Разное

Sstp windows 10 mikrotik: Настройка SSTP на MikroTik: Server и client

Содержание

Настройка SSTP на MikroTik: Server и client

Сегодня поговорим о том как настроить SSTP Server на MikroTik. Расшифровывается аббревиатура как Secure Socket Tunneling Protocol – PPP туннель аутентифицирует через TLS канал. Использует TCP порт 443 и фактически проходит через все фаерволы и прокси сервера. Впервые был представлен в Windows Vista SP1. С того момента прошло много времени, но не зря, т.к. все поняли очевидные его плюсы, а именно:

  • Безопасный, используются алгоритмы AES;
  • Хорошо проходим, тесты показывают установку соединения из Тайландского WiFi в отеле и обычного Украинского провайдера;
  • Полностью поддерживается MS Windows.

Из минусов

  • работает на одном ядре;
  • уязвим перед некоторыми атаками MITM (скорее фантастика).

В сегодняшней статье мы рассмотрим настройку SSTP сервера на роутере микротик с версией 6.46.4 и клиента на операционной системе Windows 10 Pro 1909.  Идеальное решение для предоставления пользовательского подключения к корпоративной сети и не только. Прикрутив коммерческий сертификат, вы снимаете с себя ручное добавление его в машинах Windows. Но в качестве демонстрации, мы будем использовать само подписанный. Так же возможно настроить Site to Site туннель между двумя Mikrotik, причем без них, что крайне не рекомендую.

Схема сети

  • Сервер SSTP имеет адрес 192.168.100.2;
  • Клиентский ПК получает из пула 192.168.1.0/24;
  • Маршрутизируемая сеть между удаленными площадками.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Настройка сервера SSTP

Конфигурация устройства проста. Имеем RouterBoard с настроенным выходом в интернет. Подключение будет происходить по сертификату, в котором вместо имени указан IP адрес. Первым делом нужно создать сертификат центра сертификации. Переходим в System – Certificates и создаем новый.

В поле Name указываем понятное имя, отображаемое в списке;

  • Country – двухбуквенное значение;
  • State, Locality, Organization, Unit – по своему усмотрению;
  • Common Name – самое важное, уникальное имя. Если у вас есть доменное имя vpn.test.ru, то вписываете его сюда. Если же его нет, но есть публичный статический адрес, то пишите его. Представим, что наш адрес такой.

Вы так же можете указать длину ключа и срок действия.

Далее переходим в Key Usage. Снимаем галки со всего, оставляя только на crl sign и key cert. sign.

Жмем Apply и Sign. В новом открывшемся окне подписания, стартуем процесс подписи кнопкой Start.

По завершении увидим в Progress состояние done и аббревиатуру KAT возле CA.

Далее создаем сертификат самого сервера SSTP, который будет указан в качестве основного на интерфейсе. Жмем плюс и заполняем все поля аналогично предыдущему, за исключением понятного имени.

На вкладке Key Usage добавляем галочки tls client и tls server.

Жмем Apply и Sign. В открывшимся окне подписи в поле CA выбираем корневой сертификат и стартуем процесс.

Проверим.

Далее создадим профиль подключения для клиентов. PPP – Profiles. Указываем понятное имя профиля;

  • адрес в туннеле;
  • разрешаем TCP MSS;
  • запрещаем UPnP.

В Protocols:

  • Use MPLS – запретить;
  • Use Compression – разрешить;
  • Use Encryption – разрешить;

В Limits выставляем Only One в no.

Создадим пользователя в Secrets.

  • Name – имя пользователя, регистр имеет значение;
  • Password – пароль;
  • Service – SSTP;
  • Profile – созданный выше;
  • Remote Address – адрес в туннеле.

Сохраняем и переходим в PPP – interfaces. Нас интересует вкладка SSTP Server.

Открыв ее, указываем следующие значения:

  • Enable – ставим галочку;
  • Default Profile – ранее созданный;
  • Authentication – mschapv2;
  • Certificate – Server;
  • Force AES, PFS – включаем.

Если страшно, то можно выставить TLS Version в only 1.2. Двигаемся дальше к фаерволу. Просто одно правило. Разрешить входящий трафик на 443 порт – все.

Настройка SSTP клиента на Микротик

Для дальнейшей конфигурации нам нужен сертификат центра сертификации добавить в доверенные компьютера. Иначе начнется песня со списком отзывов и в этом роде. Конечно, таких проблем не будет, используя коммерческий. Но его нужно сначала выгрузить. Открываем System – Certificates, выбираем CA и жмем Export.

В Files должен появится экспорт. Передаем его любым удобным способом на клиентскую машину.

Далее вы можете вручную его добавить в доверенные ПК, но я предпочитаю это делать скриптом. Сохраняем в формате .bat

Создаем на рабочем столе папу CA, копируем туда CA.crt и запускаем из-под администратора батник.

cd «%UserProfile%\Desktop\CA»

certutil -addstore «Root» CA.crt

Проверяем что все хорошо.

Далее переходим в Центра управления сетями и общим доступом – Создание и настройка нового подключения или сети.

Подключение к рабочему месту.

Использовать мое подключение к Интернету.

Указываем адрес и имя будущего интерфейса.

Переходим в Изменение параметров адаптера» и открываем свойства VPN интерфейса. На вкладке «Тип VPN» переключить с автоматически на SSTP, Проверку подлинности переключить на Microsoft CHAP версии 2.

Сохраняем и пытаемся подключиться.

На момент написания статьи у меня вышла такая ошибка.

Это было связанно со временем. Т.к. в виртуальных машинах оно идет по-другому. Открыв свойства сертификата, заметил, что срок, с которого действителен еще не наступило. Исправив время на правильное, все заработало. Вывод, не используйте само подписанные. Проверим подключение на клиенте и сервере.

На этом пожалуй все, в этой статье мы показали как можно легко создать SSTP сервер на роутере Микротик и подключить к нему клиента Windows 10. Спасибо за внимание и до новых встреч.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Настройка VPN подключения из Windows 10 до Mikrotik

Прочитано:
8 724

В текущей заметке, я разберу, как из под Windows 10 Pro x64 настроить VPN подключение до домашней/рабочей сети где шлюз это оборудование на базе Mikrotik (RB2011UiAS-2HnD) версии 6.43. Кто будет смотреть ее не найдет ничего нового, это просто пошаговое руководство для самого себя.

Windows 10 Pro x64 (Version 10.0.17134.254) Настройка VPN подключения до Mikrotik

Исходные данные: средствами Mikrotik я получаю домен четвертого уровня, к примеру: 5281153fa719.sn.mynetname.net

  • Далее через DNS записи своего блога www.ekzorchik.ru создаю CNAME запись вида: home.ekzorchik.ru = домен четвертого уровня. В Вашем случае если этого нет то либо покупать статический IP адрес, использовать DynDNS или что-либо еще у меня таких трудностей нет.
  • По заметке поднимаю VPN/L2TP сервис на домашнем Mikrotik
  • Создаю разрешающие правила и запрещающие

На системе под управлением Windows 10 Pro x64 настраиваю подключение к домашней сети посредством VPN соединения вида: l2tp + ipsec.

[stextbox id=’alert’]На заметку: ну конечно же домена home.ekzorchik.ru нет в реальности, так что не пытайтесь подключиться или подобрать попадете в бан лист для блога, я увижу.[/stextbox]

Авторизуюсь в системе с использованием учетных записей администратора компьютера.

Win + R -> control.exe – (Просмотр: Категория) Мелкие значкиЦентр управления сетями и общим доступом – «Создание и настройка нового подключения или сети» — «Подключение к рабочему месту» — «Использовать мое подключение к Интернету (VPN)»

  • Адрес в интернете: home.ekzorchik.ru
  • Имя объекта назначения: home
  • Запомнить учетные данные: отмечаю галочкой

И нажимаю «Создать» окна «Подключение к рабочему месту», после перехожу на «Изменение параметров адаптера», по созданному подключению с именем «home» через правый клик мышью выбираю элемент «Свойства», затем вкладка «Безопасность»:

  • Тип VPN: Протокол L2TP с IPsec (L2TP/IPsec)
  • Потом «Дополнительные параметры» и указываю ключ ipsec
  • «Для проверки подлинности использовать общий ключ»: Ключ: Aa1234567@!

После нажимаю «Разрешить следующие протоколы»: «Протокол Microsoft CHAP версии 2 (MS-CHAP-2)» и нажимаю ОК окна home: свойства, затем снова на созданном подключении home через правый клик мышью выбираю, но уже «Подключить/отключить», указываю логин и пароль и вуаля подключение к домашней сети успешно настроено.

Дальше уже в зависимости как настроен VPN и правила фаервола я получаю доступ к домашней сети/рабочей сети.

А так все шаги выполнены успешно. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

Mikrotik настройка sstp сервера — Вэб-шпаргалка для интернет предпринимателей!

Содержание

Видеоурок по настройке

Схема сети

В головном офисе установлен маршрутизатор GW1. Он же будет настроен в качестве VPN-сервера. В филиале установлен маршрутизатор GW2, который будет настроен как VPN-клиент. Аутентификация будет происходить по имени пользователя и паролю.

Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24

IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW1: 192.168.15.1/24

Филиал
IP-адрес внешней сети головного офиса: 10.1.200.0/24
IP-адрес внешнего интерфейса маршрутизатора GW2: 10.1.200.1/24

IP-адрес внутренней сети головного офиса: 192.168.25.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.25.1/24

VPN-канал
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.1/32
IP-адрес VPN-интерфейса маршрутизатора GW2: 172.16.30.2/32

Настройка

Настройка первого маршрутизатора

Через графический интерфейс

Включить SSTP-сервер. Оставим только аутентификацию «mschap2» как наиболее надежную и отключим проверку клиентского сертификата.

Создать новый аккаунт. Для дальнейшего удобства лучше задавать имена так, что бы сразу можно было определить к кому или чему они относятся. Т. е. имена типа user1, user2, user3 и т. д. не желательны в виду того, что в случае увеличения их количества будет тяжело сопоставить реальных пользователей аккаунтов и сами аккаунты.

Создать статическую запись SSTP сервера. Это действие не обязательно, т. к. если запись не создать вручную, то при каждом подключении она будет создаваться динамически. Но при этом наличие этой записи облегчает дальнейшую настройку и диагностику.

Через консоль

/interface sstp-server server
set authentication=mschap2 certificate=none enabled=yes verify-client-certificate=no

/ppp secret
add name=user1 password=user1-password local-address=172.16.30.1 remote-address=172.16.30.2 profile=default service=sstp disabled=no

/interface sstp-server
add name=»SSTP Server for filial1″ user=user1

Настройка второго маршрутизатора

Через графический интерфейс

Создать интерфейс для подключения к первому маршрутизатору. Здесь так же оставляем только аутентификацию «mschap2«.

Через консоль

/interface sstp-client
add authentication=mschap2 connect-to=10.1.100.1 disabled=no name=»SSTP HQ connection» password=user1-password user=user1 verify-server-address-from-certificate=no verify-server-certificate=no

Настройка маршрутизации

Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:

На первом маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.25.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.2 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.15.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

/ip route
add comment=»route to filial1 through VPN» dst-address=192.168.25.0/24 gateway=172.16.30.2 pref-src=192.168.15.1

На втором маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.15.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.1 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.25.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

Через консоль
/ip route
add comment=»route to HQ through VPN» dst-address=192.168.15.0/24 gateway=172.16.30.1 pref-src=192.168.25.1

HQ — это аббревиатура от headquarter, что в переводе означает головной офис.

Примечание: Параметр Pref. Source (pref-src) не является обязательным. Он становится нужен, если количество филиалов будет более одного. Без этого параметра не будут проходить ping’и с маршрутизатора одного филиала до хостов и внутреннего интерфейса маршрутизатора другого филиала. Не будут проходить ping’и именно с маршрутизаторов, т. е. между хостами двух филиалов связь будет.

Следует учесть

Проверка

Проверка состоит из двух частей:

  1. Надо убедиться, что между двумя маршрутизаторами MikroTik установлено VPN-соединение. Это описано ниже.
  2. Если VPN-соединение установлено успешно, то далее надо проверить есть ли связь между хостами в двух сетях. Для этого достаточно запустить ping с любого компьютера в сети на любой компьютер другой сети.

Через графический интерфейс

Если подключение установлено, то статус подключения должен отображаться с буквой «R«. Что значит running, т. е. запущено.

Через консоль

Выполнить команду
/interface sstp-server print — на сервере
/interface sstp-client print — на клиенте
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R«.

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Настройка VPN-подключения в роутерах Mikrotik

Настройка VPN-подключения в роутерах Mikrotik

  • Автор: Уваров А.С.
  • 29.09.2019

С ростом значения интернета в нашей повседневной жизни все более востребованными становятся различные сетевые технологии. Если раньше VPN был преимущественно уделом крупных организаций, то сегодня он используется чуть ли не в каждой сети, действительно, сотрудники стали мобильными и удаленный доступ к ресурсам сети уже не блажь, а насущная необходимость. Настройка роутера Mikrotik как VPN-клиента вопрос, на первый взгляд, простой, но есть некоторые не очевидные моменты, которые мы разберем в данной статье.

В прошлых материалах мы уже коротко рассматривали типы VPN и обращали внимание на неоднозначность используемой терминологии, традиционно термином VPN называют клиент-серверные соединения, где кроме туннельного протокола применяются вспомогательные технологии для установления соединения и контроля его состояния, аутентификации пользователя, согласования параметров подключения и т.д. и т.п. Одним из таких протоколов является PPP.

В рамках данной статьи мы будем рассматривать варианты настройки Mikrotik именно в качестве клиента для поддерживаемых типов VPN-серверов, оставив за кадром туннельные подключения (GRE, IP-IP, EoIP и т.д.). Для работы с этим типом соединений используется специальный раздел PPP, на закладке Interfaces которого можно добавить сетевой интерфейс для нужного типа VPN-клиента. Поддерживаются PPTP, L2TP, SSTP и OpenVPN подключения. Также в списке присутствуют устаревший PPP и PPPoE, который используется для организации доступа в интернет, в данном контексте эти протоколы интереса не представляют.

Также аналогичные действия можно выполнить и в разделе Interfaces, никакой разницы откуда вы будете добавлять сетевой интерфейс нет. Но не будем спешить и перейдем на закладку Profiles, где находятся профили используемые при коммутируемых подключениях. По умолчанию созданы два профиля: default и default-encryption, в которых содержатся некоторые настройки для подключения. Почему некоторые? Потому что большинство опций подключения задаются сервером и клиент должен применять именно их, иначе подключение будет невозможным. Поэтому если вы заглянете в эти профили, то увидите, что большинство настроек там не активно.

Единственным различием двух профилей является опция Use Encryption, которая в default-encryption установлена в положение yes и требует обязательного шифрования подключения. Данная опция игнорируется протоколами SSTP и OpenVPN, которые всегда используют шифрованные подключения.

Означает ли это, что если мы выберем профиль default, то ваше соединение не будет шифроваться? Нет, если сервер использует шифрование и не допускает небезопасных подключений, то ваше соединение также будет зашифровано. Но вот если сервер разрешает небезопасные подключения, то клиент вполне может подключиться без шифрования, таким образом можно осуществить атаку с подменой сервера, когда вы получите незашифрованное подключение и не будете знать об этом. Поэтому если вам явно требуется шифрование канала всегда выбирайте профиль default-encryption.

Мы не советуем менять настройки в стандартных профилях, если вам нужно явно задать иные настройки подключения, то создайте собственный профиль. Также учтите, что опция Use Compression игнорируется для OpenVPN соединений, которые в реализации от Mikrotik не могут использовать сжатие трафика.

PPTP-клиент

Пожалуй, это самый простой в настройке тип соединений. Несмотря на то, что используемое в PPTP шифрование не является надежным, этот протокол продолжает широко использоваться благодаря низким накладным расходам и высокой скорости работы, например, для доступа в интернет.

Для настройки PPTP клиента добавьте интерфейс типа PPTP Client и перейдите на закладку Dial Out, где расположены сетевые настройки.

Настроек немного, и они просты. В поле Connect To укажите FQDN или IP-адрес VPN-сервера, в поля User и Password — имя пользователя и пароль. В Profile выбирается в зависимости от необходимости шифрования нужный профиль. В самом низу рядом с опцией Allow (разрешить) указаны допустимые к использованию протоколы аутентификации, на сегодня безопасным считается только MS-CHAP v2 и следует использовать по возможности только его. Однако помните, что используемый протокол аутентификации должен поддерживаться сервером, в противном случае установить связь вы не сможете.

Опция Keepalive Timeout указывает время переподключения соединения в случае обрыва связи. Бытует мнение, что лучше делать это значение поменьше, мол быстрее будет переподключаться туннель. Но это не так, во-первых, при неполадках на сервере вы будете активно забивать канал и нагружать сервер служебным трафиком, а во-вторых, при кратковременных перебоях связи короткое время будет вызывать переподключение с обрывом всех соединений в канале, а большее значение позволит сохранить туннель. Особенно это актуально для мобильного интернета или беспроводных каналов.

Опция Add Default Route создаст маршрут по умолчанию через туннель, т.е. направит туда весь исходящий трафик, указывайте ее только в том случае, если данный туннель основной способ доступа в интернет.

Никаких иных особенностей и подводных камней здесь нет и если вы правильно указали настройки, то клиент должен будет без проблем подключиться к серверу.

L2TP-клиент

Говоря про L2TP, обычно подразумевают L2TP/IPsec, потому как без шифрования данный протокол в корпоративной среде не используется. Но есть и исключения, некоторые провайдеры, например, Билайн, используют чистый L2TP без шифрования. В этом случае настройки подключения будут выглядеть так:

Обратите внимание на используемый профиль — default, так как соединение не зашифрованное, с профилем default-encryption вы не сможете подключиться к серверу провайдера. Add Default Route ставим только если это основное соединение с интернет. Также имеет смысл использовать опцию Allow Fast Path, для разгрузки CPU, особенно на младших моделях, но учтите, что с данной опцией соединение может работать неустойчиво, в таком случае ее придется отключить.

Для работы с L2TP/IPsec настройки будут немного иные, во-первых, используем профиль default-encryption и включаем использование IPsec установкой флага Use IPsec, при этом становится активным поле IPsec Secret, куда вводим предварительный ключ.

Опция Allow Fast Path при использовании IPsec игнорируется и в ее установке нет никакого смысла, так же не забывайте про опцию Add Default Route, в большинстве корпоративных сценариев устанавливать ее не следует.

Вроде бы тоже ничего сложного в настройках L2TP/IPsec нет, но если вы попытаетесь подключиться к Windows Server, то у вас ничего не получится. В чем же дело? А дело в настройках IPsес, перейдем в IP — IPsec — Proposal и откроем настройку по умолчанию. Proposal или предложение IPsec содержит список алгоритмов защиты канала, которые устройство предлагает для установления соединения. Понятно, что для успешного установления канала поддерживаемые методы защиты должны совпадать.

В предложении IPsec по умолчанию обращаем внимание на опцию PFS Group, она отвечает за применение технологии совершенной прямой секретности (Perfect forward secrecy, PFS), которая предусматривает создание уникальных сессионных ключей по алгоритму Диффи-Хеллмана, что делает невозможным расшифровку перехваченного IPsec трафика даже при наличии долговременных ключей (в данном случае предварительного ключа).

Windows Server по умолчанию не поддерживает совершенную прямую секретность, поэтому PFS Group нужно выставить в состояние none, после чего соединение успешно установится.

Обратите внимание, что в данном случае мы изменили настройку по умолчанию, но в данном случае это оправдано. Настройки IPsec достаточно сложны и вряд-ли человек не имеющий опыта работы с данной технологией сможет все правильно настроить с первого раза. Но это изменение следует учитывать при создании других соединений, использующих IPsec и приводить настройки с обоих сторон к общему виду.

Хотя более правильным является создание своего предложения (Proposal) и политики (Police) для каждого соединения, но эта тема далеко выходит за рамки статьи.

SSTP-клиент

Мы не будем останавливаться на уже описанных нами опциях, которые общие для всех видов коммутируемых подключений, а сосредоточимся на новых, свойственных именно этому типу VPN. SSTP относится к отдельной подгруппе SSL VPN, которые используют трафик практически не отличимый от HTTPS, что серьезно затрудняет выявление и блокирование таких туннелей.

На что следует обратить внимание при настройке? Давайте сначала посмотрим на окно настроек:

Как видим, появилась опция Port, где мы можем указать порт подключения, по умолчанию это 443, но можно использовать и любой иной, если 443 порт занят, например, веб-сервером. Также SSTP может прекрасно работать через прокси, в этом случае вам потребуется указать адрес прокси-сервера и используемый им порт в опциях Proxy и Proxy Port.

Также вспоминаем, что SSTP всегда использует шифрование канала, поэтому оно будет работать вне зависимости от выбранного профиля, в данном случае default и default-encryption будут работать одинаково.

Теперь перейдем к специфичным для протокола настройкам, которые мы обвели зеленой рамкой. Поле Certificate используется для указания клиентского сертификата в том случае, если сервер использует аутентификацию по сертификатам, в этом случае его потребуется загрузить на устройство и импортировать в разделе System — Certificates. Во всех остальных случаях в поле должно стоять none.

TLS Version указывает на допустимые к использованию версии TLS, однако это определяется сервером, но следует стараться использовать только протокол TLS 1.2, что позволяет исключить атаки с понижением протокола.

Опция Verify Server Certificate не является обязательной, но позволяет проверить подлинность сервера, исключая атаки типа человек посередине, для этого потребуется импортировать на Mikrotik сертификат центра сертификации (СА) выдавшего сертификат серверу.

Опция Verify Server Address From Certificate позволяет убедиться, что IP-адрес подключения соответствует адресу для имени, указанного в сертификате. Также не является обязательной, но позволяет дополнительно убедиться, что подключаетесь вы именно к тому серверу.

Установка флага в поле PFS включает совершенную прямую секретность, но эта опция должна поддерживаться со стороны сервера.

OpenVPN-клиент

Реализация OpenVPN в Mikrotik вызывает много нареканий, так как сводит на нет все сильные стороны данной технологии и делает ощутимыми слабые. OVPN-клиент не поддерживает сжатие данных и работу по протоколу UDP, если первое не столь значимо на современных каналах, то OpenVPN поверх TCP имеет очень большие накладные расходы и вызывает как повышенную нагрузку на оборудование, так и плохую утилизацию канала. Поэтому от использования OpenVPN на Mikrotik по возможности следует отказаться.

Обычно комплект для подключения OpenVPN клиента составляют сертификат СA, сертификат и закрытый ключ клиента, конфигурационный файл. Нам понадобятся только сертификат и ключ клиента, а если мы хотим проверять подлинность сервера, то еще и сертификат CA, но он не является обязательным для настройки подключения.

Прежде всего загрузим сертификаты и ключи на Mikrotik, затем перейдем в System — Certificates и импортируем сертификат клиента. Он появится в списке сертификатов и напротив него будет буква T, что обозначает trusted, т.е. устройство доверяет этому сертификату. Затем импортируем ключ, здесь важно соблюдать именно эту последовательность, сначала сертификат, потом ключ.

После успешного импорта ключа флаги сменятся на KT, где буква K обозначает наличие закрытого ключа для сертификата. Затем аналогичным образом импортируем сертификат CA сервера, импорт ключа для данного сертификата не нужен. Закрытый ключ CA является самой большой тайной и должен хранится с соблюдением всех мер предосторожности и не при каких обстоятельствах не должен покидать узел СA (центра сертификации).

Теперь рассмотрим поближе окно настроек подключения, адрес подключения и порт не должны вызвать затруднений, а вот остальные опции нуждаются в пояснении, значимые мы выделили зеленой рамкой.

Но сначала коснемся опций User и Profile. Первая используется только в случае аутентификации на сервере по имени и паролю, большинство OpenVPN серверов такой тип аутентификации не используют и в этом поле вы можете написать все что угодно, просто оно должно быть заполнено. Профиль также не имеет значения, так как OpenVPN всегда шифрует канал, а опцию сжатия игнорирует.

Mode задает режим работы канала, в терминах OpenVPN ip — это tun (L3), а ethernet — это tap (L2), следует помнить, что режим работы определяется сервером. В поле Certificate укажите импортированный сертификат клиента. Опции Auth и Cipher указывают на используемые сервером криптографические алгоритмы для аутентификации и шифрования, если вы укажете отличные от указанных в конфигурации сервера — то соединение установить не удастся. Если алгоритм аутентификации явно не указан в конфигурации сервера, то по умолчанию используется SHA1.

При настройке OpenVPN клиента на Mikrotik следует помнить, что сервер должен поддерживать соединения по протоколу TCP, без сжатия и TLS-аутентификации, в противном случае подключиться к серверу не удастся.

Опция Verify Server Certificate позволяет проверить подлинность сертификата сервера, что защищает от атак типа человек посередине, но требует импорта сертификата CA сервера.

Маршрутизация

Если VPN соединение используется для доступа к корпоративной сети или предназначено для связи сетей, то вам потребуется указать маршруты для правильной пересылки пакетов. Так если мы хотим получить доступ к сети за VPN-севером, то нам потребуется создать маршрут к этой сети, указав в качестве шлюза интерфейс нашего VPN-клиента, например так:

В данном примере мы отправляем все пакеты к сети 192.168.200.0/24 через L2TP-подключение l2tp-out1. Если вы понимаете основы маршрутизации, то указание правильных маршрутов для вас не составит труда.

Отдельного внимания заслуживает опция Pref. Source, которая не является обязательной, но ее следует указывать, если роутер обслуживает несколько сетей, в ней указывается адрес, с которого роутер будет посылать пакеты по указанному маршруту. Без ее указания доступ роутера к ресурсам удаленных сетей может оказаться невозможным (как и удаленных сетей к нему), на работу клиентов в сетях это не влияет. В качестве значения следует указать адрес, принадлежащий той сети, к которой имеется маршрут с противоположной стороны (т.е. сети за сервером).

Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.

Плюсы:

  • очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
  • полностью интегрирован в Windows (начиная с Windows Vista SP1)
  • имеет поддержку Microsoft
  • может работать сквозь файрволлы

Для установки SSTP сервера на mikrotik надо:

У нас будит только один серверный сертификат , на сервере и на клиенте, обычный простой способ, с созданием самоподписаных сертификатов. Например для дома, что бы из любого места можно было подключиться, тк оборудование провайдеров и работадателей посчитает наш трафик за https.

1.создаём самоподписанные сертификаты debian+openssl:

openssl genrsa -des3 -out ca.key 4096
Enter pass phrase for ca.key: pass
Verifying — Enter pass phrase for ca.key: pass

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
Enter pass phrase for ca.key: pass
Country Name (2 letter code) [AU]: ru
State or Province Name (full name) [Some-State]: ru
Locality Name (eg, city) []: mycity
Organization Name (eg, company) [Internet Widgits Pty Ltd]: myorg
Organizational Unit Name (eg, section) []: myorg
Common Name (eg, YOUR name) []: vpn-1.contoso.com
Email Address []: [email protected]

  • Если VPN-клиент настроен на подключение к общий IP-адрес устройства NAT ( 1.2.3.4 ), имя субъекта сертификата (CN) должно быть 1.2.3.4.
  • Если VPN-клиент настроен для подключения с полным доменным ИМЕНЕМ ( VPN-1.contoso.com ), может осуществляться публично, имя субъекта сертификата должно быть vpn-1.contoso.com .

На маршрутизатор mikrotik закидываем и импортируем ca.key,ca.crt

(В итоге атрибуты должны быть KT) и в sstp сервере устанАвливаем использовать этот сертификат

Не забываем разрешить в Firewall трафик на порт 443 TCP в цепочке input . порт можно и поменять

/ip firewall filter add chain=input comment=»allow 443 port SSL for SSTP Server Mikrotik» dst-port=443 protocol=tcp

На клиентской машине windows 7 заработало после выполнения команды
certutil -addstore Root D:ca.crt — Именно этот надо сертификат устанавливать

Server configuration

Sub-menu: /interface sstp-server server

Рекомендуем к прочтению

Подключение по протоколу SSTP из Windows 10 – Keenetic

Чтобы удаленно подключиться к локальной сети интернет-центра Keenetic, начиная с версии операционной системы KeeneticOS 2.12 стало возможно использовать туннели SSTP (Secure Socket Tunnel Protocol). Данный способ удобен тем, что пользовательские данные (этот тип туннелей поддерживает передачу IP-пакетов) пересылаются при помощи https-трафика, и для подключения не требуется установка дополнительных программ в операционных системах Windows актуальных версий.

Настройка сервера SSTP подробно показана в инструкции «VPN-сервер SSTP».

Ниже приведем пошаговую последовательность действий для подключения к нему с удаленного компьютера под управлением ОС Windows 10.

Чтобы установить соединение к SSTP-серверу, на компьютере с ОС Windows нужно добавить VPN-подключение. Для этого в меню «Параметры Windows» следует открыть настройки в разделе «Сеть и Интернет».

Далее перейти к параметрам VPN.

Нажать на «Добавить VPN-подключение».

В открывшемся окне нужно ввести следующие установки:
Поставщик услуг VPN — Windows (встроенные)
Имя подключения — любое подходящее для идентификации туннеля название, например «Домашняя сеть»
Имя или адрес сервера — доменное имя, зарегистрированное для интернет-центра в службе KeenDNS
Тип VPN — Протокол SSTP
Тип данных для входа
— Имя пользователя и пароль
В полях Имя пользователя и Пароль можно сразу указать данные заведенной на роутер учетной записи, чтобы не вводить их каждый раз при подключении, и нажать кнопку «Сохранить».

Чтобы компьютер не использовал туннель для передачи интернет-трафика, а только для соединения с локальной сетью интернет-центра, потребуется дополнительно настроить параметры VPN-подключения. Для этого, нужно перейти к меню «Настройка параметров адаптера», которое дос

Конфигурация сервера

MikroTik SSTP VPN с Windows 10

VPN ( V irtual P rivate N etwork) технология обеспечивает безопасный и зашифрованный туннель через общедоступную сеть. Таким образом, пользователь частной сети может отправлять и получать данные в любую удаленную частную сеть через VPN-туннель, как если бы его / ее сетевое устройство было напрямую подключено к этой частной сети.

Протокол безопасного туннелирования сокетов (SSTP) передает туннель PPP по каналу TLS.SSTP использует канал TLS через TCP-порт 443. Таким образом, SSTP VPN может практически проходить через все межсетевые экраны и прокси-серверы. Из-за использования канала TLS зашифрованные данные проходят через туннель SSTP. Таким образом, нет возможности украсть данные злоумышленником-посредником, и данные могут безопасно отправляться и получать через общедоступную сеть. MikroTik SSTP Server можно использовать двумя способами.

  • Подключение с удаленной рабочей станции / клиента: В этом методе программное обеспечение клиента SSTP VPN может связываться с сервером MikroTik SSTP VPN через защищенный туннель VPN, когда это необходимо, и может получать доступ к удаленной частной сети, как если бы оно было напрямую подключено к этой удаленной частной сети .
  • Site to Site SSTP VPN: Этот метод также известен как VPN между маршрутизаторами. В этом методе поддерживаемый клиентом SSTP маршрутизатор всегда устанавливает туннель SSTP VPN с сервером MikroTik SSTP VPN. Таким образом, частные сети этих двух маршрутизаторов могут взаимодействовать друг с другом, как если бы они были напрямую подключены к одному и тому же маршрутизатору.

Целью данной статьи является подключение удаленного клиентского устройства через безопасный туннель SSTP VPN через общедоступную сеть. Итак, в этой статье я покажу только, как настроить MikroTik SSTP VPN Server для подключения удаленной рабочей станции / клиента (Windows 10 Client).

Как установлено соединение SSTP

Чтобы установить туннель SSTP VPN через общедоступную сеть, используются следующие механизмы.

Как работает SSTP

  • TCP-соединение устанавливается от клиента SSTP к серверу SSTP через TCP-порт 443.
  • SSL проверяет сертификат сервера. Если сертификат действителен, соединение устанавливается, в противном случае соединение отклоняется.
  • Клиент отправляет управляющие пакеты SSTP в рамках сеанса HTTPS, который устанавливает конечный автомат SSTP на обеих сторонах.
  • Проверка имени пользователя и пароля PPP проверяется через SSTP. Клиент аутентифицируется на сервере и связывает IP-адреса с интерфейсом клиента SSTP.
  • Туннель SSTP установлен, и можно начинать инкапсуляцию пакетов.

Сетевая диаграмма

Чтобы настроить туннель SSTP VPN клиент-сервер между маршрутизатором MikroTik и клиентом SSTP Windows 10, мы следуем приведенной ниже сетевой схеме.

Схема SSTP клиент-сервер

На этой сетевой схеме интерфейс ether1 маршрутизатора MikroTik Router подключен к общедоступной сети с IP-адресом 117.58.247.198 / 30 и интерфейс ether2 подключен к локальной сети с IP-сетью 10.10.11.0/24.

Мы настроим сервер SSTP в этом маршрутизаторе MikroTik на TCP-порт 443. Таким образом, клиент SSTP Windows 10 может быть подключен к этому серверу SSTP и сможет получать доступ к удаленным сетевым ресурсам, как если бы устройство было подключено к этой удаленной сети.

Конфигурация сервера SSTP VPN и клиента SSTP

Теперь мы приступим к настройке сервера и клиента SSTP. Полную настройку SSTP можно разделить на две части.

  • Часть 1: Конфигурация сервера SSTP в маршрутизаторе MikroTik
  • Часть 2: Конфигурация клиента SSTP в Windows 10

Часть 1: Конфигурация сервера SSTP в маршрутизаторе MikroTik

Согласно сетевой диаграмме, маршрутизатор MikroTik является нашим сервером SSTP VPN . Итак, мы включим и настроим сервер SSTP VPN в MikroTik Router. Предполагается, что WAN и LAN сети MikroTik настроены и работают без каких-либо проблем.

Полную настройку MikroTik SSTP Server можно разделить на следующие три этапа.

.

Простой сервер SSTP VPN на Mikrotik — Домашняя страница Medo

Несколько сообщений назад я рассмотрел процедуру, необходимую для запуска OpenVPN. Однако как насчет VPN на основе SSTP?

В этом руководстве предполагается, что вы должны вводить команды в окне нового терминала из WinBox. Таким образом, я буду просто повторять нужные команды вместо того, чтобы просматривать экраны. Команды на самом деле довольно информативны и их легко «перевести» в действия с графическим интерфейсом пользователя, если вы так предпочитаете.

Необходимым условием для любого VPN-сервера является сортировка сертификатов.Процедура точно такая же, как и при настройке сервера OpenVPN, с той небольшой разницей, что общее имя действительно имеет значение. Он должен соответствовать внешнему IP или имени внешнего хоста — без исключений.

Для полноты картины повторю этапы создания сертификата здесь:

  / сертификат 
add name = ca-template common-name = example.com days-valid = 3650 key-size = 2048 key-usage = crl-sign, key-cert-sign
add name = server-template common- name = *. example.com days-valid = 3650 размер ключа = 2048 использование ключа = цифровая подпись, шифрование ключа, tls-сервер
добавить имя = шаблон-клиента общее-имя = клиент.example.com days-valid = 3650 key-size = 2048 key-usage = tls-client

sign ca-template name = ca-certificate
sign server-template name = server-certificate ca = ca-certificate
sign client- имя шаблона = клиент-сертификат ca = ca-сертификат

В зависимости от скорости вашего маршрутизатора эта команда sign может истечь по тайм-ауту — не о чем беспокоиться — просто подождите, пока ЦП упадет ниже 100%. Или, в качестве альтернативы, проверьте имя сертификата — часть шаблона исчезнет после завершения подписания.

Для последующих махинаций нам понадобится экспорт корневого сертификата (после этого просто переместите его куда-нибудь на свой компьютер):

  / сертификат 
экспорт-сертификат ca-сертификат export-passphrase = ""

Далее нам нужен пул IP-адресов для клиентов. Я предполагаю, что у вас есть клиенты в другой сети (например, 192.168.1.x), и эта новая сеть предназначена только для VPN (обратите внимание, что это может быть тот же пул, что и для OpenVPN):

  / ip 
pool add name = "vpn-pool" диапазоны = 192.168.8.10-192.168.8.99

Вместо редактирования зашифрованного профиля по умолчанию мы можем создать новый. Предполагается, что ваш Mikrotik также будет DNS-сервером. И при этом вы можете создать немного более изобретательного пользователя / пароля (опять же, если вы сделали это для сервера OpenVPN, вы можете просто повторно использовать тот же профиль и пользователя):

  / ppp 
profile add name = "vpn-profile" use-encryption = yes local-address = 192.168.8.250 dns-server = 192.168.8.250 remote-address = vpn-pool
secret add name = user profile = vpn- пароль профиля = пароль

Наконец, мы можем включить интерфейс сервера SSTP VPN — первый шаг, который действительно необходим, если у вас уже работает сервер OpenVPN:

  / interface sstp-server server 
set enabled = да default-profile = vpn-profile authentication = mschap2 certificate = server-certificate force-aes = yes pfs = yes

Любопытным является флаг force-aes , который официально указан как не работающий с клиентами Windows.Я протестировал его на Windows 7 и 10 без каких-либо проблем. Вы можете очистить его, если поиграете с чем-то более старым.

Итак, наш сервер SSTP VPN запущен и работает — на настройках клиента!

Для клиента нам сначала нужно импортировать наш центр сертификации, и нам нужно сделать это немного окольным путем. Сначала мы запускаем MMC (Microsoft Management Console) с помощью mmc.exe и добавляем к нему сертификаты (File-> Add / Remove Snap-in). Когда его спросят, выберите учетную запись компьютера для локального компьютера и найдите доверенные корневые центры сертификации.Щелкните правой кнопкой мыши, чтобы отобразить Импорт, которому мы передаем сертификат, который мы экспортировали несколько шагов назад.

Теперь мы можем перейти в Центр управления сетями и общим доступом и установить новое соединение. Когда вас спросят, мы просто выбираем Подключиться к рабочему месту и пишем имя хоста назначения (или IP). Помните, что он должен соответствовать общему имени сертификата (или подходящему подстановочному знаку), который вы указали для сертификата сервера.

Если все шаги прошли нормально, вам должно быть предложено имя пользователя / пароль, и все готово.

PS: Не забудьте настроить firewall при необходимости (TCP порт 443).

  / ip firewall filter 
add chain = input protocol = tcp dst-port = 443 action = accept place-before = 0 comment = "Allow SSTP"

[2017-01-26: Скорректировано создание сертификата для работы на RouterOS 6.38 и новее]
[2017-01-26: Изменен размер ключа на 2048 (вместо 4096), поэтому для создания сертификатов не требуется много времени. . :)]

.

Как настроить клиент SSTP VPN в Windows с помощью сертификата от Mikrotik — Technology Software Center

Настройка клиента SSTP VPN в Windows сложнее, чем настройка клиента PPTP VPN. Это происходит потому, что использование SSTP VPN намного безопаснее (безопаснее), чем PPTP VPN, где соединение SSTP VPN в Windows должно использовать SSL-сертификат (Secure Sockets Layer). Еще одна вещь с PPTP VPN, которая не требует использования SSL-сертификата, просто небольшая настройка уже может подключиться.

В этом руководстве Mikrotik мы обсудим руководство по настройке клиента SSTP VPN в Windows 10, сначала создав SSL-сертификат с устройства Mikrotik. Прежде чем переходить к этому руководству, убедитесь, что вы прочитали предыдущее руководство Mikrotik о:

Создание сертификатов SSL CA, сервера и клиента в Mikrotik

1. Создайте сертификат SSL в Mikrotik для CA (центра сертификации) . Перейдите в System Menu -> Certificates -> Add new certificate with detail as below:

CA (Certificate Authority)

Обратите внимание на поля Name и Common Name (CN) .

  • В столбце Имя заполните CA.
  • В поле Common Name, введите IP-адрес (общий) или доменное имя SMTP-сервера.
  • Для других столбцов, пожалуйста, укажите свои данные

2. Создайте сертификат SSL для клиента и сервера. Способ такой же, как и в первом шаге, просто замените Имя и Общее имя. Сертификат SSL

для клиента и сервера.

3. Подпишите третий сертификат SSL, щелкнув опцию Подписать на каждом сертификате.

Сертификат SSL CA Подпись:

Во время подписи в столбце Сертификат выберите, CA -> Столбец CA CRL Host введите Public Address IP или доменное имя SSTP Server

SSL CA Подпись сертификата

Подпись Сертификат SSL-сервер:

При входе в систему в поле «Сертификат» выберите Сервер -> столбец CA: выберите CA -> CA CRL Host: пусто

Подписать сертификат SSL-сервер

3. После входа в сертификат убедитесь, что все уже отмечен T , что означает Trusted .Если нет, перейдите к его сертификату -> проверьте Доверенный

4. Экспорт сертификата CA и его клиента. Щелкните правой кнопкой мыши на Сертификате -> выберите опцию Экспорт .

Экспортный сертификат

5. Результаты экспорта сертификата появятся в меню Files с расширением .crt . Скопируйте файл сертификата на компьютер.

6. Вставьте файл сертификата в одну из папок на компьютере. Затем установите оба сертификата, нажав правой кнопкой мыши -> Установить сертификат

7.Создайте DHCP VPN IP Pool :

IP Pool

8. Создайте профиль PPP

9. Создайте секрет PPP (пользователь / клиент)

10. Настройте и включите сервер SSTP:

11.Создайте Фильтр брандмауэра SSTP и правила nat

Выберите [IP> Firewall]

В этом примере имейте в виду, что после установки VPN клиент (ы) VPN будет извлекать IP-адреса из ранее созданного DHCP VPN IP. Бассейн (10.10.100.10 — 10.10.100.254).

просмотров 5,047

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *