Подключение с mikrotik к keenetic

Обсуждение ПО и его настройки
Ответить
kofeinik
Сообщения: 5
Зарегистрирован: 13 дек 2016, 20:10

Всем привет!
Имеется keenetic с usb-свистком (серый ip), на нем поднят сервер sstp, запущен облачный сервис, имею публичное имя blablabla.keenetic.name, клиент sstp на windows 7 без проблем к нему подключается, а вот с микротика подключение не устанавливается, в логах connecting-terminating-internal error (6)
routerOS 6.36. В чем может быть проблема?


Chai
Сообщения: 63
Зарегистрирован: 25 авг 2017, 08:13

Насколько я понимаю, свисток сам выступает роутером, и там работает преобразование адресов, напишите, пожалуйста, модель свистка и как вы настраивали проброс.


videodrom
Сообщения: 3
Зарегистрирован: 05 фев 2021, 13:36

Добрый день.

Аналогичная ситуация (кроме модема, роутер напрямую с белым ип от провайдера).

По сути:
1) Есть keenetic с белым адресом и публичным blablabla.keenetic.name (с сертификатом letsencrypt выданным им через web админку) выполняющий роль sstp сервера
2) есть keenetic выполняющий роль клиента
3) они прекрасно взаимодействую
4) есть клиенты на windows - так же конектятся без проблем.

Теперь о проблеме:
Появился mikrotik RB4011iGS+5HacQ2HnD 6.48 (stable) который так же должен выполнять роль клиента.
Судя по инструкциям/wiki/youtube достаточно указать адрес/имя куда конектиться, логин и пароль, и в поле сертификат none и выбрать протокол. Это не работает в логах пишется sstp-out1: terminating... - handshake timed out (6) - при этом в логах keenetic нет попыток подключаться.

Что было сделано:
Закидывал на mikrotik сертификаты рутовые и промежутчные и выданные кенетику - не помогает
Выпускал на miktotike самоподписанные - не помогает

Что заметил:
даже при sstp-out1: terminating... - handshake timed out (6) - на keenetic в соединениях есть соединение с ip mikrotik на порт 443
если начать в настройках соедиения в поле сертификат играться сертификатами то в логах пишется sstp-out1: terminating... - no key for certificate found (6) - но на keenetike входящих авторизаций нет.

Может кто то настраивал такую связку ? Может версию микротика откатить ? что ещё можно попробовать ?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Попробовал, а ведь и правда не подключается.
Что-то, кажется, надо написать в техподдежку кинетика?


videodrom
Сообщения: 3
Зарегистрирован: 05 фев 2021, 13:36

gmx писал(а): 05 фев 2021, 14:44 Попробовал, а ведь и правда не подключается.
Что-то, кажется, надо написать в техподдежку кинетика?
Перед тем как сюда написать прошерстил огромное кол-во информации в интернете, находил посты в которых проблем не было во взаимодействии только это было в 16 или 18 году..

Да я напишу, но предварительно решил сначала сюда написать, т.к keenetic - keenetic и windows/android - keenetic дружат без проблем.

О результатах постараюсь отписаться сюда.
Последний раз редактировалось videodrom 05 фев 2021, 16:55, всего редактировалось 1 раз.


videodrom
Сообщения: 3
Зарегистрирован: 05 фев 2021, 13:36

Ответила ТП keenetic.
Подобный ответ находил на просторах...
Добрый день.
SSTP-подключение действительно не устанавливается.
Это связано с тем, что в роутерах MikroTik не поддерживается расширение протокола TLS SNI, Server Name Indication.
На SSTP-сервере в Кинетике мы не планируем поддерживать подключение клиентов, не использующих данную функцию, так как это небезопасно, и кроме того невозможно в силу объективных технических причин реализации криптографического протокола SSL.
Пример. SNI введен в 2003/2004 году, все версии Windows начиная с момента Vista работают с его поддержкой, используют это расширение по умолчанию. Никаких сертификатов при этом не требуется.
Поэтому Вам все же придётся прибегнуть к другому VPN протоколу. Типа L2TP over IPsec
Спасибо
С уважением,
служба поддержки.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну и теперь можно писать в Микротик... :)


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48


Пример. SNI введен в 2003/2004 году, все версии Windows начиная с момента Vista работают с его поддержкой, используют это расширение по умолчанию. Никаких сертификатов при этом не требуется.
Поэтому Вам все же придётся прибегнуть к другому VPN протоколу. Типа L2TP over IPsec
Спасибо
С уважением,
служба поддержки.
Это все понятно, но винда отлично подключается к микротику по SSTP, то есть в винде по прежнему работает и старый вариант.

Думается, что все это может еще и в политической плоскости находится. Кинетик упорно считает микротик конкурентом.


Ответить