пользователем Brenn Ko

[Mamay]

Никакие танцы. Читай облако = https = 443 port. Всё. 

[hellonow]

@Brenn Ko стоп, да, у Вас же динамический белый ип адрес. Тогда должно подключаться. Судя по скрину, Вы сертификат получили.

Сейчас проверил у себя, на сервере выставил 'direct' и по доменному имени подключилось все корректно:

[I] Sep 13 17:42:33 ndm: Http::SslServer: "SSL proxy 193.0.174.xx: 58804": new SSTP tunnel: 193.0.174.xx:58804 (SSL) <-> (sstp).
[I] Sep 13 17:42:36 ppp-sstp: ppp1:enpa: connect: ppp1 <--> sstp(193.0.174.xx)
[I] Sep 13 17:42:36 ppp-sstp: ppp1:enpa: enpa: authentication succeeded

Настройки на стороне sstp-сервера и ndns (keendns) такие:

(config)> show ndns 

             name: enpagiga3
           booked: enpagiga3
           domain: keenetic.link
          address: 81.5.116.15
          updated: yes
           access: direct
              xns: ub3

              ttp: 
               direct: yes
            interface: GigabitEthernet1
              address: 81.5.116.15

!
sstp-server
    interface Home
    pool-range 172.16.200.33 20
    multi-login
    lcp echo 30 3

Надо посмотреть Ваш self-test на стороне сервера и что за клиент подключается?

 

 

[Brenn Ko]

Только что, enpa сказал:

что за клиент подключается?

Стандартный клиент Windows 10

при попытке подключаться из внешней сети никаких логов нет в кинетике. соединение не доходит до роутера. При подключении из локальной сети все ок:

Цитата

Сен 13 17:50:45

 

ppp-sstp

ppp1:foo: connect: ppp1 <--> sstp(192.168.1.14)

Сен 13 17:50:45

 

ppp-sstp

ppp1:foo: foo: authentication succeeded

Сен 13 17:50:45

 

ndm

SstpServer::Manager: user "foo" connected from "192.168.1.14" with address "172.16.3.33".

Сен 13 17:50:45

 

ndm

Dhcp::Pool: system failed [0xcffd0640].

Сен 13 17:50:45

 

ndhcps

DHCPINFORM received for 172.16.3.33 from 00:00:00:00:00:00.

Сен 13 17:50:45

 

ndhcps

sending INFORM to 00:00:00:00:00:00.

 

[hellonow]

@Brenn Ko написал Вам в лс.

[Brenn Ko]

Вопрос закрыт. Проблема найдена и устранена. Спасибо ув. @enpa за потраченное в лс время.

Оказалось все до банального просто. У Билайн есть внутренний NAT с интерфейсом файрволла, который по-умолчанию режет все посторонние порты. Его нужно переключить в режим "Нет защиты".

находится это в личном кабинете Билайн -> Услуги -> Домашний интернет -> Защита от интернет-атак (Firewall).

https://moscow.beeline.ru/customers/products/home/catalog/service/firewall/ прямая ссылка.

Описание работы файрволла Билайн:

Цитата

Защита отключена

Фильтрация входящих ТСР-соединений не происводится, все порты с 0 по 65535 открыты.

 

Средний уровень защиты

Фильтрация входящих ТСР-соединений на порты с 0 по 1024, за исключением 21 (FTP), 22 (SSH), 25 (SMTP), 80 (HTTP), 110 (POP3), таким образом осуществляется защита от известных "Интернет-червей".

Входящие ТСР-соединения на порты с 1025 по 65535 не фильтруются,существует вероятность вторжения вредоносных программ на компьютер или в домашнюю сеть.

 

Средний уровень защиты + блокировка SMTP

Фильтрация входящих ТСР-соединений на порты с 0 по 1024, за исключением 21 (FTP), 22 (SSH), 80 (HTTP), 110 (POP3), таким образом осуществляется защита от известных "Интернет-червей".

Входящие ТСР-соединения на порты с 1025 по 65535 не фильтруются,существует вероятность вторжения вредоносных программ на компьютер или в домашнюю сеть.

Также предотвращаются массовые рассылки нежелательной электронной почты (спама).

 

Высокий уровень защиты

Фильтрация всех входящих ТСР-соединений.

При выборе данного варианта защиты могут не работать FTP в активном режиме, DCC (Direct Client-to-Client) в IRC-клиентах (передача файлов и личный чат), прямая передача файлов в ICQ и аналогичных клиентах, а также некоторые другие программы.

 

По умолчанию установлен средний уровень защиты с блокировкой SMTP.