Сервер VPN SSTP

Ви можете налаштувати сервер SSTP у своєму Keenetic. Він дозволяє віддалено підключати користувачів до локальної мережі.

NOTE: Важливо! Головною перевагою тунелю SSTP (Secure Socket Tunnel Protocol) є його здатність працювати через хмарні сервери Keenetic KeenDNS, тобто він дозволяє встановлювати з’єднання між клієнтом і сервером, навіть якщо з обох сторін є приватні, "сірі" IP-адреси. . Для всіх інших серверів VPN потрібна публічна IP-адреса.
Передача даних в тунелі SSTP здійснюється за допомогою трафіку HTTPS. Оскільки сервер SSTP працює через хмару KeenDNS, його швидкість залежить від кількості користувачів, які використовують хмару, та їх активності.

Для підключення до SSTP-сервера не потрібно встановлювати додаткові програми в операційній системі Windows. В Android потрібно буде встановити додатковий додаток. Крім того, сам Keenetic може діяти як клієнт SSTP. Ви можете знайти більше інформації в статті  Клієнт SSTP.

Для налаштування сервера необхідно встановити компонент «SSTP VPN-server». Це можна зробити на сторінці «Загальні налаштування системи» в розділі «Параметри компонентів системи», натиснувши «Змінити набір компонентів».

mceclip0.png

Потім перейдіть на сторінку «Додатки». Тут ви побачите панель «SSTP VPN server».

mceclip1.png

Для роботи сервера вам необхідно зареєструвати свій Keenetic у хмарному сервісі KeenDNS і отримати доменне ім’я в домені keenetic.link, keenetic.name або keenetic.pro, яке підтримує сертифікати безпеки SSL. В іншому випадку клієнт, який підключається до сервера, не зможе встановити довірене з’єднання HTTPS. Ви знайдете інформацію про те, як зареєструвати ім’я KeenDNS у статті Сервіс KeenDNS .
Також потрібно дозволити доступ з Інтернету через протокол HTTPS. Це можна зробити на сторінці «Користувачі». У розділі «Віддалене адміністрування» увімкніть параметр «Дозволити доступ до веб-конфігуратора»: «Тільки HTTPS».

mceclip2.png

Тепер перейдемо до налаштування сервера SSTP.

На сторінці «Додатки» натисніть посилання «SSTP VPN server».

mceclip3.png

Налаштуйте сервер.

mceclip4.png

Параметр Паралельний вхід контролює можливість встановлення кількох одночасних з’єднань із сервером, використовуючи ті самі облікові дані. Це не рекомендований сценарій через нижчий рівень безпеки та недоліки моніторингу. Однак під час початкової конфігурації або у випадках, коли ви хочете дозволити встановлення тунелю з кількох пристроїв одного користувача, ви можете залишити цю опцію увімкненою.

NOTE: Важливо! Якщо опцію «Паралельний вхід» вимкнено, клієнту SSTP можна призначити статичну IP-адресу. Це можна зробити на сторінці конфігурації сервера VPN у розділі «Користувачі».

За замовчуванням у конфігурації сервера увімкнено опцію «NAT для клієнтів». Цей параметр використовується, щоб дозволити клієнтам сервера VPN отримувати доступ до Інтернету. У вбудованому Windows-клієнті ця функція увімкнена за замовчуванням, і при встановленні тунелю запити в Інтернет будуть надсилатися через нього. У разі режиму «Хмарний доступ» (налаштування KeenDNS), ми рекомендуємо не використовувати налаштування «NAT для клієнтів», оскільки пропускна здатність тунелю в хмарному з’єднанні може бути нижчою, ніж пропускна здатність підключення до Інтернету сервера або клієнта..

NOTE: Важливо! Якщо вимкнути функцію «NAT для клієнтів» на сервері, але не змінити політику маршрутизації за замовчуванням у клієнті Windows, доступ до Інтернету може не працювати після встановлення тунелю на комп’ютері.

У налаштуваннях сервера в полі «Доступ до мережі» ви також можете вказати сегмент, відмінний від сегмента Home, якщо це необхідно. У цьому випадку мережа зазначеного сегмента буде доступна через тунель.

Загальна кількість можливих одночасних підключень встановлюється значенням розміру пулу IP-адрес. Як і у випадку з початковою IP-адресою, цей параметр не слід змінювати без необхідності.

NOTE: Важливо! Якщо «Початкова IP-адреса» потрапляє в мережевий діапазон сегмента, зазначеного в полі «Доступ до мережі», увімкнеться функція ARP-Proxy, щоб дозволити доступ до такого клієнта VPN із зазначеного локального сегмента. Наприклад, якщо вибрано домашню мережу 192.168.1.0 з маскою мережі 255.255.255.0 і налаштуванням DHCP-сервера «Початкова адреса пулу»: 192.168.1.33, «Пул IP-адрес»: 120, ви можете встановити «Початкова IP-адреса». адресу» сервера VPN до 192.168.1.154, який потрапляє в діапазон 192.168.1.1-192.168.1.254, і мати доступ із домашньої мережі до клієнтів VPN так само, як і доступ до локальних пристроїв.

У розділі «Користувачі» виберіть користувачів, яким потрібно надати доступ до SSTP-сервера та локальної мережі. Тут також можна додати нового користувача, вказавши ім’я користувача та пароль.

Після налаштування сервера встановіть перемикач у положення «Увімкнено».

mceclip5.png

Натиснувши на посилання «Статистика підключень», ви можете переглянути статус підключення та додаткову інформацію про активні сесії.

mceclip6.png

Якщо ви хочете надати клієнтам доступ не тільки до локальної мережі VPN-сервера, а й у зворотному напрямку, тобто від мережі VPN-сервера до віддаленої мережі VPN-клієнта, забезпечити обмін даними між двома сторонами. тунелю VPN дивіться статтю  Routing networks through VPN.

TIP: Примітка

Щоб підключитися до сервера як клієнт, ви можете використовувати:

Keenetic маршрутизатор - Клієнт SSTP;

Windows PC - SSTP connection in Windows;

Мобільний пристрій Android - SSTP connection in Android.

 

Чи була ця стаття корисною?

94 з 95 вважають статтю корисною

Маєте ще запитання? Надіслати запит