VPN-сервер SSTP

В интернет-центре Keenetic можно настроить сервер SSTP. Он позволяет организовать удаленное подключение клиентов к локальной сети интернет-центра.

NOTE: Важно! Основным преимуществом туннеля SSTP (Secure Socket Tunnel Protocol) является его способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии серых IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия белого IP-адреса.
Передача данных в SSTP-туннеле происходит при помощи https-трафика.
Так как сервер SSTP работает через облачные серверы Keenetic Cloud, его скорость зависит от числа пользующихся облаком пользователей и их активности.

Для подключения к SSTP-серверу не требуется установка дополнительных программ в ОС Windows актуальных версий, а в Android потребуется установка дополнительного приложения для подключения к SSTP-серверу интернет-центра. В качестве клиента SSTP может выступать сам Keenetic. Дополнительную информацию вы найдете в статье "Настройка SSTP-клиента".

Для настройки сервера обязательно нужно установить компонент системы "SSTP VPN-сервер". Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

sstp-s-comp.png

После этого перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер SSTP".

sstp-s-01.png

Для работы сервера нужно зарегистрировать интернет-центр в облачной службе KeenDNS, получив имя из домена keenetic.link или keenetic.pro, поддерживающих работу с сертификатом безопасности SSL. Иначе, подключающийся к серверу клиент не сможет установить доверенное https-соединение. Информацию о том как зарегистрировать имя KeenDNS вы найдете в статье "Сервис доменных имен KeenDNS".
Помимо этого, нужно разрешить доступ из Интернета по протоколу HTTPS. Сделать это можно на странице "Пользователи". В разделе "Удаленный доступ" включите опцию "Разрешить доступ из Интернета по HTTP".

sstp-s-001.png

Теперь перейдем к настройке сервера SSTP.

На странице "Приложения" нажмите по ссылке "VPN-сервер SSTP". 

sstp-s-003.png

Выполните настройку сервера.

sstp-s-02.png

Параметр "Множественный вход" управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.

NOTE: Важно! При выключенной опции "Множественный вход", появляется возможность назначить постоянный IP-адрес для SSTP-клиента. Сделать это можно на странице настройки VPN-сервера в разделе "Пользователи".

По умолчанию в конфигурации сервера включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него. В случае режима доступа "Через облако" (настройка сервиса KeenDNS), рекомендуем не использовать настройку "NAT для клиентов", поскольку пропускная способность туннеля при облачном подключении может быть ниже, чем пропускная способность подключения к Интернету сервера, либо клиента.

NOTE: Важно! Если отключить функцию "NAT для клиентов" на сервере, но не перенастроить политику маршрутизации по умолчанию в Windows-клиенте, то после установки туннеля на компьютере может не работать доступ в Интернет.

В настройках сервера в поле "Доступ к сети" также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

NOTE: Важно! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.

В разделе "Пользователи" выберите пользователей, которым хотите разрешить доступ к SSTP-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

После настройки сервера переведите переключатель в состояние Включено.

sstp-s-03.png

Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

sstp-s-04.png 

Если вы хотите организовать доступ клиентов не только к локальной сети VPN-сервера, но и в обратную сторону, т.е. из сети VPN-сервера в удаленную сеть VPN-клиента, чтобы обеспечить обмен данными между двумя сторонами VPN-туннеля, обратитесь к инструкции "Маршрутизация сетей через VPN".

TIP: Примечание

Для подключения к серверу в качестве клиента можно использовать:

интернет-центр Keenetic - "Клиент SSTP";

компьютер под управлением ОС Windows - "Подключение по протоколу SSTP из Windows 10" и "Подключение по протоколу SSTP из Windows 7";

мобильное устройство с ОС Android - "Подключение по протоколу SSTP из Android".

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 16 из 16

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 11
  • Будет ли работать RDP внутри SSTP-туннеля , при условии что и у сервера (keenetic) и у клиента (keenetic) серые IP - адреса?

    0
    Действия с комментариями Постоянная ссылка
  • Да, RDP будет работать внутри SSTP.

    0
    Действия с комментариями Постоянная ссылка
  • Мне кажется, что на странице "https://***/controlPanel/apps" не нужно блокировать доступ к статистике подключений к SSTP серверу если не включена опция "Разрешить доступ из Интернета по HTTPS". Пользователь может предпочитать настраивать проброс портов самому. А то получается, что все работает а кнопка статистики не доступна

    0
    Действия с комментариями Постоянная ссылка
  • Сделал всё по инструкции, с удаленного клиента SSTP попадаю в интернет центр по адресу 192.168.0.1, доступен сервер windows (хранилище по usb) по тому же адресу.
    Вопрос, как попасть к расшаренной папке компьютера 192.168.0.2 ? IP с двух сторон серые.

    1
    Действия с комментариями Постоянная ссылка
  • Другой компьютер будет доступен так же как и роутер по IP-адресу. Сначала с помощью пинга проверьте доступность узла 192.168.0.2, а затем для доступа к расшаренной папке в проводнике наберите \\192.168.0.2

    1
    Действия с комментариями Постоянная ссылка
  • Планируется ли добавить SSTP сервер в Keenetic Viva v2.08? Необходимо организовать VPN канал по серому IP. Может есть какие-то другие решения?. Teamwiever не предлагайте.

    1
    Действия с комментариями Постоянная ссылка
  • Андрей Евгеньевич, в официальных релизах для Zyxel Keenetic Viva добавление SSTP-сервера не планируется. Если вы хотите ознакомиться с этой возможностью и протестировать, установите в роутере так называемую delta-версию. Информацию о том, что это за версия и как её установить, вы найдете в статье "Часто задаваемые вопросы по установке компонентов и обновлению KeeneticOS".

    0
    Действия с комментариями Постоянная ссылка
  • Здравствуйте. На каких моделях можно развернуть VPN-сервер SSTP ?

    0
    Действия с комментариями Постоянная ссылка
  • На всех новых моделях Keenetic с индексом KN-xxxx https://keenetic.com/ru/products + модели предыдущего поколения Zyxel Keenetic Start II, Lite III rev.B, 4G III rev.B, Giga III, Ultra II, Air, Extra II

    0
    Действия с комментариями Постоянная ссылка
  • В тексте упоминается, что есть клиенты для Андроида. А для iOS не подскажете таковой?
    Попробовал AnyConnect - не получилось, хотя читал, что он поддерживает подключение через SSTP. Возможно неправильно настраиваю.

    0
    Действия с комментариями Постоянная ссылка
  • К сожалению, нам не удалось найти SSTP-клиент на iOS. Может быть кто-то из пользователей найдёт и поделится с нами информацией, тогда мы сделаем инструкцию и по подключению SSTP-клиента из iOS.

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.