💡 Полезные Советы

Протокол SSTP (Secure Socket Tunneling Protocol) придумала и разработала компания Microsoft.

Когда говорят что у Keenetic или Mikrotik "свой SSTP", имеется в виду не свой протокол, а своя программная реализация этого протокола.

Например как с веб-браузерами:

1. Протокол: Есть стандарт HTTPS, по которому работают современные сайты.

2. Реализация: Есть Google Chrome, Mozilla Firefox, Apple Safari. Это разные программы (разные реализации), написанные разными компаниями, но все они "понимают" один и тот же протокол HTTP.

Что значит свой SSTP на Keenetic?

Это значит, что инженеры Keenetic написали собственный код (свою программу-клиент и программу-сервер), который работает по правилам (стандарту) протокола SSTP от Microsoft.

Чем он отличается от других (например, от того, что в Windows)?

1. По протоколу - ничем. Он полностью совместим. Клиент SSTP на Windows 10/11 может без проблем подключиться к SSTP-серверу, поднятому на Keenetic. И наоборот, роутер Keenetic (как клиент) может подключиться к SSTP-серверу на Windows Server.

2. По реализации - всем. Он написан на другом языке программирования, оптимизирован для работы на оборудовании Keenetic (у роутеров меньше оперативной памяти и более слабые процессоры, чем у ПК) и встроен в их операционную систему KeeneticOS. Реализация Microsoft встроена в Windows.

А на Mikrotik есть SSTP? Там тоже свой SSTP?

Да, на Mikrotik (в RouterOS) есть SSTP. Он поддерживается уже много лет и отлично работает.

И да, там тоже "свой SSTP". Точно так же, как и Keenetic, компания Mikrotik написала свою собственную программную реализацию протокола SSTP, чтобы он работал в их операционной системе RouterOS. Эта реализация также полностью совместима со стандартом Microsoft.

Протокол (стандарт) один - его придумала Microsoft. А вот реализаций (программ, которые этот протокол используют) много.

В чем главная фишка SSTP?

Главная фишка SSTP - это его способность маскироваться под обычный HTTPS-трафик.

1 . Обход блокировок (Firewall/DPI): Это его основное преимущество. SSTP инкапсулирует VPN-трафик в HTTPS (SSL/TLS) соединение. Большинство межсетевых экранов (файрволов) и систем глубокого анализа пакетов (DPI - Deep Packet Inspection) пропускают HTTPS-трафик, так как это стандартный протокол для защищенных веб-сайтов (банков, магазинов, почты и т.д.). Для DPI трафик SSTP выглядит как обычный HTTPS.

• В отличие от OpenVPN, который может быть настроен на любой порт и легко идентифицируется DPI, если не применять обфускацию, SSTP по умолчанию "выглядит" как веб-трафик.

• WireGuard хоть и быстр, но его трафик также может быть идентифицирован DPI, если не использовать маскировку.

2 . Надежное шифрование: SSTP использует SSL/TLS для шифрования, что обеспечивает высокий уровень безопасности. Это те же криптографические стандарты, что используются для защиты банковских транзакций в интернете.

3 . Встроенная поддержка в Windows: Поскольку SSTP разработан Microsoft, он встроен во все современные версии Windows, что делает его очень простым в настройке для клиентов на Windows — не требуется установка дополнительного ПО.

4 . Удобство для администраторов (Windows-среда): Для организаций, полностью построенных на инфраструктуре Windows Server (Active Directory, RRAS), SSTP является естественным выбором для удаленного доступа, так как он легко интегрируется с этими системами.

Как работает SSTP?

1 . Инкапсуляция в HTTPS:

• SSTP устанавливает VPN-туннель через протокол HTTPS. Это означает, что он использует TCP-порт 443 (стандартный порт для HTTPS).

• Когда вы подключаетесь к SSTP-серверу, ваш клиент инициирует обычное HTTPS-соединение. Внутри этого HTTPS-соединения SSTP создает свой собственный туннель.

2 . SSL/TLS Handshake:

• Как и любое HTTPS-соединение, SSTP сначала выполняет SSL/TLS "рукопожатие" (handshake), чтобы установить защищенный канал. На этом этапе клиент и сервер обмениваются сертификатами (обычно сервер отправляет свой сертификат клиенту, чтобы клиент мог убедиться в подлинности сервера) и договариваются о параметрах шифрования.

• Это ключевой момент для обхода DPI: на данном этапе трафик выглядит идентично обычному HTTPS.

3 . Аутентификация и туннель:

• После установления защищенного TLS-канала, внутри него происходит аутентификация пользователя (по логину/паролю или другим методам).

• После успешной аутентификации устанавливается сам VPN-туннель, и весь сетевой трафик клиента начинает проходить через этот защищенный туннель.

SSTP является одним из наиболее эффективных протоколов для обхода DPI и файрволов, которые блокируют VPN-трафик. Его главный козырь - использование стандартного порта 443 и маскировка под HTTPS. Это делает его очень полезным в сетях с жесткими ограничениями или в странах, где VPN-трафик активно блокируется.

Золотое правило обновления OpenWrt: "Обновлять прошивку без сохранения настроек всех настроек". Иначе могут возникать различные проблемы и конфликты.

Вот полезная инструкция для тех, кто столкнется с такой же проблемой.

Симптомы(Это означает, что проблема на 100% в настройках роутера.):

• На компьютере ошибка "Не удается связаться с DNS-сервером".

• В интерфейсе OpenWrt (Network -> Interfaces) на wan-интерфейсе есть исходящие пакеты (TX), но нет входящих (RX: 0 B (0 Pkts.)).

• Если подключить кабель провайдера напрямую к компьютеру - интернет есть.

Небольшая инструкция:

1. Скачайте нужный файл прошивки с официального сайта OpenWrt. (Используйте образ Sysupgrade образ можно использовать с веб-интерфейсом LuCI или в терминале.)

2. Зайдите в System -> Backup / Flash Firmware.

3. Загрузите прошивку. В процессе обновления НИ в коем случае НЕ отключайте питание.

4. В процессе обновления ОБЯЗАТЕЛЬНО снимите галочку "Keep settings" (Сохранить настройки).

5. Роутер перезагрузится с настройками по умолчанию. (нужно будет настроить всё с нуля)

Это устраняет 90% всех проблем, связанных с обновлением, включая "призрачные" интерфейсы вроде br-wan, ошибки со значками из-за установки различных сторонних пакетов и прочее.

Защита по MAC-адресу (Media Access Control address) у провайдера - это мера безопасности, при которой провайдер разрешает доступ в интернет только устройствам с определенным, заранее зарегистрированным MAC-адресом (обычно это MAC-адрес вашего первого роутера или сетевой карты компьютера).

Этот механизм называется привязкой по MAC-адресу и используется для:

• Идентификации абонента: Устройство с привязанным MAC-адресом однозначно идентифицирует вас в сети провайдера.

• Ограничения несанкционированного доступа: Это предотвращает возможность подключения к вашей линии интернета других пользователей, например, соседей, если они просто воткнут кабель в свой роутер или компьютер.

При замене роутера на новый у него, естественно, будет другой MAC-адрес. Провайдер "видит" новый, незарегистрированный MAC-адрес и блокирует ему доступ к сети, поскольку считает его чужим или неавторизованным устройством. Поэтому интернет не появляется.

Какие настройки нужно изменить у провайдера?

Чтобы получить доступ в интернет с новым роутером, нужно, чтобы провайдер внес изменения в свою систему. Есть два основных способа:

1 . Сброс/Изменение привязки MAC-адреса у провайдера

• Вам нужно сообщить провайдеру (по телефону, в личном кабинете или чате) новый MAC-адрес WAN-порта вашего нового роутера.

• Провайдер удалит старый MAC-адрес из своей системы и зарегистрирует (пропишет) новый MAC-адрес вашего роутера. После этого ваш новый роутер получит доступ к сети.

2 . Клонирование MAC-адреса на новом роутере

• В этом случае вы сами в настройках нового роутера (в разделе WAN или Интернет, функция называется "Клонировать MAC-адрес" или "MAC Clone") прописываете MAC-адрес старого роутера или компьютера, который был привязан изначально.

• Новый роутер начнет "притворяться" старым устройством, используя его MAC-адрес. Поскольку для провайдера адрес не изменился, доступ в интернет восстанавливается без обращения в техподдержку.

Ошибка ntfs.sys при загрузке Windows, часто приводящая к "синему экрану смерти" (BSOD), указывает на критическую проблему, связанную с файловой системой NTFS. Файл ntfs.sys является системным драйвером, который позволяет Windows читать и записывать данные на диски, отформатированные в этой системе. Его сбой делает невозможной дальнейшую загрузку операционной системы.

Основные причины возникновения ошибки

Существует несколько ключевых причин, по которым может возникать ошибка ntfs.sys:

• Повреждение файловой системы. Это наиболее частая причина. Логические ошибки на диске, внезапное отключение питания или некорректное завершение работы могут нарушить целостность файловой системы.
• Проблемы с жестким диском. Физические повреждения диска, такие как появление "битых" секторов (bad sectors) на HDD или износ ячеек памяти на SSD, могут приводить к невозможности прочитать или записать файл ntfs.sys или другие системные данные.
• Конфликты или повреждение драйверов. В первую очередь это касается драйверов контроллеров жестких дисков (SATA/AHCI). Устаревшие, некорректно установленные или несовместимые драйверы могут вызывать сбои при обращении к диску.
• Проблемы с оперативной памятью (ОЗУ). Неисправные или несовместимые планки оперативной памяти могут вызывать ошибки при чтении и записи данных, что косвенно приводит к повреждению системных файлов, включая ntfs.sys.
• Вредоносное ПО. Вирусы и другие вредоносные программы могут целенаправленно повреждать системные файлы, приводя к сбоям загрузки.
• Недостаток места на системном разделе. Если на диске, где установлена Windows, заканчивается свободное пространство, это может привести к различным ошибкам, в том числе и к сбою ntfs.sys.

Как исправить ошибку

Поскольку доступ к операционной системе, как правило, невозможен, для устранения проблемы потребуется загрузочный носитель (флешка или диск) с Windows или специальная среда восстановления.

1. Проверка и восстановление файловой системы

Это первый и самый важный шаг. Вам необходимо запустить утилиту CHKDSK (Check Disk) для проверки диска на наличие ошибок.

• Загрузитесь с установочной флешки Windows.
• На экране установки выберите "Восстановление системы" -> "Поиск и устранение неисправностей" -> "Дополнительные параметры" -> "Командная строка".
• В командной строке введите команду:

chkdsk c: /f /r

Где c: - это буква вашего системного диска. Ключ /f исправляет ошибки на диске, а /r ищет поврежденные сектора и пытается восстановить информацию.

2. Восстановление системных файлов

• Если проверка диска не помогла, возможно, повреждены системные файлы.
• Так же, как и в предыдущем шаге, загрузитесь в командную строку из среды восстановления.

Выполните команду для проверки целостности системных файлов: 

sfc /scannow

Эта команда просканирует все защищенные системные файлы и заменит поврежденные версии.

3. Проверка оперативной памяти

• Для исключения проблем с ОЗУ можно воспользоваться встроенным средством диагностики памяти Windows или сторонними утилитами, такими как MemTest86.
• В среде восстановления выберите "Диагностика памяти Windows".
• Система перезагрузится и начнет проверку. Этот процесс может занять продолжительное время.

4. Обновление или переустановка драйверов

• Если ошибка стала появляться после установки нового оборудования, проблема может быть в драйверах. В безопасном режиме (если в него удается зайти) можно попытаться обновить или откатить драйверы контроллеров дисков.

RouterOS - это специализированная операционная система, разработанная латвийской компанией MikroTik. Она основана на ядре Linux и предназначена для превращения аппаратных платформ (как фирменных устройств MikroTik RouterBOARD, так и обычных компьютеров на базе архитектуры x86) в многофункциональные сетевые маршрутизаторы.

В чем преимущество RouterOS?

RouterOS славится своей гибкостью и широчайшим набором функций, что позволяет использовать её для решения самых разнообразных сетевых задач - от простого домашнего роутера до сложных провайдерских сетей.

• Маршрутизация. Поддерживаются все виды статической и динамической маршрутизации (включая OSPF, BGP, RIP), что позволяет строить сложные и отказоустойчивые сети.

• Брандмауэр (Firewall). Мощный и гибкий межсетевой экран позволяет детально настраивать правила фильтрации трафика, обеспечивая высокий уровень безопасности сети.

• VPN (Виртуальные частные сети). Система поддерживает множество протоколов VPN (IPsec, L2TP, OpenVPN, PPTP и другие), что даёт возможность безопасно объединять удалённые офисы или подключать сотрудников к корпоративной сети.

• Управление беспроводными сетями. RouterOS позволяет создавать и управлять беспроводными сетями Wi-Fi в качестве точки доступа, клиента или в составе сложных Mesh-сетей. Поддерживаются все современные стандарты Wi-Fi.

• Hotspot Gateway. Одна из самых популярных функций - организация публичных Wi-Fi сетей (в кафе, гостиницах, аэропортах) с возможностью аутентификации пользователей, ограничения скорости и учёта трафика.

• Контроль пропускной способности (QoS). Система позволяет эффективно управлять трафиком: устанавливать приоритеты для определённых видов данных (например, для видеозвонков), ограничивать скорость для отдельных пользователей или устройств.

• Мониторинг и администрирование. RouterOS предоставляет обширные инструменты для мониторинга состояния сети в реальном времени, ведения логов и диагностики неполадок.

Управлять устройствами на базе RouterOS можно несколькими способами, что делает её удобной как для новичков, так и для опытных сетевых инженеров:

• WinBox: Самый популярный способ - это специальная утилита с графическим интерфейсом для Windows, которая позволяет легко и наглядно настраивать все функции роутера.

• WebFig: Веб-интерфейс, доступный через любой браузер. По функциональности почти не уступает WinBox.

• Командная строка (CLI): Для продвинутых пользователей и автоматизации доступно управление через консоль по протоколам SSH или Telnet. Это самый мощный и гибкий способ конфигурации.

• API: Позволяет интегрировать управление устройствами MikroTik в сторонние системы мониторинга и автоматизации.

Благодаря своей стабильности, богатому функционалу и доступной цене, оборудование MikroTik под управлением RouterOS стало чрезвычайно популярным как среди интернет-провайдеров и системных администраторов, так и среди энтузиастов, желающих получить максимальный контроль над своей домашней сетью.

Даже если вы отключите все свои диски и оставите только зараженный диск, риск заражения все равно существует, и он становится более серьезным, хотя и другого рода.

​Основная угроза в этом случае - заражение прошивки материнской платы (BIOS/UEFI).

​Вот как это работает:

1.) Процесс загрузки: Когда вы включаете компьютер, первой запускается не операционная система, а программа, записанная в чип на материнской плате - BIOS или UEFI. Эта программа инициализирует оборудование и ищет на подключенных дисках загрузчик операционной системы.

2.)​ Атака на прошивку: Если на этом зараженном диске находится не просто вирус, а специализированная вредоносная программа (так называемый буткит или руткит прошивки), она может запуститься в этот самый ранний момент. Ее цель - не заразить Windows (которая и так неисправна), а перезаписать часть кода в самой прошивке вашей материнской платы.

3.) ​Последствия: Если заражение прошивки удастся, вирус будет загружаться каждый раз при включении компьютера, еще до старта Windows и до начала работы любого антивируса. Такой вирус практически невозможно обнаружить стандартными средствами, и он переживет форматирование диска и полную переустановку Windows. Это дает злоумышленнику полный и скрытый контроль над вашим ПК.

​Поможет ли в этом случае Secure Boot?

​В этой ситуации Secure Boot - ваша основная, но не стопроцентная линия защиты.

• Как он должен сработать: Secure Boot проверяет цифровую подпись загрузчика Windows. Если буткит изменил оригинальный загрузчик, подпись станет недействительной, и Secure Boot должен заблокировать запуск, не дав вредоносному коду выполниться.

​Почему он может не помочь:

• ​Уязвимости: Существуют сложные атаки, которые могут обойти Secure Boot, используя уязвимости в прошивке или в подписанных, но уязвимых загрузчиках. ​Отключен: Secure Boot может быть отключен в настройках вашего BIOS.

Поэтому самый лучший выбор и самый безопасный способ проверить диск - подключить его как второстепенный (не загрузочный) к заведомо исправной и защищенной системе.