OpenWrt使用sstp-client(1)

最新推荐文章于 2024-05-28 20:12:35 发布
最新推荐文章于 2024-05-28 20:12:35 发布
阅读量6k 收藏 2
点赞数 1
分类专栏: openwrt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magicdog2009/article/details/41247355
版权

为什么用sstp


前几天pptp还好好的,这几天突然就被干扰了,连接丢包率2%-10%(pingtest.net),用PC测试了各种协议,只有sstp好像还可以用。可能的原因是

1)443端口目前被扫描较少

2)sstp协议每次连接随机端口


openwrt下有现成的:

https://github.com/openwrt/packages/blob/master/net/sstp-client/Makefile


使用方法参考:

https://github.com/reliablehosting/sstp-client/blob/master/USING

简单来说,两种用法,

1) 

   pppd call <provider> \
	pty "/usr/sbin/sstpc [<sstp-opts>] server --nolaunchpppd"
sstpc作为pppd的插件


2)

   sstpc --user <DOMAIN\\USER> --password <PASS> [<sstp-opts>] server \
	call <provider>

pppd作为sstpc的插件?


调试过程


No auth is possible

pppd debug call test pty "/usr/bin/sstpc --cert-warn --password ***** --user ******@gmail.com --log-level 5 --log-stdout JP2.ASTRILL.NET --nolaunchpppd"



Thu Nov 27 11:23:18 2014 daemon.info pppd[7096]: Using interface ppp0
Thu Nov 27 11:23:18 2014 daemon.notice pppd[7096]: Connect: ppp0 <--> /dev/pts/1
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xa9b7c3de>]
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: rcvd [LCP ConfReq id=0x1 <auth chap MS-v2> <magic 0x2951636d> <mru 1400>]
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: No auth is possible
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: sent [LCP ConfRej id=0x1 <auth chap MS-v2>]
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: rcvd [LCP ConfRej id=0x1 <asyncmap 0x0>]
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: sent [LCP ConfReq id=0x2 <magic 0xa9b7c3de>]
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: rcvd [LCP ConfReq id=0x2 <auth chap MS> <magic 0x2951636d> <mru 1400>]
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: <strong><span style="color:#ffffff;background-color: rgb(255, 0, 0);">No auth is possible</span></strong>
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: sent [LCP ConfRej id=0x2 <auth chap MS>]
Thu Nov 27 11:23:19 2014 daemon.debug pppd[7096]: rcvd [LCP ConfAck id=0x2 <magic 0xa9b7c3de>]
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: rcvd [LCP ConfReq id=0x3 <auth chap MD5> <magic 0x2951636d> <mru 1400>]
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: No auth is possible
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: sent [LCP ConfRej id=0x3 <auth chap MD5>]
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: rcvd [LCP ConfReq id=0x4 <auth pap> <magic 0x2951636d> <mru 1400>]
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: No auth is possible
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: sent [LCP ConfRej id=0x4 <auth pap>]
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: rcvd [LCP ConfReq id=0x5 <auth pap> <magic 0x2951636d> <mru 1400>]
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: No auth is possible
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: sent [LCP ConfRej id=0x5 <auth pap>]
Thu Nov 27 11:23:20 2014 daemon.debug pppd[7096]: Script /usr/bin/sstpc --cert-warn --password ***** --user ******@gmail.com --log-level 5 --log-stdout JP2.ASTRILL.NET --nolaunchpppd finished (pid 7097), status = 0xff
Thu Nov 27 11:23:20 2014 daemon.notice pppd[7096]: Modem hangup
Thu Nov 27 11:23:20 2014 daemon.notice pppd[7096]: Connection terminated.

相关的文件:
pppd参数文件/etc/ppp/peers/test (其中的test和前面的pppd call test一致)
密码文件/etc/ppp/chap-secrets 格式为 #USERNAME  PROVIDER  PASSWORD  IPADDRESS 其中的username必须与上面的参数文件中或者命令行中username一致

上面的报错说明用了几种验证方式 chap MS-vs,chap  pap等,都没有找到可验证的,所以报错。解决的办法是把上面两个文件填写正确即可。

Could not connect to sstp-client

Thu Nov 27 13:56:59 2014 local0.notice sstpc[5464]: Started PPP Link Negotiation
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: rcvd [LCP ConfReq id=0x1 <auth chap MS-v2> <magic 0x49740392> <mru 1400>]
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: sent [LCP ConfAck id=0x1 <auth chap MS-v2> <magic 0x49740392> <mru 1400>]
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: rcvd [LCP ConfRej id=0x1 <asyncmap 0x0> <pcomp> <accomp>]
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: sent [LCP ConfReq id=0x2 <magic 0xc317a8a6>]
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: rcvd [LCP ConfAck id=0x2 <magic 0xc317a8a6>]
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: sent [LCP EchoReq id=0x0 magic=0xc317a8a6]
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: rcvd [CHAP Challenge id=0x1 <869c3c44f1ac7bbec2cd46834b6ad3ba>, name = ""]
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: added response cache entry 0
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: sent [CHAP Response id=0x1 <0744f3fcfb016cddab1a9d0464f8d60e0000000000000000fd498b6fa3cf9a7999b8846544b2ac6bcbd95a985e71ec8c00>, name = "******@gmail.com"]
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: sstp_snoop_send: mppe keys are set
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: sstp_snoop_send: The mppe send key: 42d2dd5bb0bb007cf00de6fd973928eb
Thu Nov 27 13:56:59 2014 daemon.debug pppd[5460]: sstp_snoop_send: The mppe recv key: 0344b3273162a28523aebfd54d4fac81
Thu Nov 27 13:56:59 2014 daemon.err pppd[5460]: <span style="color:#ffffff;background-color: rgb(255, 0, 0);">Could not connect to sstp-client (/var/run/sstpc/sstpc-uds-sock)</span>, Connection refused (111)
Thu Nov 27 13:56:59 2014 daemon.info pppd[5460]: Exit.
Thu Nov 27 13:56:59 2014 local0.debug sstpc[5464]: PPPd terminated
Thu Nov 27 13:56:59 2014 local0.notice sstpc[5464]: SSTP session was established for 0 seconds
Thu Nov 27 13:56:59 2014 local0.notice sstpc[5464]: Received 80 bytes, sent 89 bytes

这个是跟踪进去源代码查到的(sstp-event.c),这里是一个典型的 linux socket进程通信,这个文件是一个命名socket,如果ipparam,那么会创建一个sstpc-$ipparam文件,否则会创建一个sstpc-uds-sock文件。所以如果指定了ipparam,那么peer文件中sstp-sock要写成/var/run/sstpc/sstpc-$ipparam

/etc/ppp/chap-secrets has world and/or group access

Thu Nov 27 11:41:36 2014 daemon.warn pppd[7144]: Warning - secret file /etc/ppp/chap-secrets has world and/or group access

报错是说这个文件其他用户也可读,有安全风险。解决办法是chmod到0600(只有root能读写)

Could not parse attributes

Thu Nov 27 14:53:05 2014 daemon.info pppd[5874]: Plugin sstp-pppd-plugin.so loaded.
Thu Nov 27 14:53:05 2014 daemon.notice pppd[5875]: pppd 2.4.7 started by root, uid 0
Thu Nov 27 14:53:05 2014 daemon.debug pppd[5875]: using channel 13
Thu Nov 27 14:53:05 2014 local0.notice sstpc[5879]: (Harvey)run into sstp_event_create!
Thu Nov 27 14:53:05 2014 local0.notice sstpc[5879]: (Harvey)sock filename=/var/run/sstpc/sstpc-test
Thu Nov 27 14:53:05 2014 local0.notice sstpc[5879]: Waiting for sstp-plugin to connect on: /var/run/sstpc/sstpc-test
Thu Nov 27 14:53:05 2014 daemon.info pppd[5875]: Using interface ppp1
Thu Nov 27 14:53:05 2014 daemon.notice pppd[5875]: Connect: ppp1 <--> /dev/pts/2
Thu Nov 27 14:53:05 2014 local0.notice sstpc[5879]: Resolved 50.31.252.45 to 50.31.252.45
Thu Nov 27 14:53:05 2014 local0.notice sstpc[5879]: Connected to 50.31.252.45
Thu Nov 27 14:53:06 2014 daemon.debug pppd[5875]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x7ece2a52> <pcomp> <accomp>]
Thu Nov 27 14:53:07 2014 local0.notice sstpc[5879]: The certificate did not match the host: JP2.ASTRILL.NET
Thu Nov 27 14:53:07 2014 local0.info sstpc[5879]: Server certificated failed verification, ignoring
Thu Nov 27 14:53:07 2014 local0.notice sstpc[5879]: Sending Connect-Request Message
Thu Nov 27 14:53:07 2014 local0.err sstpc[5879]: SSTP CRTL PKT(14) 
Thu Nov 27 14:53:07 2014 local0.err sstpc[5879]:   TYPE(1): CONNECT REQUEST, ATTR(1):
Thu Nov 27 14:53:07 2014 local0.err sstpc[5879]:     ENCAP PROTO(1): 6
Thu Nov 27 14:53:07 2014 local0.err sstpc[5879]: SSTP CRTL PKT(48) 
Thu Nov 27 14:53:07 2014 local0.err sstpc[5879]:   TYPE(2): CONNECT ACK, ATTR(1):
Thu Nov 27 14:53:07 2014 local0.err sstpc[5879]:     CRYPTO BIND REQ(4): 40
Thu Nov 27 14:53:07 2014 local0.notice sstpc[5879]: Started PPP Link Negotiation
Thu Nov 27 14:53:07 2014 local0.err sstpc[5879]: SSTP DATA PKT(28) 
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]: SSTP DATA PKT(27) 
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: rcvd [LCP ConfReq id=0x1 <auth chap MS-v2> <magic 0x74ed408d> <mru 1400>]
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: sent [LCP ConfAck id=0x1 <auth chap MS-v2> <magic 0x74ed408d> <mru 1400>]
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]: SSTP DATA PKT(27) 
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]: SSTP DATA PKT(22) 
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: rcvd [LCP ConfRej id=0x1 <asyncmap 0x0> <pcomp> <accomp>]
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: sent [LCP ConfReq id=0x2 <magic 0x7ece2a52>]
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]: SSTP DATA PKT(18) 
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]: SSTP DATA PKT(18) 
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: rcvd [LCP ConfAck id=0x2 <magic 0x7ece2a52>]
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: sent [LCP EchoReq id=0x0 magic=0x7ece2a52]
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]: SSTP DATA PKT(16) 
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]: SSTP DATA PKT(29) 
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: rcvd [CHAP Challenge id=0x1 <acf9b570946132c1615883aa33b88f9d>, name = ""]
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: added response cache entry 0
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: sent [CHAP Response id=0x1 <9ef3746b08912dfccf268139d87fc766000000000000000029cc41742738dcc05616b675384f0932371e191ff1feea5a00>, name = "*******@gmail.com"]
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: sstp_snoop_send: mppe keys are set
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: sstp_snoop_send: The mppe send key: 73ad258b2f5780ab94b20e4bef4fe8fe
Thu Nov 27 14:53:08 2014 daemon.debug pppd[5875]: sstp_snoop_send: The mppe recv key: f1abda15c168cb9d9b5caa4e70b249e5
Thu Nov 27 14:53:08 2014 local0.notice sstpc[5879]: Received callback from sstp-plugin
Thu Nov 27 14:53:08 2014 local0.notice sstpc[5879]: Sending Connected Message
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]: SSTP CRTL PKT(112) 
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]:   TYPE(4): CONNECTED, ATTR(1):
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]:     CRYPTO BIND(3): 104
Thu Nov 27 14:53:08 2014 local0.notice sstpc[5879]: Connection Established
Thu Nov 27 14:53:08 2014 local0.err sstpc[5879]: SSTP DATA PKT(82) 
Thu Nov 27 14:53:09 2014 local0.err sstpc[5879]: SSTP DATA PKT(16) 
Thu Nov 27 14:53:09 2014 daemon.debug pppd[5875]: rcvd [LCP EchoRep id=0x0 magic=0x74ed408d]
Thu Nov 27 14:53:09 2014 local0.err sstpc[5879]: SSTP CRTL PKT(8) 
Thu Nov 27 14:53:09 2014 local0.err sstpc[5879]:   TYPE(5): ABORT, ATTR(0):
Thu Nov 27 14:53:09 2014 local0.debug sstpc[5879]: Could not parse attributes
Thu Nov 27 14:53:09 2014 local0.debug sstpc[5879]: Unrecoverable SSL error
Thu Nov 27 14:53:09 2014 local0.debug sstpc[5879]: Connection was aborted, Unknown Status Attribute
Thu Nov 27 14:53:09 2014 daemon.debug pppd[5875]: Script /usr/bin/sstpc --cert-warn --ipparam test --log-level 4 JP2.ASTRILL.NET --nolaunchpppd finished (pid 5876), status = 0xff
Thu Nov 27 14:53:09 2014 daemon.notice pppd[5875]: Modem hangup
Thu Nov 27 14:53:09 2014 daemon.notice pppd[5875]: Connection terminated.
Thu Nov 27 14:53:09 2014 daemon.info pppd[5875]: Exit.

怀疑是Plugin sstp-pppd-plugin.so编译的时候缺了什么?因为确实找不到解决方法,只好采用第二种方式也就是sstp连接。
类似的问题:

sstpc参数--cert-warn必需

否则:

root@OpenWrt:~# sstpc --password "********" --user "********@gmail.com" --log-level 5 JP2.ASTRILL.NET require-mschap-v2 refuse-chap refuse-pap noauth
**Error: Verification of server certificate failed, (-2)

pppd参数noauth必需


root@OpenWrt:~# sstpc --cert-warn --password "********" --user "*****@gmail.com" --log-level 5 JP2.ASTRILL.NET require-mschap-v2 refuse-chap refuse-pap
/dev/pts/1: The remote system is required to authenticate itself 
/dev/pts/1: but I couldn't find any suitable secret (password) for it to use to do so.

意思好像是就是服务器无法认证自己,认证不了就报这个错 。解决的办法就是 加上参数noauth

sstpc安装路径要写对

但是我参考了,第一种使用pppd的方法好像不能用。

Mon Nov 17 02:54:53 2014 daemon.info pppd[2653]: Plugin sstp-pppd-plugin.so loaded.
Mon Nov 17 02:54:53 2014 daemon.info pppd[2653]: pppd options in effect:
Mon Nov 17 02:54:53 2014 daemon.notice pppd[2654]: pppd 2.4.7 started by root, uid 0
Mon Nov 17 02:54:53 2014 daemon.debug pppd[2654]: using channel 8
Mon Nov 17 02:54:53 2014 daemon.err pppd[2654]: <span style="color: rgb(255, 255, 255); background-color: rgb(204, 0, 0);">Failed to set PPP kernel option flags: Inappropriate ioctl for device</span>
Mon Nov 17 02:54:53 2014 daemon.info pppd[2654]: Using interface ppp0
Mon Nov 17 02:54:53 2014 daemon.notice pppd[2654]: Connect: ppp0 <--> /dev/pts/1
Mon Nov 17 02:54:53 2014 daemon.debug pppd[2654]: Script /usr/sbin/sstpc --cert-warn --password ***** --user ****** --log-level 5 --log-stdout ******* --nolaunchpppd finished (pid 2655), status = 0x7f
Mon Nov 17 02:54:53 2014 daemon.notice pppd[2654]: Modem hangup
Mon Nov 17 02:54:53 2014 daemon.notice pppd[2654]: Connection terminated.
Mon Nov 17 02:54:53 2014 daemon.info pppd[2654]: Exit.


这个错误的原因是openwrt下sstpc的安装路径不是

/usr/sbin/sstpc而是/usr/bin/sstpc 尴尬

sstpc参数:--save-server-route参数必需

否则虽然能连上,不使用这个连接的话也不会自动断线;但是只要一使用(比如设为缺省路由或者策略路由)无法传输数据,而且很快断线。

咨询sstp-client作者得到解决方法:https://sourceforge.net/p/sstp-client/discussion/1499217/thread/7b0a16ed/

This is to let the client maintain the connection when you add a new default route.

Thu Nov 27 11:02:26 2014 local0.notice sstpc[6996]: Resolved 50.31.252.45 to 50.31.252.45
Thu Nov 27 11:02:27 2014 local0.notice sstpc[6996]: Connected to 50.31.252.45
Thu Nov 27 11:02:28 2014 local0.notice sstpc[6996]: The certificate did not match the host: JP2.ASTRILL.NET
Thu Nov 27 11:02:28 2014 local0.info sstpc[6996]: Server certificated failed verification, ignoring
Thu Nov 27 11:02:28 2014 local0.notice sstpc[6996]: Sending Connect-Request Message
Thu Nov 27 11:02:28 2014 local0.notice sstpc[6996]: Started PPP Link Negotiation
Thu Nov 27 11:02:28 2014 daemon.notice pppd[6997]: pppd 2.4.7 started by root, uid 0
Thu Nov 27 11:02:28 2014 daemon.info pppd[6997]: Using interface ppp0
Thu Nov 27 11:02:28 2014 daemon.notice pppd[6997]: Connect: ppp0 <--> /dev/pts/1
Thu Nov 27 11:02:32 2014 daemon.notice pppd[6997]: CHAP authentication succeeded
Thu Nov 27 11:02:34 2014 daemon.notice pppd[6997]: local  IP address 198.18.128.101
Thu Nov 27 11:02:34 2014 daemon.notice pppd[6997]: remote IP address 198.18.128.1
Thu Nov 27 11:02:54 2014 local0.notice sstpc[6996]: Sending Echo-Reply Message
<span style="color:#ffffff;background-color: rgb(204, 0, 0);">Thu Nov 27 11:02:59 2014 daemon.info pppd[6997]: No response to 5 echo-requests
</span><span style="color:#ffffff;background-color: rgb(204, 0, 0);">Thu Nov 27 11:02:59 2014 daemon.notice pppd[6997]: Serial link appears to be disconnected.
</span>Thu Nov 27 11:02:59 2014 daemon.info pppd[6997]: Connect time 0.5 minutes.
Thu Nov 27 11:02:59 2014 daemon.info pppd[6997]: Sent 1486 bytes, received 0 bytes.
Thu Nov 27 11:03:05 2014 daemon.notice pppd[6997]: Connection terminated.
Thu Nov 27 11:03:05 2014 daemon.notice pppd[6997]: Modem hangup
Thu Nov 27 11:03:05 2014 daemon.info pppd[6997]: Exit.
Thu Nov 27 11:03:05 2014 local0.debug sstpc[6996]: PPPd terminated
Thu Nov 27 11:03:05 2014 local0.notice sstpc[6996]: SSTP session was established for 37 seconds
Thu Nov 27 11:03:05 2014 local0.notice sstpc[6996]: Received 548 bytes, sent 2.29 Kb

附设置路由的脚本:

缺省路由:

ip route delete default via 192.168.217.2 dev eth1 proto static
ip route add default via $(ifconfig | grep -A 1 -w "ppp[0-9]" | awk '/inet/{print $3}' | awk -F: '{print $2}') dev ppp0 proto static
恢复默认路由
ip route add default via 192.168.217.2 dev eth1 proto static

要设置防火墙通过,否则连到这个路由器上的设备无法使用sstp通道

openwrt上可以连接:

root@OpenWrt:~# ping baidu.com
PING baidu.com (220.181.111.85): 56 data bytes
64 bytes from 220.181.111.85: seq=0 ttl=50 time=144.951 ms
64 bytes from 220.181.111.85: seq=1 ttl=50 time=145.476 ms
64 bytes from 220.181.111.85: seq=2 ttl=50 time=150.070 ms
64 bytes from 220.181.111.85: seq=3 ttl=50 time=148.155 ms
64 bytes from 220.181.111.85: seq=4 ttl=50 time=146.839 ms
64 bytes from 220.181.111.85: seq=5 ttl=50 time=145.325 ms
64 bytes from 220.181.111.85: seq=6 ttl=50 time=142.559 ms

但是连接openwrt的windows网络不通


C:\Documents and Settings\Harvey>ping baidu.com

Pinging baidu.com [220.181.111.85] with 32 bytes of data:

Reply from 192.168.2.1: Destination port unreachable.
Reply from 192.168.2.1: Destination port unreachable.
Reply from 192.168.2.1: Destination port unreachable.
Reply from 192.168.2.1: Destination port unreachable.

是因为openwrt的防火墙没设置

附防火墙设置脚本

来自http://www.oldwet.com/archives/25.html

start_vpn_nat() {

iptables -A forwarding_rule -o $TUNDEV -j ACCEPT

iptables -A forwarding_rule -i $TUNDEV -j ACCEPT

iptables -t nat -A postrouting_rule -o $TUNDEV -j MASQUERADE

#以下四行代码解决ios等设备由于mtu值,而无法访问网络的问题。

iptables -t mangle -I FORWARD -o tun+ -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

iptables -t mangle -I FORWARD -i tun+ -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

iptables -t mangle -A OUTPUT -o tun+ -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

iptables -t mangle -A POSTROUTING -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

}

 

stop_vpn_nat() {

iptables -t nat -D postrouting_rule -o $TUNDEV -j MASQUERADE

iptables -D forwarding_rule -i $TUNDEV -j ACCEPT

iptables -D forwarding_rule -o $TUNDEV -j ACCEPT

iptables -t mangle -D FORWARD -o tun+ -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

iptables -t mangle -D FORWARD -i tun+ -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

iptables -t mangle -D OUTPUT -o tun+ -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

iptables -t mangle -D POSTROUTING -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

}

pppd的defaultroute参数无效

Thu Nov 27 08:50:23 2014 daemon.notice netifd: Interface 'sstp' is setting up now
Thu Nov 27 08:50:23 2014 daemon.notice netifd: Interface 'sstp' is now up
Thu Nov 27 08:50:23 2014 user.notice firewall: Reloading firewall due to ifup of sstp (sstp-sstp)
Thu Nov 27 08:50:29 2014 daemon.notice pppd[4536]: pppd 2.4.7 started by root, uid 0
Thu Nov 27 08:50:29 2014 daemon.info pppd[4536]: Using interface sstp-sstp
Thu Nov 27 08:50:29 2014 daemon.notice pppd[4536]: Connect: sstp-sstp <--> /dev/pts/0
Thu Nov 27 08:50:33 2014 daemon.notice pppd[4536]: CHAP authentication succeeded
Thu Nov 27 08:50:34 2014 daemon.err pppd[4536]: <span style="color:#ffffff;background-color: rgb(204, 0, 0);">not replacing existing default route via 192.168.217.2</span>
Thu Nov 27 08:50:34 2014 daemon.notice pppd[4536]: local  IP address 198.18.128.16
Thu Nov 27 08:50:34 2014 daemon.notice pppd[4536]: remote IP address 198.18.128.1


可能是因为pppd源码中有检测缺省路由是否存在,见代码

http://www.cnblogs.com/iwasmu/archive/2011/02/25/1965309.html

解决办法可以在连接前删除缺省路由

https://wiki.archlinux.org/index.php/pppd#Default_route

新建一个/etc/ppp/ip-pre-up,chmod改权限为可执行 

#!/bin/sh

/sbin/route del default

虽然这种方法可行,但是后果很麻烦,pppd一旦断掉,是不会恢复原来的缺省路由的,没有缺省路由,网络就断了

# To do: 用shell保存原路由,断线后自动恢复原路由

最终的成果

基本可用,开机自动连接sstp,可自动分流国内外流量

  • 建立/etc/init.d/sstp,这样可以用/etc/init.d/sstp start(stop)来启动和关闭sstp,同时可以用/etc/init.d/sstp enable来设置开机启动
  • 建立/etc/config/sstp,是sstp的配置文件,包括用户名密码服务器等。同时集成了国内外分流的设置。(参考https://github.com/hackgfw/openwrt-gfw-packages
  • 为了配置路由和防火墙,建立/etc/sstp/up和/etc/sstp/down,分别用于sstp连接时和断开时。连接时在/tmp目录下建立gfw-sstp.user和gfw-unsstp.user,用于记录下原本的缺省路由,断开是恢复;同时处理防火墙问题和分流上网的策略路由问题。
缺点:
  • 不是采用OpenWrt标准的网络接口Netifd
  • 配置比较麻烦


下一步目标:加入Netifd支持

要想真正成为一种OpenWrt下支持的网络协议,必须要加入Netifd支持。
采用Netifd统一接口好处多多,比如断线重连,防火墙的问题Netifd就可以交给OpenWrt解决了,实现也比较优雅,只要一个文件搞定。和PPTP等协议实现比较相似,配置起来简单。

magicdog2009
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OpenWrt使用sstp-client(2)
magicdog2009的专栏
11-29 4288
netifd和ubus概述 sstp-client加入netifd支持 下面都是记录试错的过程,以备以后调试。要结果请看最后。 最初的想法:参照pptp协议的方法照葫芦画瓢 实际遇到的问题是pptp协议其实是和pppoe,pppoa,ppp等一起的,而且新版的openwrt中,pptp已经是一个内核模块(kmod-pptp),源码不知道怎么找 内容看不懂,大概是都调用generic的方法
openwrt系统安装到云服务器,OpenWrt搭建私有软件源服务器实现快速安装软件
weixin_42472941的博客
08-06 1717
在固件中增加各类软件扩展路由的功能,满足各类个性化需求,是OpenWrt/Lede等固件特有的能力,也是DIY的乐趣所在。OpenWrt/LEDE安装软件有哪些问题?虽然OpenWrt有官方的软件包管理系统,但由于OpenWrt固件碎片化比较严重(多种软件分支,多种设备),官方源的软件包并不一定可以适应所有版本。还有某些软件会依赖于内核模块,会严格要求内核版本,很有可能因为软件包编译时依赖的内核版...
OpenWrt使用sstp-client(1)-附件资源
03-05
OpenWrt使用sstp-client(1)-附件资源
OpenWrt配置openVPN客户端
最新发布
衡水铁头哥的博客
05-28 3268
正文共:777 字 14 图,预估阅读时间:1 分钟我们现在已经部署好了单网卡的OpenWrtOpenWrt配置单臂路由模式),也安装了openVPN组件(OpenWrt部署配置openVPN服务器)。考虑到OpenWrt是Linux内核的,参考我们之前的经验(Ubuntu系统如何连接或断开openVPN),OpenWrt应该也可以作为openVPN客户端来向openVPN服务器发起连接。实际是...
sstp-client for openwrt编译
magicdog2009的专栏
11-14 2823
事实上我觉得在openwrt下所有的东西都不像看上去那么容易,本来linux下
OpenWrt -- OpenVPN配置Server&Client(TUN模式)
热门推荐
Amosstan的博客
08-16 3万+
目标是两台设备能通过OpenVPN TUN模式建立连接。
20200328.openwrt-x86-64-combined-squashfs.img_openwrt-x86-64_ope
10-01
标题中的"20200328.openwrt-x86-64-combined-squashfs.img"指的是OpenWrt项目在2020年3月28日发布的针对x86-64架构的固件镜像文件。OpenWrt是一个高度模块化、完全可配置的嵌入式Linux发行版,主要用于路由器和其他...
OpenWrt编译工具链】mipsel-openwrt-linux-gcc
04-09
OpenWrt-Toolchain-ramips-mt7688_gcc-4.8-linaro_uClibc-0.9.33.2.Linux-x86_64
openwrt-gdq-winter2022-x86-64-generic-squashfs-uefi.img
06-22
eSir openwrt 高大全 2022 winter uefi 固件版本
openwrt中搭建strongswan服务器vpn支持ipsec ikev2
初学者的专栏
10-31 7965
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。编辑StrongSwan的IPsec预共享密钥配置文件。OpenWrt上StrongSwan VPN服务器的安装和配置。编辑StrongSwan的IPsec连接配置文件。编辑StrongSwan的主配置文件。打开终端或SSH连接到你的OpenWrt路由器。
安卓-SSTP客户端连接教程
w15189597283的博客
11-13 591
下载地址: http://cdn.xzpaladin.com/down/sstppro.apk。服务器查询: http://www.pldip.com/city。**注意:根据购买的产品不同,连接地址不同,详细可以咨询客服 **端口填写购买的产品的对应sstp端口。第一次连接会出现警告 点击不要再显示。点击右下角的 + 添加服务器地址。下载后安装进安卓设备中并运行。下载SSTP通用连接客户端。点击右下角的 + 添加配置。点击刚才新建的配置开关按钮。远程主机填写服务器地址。显示已连接代表连接完成。
sstp-client-开源
05-02
Linux / Mac OS-X的安全套接字隧道协议(SSTP)的客户端实现,允许通过SSTP VPN远程访问Microsoft Windows 2008 Server。
android vpnservice SSTP 协议在连接过程遇到的问题
hc5054的博客
10-20 2369
前景:接到项目需求时候没有冷静的分析需求在android 开发者网站搜了搜看到有相关资料看到有vpn的连接方式 就以为可以了开干了 没有想清楚协议这块的问题 客户这边提供了三种协议方式 PPTP L2TP SSTP 重要点:关于这块的资料都是需要翻墙查找的,国内被墙了 最好是要先了解三种协议的区别以及在客户端实现的话哪种协议实现难度,因为我这边在github上查找相关项目时候看奥PPTP L2TP 的项目都比较老旧 SSTP的项目相对来说比较新 我这边是选择SSTP这种...
下了个ppp源码编译 gprs拨号 问题记录
cool 刘的博客
09-21 5690
昨天从ftp://ftp.samba.org/pub/ppp/ppp-2.4.5.tar.gz下了ppp2.4.5的源码,编译出来的chat和pppd程序在板端运行后出现这样的错误: 1、./pppd: line 1: syntax error: "(" unexpected 百度了下说是编译器的问题,但是不知道怎么指定编译器啊。 解决了:在make的时候加上 make CC=
mac实现sstp协议windows
杨仕虎的博客
02-12 1571
安装软件: brew install sstp-client 执行命令: sudo sstpc --log-stderr --cert-warn --user <user> --password <password> <server> usepeerdns require-mschap-v2 noauth noipdefault defaultroute refuse-eap noccp sudo一定要加上 问题:这样拨号无法实现本地访问网络,默认路由都走拨号地址了
记录工作中RouterOS的脚本命令(一)
lx_1314的博客
09-09 1599
1.获取routeros路由器中的所有pppoe拨号失败的pppoe账号 /interface pppoe-cl :foreach i in [find] do={:if [get $i running ] do={} else={:put [[get $i user] ]}} / 2.获取routeros路由器中的所有pppoe拨号失败的pppoe账号和密码 /interface pppoe-cl :foreach i in [find] do={:if [get $i running ]
【一步一步学】ROS 的SSTP 介绍与应用
介绍多个领域的专业技术知识传播,包括开发、运维、网络加速、网络代理、软路由等,有兴趣可以加V一起交流。V:fastman2024,备注:CSDN
01-05 7424
SSTP(Secure Socket Tunneling Protocol)是一种基于SSL(Secure Socket Layer)的VPN协议,它可以提供安全的远程访问方式。RouterOS支持SSTP协议,允许用户通过加密隧道连接远程网络或资源。 SSTP的优势之一是其在防火墙和代理服务器背后的穿透能力。它可以轻松地穿越各种网络限制和阻碍,使得用户能够安全地访问远程资源。
OpenWrt网络配置详解
zhouwu_linux的专栏
03-05 1万+
OpenWrt网络配置的方法,以及总结开发过程中的实例
arm-openwrt-linux-gcc
03-06
arm-openwrt-linux-gcc是一个用于在Linux下进行交叉编译的工具。它是GCC编译器的一个变体,专门用于ARM架构的OpenWrt操作系统。通过使用arm-openwrt-linux-gcc,开发人员可以在主机上编译ARM架构的应用程序,并将其部署到OpenWrt设备上。 以下是一个使用arm-openwrt-linux-gcc进行交叉编译的示例[^1]: ```shell arm-openwrt-linux-gcc -o hello hello.c ``` 上述命令将使用arm-openwrt-linux-gcc编译名为hello.c的源文件,并生成一个名为hello的可执行文件。 请注意,使用arm-openwrt-linux-gcc进行交叉编译时,需要提供正确的交叉编译工具链和目标平台的配置参数。这些参数可以通过配置文件或命令行选项进行设置,具体取决于项目的需求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值