====== Настройка SSTP сервера на Almalinux 8 ======
===== 1. Подготовка окружения =====
==== Установим необходимые утилиты для компиляции и работы сервера: ====
<code bash>
sudo dnf install wget make gcc binutils tar -y
</code>
(При необходимости можно заранее включить EPEL-репозиторий для дополнительных пакетов:)
<code bash>
sudo dnf install epel-release -y
</code>
===== 2. Скачивание и сборка SoftEther VPN Server =====
<code bash>
wget "https://www.softether-download.com/files/softether/v4.41-9787-rtm-2023.03.14-tree/Linux/SoftEther_VPN_Server/64bit_-_Intel_x64_or_AMD64/softether-vpnserver-v4.41-9787-rtm-2023.03.14-linux-x64-64bit.tar.gz"
tar -xzf softether-vpnserver-*.tar.gz
cd vpnserver
make
cd ..
sudo mv vpnserver /usr/local/
</code>
===== 3. Настройка прав и SELinux =====
<code bash>
sudo chmod -R 600 /usr/local/vpnserver/*
sudo chmod 700 /usr/local/vpnserver/vpnserver /usr/local/vpnserver/vpncmd
#sudo chcon -Rv -u system_u -t bin_t /usr/local/vpnserver/vpnserver
#sudo semanage fcontext -a -t bin_t '/usr/local/vpnserver/vpnserver'
#sudo restorecon -v '/usr/local/vpnserver/vpnserver'
sudo semanage fcontext -a -t bin_t '/usr/local/vpnserver(/.*)?'
sudo restorecon -Rv '/usr/local/vpnserver'
</code>
===== 4. Создание systemd-сервиса =====
Создаём файл /etc/systemd/system/softether-vpnserver.service со следующим содержимым:
<code ini>
[Unit]
Description=SoftEther VPN server
After=network-online.target

[Service]
Type=forking
ExecStart=/usr/local/vpnserver/vpnserver start
ExecStop=/usr/local/vpnserver/vpnserver stop

[Install]
WantedBy=multi-user.target
</code>
Перезагрузим демона и включим автозапуск:
<code bash>
sudo systemctl daemon-reload
sudo systemctl enable softether-vpnserver
sudo systemctl start softether-vpnserver
</code>
===== 5. Открытие порта в брандмауэре =====
SSTP работает поверх SSL/TLS на TCP 443:
<code bash>
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
sudo firewall-cmd --reload
</code>
===== 6. Базовая настройка SSTP-сервера через vpncmd =====
Запускаем утилиту управления:
<code bash>
sudo /usr/local/vpnserver/vpncmd /SERVER
</code>
В интерфейсе:

  * Создать виртуальный хаб для SSTP:
<code bash>
HubCreate SSTP
</code>

  * Установить пароль администратора:
<code bash>
ServerPasswordSet
</code>

  * Включить SecureNAT (встроенный NAT/DHCP):
<code bash>
SecureNatEnable
</code>

  * Перейти в хаб и создать VPN-пользователя:
<code bash>
Hub SSTP
UserCreate <имя_пользователя>
UserPasswordSet <имя_пользователя>
</code>

  * Сгенерировать SSL-сертификат (замените yourdomain.com):
<code bash>
ServerCertRegenerate yourdomain.com
ServerCertGet yourdomain.com.cer
</code>

  * Включить SSTP:
<code bash>
SstpEnable yes
</code>

  * Выйти:
<code bash>
exit
</code>

Перезапустить службу softether-vpnserver:
<code bash>
sudo systemctl restart softether-vpnserver
</code>

===== 7. Включить маршрутизацию и настроить NAT (маскарадинг) в Firewalld=====
  * Добавьте в /etc/sysctl.d/99-sysctl.conf:
<code ini>
net.ipv4.ip_forward = 1
</code>

  * Применить настройку:
<code bash>
sudo sysctl --system
</code>

  * Включите маскарадинг:
<code bash>
sudo firewall-cmd --zone=public --add-masquerade --permanent
</code>
  * (Опционально) Если хотите ограничить маскарадинг только для SSTP-подсети:
<code bash>
sudo firewall-cmd --permanent --direct --add-rule ipv4 nat POSTROUTING 0 \
-s 192.168.30.0/24 -o eth0 -j MASQUERADE
</code>
  * Перезагрузите firewalld:
<code bash>
sudo firewall-cmd --reload
</code>

===== Внешний сертификат =====

<code bash>
sudo dnf install nginx certbot python3-certbot-nginx -y
</code>

<code bash>
sudo systemctl enable --now nginx
</code>

<code bash>
sudo firewall-cmd --zone=public --add-service=http --permanent
#sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --reload
</code>

<code bash>
sudo certbot --nginx -d sstp.virtlab.space
</code>

<code bash>
sudo mkdir -p /etc/letsencrypt/renewal-hooks/deploy
sudo tee /etc/letsencrypt/renewal-hooks/deploy/softether-reload.sh > /dev/null <<'EOF'
#!/bin/bash

LE_DIR="/etc/letsencrypt/live/sstp.virtlab.space"
VPN_DIR="/usr/local/vpnserver"

# Копируем свежий сертификат и ключ
cp "$LE_DIR/fullchain.pem" "$VPN_DIR/server.crt"
cp "$LE_DIR/privkey.pem"   "$VPN_DIR/server.key"

# Ставим правильные права
chmod 600 "$VPN_DIR/server.crt" "$VPN_DIR/server.key"
chown root:root "$VPN_DIR/server.crt" "$VPN_DIR/server.key"

# Перезапускаем SoftEther, чтобы он подхватил новые файлы
systemctl restart softether-vpnserver
EOF
sudo chmod +x /etc/letsencrypt/renewal-hooks/deploy/softether-reload.sh
</code>

<code bash>
sudo cp /etc/letsencrypt/live/sstp.virtlab.space/fullchain.pem /usr/local/vpnserver/server.crt
sudo cp /etc/letsencrypt/live/sstp.virtlab.space/privkey.pem   /usr/local/vpnserver/server.key
sudo chmod 600 /usr/local/vpnserver/server.{crt,key}
sudo chown root:root /usr/local/vpnserver/server.{crt,key}
</code>
===== Настройка на стороне Windows клиента =====
  - Установить сертификат sstp.cer в хоанилище локальных доверенных корневых сертфиикатов.
  - Создать новое подключение SSTP, указав в качестве сервера dns-имя указанное в сертификате.
  - VPN type - SSTP
  - Указать имя пользователя в формате username@hub_name, т.е. username@sstp {{:common_linux:pasted:20250517-212836.png}}
  - В свойствах соединения на вкладке Security указать протоколы: PAP и MS-CHAPv2 {{:common_linux:pasted:20250517-212740.png}}