SSTP сервер на Linux, как?

Question

[Довольный Айтишникъ]

Перехожу с mikrotic chr, из-за их заморочек с лицензированием на обычный линукс (Ubuntu 24.04), все нужные мне сервисы настроил, остался только впн по протоколу sstp, и гугл мне предлагает либо несовместимое старьё для 16 убунты, либо ставить SoftEther VPN. Ни то, ни другое мне не интересно.
Подскажите, есть ли что-то работающее? Если не для убунты, то для чего либо другого, например Centos или Arch.

Comments

[Ziptar]

А софтезер чем не устраивает? Там нормальный рабочий сстп сервер.

[AlexVWill]

Ziptar, тоже этого прикола не понял, по моему единственный нормальный SSTP сервер на Linux, с кучей настроек, и работающий отлично.

[Довольный Айтишникъ]

Ziptar, не люблю комбайны, конечно в крайнем случае в докере его разверну, но хотелось бы что-то отдельное, вдруг есть

[Ziptar]

Довольный Айтишникъ, не пониманимаю в чем проблема, честно. "Комбайновость" софтезера на его эксплуатационных характеристиках никак не сказывается. С окружением он взаимодействует одинаково вне зависимости от включенных впн протоколов.

[Довольный Айтишникъ]

Ziptar, да не проблема, но стало интересно, неужели нет альтернатив

[Ziptar]

Довольный Айтишникъ, скорее нет, чем да. Сстп закрытый протокол, и все существующие реализации под линь сделаны реверсом. Одной вменяемой достаточно, чтобы больше никто не заморачивался.

Answer 1

[Oakum]

попробуйте accel-ppp

Comments

[Довольный Айтишникъ]

Любопытный зверь, попробую, спасибо.

[duronus]

если то знает как подскажите, я задолбался его компилить, при компиляции есть sstp либа, но заводится без поддержки sstp хоть тресни

[Oakum]

duronus, вы хотя бы опишите симптомы. Плагины в правильном порядке загружаются?

[duronus]

Oakum, info: sstp: SSL/TLS support disabled, PROXY support disabled это лог.

кусок лога сборки Built target sstp
При этом при установке sstp не видать
Installing: /usr/lib64/accel-ppp/libtriton.so
-- Installing: /usr/lib64/accel-ppp/libvlan-mon.so
-- Installing: /usr/lib64/accel-ppp/libpptp.so
-- Installing: /usr/lib64/accel-ppp/libpppoe.so
-- Set non-toolchain portion of runtime path of "/usr/lib64/accel-ppp/libpppoe.so" to "/usr/lib64/accel-ppp"
-- Installing: /usr/lib64/accel-ppp/libl2tp.so
-- Installing: /usr/share/accel-ppp/l2tp/dictionary
-- Installing: /usr/share/accel-ppp/l2tp/dictionary.rfc2661
-- Installing: /usr/share/accel-ppp/l2tp/dictionary.rfc3931
-- Installing: /usr/lib64/accel-ppp/libsstp.so
-- Installing: /usr/lib64/accel-ppp/libipoe.so
-- Set non-toolchain portion of runtime path of "/usr/lib64/accel-ppp/libipoe.so" to "/usr/lib64/accel-ppp"
-- Installing: /usr/lib64/accel-ppp/libauth_pap.so
-- Installing: /usr/lib64/accel-ppp/libauth_chap_md5.so
-- Installing: /usr/lib64/accel-ppp/libauth_mschap_v1.so
-- Installing: /usr/lib64/accel-ppp/libauth_mschap_v2.so
-- Installing: /usr/lib64/accel-ppp/liblog_file.so
-- Installing: /usr/lib64/accel-ppp/liblog_tcp.so
-- Installing: /usr/lib64/accel-ppp/liblog_syslog.so
-- Installing: /usr/lib64/accel-ppp/libpppd_compat.so
-- Set non-toolchain portion of runtime path of "/usr/lib64/accel-ppp/libpppd_compat.so" to "/usr/lib64/accel-ppp"
-- Installing: /usr/lib64/accel-ppp/libippool.so
-- Installing: /usr/lib64/accel-ppp/libipv6pool.so
-- Installing: /usr/lib64/accel-ppp/libsigchld.so
-- Installing: /usr/lib64/accel-ppp/libchap-secrets.so
-- Installing: /usr/lib64/accel-ppp/liblogwtmp.so
-- Installing: /usr/lib64/accel-ppp/libconnlimit.so
-- Installing: /usr/lib64/accel-ppp/libipv6_dhcp.so
-- Installing: /usr/lib64/accel-ppp/libipv6_nd.so
-- Installing: /usr/lib64/accel-ppp/libshaper.so
-- Installing: /usr/bin/accel-cmd
-- Installing: /usr/share/man/man1/accel-cmd.1

Варианты как пытался собирать
cmake -DBUILD_SSTP_DRIVER=TRUE -DSSL=TRUE -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
96 cmake -DBUILD_SSTP_DRIVER=TRUE -DNET_SSL=TRUE -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
99 cmake -DBUILD_SSTP_DRIVER=TRUE -DCRYPTO=openssl -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
108 cmake -DBUILD_SSTP_DRIVER=TRUE -DCRYPTO=openssl -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
110 cmake -DBUILD_SSTP_DRIVER=TRUE -DCRYPTO=openssl -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build
120 cmake -DBUILD_DRIVER=TRUE -DRADIUS=FALSE -DBUILD_SSTP_DRIVER=TRUE -DCRYPTO=openssl -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
122 cmake -DBUILD_DRIVER=TRUE -DRADIUS=FALSE -DBUILD_SSTP_DRIVER=TRUE -DCRYPTO=openssl -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
123 cmake -DBUILD_SSTP_DRIVER=TRUE -DCRYPTO=openssl -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
125 cmake -DBUILD_DRIVER=TRUE -DRADIUS=FALSE -DBUILD_SSTP_DRIVER=TRUE -DCRYPTO=openssl -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
132 cmake -DBUILD_DRIVER=TRUE -DRADIUS=FALSE -DBUILD_SSTP_DRIVER=TRUE -DCRYPTO=openssl -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
133 cmake -DRADIUS=FALSE -DBUILD_SSTP_DRIVER=TRUE -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
135 cmake -DRADIUS=FALSE -DBUILD_SSTP_DRIVER=TRUE -DCMAKE_INSTALL_PREFIX=/usr -DKDIR=/lib/modules/$(uname -r)/build ..
137 cmake -DRADIUS=FALSE -DSSTP=TRUE -DCRYPTO=openssl -DBUILD_DRIVER=TRUE -DCMAKE_INSTALL_PREFIX=/usr ..
139 cmake -DBUILD_DRIVER=TRUE -DRADIUS=FALSE -DKDIR=/usr/src/linux -DCMAKE_INSTALL_PREFIX=/usr/local -DCMAKE_BUILD_TYPE=Release -DLOG_PGSQL=FALSE -DSHAPER=FALSE -DNETSNMP=FALSE
140 cmake -DBUILD_DRIVER=TRUE -DRADIUS=FALSE -DKDIR=/opt/accel-ppp-src/ -DCMAKE_INSTALL_PREFIX=/usr/local -DCMAKE_BUILD_TYPE=Release -DLOG_PGSQL=FALSE -DSHAPER=FALSE -DNETSNMP=FALSE

[Oakum]

в конфиге accel-ppp.conf в секции [modules]
убедитесь что модуль sstp не закомментирован

Answer 2

[Кот Абсолютный]

Подскажите, есть ли что-то работающее?

sstp - продукт от M$, которая не склонна делиться. Если хоть что-то нашлось, им и надо пользоваться.

Comments

[Довольный Айтишникъ]

Ну, в микротиках серверную часть реализовали, надеялся, что что-то и чисто линуксовое есть.

[Кот Абсолютный]

Довольный Айтишникъ, Ну дык и M$ Office для маков есть. Ворон ворону глаз не выклюет :) (Хотя конечно в случае M$ и Mikrotik - Будет скорее ворон и мелкий воробушек).

[Dmitry]

Кот Абсолютный,

Спецификацию протокола вроде сама MS у себя публикует - https://learn.microsoft.com/en-us/openspecs/window... .

Но вот желающих реализовать это среди опенсорса не особо много. Может негатив из-за того что протокол майкрософтовский(есть пунктик "против M$" у многих линуксоидов, это не тайна :) ). А может считают что такой оверхэд никому не нужен, когда есть быстрые айписек с вайргард, или каноничный опенВПН на UDP. Хотя в определённых условиях мимикрия под https стоит этого оверхэда, но основные OS писатели, похоже, живут не в наших условиях.

В результате имеем то что имеем - нормальные реализации или в вендорсих дистрибутивах(Микротики, Кинетики), или на уровне поделок, или как часть комбайна(тот самый SoftEther)... Не то чтобы я много пользовался SoftEther, но настроить CHR+SSTP мне гораздо проще, чем разбираться с SoftEther(собственно делал и то, и другое). Да и потом, когда пропадает связь через тоннель, приходится вспоминать что там где настраивается(а такое происходило периодически), а в микротике он просто работает и всё. Если бы ещё можно было лицензию CHR честно купить, а не на просроченном триале сидеть...

P.S. А вот выше упомянутого другим отвечающим accel-ppp я пока не пробовал(даже не слышал), надо будет глянуть(тем более что и версия выше единицы, и язык разработки проекта внушает надежду) - как не прекрасен RouterOS, но есть вещи в нём отсутствующие, но, по нынешним временам, крайне нужные.

[Довольный Айтишникъ]

Dmitry, да, проблема с покупкой лицензии на микрот это основная причина перехода на что-то иное.... А сидеть необновленным или переустанавливать периодически... лениво и не правильно это.

accel-ppp попробовал, нестабильно.... Но, может у меня руки не из того места. Пока выручает опенВПН но на тсп и нестандартном порту, не блокируется.

[duronus]

Довольный Айтишникъ, подскажите, если вспомните, с какими параметрами компилили, а то у меня sstp не заводится вообще

[Довольный Айтишникъ]

duronus, К сожалению уже не вспомню. Отказался от него, глючное поделие((

Answer 3

[res2001]

На стандартной убунте использую для SSTP network-manager-sstp-gnome, у него в зависимостях network-manager-sstp и sstp-client. Комбайны не люблю, поэтому softether не исопльзую.
Нормально интегрирован в оболочку, собственно, сам network-manager-sstp-gnome - это гномовская разработка, поэтому тут с интеграцией все нормально. sstp-client, которого он использует под капотом (через pppd на сколько я понимаю) - сторонняя.
Так же можно руками настроить sstp-client через pppd, инструкция есть от разрабов на гитхабе.

Comments

[Довольный Айтишникъ]

Ну, это клиент, а мне бы серверную часть..

[Кот Абсолютный]

Речь-то шла о серверной части...

[res2001]

Довольный Айтишникъ, Действительно. Извиняюсь.
По серверной части SSTP для линукса сказать не чего.
Сам использую OpenConnect для ВПН. SSTP - только если винда на сервере.