Использование туннеля SSTP в Keenetic

Чтобы удаленно подключиться к локальной сети интернет-центра Keenetic, начиная с версии NDMS v2.12 стало возможно использовать туннели SSTP (Secure Socket Tunnel Protocol). Данный способ удобен тем, что пользовательские данные (этот тип туннелей поддерживает передачу IP-пакетов) пересылаются при помощи https-трафика, и для подключения не требуется установка дополнительных программ в операционных системах Windows актуальных версий. В операционных системах Android требуется установка дополнительного программного обеспечения для подключения к SSTP-серверу Keenetic.

Рассмотрим сначала как происходит установка компонента, далее  - настройка и включение SSTP-сервера в интернет-центре Keenetic. Затем приведем пошаговую последовательность действий для подключения к нему с удаленного компьютера под управлением ОС Windows 10 и телефона по управлением ОС Android.

1. Набором компонентов операционной системы интернет-центра Keenetic, который и определяет функциональные возможности устройства, можно управлять в разделе Общие настройки.

1.1_go_to_general_settings.PNG

Нужно нажать кнопку Изменить набор компонентов.

1.2_add_components.PNG

В открывшемся списке компонентов следует отметить для установки SSTP VPN-сервер. Для этого нажмите по строке с названием компонента для показа его описания и далее нажмите кнопку Установить.

1.3_enable_SSTP_server.PNG

Чтобы изменения в наборе компонентов были применены, нужно нажать кнопку Сохранить. Система автоматически загрузит обновления, и выполнит перезагрузку интернет-центра.

1.33_enable_SSTP_server.PNG

2. С установленным компонентом в разделе Приложения появится VPN-сервер SSTP. Для работы приложения необходимо зарегистрировать интернет-центр в облачной службе KeenDNS. Это необходимо, так как в процессе подключения по протоколу SSTP используется сертификат доменного имени. Иначе, подключающийся к серверу компьютер не сможет установить доверенное https-соединение.
Также необходимо будет указать на интернет-центре учетные записи пользователей, с именем и паролем, которым разрешено устанавливать подключение SSTP.

1.4_SSTP_app_appears.PNG

2.1. Для получения https-сертификата, в разделе Доменное имя - KeenDNS нужно ввести уникальное имя и нажать кнопку Зарегистрировать.

1.5_thinking_of_a_keendns_name_record.PNG

1.53_adding_a_keendns_name_record.PNG

После сверки с базой данных уже зарегистрированных доменных имен, система предложит варианты для регистрации (свободные имена). Следует выбрать подходящий домен и нажать кнопку Сохранить.

1.55_registering_a_keendns_domain_name_record.PNG

В случае, если интернет-центр не подключен к Интернету с публичным "белым" IP-адресом, будет выведено сообщение о необходимости включить режим работы Через облако. В этом режиме подключение VPN-туннеля к интернет-центру будет осуществляться через облачные серверы Keenetic Cloud.

1.57_enable_a_cloud.PNG

Далее необходимо включить настройку Разрешить доступ из Интернета и нажать кнопку Сохранить.

1.58_allow_remote_access_via_KeenDNS_and_save.PNG

2.2. Для подключения к серверу потребуется ввести имя пользователя и пароль. Учетные записи для пользователей, которые будут подключаться к серверу, можно указать на экране ПриложенияVPN-сервер SSTP.

1.6_add_a_user_to_connect_to_server.PNG

2.3. Настройка Множественный вход управляет возможностью устанавливать к серверу несколько разных (например, из разных точек сети) подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной тестовой настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.

1.63_save_SSTP_server_setup_with_internet_access.PNG

2.4. По умолчанию в конфигурации сервера включена опция NAT для клиентов. Эта настройка служит для поддержки перенаправления интернет-трафика подключенного к серверу клиента, через подключение интернет-центра. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него.
В случае режима доступа Через облако, рекомендуем не использовать настройку NAT для клиентов, поскольку пропускная способность туннеля при облачном подключении может быть ниже чем пропускная способность подключения к интернету сервера либо клиента.
Внимание! Если отключить данную функцию на сервере, но не перенастроить политику маршрутизации по умолчанию в Windows-клиенте (подробнее далее), то после установки туннеля на компьютере может не работать доступ в Интернет!

1.65_save_SSTP_server_setup_without_internet_access.PNG

2.5. В настройках сервера также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.

2.6. Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и Начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

Для применения настроек, следует нажать кнопку Сохранить.
Теперь сервер настроен и его можно включить переключателем в разделе  Приложения.

1.7_SSTP_server_set_up_but_disabled.PNG

1.71_SSTP_server_set_up_and_denabled_-_there_link_to_stats.PNG

3. Чтобы установить соединение к SSTP-серверу, на компьютере с ОС Windows нужно добавить VPN-подключение.
Для этого в меню Параметры Windows следует открыть настройки в разделе Сеть и Интернет.

2._enter_network_settings.PNG

Далее перейти к параметрам VPN.

2.1_select_VPN.PNG

Нажать на Добавить VPN-подключение.

2.2_press_Add_VPN_connection.PNG

В открывшемся окне нужно ввести следующие установки:
Поставщик услуг VPNWindows (встроенные)
Имя подключения - любое подходящее для идентификации туннеля название, например "Домашняя сеть"
Имя или адрес сервера - доменное имя, зарегистрированное для интернет-центра в службе KeenDNS
Тип VPNПротокол SSTP
Тип данных для входа
Имя пользователя и пароль
В полях Имя пользователя и Пароль можно сразу указать данные заведенной на роутер учетной записи, чтобы не вводить их каждый раз при подключении, и нажать кнопку Сохранить.

2.3_enter_parameters_and_credentias_and_save.PNG

3.1. Чтобы компьютер не использовал туннель для передачи интернет-трафика, а только для соединения с локальной сетью интернет-центра, потребуется дополнительно настроить параметры VPN-подключения. Для этого, нужно перейти к меню Настройка параметров адаптера, которое доступно в разделе Изменение сетевых параметров (через вид Сеть и ИнтернетСостояние).

2.31_enter_adapter_parameters_setup.PNG

Нажав на Настройка параметров адаптера, появится окно Сетевые подключения. В контекстном меню сетевого адаптера (доступно по щелчку правой кнопкой мыши), соответствующего настроенному туннельному подключению, следует выбрать пункт Свойства.

2.33_select_Properties_dialogue.PNG

Откроется диалоговое окно настройки свойств туннеля. В нем, на закладке Сеть нужно выбрать компонент IP версии 4 (TCP/IPv4) и нажать кнопку Свойства.

2.35_enter_ipv4_properties.PNG

В окне настройки свойств TCP/IPv4 нужно нажать кнопку Дополнительно...

2.37_select_advanced_ipv4_properties.PNG

На закладке Параметры IP, в окне настройки дополнительных параметров протокола TCP/IPv4, нужно выключить настройку Использовать основной шлюз в удаленной сети. Для применения настройки следует закрыть это окно, и приведшие к его открытию дополнительные окна, при помощи кнопки OK.

2.38_disable_route_add.PNG

3.2. Настроенное подключение доступно в отображении Сеть и ИнтернетVPN, либо в меню Сеть в области системных уведомлений (в правом нижнем углу экрана "рядом с часами").

3._Connect.PNG

3.1_connecting.PNG

3.3_connected.PNG

3.3. Когда туннель будет установлен, на компьютере можно обращаться к ресурсам локальной сети интернет-центра.
Например, введя в адресной строке Проводника \\192.168.1.1 (IP-адрес маршрутизатора в локальной сети) получаем доступ к подключенному к роутеру USB-накопителю.

3.9_network_object_accessible.PNG

В системном мониторе интернет-центра отображается состояние приложения VPN SSTP.

3.5_SSTP_checkup.PNG

Для просмотра информации об установленных туннелях, нужно открыть в разделе  ПриложенияVPN-сервер SSTP ссылку Статистика подключений.

3.5_SSTP_checkup_statistics.PNG

В веб-интерфейсе доступна информация о текущих подключениях к серверу: их продолжительности и количестве переданных в течение сеанса данных.

3.5_SSTP_checkup_connections.PNG

4. Чтобы установить соединение к SSTP-серверу, в мобильном устройстве на базе ОС Android, потребуется установить приложение SSTP VPN Client.

4.1. Устанавливаем клиент, находим на рабочем столе или в поиске приложений ярлык программы SSTP VPN Client и запускаем его.

Screenshot_20180725-193507.jpg Screenshot_20180725-193718.jpg 

4.2. Откроется главное окно программы. Внизу, с правой стороны, нажимаем на зеленый круг. Появится меню Добавить профиль VPN. Нажимаем на Новый профиль SSTP VPN и приступаем к настройке подключения к SSTP-серверу.

Screenshot_20180725-191100.jpg

4.3. В поле Название VPN вводим имя подключения, например "Work-SSTP-Server" (можно указать любое произвольное имя).

Screenshot_20180725-191508.jpg

4.4. Переходим в пункт меню настройки подключения Удаленные серверы. Здесь указываем сервера, к которым будет происходить подключение SSTP-клиента.

Внизу, с правой стороны, нажимаем на зеленый круг, где указываем:

Сервер - доменное имя, зарегистрированное для интернет-центра в службе KeenDNS

Порт - по умолчанию 443

Ограничить максимальный размер сегмента MSS - отключаем чекбокс (снимаем галочку)

Количество попыток подключения - по умолчанию 5

Таймаут подключения (секунды) - по умолчанию 10

Включить простук портов - указываем порт по умолчанию TCP/443

Использовать прокси - по умолчанию Без прокси

Screenshot_20180725-192414.jpg Screenshot_20180726-111001.jpgScreenshot_20180726-111340.jpg Screenshot_20180726-111943.jpg

4.5. Возвращаемся в основное меню настройки подключения и переходим в Аутентификация.

Делаем настройку:

Разрешить MS-CHAPv2 - по умолчанию установлен чекбокс (галочка)

Сохранить имя пользователя и пароль - указываем данные ранее заведенной на роутере учетной записи для SSTP-сервера

Screenshot_20180726-112807.jpg

4.6. Возвращаемся в основное меню настройки подключения и переходим в Маршрутизация.

Проверяем настройку:

Перенаправить шлюз - по умолчанию установлен чекбокс (галочка)

Не перенаправлять локальную сеть - по умолчанию установлен чекбокс (галочка)

Screenshot_20180726-114145.jpg

4.7. Возвращаемся в основное меню настройки подключения и в правом верхнем углу жмем на "дискетку", таким образом сохраним ранее сделанную настройку SSTP-клиента.

Screenshot_20180726-114605.jpg 

Новое подключение будет отображаться в основном меню программы SSTP VPN Client.

Screenshot_20180726-114559.jpg

4.8. Проверяем подключение.

Нажимаем справа на серую кнопку активации подключения.

При первом подключении к SSTP-серверу появится Предупреждение, в котором говорится, что: "Опции проверки сервера не установлены. Хотите ли Вы сохранить сертификат сервера для проверки последующих подключений?". Далее идет информация о Сертификате, который будет получен от сервера.

Screenshot_20180726-114943.jpg

Нажимаем ОК.

Внимание! Сертификат от SSTP-сервера будет получен автоматически, добавлять и изменять его в дальнейшем не потребуется!

4.9. Если получение сертификата прошло удачно, тогда серая кнопка активации подключения станет зеленой и можно пользоваться туннелем.

Screenshot_20180726-114953.jpg

5. Чтобы проверить статус туннеля, полученные маршруты от SSTP-сервера, посмотреть логи подключения, сколько загружено трафика через туннель, необходимо нажать на название подключения.

Screenshot_20180726-125847.jpg Screenshot_20180726-125819.jpg

Screenshot_20180726-125838.jpg Screenshot_20180726-125842.jpg

5.1. Для того, чтобы отключить туннель, достаточно нажать на зеленую кнопку активации в основном меню программы, либо нажать на серый квадрат в подключении.

 Screenshot_20180726-135005.jpg Screenshot_20180726-135011.jpg

5.2. Можно проверить доступность порта TCP/443.

Для этого нужно нажать на название подключения, далее нажимаем на карандаш в правом верхнем углу, переходим в Удаленные серверы. Появится Список удаленных серверов, здесь нажимаем на название сервера, появится окно Редактировать, где выбираем 443/TCP. Нажимаем ТЕСТ ПИНГА, начнется отправка ICMP пакетов до SSTP-сервера. Если все прошло удачно, то в выводе мы получаем следующее сообщение: icmp_seq=1 ttl=54 time=3.34 ms

1.jpg2.jpg3.jpgScreenshot_20180727-181355.jpg

4.jpg5.jpg6.jpg

5.3. Программа предоставляет возможность добавить виджеты созданных подключений (если поддерживает ваш смартфон) на рабочий стол телефона.

Screenshot_20180726-140418.jpg Screenshot_20180726-140243__1_.jpg

Screenshot_20180726-140405.jpg

KB-5293

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 15 из 15

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.