31
май
2024
12:02

Настройка SSTP сервера на роутере Zyxel (ссылка) и установка клиента в Linux

31 май 2024 12:02

Чтобы подключаться к домашнему ПК с работы можно установить на роутер Zyxel сервер SSTP.

1. Установка сервера SSTP на маршрутизатор Zyxel Keenetic

Инструкция по настройке сервера на роутере Zyxel Keenetic приведена в статье на сайте поддержки:

Если ссылка не работает, можно воспользоваться Wayback Machine.

Я повторил инструкцию по настройке SSTP-сервера на домашнем маршрутизаторе.

Советы:

а) Рекомендую выделать начальный IP-адрес клиентов SSTP внутри домашней сети. Например, если домашняя сеть 192.168.1.0/24, где DHCP-сервер выделяет 100 IP адресов, то для SSTP следует назначить начальный адрес 192.168.1.150. В этом случае домашний компьютер увидит рабочий компьютер в той же сети по адресу 192.168.1.150, так как сработает функция ARP-Proxy.

б) Рекомендую на домашнем ПК использовать "белый" IP-адрес от провайдера, тогда подключение по IPv4 прямое, и пинг 12 мс.

в) Рекомендую на роутере Keenetic создания второго пользователя - user с обычными правами. Соединяться под admin небезопасно. Пользователь admin имеет доступ только к панели управления, а пользователь user может подключаться к домашней сети. Пользователь admin и user должны иметь различные пароли.

2. Установка клиента SSTP в Linux

Хорошее руководство я нашел на сайте "IT Pro Blog" - статья по настройке клиента SSTP в Linux Mint.

У меня получились немного улучшенные команды, изменения коснулись лишь gpg:

sudo gpg --keyserver keyserver.ubuntu.com --recv 61FF9694161CE595

sudo gpg --export 61FF9694161CE595 | sudo tee /etc/apt/trusted.gpg.d/sstp_client.gpg  > /dev/null

sudo add-apt-repository -y ppa:eivnaes/network-manager-sstp && sudo apt update

sudo apt install -y sstp-client network-manager-sstp network-manager-sstp-gnome

Настройка соединения производится на клиенте в апплете Network Manager в графическом режиме (аппалет находится в строке состояния рядом с часами).

3. Установка приложения Open SSTP Client под Android

Достоинства и недостатки протокола SSTP

Достоинства:

  1. Поскольку со стороны сервера используется самый распространенный порт 443, провайдеры не контролируют подключение к нему.
  2. Трафик данных между клиентом и сервером надёжно защищён по протоколу шифрования ChaCha20-Poly1305.

Недостатки:

  1. Вход в веб-интерфейс маршрутизатора при включении SSTP становится доступен снаружи по протоколу https:// (порт 443). Самое обидное, что при SSTP вход в веб интерфейс Keenetic виден при подключении по http , т.е. к порту 80 без шифрования. Нужны нестандартное имя учетной записи администратора и сильный пароль.
  2. Подключение к серверу SSTP с клиента - роутера Mikrotik затруднено из-за ошибки, утверждающей что не найден ключ для сертификата ("terminating... no key for certificate found (6)"). Данная ошибка возникает если сертификат сервера Keenetic с расширением *.pem импортирован в Mikrotik без ключа *.key. Если же не импортировать сертификат сервера, или указать сертификат "none" - то ошибка на раннем этапе рукопожатия: "handshake failed, error 14077458... teminating: unable to connect". Экспорт из сертификата публичного ключа (openssl x509 -pubkey -noout < cert.pem > pubkey.key) и приложение его рядом при импорте в System - Certificates не помогает. Ключ сервера не содержит private key, в чем можно убедиться при выдаче команды openssl rsa -in cert.pem -out certout.pem. Таким образом, SSTP хорошо подходит лишь для соединения 2 Keenetic'ов, а не Keenetic - Mikrotik. По сообщению поддержки Keenetic, извлечение файла *.key из роутера Keenetic, где он хранится, не реализовано.


Похожие публикации