Настройка SSTP Сервера и клиента

Сегодня поговорим о том как настроить SSTP Server на MikroTik. Расшифровывается аббревиатура как Secure Socket Tunneling Protocol – PPP туннель аутентифицирует через TLS канал. Использует TCP порт 443 и фактически проходит через все фаерволы и прокси сервера. Впервые был представлен в Windows Vista SP1. С того момента прошло много времени, но не зря, т.к. все поняли очевидные его плюсы, а именно:

  • Безопасный, используются алгоритмы AES;
  • Хорошо проходим, тесты показывают установку соединения из Тайландского WiFi в отеле и обычного Украинского провайдера;
  • Полностью поддерживается MS Windows.

Из минусов

  • работает на одном ядре;
  • уязвим перед некоторыми атаками MITM (скорее фантастика).

В сегодняшней статье мы рассмотрим настройку SSTP сервера на роутере микротик с версией 6.46.4 и клиента на операционной системе Windows 10 Pro 1909.  Идеальное решение для предоставления пользовательского подключения к корпоративной сети и не только. Прикрутив коммерческий сертификат, вы снимаете с себя ручное добавление его в машинах Windows. Но в качестве демонстрации, мы будем использовать само подписанный. Так же возможно настроить Site to Site туннель между двумя Mikrotik, причем без них, что крайне не рекомендую.

Схема сети

SSTP топология

  • Сервер SSTP имеет адрес 192.168.100.2;
  • Клиентский ПК получает из пула 192.168.1.0/24;
  • Маршрутизируемая сеть между удаленными площадками.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Настройка сервера SSTP

Конфигурация устройства проста. Имеем RouterBoard с настроенным выходом в интернет. Подключение будет происходить по сертификату, в котором вместо имени указан IP адрес. Первым делом нужно создать сертификат центра сертификации. Переходим в System – Certificates и создаем новый.

Открываем меню сертификатов

В поле Name указываем понятное имя, отображаемое в списке;

  • Country – двухбуквенное значение;
  • State, Locality, Organization, Unit – по своему усмотрению;
  • Common Name – самое важное, уникальное имя. Если у вас есть доменное имя vpn.test.ru, то вписываете его сюда. Если же его нет, но есть публичный статический адрес, то пишите его. Представим, что наш адрес такой.

Вы так же можете указать длину ключа и срок действия.Создаем корневой сертификат

Далее переходим в Key Usage. Снимаем галки со всего, оставляя только на crl sign и key cert. sign.

Убираем не нужные опции

Жмем Apply и Sign. В новом открывшемся окне подписания, стартуем процесс подписи кнопкой Start.

Запускаем генерацию

По завершении увидим в Progress состояние done и аббревиатуру KAT возле CA.

Проверяем создание

Далее создаем сертификат самого сервера SSTP, который будет указан в качестве основного на интерфейсе. Жмем плюс и заполняем все поля аналогично предыдущему, за исключением понятного имени.

Создадим сертификат сервера

На вкладке Key Usage добавляем галочки tls client и tls server.

Выставляем нужные опции

Жмем Apply и Sign. В открывшимся окне подписи в поле CA выбираем корневой сертификат и стартуем процесс.

Подписываем с помощью СА

Проверим.

Смотрим на список выпущенных сертификатов

Далее создадим профиль подключения для клиентов. PPP – Profiles. Указываем понятное имя профиля;

  • адрес в туннеле;
  • разрешаем TCP MSS;
  • запрещаем UPnP.

Создаем новый профиль SSTP

В Protocols:

  • Use MPLS – запретить;
  • Use Compression – разрешить;
  • Use Encryption – разрешить;

Указываем дополнительные параметры Protocols

В Limits выставляем Only One в no.

Правим ограничения

Создадим пользователя в Secrets.

  • Name – имя пользователя, регистр имеет значение;
  • Password – пароль;
  • Service – SSTP;
  • Profile – созданный выше;
  • Remote Address – адрес в туннеле.

Создаем пользователя SSTP

Сохраняем и переходим в PPP – interfaces. Нас интересует вкладка SSTP Server.

Открываем PPP интерфейсы

Открыв ее, указываем следующие значения:

  • Enable – ставим галочку;
  • Default Profile – ранее созданный;
  • Authentication – mschapv2;
  • Certificate – Server;
  • Force AES, PFS – включаем.

Включаем SSTP

Если страшно, то можно выставить TLS Version в only 1.2. Двигаемся дальше к фаерволу. Просто одно правило. Разрешить входящий трафик на 443 порт – все.

Разрешаем SSTP

Настройка SSTP клиента на Микротик

Для дальнейшей конфигурации нам нужен сертификат центра сертификации добавить в доверенные компьютера. Иначе начнется песня со списком отзывов и в этом роде. Конечно, таких проблем не будет, используя коммерческий. Но его нужно сначала выгрузить. Открываем System – Certificates, выбираем CA и жмем Export.

Экспортируем CA сертификат

В Files должен появится экспорт. Передаем его любым удобным способом на клиентскую машину.

Копирование на ПК пользователя

Далее вы можете вручную его добавить в доверенные ПК, но я предпочитаю это делать скриптом. Сохраняем в формате .bat

Создаем на рабочем столе папу CA, копируем туда CA.crt и запускаем из-под администратора батник.

cd «%UserProfile%\Desktop\CA»

certutil -addstore «Root» CA.crt

Проверяем что все хорошо.

Проверяем импорт CA

Далее переходим в Центра управления сетями и общим доступом – Создание и настройка нового подключения или сети.

Создаем новое подключение

Подключение к рабочему месту.

Выбираем подключение к рабочему месту

Использовать мое подключение к Интернету.

Используем свое подключение к Интернету

Указываем адрес и имя будущего интерфейса.

Указываем адрес сервера и имя интерфейса

Переходим в Изменение параметров адаптера» и открываем свойства VPN интерфейса. На вкладке «Тип VPN» переключить с автоматически на SSTP, Проверку подлинности переключить на Microsoft CHAP версии 2.

Выбираем клиент SSTP и MS-CHAPv2

Сохраняем и пытаемся подключиться.

Вводим логин и пароль SSTP

На момент написания статьи у меня вышла такая ошибка.

Ошибка срока действия сертификата

Это было связанно со временем. Т.к. в виртуальных машинах оно идет по-другому. Открыв свойства сертификата, заметил, что срок, с которого действителен еще не наступило. Исправив время на правильное, все заработало. Вывод, не используйте само подписанные. Проверим подключение на клиенте и сервере.

Проверим интерфейс на Windows

Проверим интерфейс на Mikrotik

На этом пожалуй все, в этой статье мы показали как можно легко создать SSTP сервер на роутере Микротик и подключить к нему клиента Windows 10. Спасибо за внимание и до новых встреч.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Оцените статью
MikroTikLab
Добавить комментарий

  1. Борис

    Извиняюсь за возможно тупой вопрос, но.
    В какой программе делали схему сети?

    Ответить
    1. Admin26

      Это все делалось в «eve-ng эмуляторе» статья по его установки и настройке есть у нас на сайте.

      Ответить
  2. Александр

    Спасибо за труды! Но что-то я не понял…
    «Настройка SSTP клиента на Микротик» — экспорт сертификата и… настройка подключения на Винде? Наверно следовало назвать «Настройка SSTP клиента на Windows». А еще лучше описать и тот и другой вариант.

    Ответить
  3. Михаил

    Статья хорошая, но — соединение слиента и сервера невозможно т.к. у них разный алгоритм работы. Подскажите, куда смотреть?
    C уважением.

    Ответить
    1. Артур Гарян автор

      Добрый день.
      Какая у вас ошибка и на какой стадии?

      Ответить
    2. Данила

      Скорее всего в настройках SSTP server не указали профиль или сертификат.

      Ответить
  4. Сергей

    А где настройка со стороны клиентского микротика?
    Я увидел только как на виндовс клиент настраивается…
    Заголовок вводит в заблуждение, т.к. я искал настройку между двумя микротиками а наткнулся на эту статью…

    Ответить
    1. Артур Гарян автор

      Добрый день.
      Вроде задача в заголовке описана

      Ответить
  5. Игнат

    а откуда у вас сеть 172.16.20.х взялась? Или можно любые адреса ставить?

    Ответить
    1. Артур Гарян автор

      Добрый день
      Да, в схеме сети не дописал
      Но на скринах в профайле это внутренняя сеть VPN

      Ответить
Adblock
detector