Jump to content
Brenn Ko

SSTP-сервер не работает через внешнюю сеть (Билайн)

Recommended Posts

Добрый день!

Не могу никак разобраться с настройкой SSTP-сервера на Giga (KN-1010) 2.13.B.0.0-2 (на стабильной версии то же самое). Все сделал по инструкции https://help.keenetic.com/hc/ru/articles/360000029659-Использование-туннеля-SSTP-в-Keenetic

В чем суть: подключение ПК с роутером по SSTP работает только если компьютер (Windows 10) подключен к самому роутеру. То есть, подключение SSTP работает только если ПК в локальной сети, т.е. подключен к самому роутеру. При подключении того же ПК с внешней сети - ошибка, соединение не проходит до роутера. На самом кинетике нет логов о попытках соединения извне, т.к. судя по всему, что-то не так с KeenDNS. Сертификат SSL получен.

 1.png.4ca1e4b75c1e542e6490ed71f945ed93.png

 IP внешний точно белый (динамический), т.к. по другим VPN-протоколам (IPsec, PPTP и т.д.) по доменному имени KeenDNS соединяется и работает нормально. Также нормально все и с прочими другими сетевыми протоколами. За роутер нормально порты пробрасываются на другие устройства и все работает. Вот само соединение с сетью (L2TP от beeline):

2.thumb.png.381163d9300f001f91886cde8f204387.png

Что я упустил при настройке? Или что-то не так с KeenDNS? Как завести SSTP-сервер на роутере?

Edited by Brenn Ko

Share this post


Link to post
Share on other sites

@Brenn Ko SSTP-сервер работает только с access-режимом 'cloud' - через облако. В случае, если у Вас серый ип адрес.

Сервер "жестко" привязан к 443 порту и сертификату доменного имени.

  • Thanks 1

Share this post


Link to post
Share on other sites

@enpa Собственно, я на эту же статью и сам сослался в начале своего сообщения. И там не написано, что только через облако. Облако, в случае серого IP. Но у меня белый. И облако в этом случае не обязательно - исходя из той же статьи.

Edited by Brenn Ko
  • Upvote 1

Share this post


Link to post
Share on other sites

Никакие танцы. Читай облако = https = 443 port. Всё. 

Share this post


Link to post
Share on other sites

@Brenn Ko стоп, да, у Вас же динамический белый ип адрес. Тогда должно подключаться. Судя по скрину, Вы сертификат получили.

Сейчас проверил у себя, на сервере выставил 'direct' и по доменному имени подключилось все корректно:

[I] Sep 13 17:42:33 ndm: Http::SslServer: "SSL proxy 193.0.174.xx: 58804": new SSTP tunnel: 193.0.174.xx:58804 (SSL) <-> (sstp).
[I] Sep 13 17:42:36 ppp-sstp: ppp1:enpa: connect: ppp1 <--> sstp(193.0.174.xx)
[I] Sep 13 17:42:36 ppp-sstp: ppp1:enpa: enpa: authentication succeeded

Настройки на стороне sstp-сервера и ndns (keendns) такие:

(config)> show ndns 

             name: enpagiga3
           booked: enpagiga3
           domain: keenetic.link
          address: 81.5.116.15
          updated: yes
           access: direct
              xns: ub3

              ttp: 
               direct: yes
            interface: GigabitEthernet1
              address: 81.5.116.15

!
sstp-server
    interface Home
    pool-range 172.16.200.33 20
    multi-login
    lcp echo 30 3

Надо посмотреть Ваш self-test на стороне сервера и что за клиент подключается?

 

 

Share this post


Link to post
Share on other sites
Только что, enpa сказал:

что за клиент подключается?

Стандартный клиент Windows 10

3.thumb.png.c26faf277bb3c52726835d014b91de7e.png

при попытке подключаться из внешней сети никаких логов нет в кинетике. соединение не доходит до роутера. При подключении из локальной сети все ок:

Цитата
Сен 13 17:50:45
 
ppp-sstp
ppp1:foo: connect: ppp1 <--> sstp(192.168.1.14)
Сен 13 17:50:45
 
ppp-sstp
ppp1:foo: foo: authentication succeeded
Сен 13 17:50:45
 
ndm
SstpServer::Manager: user "foo" connected from "192.168.1.14" with address "172.16.3.33".
Сен 13 17:50:45
 
ndm
Dhcp::Pool: system failed [0xcffd0640].
Сен 13 17:50:45
 
ndhcps
DHCPINFORM received for 172.16.3.33 from 00:00:00:00:00:00.
Сен 13 17:50:45
 
ndhcps
sending INFORM to 00:00:00:00:00:00.

 

Share this post


Link to post
Share on other sites

Вопрос закрыт. Проблема найдена и устранена. Спасибо ув. @enpa за потраченное в лс время.

Оказалось все до банального просто. У Билайн есть внутренний NAT с интерфейсом файрволла, который по-умолчанию режет все посторонние порты. Его нужно переключить в режим "Нет защиты".

screen_2018_09.13_18-19-11.thumb.png.c04bc5a299dc1db9b8c9ad37ae86195d.png

находится это в личном кабинете Билайн -> Услуги -> Домашний интернет -> Защита от интернет-атак (Firewall).

https://moscow.beeline.ru/customers/products/home/catalog/service/firewall/ прямая ссылка.

Описание работы файрволла Билайн:

Цитата

Защита отключена

Фильтрация входящих ТСР-соединений не происводится, все порты с 0 по 65535 открыты.

 

Средний уровень защиты

Фильтрация входящих ТСР-соединений на порты с 0 по 1024, за исключением 21 (FTP), 22 (SSH), 25 (SMTP), 80 (HTTP), 110 (POP3), таким образом осуществляется защита от известных "Интернет-червей".

Входящие ТСР-соединения на порты с 1025 по 65535 не фильтруются,существует вероятность вторжения вредоносных программ на компьютер или в домашнюю сеть.

 

Средний уровень защиты + блокировка SMTP

Фильтрация входящих ТСР-соединений на порты с 0 по 1024, за исключением 21 (FTP), 22 (SSH), 80 (HTTP), 110 (POP3), таким образом осуществляется защита от известных "Интернет-червей".

Входящие ТСР-соединения на порты с 1025 по 65535 не фильтруются,существует вероятность вторжения вредоносных программ на компьютер или в домашнюю сеть.

Также предотвращаются массовые рассылки нежелательной электронной почты (спама).

 

Высокий уровень защиты

Фильтрация всех входящих ТСР-соединений.

При выборе данного варианта защиты могут не работать FTP в активном режиме, DCC (Direct Client-to-Client) в IRC-клиентах (передача файлов и личный чат), прямая передача файлов в ICQ и аналогичных клиентах, а также некоторые другие программы.

 

По умолчанию установлен средний уровень защиты с блокировкой SMTP.

 

 

  • Upvote 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...