VPN-сервер SSTP

В интернет-центре Keenetic можно настроить сервер SSTP. Он позволяет организовать удаленное подключение клиентов к локальной сети интернет-центра.

NOTE: Важно! Основным преимуществом туннеля SSTP (Secure Socket Tunnel Protocol) является его способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии серых IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия белого IP-адреса.
Передача данных в SSTP-туннеле происходит при помощи https-трафика.
Так как сервер SSTP работает через облачные серверы Keenetic Cloud, его скорость зависит от числа пользующихся облаком пользователей и их активности.

Для подключения к SSTP-серверу не требуется установка дополнительных программ в ОС Windows актуальных версий, а в Android потребуется установка дополнительного приложения для подключения к SSTP-серверу интернет-центра. В качестве клиента SSTP может выступать сам Keenetic. Дополнительную информацию вы найдете в статье "Настройка SSTP-клиента".

Для настройки сервера обязательно нужно установить компонент системы "SSTP VPN-сервер". Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

sstp-s-comp.png

После этого перейдите на страницу "Приложения". Здесь вы увидите раздел "VPN-сервер SSTP".

sstp-s-01.png

Для работы сервера нужно зарегистрировать интернет-центр в облачной службе KeenDNS, получив имя из домена keenetic.link или keenetic.pro, поддерживающих работу с сертификатом безопасности SSL. Иначе, подключающийся к серверу клиент не сможет установить доверенное https-соединение. Информацию о том как зарегистрировать имя KeenDNS вы найдете в статье "Сервис доменных имен KeenDNS".
Помимо этого, нужно разрешить доступ из Интернета по протоколу HTTPS. Сделать это можно на странице "Пользователи и доступ". В разделе "Удаленный доступ" включите доступ к веб-конфигуратору по протоколам "HTTP и HTTPS" или "Только HTTPS".

sstp-s-001.png

Теперь перейдем к настройке сервера SSTP.

На странице "Приложения" нажмите по ссылке "VPN-сервер SSTP". 

sstp-s-003.png

Выполните настройку сервера.

sstp-s-02.png

Параметр "Множественный вход" управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.

NOTE: Важно! При выключенной опции "Множественный вход", появляется возможность назначить постоянный IP-адрес для SSTP-клиента. Сделать это можно на странице настройки VPN-сервера в разделе "Пользователи".

По умолчанию в конфигурации сервера включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него. В случае режима доступа "Через облако" (настройка сервиса KeenDNS), рекомендуем не использовать настройку "NAT для клиентов", поскольку пропускная способность туннеля при облачном подключении может быть ниже, чем пропускная способность подключения к Интернету сервера, либо клиента.

NOTE: Важно! Если отключить функцию "NAT для клиентов" на сервере, но не перенастроить политику маршрутизации по умолчанию в Windows-клиенте, то после установки туннеля на компьютере может не работать доступ в Интернет. Дополнительная информация представлена в статье "Изменение политики маршрутизации VPN-подключения в Windows, при выключенной опции "NAT для клиентов" на сервере".

В настройках сервера в поле "Доступ к сети" также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

NOTE: Важно! Если "Начальный IP-адрес" попадает в диапазон сети указанного в поле "Доступ к сети" сегмента, включается функция ARP-Proxy, что позволит обращаться к такому VPN-клиенту из указанного локального сегмента. Например, если в поле "Доступ к сети" выбрана домашняя сеть 192.168.1.0 с маской 255.255.255.0 и настройками DHCP-сервера: "Начальный адрес пула": 192.168.1.33, "Размер пула адресов": 120, вы можете задать "Начальный IP-адрес" VPN-сервера 192.168.1.154, который попадает в диапазон 192.168.1.1-192.168.1.254, и иметь доступ из домашней сети к VPN-клиентам наравне с доступом к локальным устройствам.

В разделе "Пользователи" выберите пользователей, которым хотите разрешить доступ к SSTP-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

После настройки сервера переведите переключатель в состояние Включено.

sstp-s-03.png

Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

sstp-s-04.png 

Если вы хотите организовать доступ клиентов не только к локальной сети VPN-сервера, но и в обратную сторону, т.е. из сети VPN-сервера в удаленную сеть VPN-клиента, чтобы обеспечить обмен данными между двумя сторонами VPN-туннеля, обратитесь к инструкции "Маршрутизация сетей через VPN".

TIP: Примечание

Для подключения к серверу в качестве клиента можно использовать:

интернет-центр Keenetic - "Клиент SSTP";

компьютер под управлением ОС Windows - "Подключение по протоколу SSTP из Windows 10" и "Подключение по протоколу SSTP из Windows 7";

мобильное устройство с ОС Android - "Подключение по протоколу SSTP из Android".

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 42 из 43

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 20
  • Будет ли работать RDP внутри SSTP-туннеля , при условии что и у сервера (keenetic) и у клиента (keenetic) серые IP - адреса?

    0
    Действия с комментариями Постоянная ссылка
  • Да, RDP будет работать внутри SSTP.

    0
    Действия с комментариями Постоянная ссылка
  • Мне кажется, что на странице "https://***/controlPanel/apps" не нужно блокировать доступ к статистике подключений к SSTP серверу если не включена опция "Разрешить доступ из Интернета по HTTPS". Пользователь может предпочитать настраивать проброс портов самому. А то получается, что все работает а кнопка статистики не доступна

    0
    Действия с комментариями Постоянная ссылка
  • Сделал всё по инструкции, с удаленного клиента SSTP попадаю в интернет центр по адресу 192.168.0.1, доступен сервер windows (хранилище по usb) по тому же адресу.
    Вопрос, как попасть к расшаренной папке компьютера 192.168.0.2 ? IP с двух сторон серые.

    2
    Действия с комментариями Постоянная ссылка
  • Другой компьютер будет доступен так же как и роутер по IP-адресу. Сначала с помощью пинга проверьте доступность узла 192.168.0.2, а затем для доступа к расшаренной папке в проводнике наберите \\192.168.0.2

    1
    Действия с комментариями Постоянная ссылка
  • Планируется ли добавить SSTP сервер в Keenetic Viva v2.08? Необходимо организовать VPN канал по серому IP. Может есть какие-то другие решения?. Teamwiever не предлагайте.

    1
    Действия с комментариями Постоянная ссылка
  • Андрей Евгеньевич, в официальных релизах для Zyxel Keenetic Viva добавление SSTP-сервера не планируется. Если вы хотите ознакомиться с этой возможностью и протестировать, установите в роутере так называемую delta-версию. Информацию о том, что это за версия и как её установить, вы найдете в статье "Часто задаваемые вопросы по установке компонентов и обновлению KeeneticOS".

    0
    Действия с комментариями Постоянная ссылка
  • Здравствуйте. На каких моделях можно развернуть VPN-сервер SSTP ?

    1
    Действия с комментариями Постоянная ссылка
  • На всех новых моделях Keenetic с индексом KN-xxxx https://keenetic.com/ru/products + модели предыдущего поколения Zyxel Keenetic Start II, Lite III rev.B, 4G III rev.B, Giga III, Ultra II, Air, Extra II

    1
    Действия с комментариями Постоянная ссылка
  • В тексте упоминается, что есть клиенты для Андроида. А для iOS не подскажете таковой?
    Попробовал AnyConnect - не получилось, хотя читал, что он поддерживает подключение через SSTP. Возможно неправильно настраиваю.

    1
    Действия с комментариями Постоянная ссылка
  • К сожалению, нам не удалось найти SSTP-клиент на iOS. Может быть кто-то из пользователей найдёт и поделится с нами информацией, тогда мы сделаем инструкцию и по подключению SSTP-клиента из iOS.

    0
    Действия с комментариями Постоянная ссылка
  • Добрый день! Мой интернет-центр Keenetic Ultra II сейчас работает в режиме Точка доступа/Ретранслятор. (Основным центром работает провайдерский ONT роутер). Делаю все по вышеуказанной инструкции, но на странице "Приложения" не появляется панель "VPN-сервер SSTP". Значит ли это, что VPN-сервер SSTP можно создать только если интернет-центр Keenetic работает в режиме Роутер? Если я не прав, расскажите, пожалуйста, как создать VPN-сервер SSTP, когда мой интернет-центр Keenetic Ultra II работает в режиме Точка доступа/Ретранслятор! Заранее спасибо!

    0
    Действия с комментариями Постоянная ссылка
  • VPN-сервера работают только на устройствах в основном режиме "Роутер". Во всех дополнительных режимах возможна работа USB-приложений (подключение внешних накопителей, дисков, принтеров, DLNA, Transmission и др.)
    Переведите ваш роутер в основной режим и тогда вы сможете использовать все возможности устройства в полной мере https://help.keenetic.com/hc/ru/articles/213966609

    0
    Действия с комментариями Постоянная ссылка
  • ползунок приложения SSTP cервера серый, и приложение пишет:
    Для работы SSTP-сервера необходимо:

    Имя KeenDNS с SSL-сертификатом

    Однако имя KeenDNS с SSL-сертификатом успешно получено:
    Имя интернет-центра

    Ваш интернет-центр зарегистрирован в сервисе KeenDNS
    С сертификатом SSL

    В чём проблема?
    почему я не могу включить приложение?
    в настройках приложения я добавил пользователя, указал начальный адрес, и пул адресов, доступ к "домашней" сети.

    1
    Действия с комментариями Постоянная ссылка
  • Дело в том, что в последних версиях микропрограммы 3.3.x имеется ошибка в веб-интерфейсе роутера в работе переключателя VPN-сервера SSTP.
    Включить SSTP-сервер можно на главной странице "Системный монитор" переключателем, а на странице "Приложения" к сожалению переключатель не работает.
    Наши разработчики уже исправили эту ошибку, но данный фикс вошел пока в тестовую версию микропрограммы 3.4 Alpha 9 https://help.keenetic.com/hc/ru/articles/360012712199
    Если для вас данная проблема критична, вы можете обновить встроенное ПО роутера до последней тестовой версии. Сделать это можно в веб-интерфейсе на странице "Общие настройки", выбрав канал обновления KeeneticOS - "Тестовая сборка" и нажав на кнопку "Установить обновление".
    Или дождитесь выхода последующей предварительной версии или релиза, в которой уже будет исправление данной ошибки.

    1
    Действия с комментариями Постоянная ссылка
  • Здравствуйте!
    Все отлично написано, легко настроил и роутер и телефон.
    Не понравилась только скорость работы SSTP через облако . Понятно, что она зависит от текущего количества юзеров.
    Есть предложение для улучшения:
    Добавить возможность другим организовать сервер для работы SSTP через свое облако.
    Можно даже готовый образ с виртуальным сервером выложить.
    У Кинетика снизится нагрузка на оборудование и соответственно повысится скорость для пользователей.
    Провайдеры повысят лояльность, особенно те, которые не дают белый IP даже за доплату.
    Некоторые могут даже арендовать VPS сервер и развернуть там облако.

    Одно замечание к мобильному клиенту Андроид (роутер Keenetic 4G III rev B, 2.15.C.6.0-1) - VPN сервер в веб-интерфейсе виден в приложениях, а в мобильном клиенте нет.

    4
    Действия с комментариями Постоянная ссылка
  • Здравствуйте, настроил SSTP, всё отлично работает, но не нашёл возможности удалить пользователя или сменить его пароль, где это можно сделать?

    0
    Действия с комментариями Постоянная ссылка
  • Дмитрий, это можно сделать на странице "Пользователи и доступ" https://help.keenetic.com/hc/ru/articles/360000867260

    0
    Действия с комментариями Постоянная ссылка
  • Для macOS, в которой поддержки sstp нет, в качестве клиента можно использовать утилиту iSstp:
    https://www.axot.org/2015/03/03/isstp-a-sstp-client-for-mac-osx/

    2
    Действия с комментариями Постоянная ссылка
  • Для macOS пришлось помучаться...

    Установка sstp-client через Homebrew https://brew.sh/
    brew install sstp-client

    Потом запуск через командную строку с указанием такого конфига заработало:
    sudo /usr/local/sbin/sstpc --user=USER XXXXXX.keenetic.link --password=PASSWORD --log-level 4 --log-stderr --cert-warn --tls-ext usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp

    Должно подключиться.
    Jul 20 16:39:08 sstpc[10866]: Resolved XXXXXX.keenetic.link to
    Jul 20 16:39:08 sstpc[10866]: Connected to XXXXXX.keenetic.link
    Jul 20 16:39:09 sstpc[10866]: Sending Connect-Request Message
    Jul 20 16:39:09 sstpc[10866]: SEND SSTP CRTL PKT(14)
    Jul 20 16:39:09 sstpc[10866]: TYPE(1): CONNECT REQUEST, ATTR(1):
    Jul 20 16:39:09 sstpc[10866]: ENCAP PROTO(1): 6
    Jul 20 16:39:09 sstpc[10866]: RECV SSTP CRTL PKT(48)
    Jul 20 16:39:09 sstpc[10866]: TYPE(2): CONNECT ACK, ATTR(1):
    Jul 20 16:39:09 sstpc[10866]: CRYPTO BIND REQ(4): 40
    Jul 20 16:39:09 sstpc[10866]: Started PPP Link Negotiation
    Jul 20 16:39:14 sstpc[10866]: Sending Connected Message
    Jul 20 16:39:14 sstpc[10866]: SEND SSTP CRTL PKT(112)
    Jul 20 16:39:14 sstpc[10866]: TYPE(4): CONNECTED, ATTR(1):
    Jul 20 16:39:14 sstpc[10866]: CRYPTO BIND(3): 104
    Jul 20 16:39:14 sstpc[10866]: Connection Established

    1
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.