Jump to content

SSTP-сервер и клиент


Recommended Posts

Я правильно понимаю что клиент SSTP работает только с роутерами кинетик? Потому что мне нужно подключиться к удаленному SSTP серверу Mikrotik а для этого как то нужно указать сертификат на клиенте.

Link to comment
Share on other sites

В 4/1/2018 в 17:12, distinctive сказал:

Я правильно понимаю что клиент SSTP работает только с роутерами кинетик? Потому что мне нужно подключиться к удаленному SSTP серверу Mikrotik а для этого как то нужно указать сертификат на клиенте.

Нет, можно подключиться к любому серверу.

Аутентификация клиентов по сертификатам не работает, это верно. Но ее и не обещали - это опциональная фича.

Если же вы про проверку серверного сертификата, то можете ничего не указывать - Keenetic в случае, если сертификат ненастоящий, всего лишь поругается в консоль, но соединение установит.

Link to comment
Share on other sites

4 часа назад, pachalia сказал:

Какова максимальная скорость sstp? Просто у меня больше 1 мбайта/с не поднимается.

Через облако? Прямое соединение?

Link to comment
Share on other sites

35 минут назад, pachalia сказал:

Через облако.

Вполне ожидаемо, облако не резиновое. Оно лишь запасной вариант для тех, кто не может использовать прямой режим.

Link to comment
Share on other sites

  • 1 month later...

Поясните, зачем для  создания VPN сервера SSTP необходимо регистрировать доменное имя, если уже есть белый ip адрес? 

Edited by qwqw1212
Link to comment
Share on other sites

3 часа назад, qwqw1212 сказал:

Поясните, зачем для  создания VPN сервера SSTP необходимо регистрировать доменное имя, если уже есть белый ip адрес? 

Затем, чтобы сертификат на него получить.

  • Upvote 1
Link to comment
Share on other sites

  • 4 weeks later...
В 19.05.2018 в 12:17, ndm сказал:

Затем, чтобы сертификат на него получить.

А если есть уже сертификат на белое доменное имя и белый ip?

Link to comment
Share on other sites

1 час назад, ajs сказал:

А если есть уже сертификат на белое доменное имя и белый ip?

на данный момент свое в кинетик не воткнуть. но можете на свой домен завести let’s encrypt сертификат,будет работать так же. 

Edited by r13
  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

Почитал о let’s encrypt в хелпе, там написано что использовать его я могу только тогда когда открыт доступ к админке из интернет, открыт 80 порт (который у меня проброшен на сервер вместе с 443) и при всем этом установлен и настроен KeenDNS.

Как то с пол пинка, не выходит в "завести let’s encrypt сертификат на свой домен" ... Или я то то не то читал?

Link to comment
Share on other sites

в cli 

ip http ssl acme get <ваш домен>

и вся магия произойдет автоматически( на время получения порт 80 роутер открывает самостоятельно). только надо чтобы на 80 отвечал кинетик

Edited by r13
Link to comment
Share on other sites

Ок, т.е пробросить 80 порта придется убрать? Не сильно подходит, но подумаю [emoji4]

 

--

WBR, ajs :)

 

 

 

 

 

 

Link to comment
Share on other sites

  • 3 weeks later...

Подскажите, пытаюсь поднять sstp, на ULTRA 2 c 2.12.B.0.0-2, примерно вот так 

sudo /usr/local/sbin/sstpc --log-stderr --log-level 4 --cert-warn --tls-ext --user USER --password PASS SERVER  usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp refuse-pap refuse-mschap

но в ответ получаю вот такое, на клиенте

Jul  3 10:39:31 sstpc[67324]: Resolved ЧЧЧЧ.keenetic.pro to 188.227.18.ЧЧЧ
Jul  3 10:39:32 sstpc[67324]: Connected to ЧЧЧЧ.keenetic.pro
Jul  3 10:39:33 sstpc[67324]: Sending Connect-Request Message
Jul  3 10:39:33 sstpc[67324]: SEND SSTP CRTL PKT(14) 
Jul  3 10:39:33 sstpc[67324]:   TYPE(1): CONNECT REQUEST, ATTR(1):
Jul  3 10:39:33 sstpc[67324]:     ENCAP PROTO(1): 6
Jul  3 10:39:33 sstpc[67324]: RECV SSTP CRTL PKT(48) 
Jul  3 10:39:33 sstpc[67324]:   TYPE(2): CONNECT ACK, ATTR(1):
Jul  3 10:39:33 sstpc[67324]:     CRYPTO BIND REQ(4): 40
Jul  3 10:39:33 sstpc[67324]: Started PPP Link Negotiation
Jul  3 10:39:39 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:39 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:39 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:39 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:40 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:40 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:42 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:42 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:45 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:45 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:48 sstpc[67324]: RECV SSTP CRTL PKT(20) 
Jul  3 10:39:48 sstpc[67324]:   TYPE(6): DISCONNECT, ATTR(1):
Jul  3 10:39:48 sstpc[67324]:     STATUS INFO(2): 12
Jul  3 10:39:48 sstpc[67324]: Sending Disconnect Ack Message
Jul  3 10:39:48 sstpc[67324]: SEND SSTP CRTL PKT(8) 
Jul  3 10:39:48 sstpc[67324]:   TYPE(7): DISCONNECT ACK, ATTR(0):
Jul  3 10:39:48 sstpc[67324]: Connection was aborted, Reason was not known
**Error: Connection was aborted, Reason was not known, (-1)

а на сервере в логе, несмотря на то что пароль верный и пользователю доступ дал

Июл 3 10:55:20 ndm
Http::SslServer: "SSL proxy 192.168.8.100: 59689": new SSTP tunnel: 192.168.8.100:59689 (SSL) <-> (sstp).
Июл 3 10:55:26 ppp-sstp
:: mschap-v2: timeout
Июл 3 10:55:26 ppp-sstp
:admin: admin: authentication failed
Июл 3 10:55:26 ppp-sstp
admin: authentication failed
Июл 3 10:55:35 ppp-sstp
:: sstp: ppp: read: Input/output error

 

Edited by Antimike
добавил больше логов
Link to comment
Share on other sites

3 часа назад, Le ecureuil сказал:

 Какой режим (облако / прямой) используется?

Облако, прошу прощения что сразу не написал. 

По факту интернет раздает LTE модем Huaweu, со включенным DMZ режимом.

Если имеет значение, на Kenetic DHCP в домашней сети 192.168.2.0\24, LTE модем на 192.168.8.1 живет, настройки sstp - оставил по умолчанию за исключением доступа.

Link to comment
Share on other sites

В 03.07.2018 в 10:54, Antimike сказал:

Подскажите, пытаюсь поднять sstp, на ULTRA 2 c 2.12.B.0.0-2, примерно вот так 


sudo /usr/local/sbin/sstpc --log-stderr --log-level 4 --cert-warn --tls-ext --user USER --password PASS SERVER  usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp refuse-pap refuse-mschap

но в ответ получаю вот такое, на клиенте


Jul  3 10:39:31 sstpc[67324]: Resolved ЧЧЧЧ.keenetic.pro to 188.227.18.ЧЧЧ
Jul  3 10:39:32 sstpc[67324]: Connected to ЧЧЧЧ.keenetic.pro
Jul  3 10:39:33 sstpc[67324]: Sending Connect-Request Message
Jul  3 10:39:33 sstpc[67324]: SEND SSTP CRTL PKT(14) 
Jul  3 10:39:33 sstpc[67324]:   TYPE(1): CONNECT REQUEST, ATTR(1):
Jul  3 10:39:33 sstpc[67324]:     ENCAP PROTO(1): 6
Jul  3 10:39:33 sstpc[67324]: RECV SSTP CRTL PKT(48) 
Jul  3 10:39:33 sstpc[67324]:   TYPE(2): CONNECT ACK, ATTR(1):
Jul  3 10:39:33 sstpc[67324]:     CRYPTO BIND REQ(4): 40
Jul  3 10:39:33 sstpc[67324]: Started PPP Link Negotiation
Jul  3 10:39:39 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:39 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:39 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:39 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:40 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:40 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:42 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:42 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:45 sstpc[67324]: Could not complete write of frame
Jul  3 10:39:45 sstpc[67324]: Could not forward packet to pppd
Jul  3 10:39:48 sstpc[67324]: RECV SSTP CRTL PKT(20) 
Jul  3 10:39:48 sstpc[67324]:   TYPE(6): DISCONNECT, ATTR(1):
Jul  3 10:39:48 sstpc[67324]:     STATUS INFO(2): 12
Jul  3 10:39:48 sstpc[67324]: Sending Disconnect Ack Message
Jul  3 10:39:48 sstpc[67324]: SEND SSTP CRTL PKT(8) 
Jul  3 10:39:48 sstpc[67324]:   TYPE(7): DISCONNECT ACK, ATTR(0):
Jul  3 10:39:48 sstpc[67324]: Connection was aborted, Reason was not known
**Error: Connection was aborted, Reason was not known, (-1)

а на сервере в логе, несмотря на то что пароль верный и пользователю доступ дал


Июл 3 10:55:20 ndm
Http::SslServer: "SSL proxy 192.168.8.100: 59689": new SSTP tunnel: 192.168.8.100:59689 (SSL) <-> (sstp).
Июл 3 10:55:26 ppp-sstp
:: mschap-v2: timeout
Июл 3 10:55:26 ppp-sstp
:admin: admin: authentication failed
Июл 3 10:55:26 ppp-sstp
admin: authentication failed
Июл 3 10:55:35 ppp-sstp
:: sstp: ppp: read: Input/output error

 

прям с приведенной в Вашем примере командой (чуть другой набор опций, поэтому проверил отдельно Ваш вариант, но со своим сервером/паролями) цепляется отлично.

Вопрос: ssl сертификат получен ультрой? (то что получен мною сертификат видно на приложенном изображении)

просто в логе не вижу инфы о TLS (TLS hostname extension is enabled), в моем логе всегда есть:

Jul  4 12:16:09 sstpc[15809]: Resolved XXXX.keenetic.pro to XX.XX.235.71
Jul  4 12:16:09 sstpc[15809]: TLS hostname extension is enabled
Jul  4 12:16:09 sstpc[15809]: Connected to XXXX.keenetic.pro
Jul  4 12:16:10 sstpc[15809]: Sending Connect-Request Message

dn.png

Link to comment
Share on other sites

Сертификат получен, в GUI отображается.

Что странно, я сделал другого пользователя, исключительно и только с доступами к этому сервису, и все заработало. Хотя я уверен что credentials верные и для первоначально использованного ( это был встроенная учетка admin )

С одной стороны мой вопрос снимается, т.е. все заработало, но сама ситуация может быть кого то интересна. 

На всякий случай лог успешного соединения 

Jul  4 16:26:09 sstpc[98854]: Resolved ччч.keenetic.pro to 23.105.235.чч
Jul  4 16:26:09 sstpc[98854]: Connected to ччч.keenetic.pro
Jul  4 16:26:10 sstpc[98854]: Sending Connect-Request Message
Jul  4 16:26:10 sstpc[98854]: SEND SSTP CRTL PKT(14) 
Jul  4 16:26:10 sstpc[98854]:   TYPE(1): CONNECT REQUEST, ATTR(1):
Jul  4 16:26:10 sstpc[98854]:     ENCAP PROTO(1): 6
Jul  4 16:26:10 sstpc[98854]: RECV SSTP CRTL PKT(48) 
Jul  4 16:26:10 sstpc[98854]:   TYPE(2): CONNECT ACK, ATTR(1):
Jul  4 16:26:10 sstpc[98854]:     CRYPTO BIND REQ(4): 40
Jul  4 16:26:10 sstpc[98854]: Started PPP Link Negotiation
Jul  4 16:26:15 sstpc[98854]: Sending Connected Message
Jul  4 16:26:15 sstpc[98854]: SEND SSTP CRTL PKT(112) 
Jul  4 16:26:15 sstpc[98854]:   TYPE(4): CONNECTED, ATTR(1):
Jul  4 16:26:15 sstpc[98854]:     CRYPTO BIND(3): 104
Jul  4 16:26:15 sstpc[98854]: Connection Established
^CJul  4 16:26:25 sstpc[98854]: Terminating on Interrupt: 2 (2)
Jul  4 16:26:25 sstpc[98854]: SSTP session was established for 15 seconds
Jul  4 16:26:25 sstpc[98854]: Received 184.23 Kb, sent 110.29 Kb
Jul  4 16:26:25 sstpc[98854]: Could not remove temporary file, No such file or directory (2)

Клиент используется sstp-client version 1.0.12

Link to comment
Share on other sites

  • 5 weeks later...

Добрый день. Подскажите пожалуйста как для клиента прописать порт отличный от 443, в веб интерфейсе не получается после ip адреса через двоеточие.  

Link to comment
Share on other sites

2 часа назад, msml01 сказал:

Добрый день. Подскажите пожалуйста как для клиента прописать порт отличный от 443, в веб интерфейсе не получается после ip адреса через двоеточие.  

Через cli дожно работать.

Если через web нельзя, то призовем @eralde чтобы поправил валидацию на поле или добавил поле для порта

Link to comment
Share on other sites

46 минут назад, msml01 сказал:

Добрый день. Подскажите пожалуйста как для клиента прописать порт отличный от 443, в веб интерфейсе не получается после ip адреса через двоеточие.  

В последних draft уже должно быть можно.

Link to comment
Share on other sites

Благодорю за ответы. Поставил 2.13.A.3.0-4 там это работает. Но не подключается зараза. На винде, на андроиде, и sstpc подключается с пол пинка к этому серверу, а на кинетике ни в какую... Устал уже. Я сейчас в Египте здесь файрвол режет впн. Работает только сстп и опенвпн на 443/тсп (и то только openvpn3, openvpn2** зависает при проверке TLS). Вот и получается что кинетик который с дома привез с собой ни как не могу подключить. Ибо опенвпн 2.*.* у него, и сстп ни как не заводится. 

 

self-test-3.txt

Edited by msml01
Link to comment
Share on other sites

1 час назад, r13 сказал:

Через cli дожно работать.

Если через web нельзя, то призовем @eralde чтобы поправил валидацию на поле или добавил поле для порта

 

39 минут назад, Le ecureuil сказал:

В последних draft уже должно быть можно.

В последних драфтах и в вебе должно нормально задаваться уже.

Link to comment
Share on other sites

35 минут назад, msml01 сказал:

Благодорю за ответы. Поставил 2.13.A.3.0-4 там это работает. Но не подключается зараза. На винде, на андроиде, и sstpc подключается с пол пинка к этому серверу, а на кинетике ни в какую... Устал уже. Я сейчас в Египте здесь файрвол режет впн. Работает только сстп и опенвпн на 443/тсп (и то только openvpn3, openvpn2** зависает при проверке TLS). Вот и получается что кинетик который с дома привез с собой ни как не могу подключить. Ибо опенвпн 2.*.* у него, и сстп ни как не заводится. 

 

self-test-3.txt

А что у вас является сервером и как он настроен? Почему-то он не хочет выдавать адрес.

Link to comment
Share on other sites

52 минуты назад, Le ecureuil сказал:

А что у вас является сервером и как он настроен? Почему-то он не хочет выдавать адрес.

Сервер на базе SofteherVPN + Local Bridge + dnsmasq. Другие клиенты подключаются, в том числе sstpc скомпилированный для macOS. Да и на Win7 стандартный работает после импорта сертификата (self sign). 

sstpc --log-stderr --cert-warn --user user0 --password ***** 123.123.123.123:444 usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp

П.С. К другому кинетику цепляется без проблем. Может каким нибудь образом с 53/67 портами связано. Как я понял здесь udp трафик блокируется. 

 

Edited by msml01
Link to comment
Share on other sites

1 час назад, msml01 сказал:

Сервер на базе SofteherVPN + Local Bridge + dnsmasq. Другие клиенты подключаются, в том числе sstpc скомпилированный для macOS. Да и на Win7 стандартный работает после импорта сертификата (self sign). 

 sstpc --log-stderr --cert-warn --user user0 --password ***** 123.123.123.123:444 usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp

П.С. К другому кинетику цепляется без проблем. Может каким нибудь образом с 53/67 портами связано. Как я понял здесь udp трафик блокируется. 

 

Если только дадите доступ к вашему серверу (в личку), тогда смогу продиагностировать (и возможно поправить в draft).

Link to comment
Share on other sites

1 час назад, msml01 сказал:

Может каким нибудь образом с 53/67 портами связано

SSTP использует только 443 порт в этом его преимущество :)

Link to comment
Share on other sites

26 минут назад, ajs сказал:

SSTP использует только 443 порт в этом его преимущество :)

Не совсем так я думаю. Запрос днс и дхцп по стандартным скорее всего идёт.. после авторизации на 443. Но может от дхцп сервера зависит это. dnsmasq точно с ними работает.

Edited by msml01
Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

Если только дадите доступ к вашему серверу (в личку), тогда смогу продиагностировать (и возможно поправить в draft)

Закинул в личку.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...