Клиент sstp что это
Перейти к содержимому

Клиент sstp что это

  • автор:

Инструкции по настройке MikroTik

Настройка SSTP в MikroTik, VPN сервер с использованием сертификата SSL

автор: adminse 5 Авг категория: Инструкции 10 комментариев

Настройка SSTP в MikroTik, VPN сервер с использованием сертификатов SSL

SSTP (Secure Socket Tunneling Protocol – протокол безопасного туннелирования сокетов) – VPN протокол, основанный на SSL 3.0. Благодаря этому данные шифруются. Аутентификация осуществляется с помощью PPP. Соединение проходит с помощью HTTPS по 443 порту (настраиваемо).

SSTP это разработка компании Miсrosoft, как некий аналог прогрессивным протоколам, которые используют шифрование. Самый прямой аналог в мире VPN служб это OpenVPN, в основе которого лежит:

  • использование сертификатов SSL;
  • низкие требования к аппаратной части(железу);
  • высокая производительность, которая прямо отражается на скорости соединения.

Настройка SSTP VPN сервера на роутере MikroTik

В рамках статьи будут рассмотрены две самые популярные связки: соединение типа роутер-клиент и роутер-роутер:

SSTP туннель между MikroTik и Windows

  • SSTP VPN сервер на роутере MikroTik;
  • SSTP VPN клиент на Windows 10.

Настройка SSTP в MikroTik, туннель между роутером и Windows

SSTP туннель между MikroTik и MikroTik

  • SSTP VPN сервер на роутере MikroTik-1;
  • SSTP VPN клиент на роутере MikroTik-2.

Настройка SSTP в MikroTik, туннель между двумя роутерами

Создание SSL сертификата в MikroTik для работы SSTP VPN сервера

Эта общая настройка, на которую будут ссылаться две последующие конфигурации для Windows клиента, а также для SSTP клиента на второго роутера MikroTik.

Создание сертификата для центра сертификации(CA)

Настройка находится System→Certificates

Настройка SSTP в MikroTik, создание сертификата для центра сертификации(CA)

Указать возможность подписи данным сертификатом других сертификатов

Настройка SSTP в MikroTik, указать возможность подписи данным сертификатом других сертификатов

Подпись CA сертификата

Настройка SSTP в MikroTik, подпись CA сертификата

Результат подписи сертификата и процесс

Настройка SSTP в MikroTik, результат подписи сертификата и процесс

Создание сертификата SSL для SSTP VPN сервера

Настройка SSTP в MikroTik, создание сертификата SSL для SSTP VPN сервера

Указать возможность использовать этот сертификат в качестве клиентского и серверного сертификата

Настройка SSTP в MikroTik, указать возможность использовать этот сертификат в качестве клиентского и серверного сертификата

Подпись сертификата для SSTP центром сертификации(CA)

Настройка SSTP в MikroTik, подпись сертификата для SSTP центром сертификации(CA)

Сертификаты для работы SSTP VPN сервера в MikroTik

Настройка SSTP в MikroTik, сертификаты для работы SSTP VPN сервера в MikroTik

Настройка SSPT VPN сервера в MikroTik

Создание IP пула для VPN клиентов SSTP

Настройка находится IP→Pool

Настройка SSTP в MikroTik, создание IP пула для VPN клиентов SSTP

/ip pool add name=Ip-Pool-Vpn ranges=192.168.50.100-192.168.50.254

Добавление VPN профиля

Настройка находится PPP→Profiles

Настройка SSTP в MikroTik, добавление VPN профиля

/ppp profile add local-address=192.168.50.1 name=VPN-Profile remote-address=Ip-Pool-Vpn

Добавление учетной записи для VPN клиента SSTP

Настройка находится PPP→Secrets

Настройка SSTP в MikroTik, добавление учетной записи для VPN клиента SSTP

/ppp secret add name=user-sstp password=Av3D2eyAF87f profile=VPN-Profile service=sstp

Активация SSTP VPN сервера

Настройка находится PPP→Interface→SSTP Server

Настройка SSTP в MikroTik, активация SSTP VPN сервера

/interface sstp-server server set authentication=mschap2 certificate=92490a0ea575.sn.mynetname.net \ default-profile=VPN-Profile force-aes=yes

Экспорт SSL сертификата для удаленных SSTP VPN клиентов

Экспорт сертификата CA

Настройка находится System→Certificates

Настройка SSTP в MikroTik, экспорт сертификата для VPN клиента

Указать тип сертификата и ключ

Настройка SSTP в MikroTik, указать тип ключа

Выгрузка сертификата для VPN клиентов

Настройка находится Files→File List→Download

Настройка SSTP в MikroTik, выгрузка сертификата для VPN клиента

Пример выгруженного сертификата

Настройка SSTP в MikroTik, пример выгруженного сертификата SSL

VPN туннель SSTP между роутером MikroTik и Windows клиентом

Сформированный сертификат SSL на роутере MikroTik необходимо установить на каждом VPN клиенте.

Установка сертификата на локальный компьютер

Настройка SSTP в MikroTik, установка сертификата на локальный компьютер

Выбор хранилища для сертификата

Настройка SSTP в MikroTik, выбор хранилища для сертификата

Успешный импорт сертификата

Настройка SSTP в MikroTik, успешный импорт сертификата

Создание нового VPN туннеля типа SSTP

Настройка SSTP в MikroTik, создание нового VPN туннеля типа SSTP

Указать адрес и имя VPN соединения

Настройка SSTP в MikroTik, указать адрес и имя VPN соединения

Указать параметры шифрования

Настройка SSTP в MikroTik, указать параметры шифрования

Подключить VPN

Настройка SSTP в MikroTik, подключить VPN

Ввести имя пользователя и пароль

Настройка SSTP в MikroTik, ввести имя пользователя и пароль

Пример успешного VPN соединения

Настройка SSTP в MikroTik, пример успешного VPN соединения

VPN туннель SSTP между двумя роутерами MikroTik

Загрузка сертификата SSL в MikroTik

Настройка находится Files→File List→Upload

Настройка SSTP в MikroTik, загрузка сертификата в MikroTik

Импорт сертификата

Настройка находится System→Certificates

Настройка SSTP в MikroTik, импорт сертификата SSL

Пример импортированного сертификата для SSTP VPN клиента

Создание SSTP VPN клиента

Настройка находится PPP→Interface

Настройка SSTP в MikroTik, создание VPN клиента

Настройка SSTP VPN клиента

Настройка SSTP в MikroTik, настройка SSTP VPN клиента на роутере

/interface sstp-client add authentication=mschap2 certificate=\ cert_export_92490a0ea575.sn.mynetname.net.p12_0 connect-to=\ 92490a0ea575.sn.mynetname.net disabled=no name=sstp-out1 password=\ Av3D2eyAF87f profile=default-encryption user=user-sstp

Статус подключения и характеристики VPN клиента

Настройка SSTP в MikroTik, статус подключения и характеристики VPN клиента

Есть вопросы или предложения по настройке VPN типа SSTP в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий

adminse

10 комментариев к статье “Настройка SSTP в MikroTik, VPN сервер с использованием сертификата SSL”

Оказалось, что мой провайдер блокирует разные шифрованные VPN туннели. Тех. поддержка кроме как “а вы роутер перезагружали” и “так у вас MikroTik” ни чего добавить не может. SSTP стал рабочим решением из-за ручной установки порта, штатный порт 443 ни кто не блокирует. Уверенности в защищенности такого VPN прибавляет использование SSL.
SSTP это очень круто, спасибо!

vasya47 :

Интересно бывает ли момент по выгрузке на клиентские ПК, своих отдельных клиентских сертификатов, чтобы потом от пользователей или групп их отзывать?
По инструкции, мы выгружаем корневой сертификат CA и сертификат сервера в 1 файле .p12, для загрузки в Windows нужен только CA, сертификат сервера не используется.

Secure socket tunneling protocol

Что такое SSTP?
Чем отличаются VPN-протоколы?
Какие преимущества есть у SSTP для подключения пользователей по VPN?

VPN

Виртуальная частная сеть VPN представляет собой сеть, построенную с использованием открытых сетей для соединения узлов. Это позволяет пользователю получать безопасный доступ к ресурсам локальной сети (например на время карантина). При этом используется шифрование и другие меры безопасности, чтобы гарантировать, что данные не будут перехвачены неавторизованными пользователями.

В течение многих лет для VPN-подключений успешно использовались протокол PPTP, но в последнее время их использование стало проблематично из-за увеличения числа подключений к мобильным провайдерам и публичным Wi-Fi сетям. Были придуманы альтернативные меры для обеспечения такого типа доступа. Многие организации начали использовать IPSec и SSL VPN в качестве альтернативы. Другой новой альтернативой стало SSTP, также называемый «SSL VPN от Microsoft».

ПРОБЛЕМЫ С ОБЫЧНЫМ PPTP VPN

В PPTP используется зашифрованный GRE-туннель, который обеспечивает конфиденциальность передаваемых данных. Когда туннель проходит через обычные NAT-ы, VPN туннель перестает работать. VPN обычно соединяет узел с конечной точкой. Может случиться так, что и узел, и конечная точка имеют один и тот же внутренний адрес локальной сети и, если задействован NAT, могут возникнуть сложности с прохождением трафика.

SSL VPN

Протокол SSL использует криптографическую систему, с двумя ключами для шифрования данных — открытым и закрытым. Открытый ключ известен всем, а закрытый — только получателю. Благодаря этому SSL создается безопасное соединение между клиентом и сервером. В отличие от PPTP, SSL VPN позволяет пользователям устанавливать безопасный удаленный доступ практически из любого браузера, подключенного к интернету, препятствие в виде нестабильного соединения устраняется. С SSL VPN весь сеанс защищен, тогда как только с SSL это не достигается.

SSTP
  • не требует строгой аутентификации,
  • есть различия в качестве и кодировании пользовательских клиентов от поставщика к поставщику,
  • не IP-протоколы не поддерживаются по умолчанию,
  • поскольку протокол IPSec был разработан для защищенных соединений типа «сайт-сайт», он может создавать проблемы для удаленных пользователей, пытающихся подключиться из места с ограниченным числом IP-адресов.
SSL VPN ОКАЗАЛСЯ БОЛЕЕ ПОДХОДЯЩЕЙ ОСНОВОЙ ДЛЯ РАЗРАБОТКИ SSTP

SSL VPN решает эти проблемы и многое другое. В отличие от базового SSL, SSL VPN защищает весь сеанс работы. Статические IP-адреса не требуются, а клиент в большинстве случаев не нужен.

SSTP — РАСШИРЕНИЕ VPN

Развитие SSTP было вызвано проблемами с безопасностью протокола PPTP. SSTP устанавливает соединение по защищенному HTTPS; это позволяет клиентам безопасно получать доступ к сетям за NAT-маршрутизаторами, брандмауэрами и веб-прокси, не беспокоясь о станадартных проблемах блокировки портов.
SSTP не предназначен для VPN-подключений «сайт-сайт», но предназначен для VPN-подключений «клиент-сайт».

ЭФФЕКТИВНОСТЬ SSTP ДОСТИГНУТА ЭТИМИ ОСОБЕННОСТЯМИ:
  • SSTP использует HTTPS для установки безопасного соединения
  • Туннель SSTP (VPN) будет работать через Secure-HTTP. Проблемы с VPN-соединениями на основе протокола туннелирования точка-точка (PPTP) или протокола туннелирования уровня 2 (L2TP) будут устранены. Веб-прокси, брандмауэры и маршрутизаторы преобразования сетевых адресов (NAT), расположенные на пути между клиентами и серверами, больше не будут блокировать VPN-подключения.
  • Стандартная блокировка портов уменьшится
  • Проблемы, связанные с соединениями из-за блокировки портов PPTP GRE или L2TP ESP через брандмауэр или маршрутизатор NAT, не позволяющие клиенту достичь сервера, больше не будут проблемами, т.к. достигается повсеместное подключение. Клиенты смогут подключаться из любого места в интернета.
  • SSTP Client встроен в Windows начиная с версии Vista SP1
  • SSTP не потребует переподготовки, т.к. средства управления VPN для конечных пользователей остаются неизменными. VPN-туннель на основе SSTP подключается непосредственно к текущим интерфейсам клиентского и серверного программного обеспечения Microsoft VPN.
  • Полная поддержка IPv6. Туннель SSTP VPN может быть установлен через интернет-протокол IPv6.
  • Используется встроенная поддержка защиты доступа к сети для проверки исправности клиента.
  • Надежная интеграция с клиентом и сервером MS RRAS, возможность двухфакторной аутентификации.
  • Увеличивается покрытие VPN с нескольких точек до практически любого количества интернет-подключений.
  • SSL-инкапсуляция (защита SSL) для прохождения через порт 443.
  • Может контролироваться и управляться с помощью брандмауэров прикладного уровня, таких как ISA-сервер.
  • Полноценное сетевое VPN-решение, а не туннель приложений (программ) для одного клиента (устройства).
  • Интеграция в NAP.
  • Возможна интеграция и настройка политик для проверки состояния клиента.
  • Один сеанс создан для туннеля SSL.
  • Независимость от приложений.
  • Более сильная принудительная аутентификация, чем IPSec.
  • Поддержка не IP-протоколов, это намного лучше, чем IPSec.
  • Не нужно покупать дорогие, трудно настраиваемые аппаратные брандмауэры, которые не поддерживают интеграцию с Active Directory и встроенную двухфакторную аутентификацию.
МЕХАНИЗМ ПОДКЛЮЧЕНИЯ SSTP:

КАК РАБОТАЕТ VPN-СОЕДИНЕНИЕ НА ОСНОВЕ SSTP. СЕМЬ ШАГОВ:
  1. Клиенту SSTP нужно интернет-соединение. Как только оно проверено протоколом, устанавливается TCP-соединение с сервером через порт 443.
  2. SSL-соединение теперь идет поверх уже установленного TCP-соединения, при котором сертификат сервера подтверждается. Если сертификат действителен, соединение устанавливается, если нет, оно разрывается.
  3. Клиент отправляет HTTPS-запрос поверх зашифрованного сеанса SSL на сервер.
  4. Далее он отправляет контрольные пакеты SSTP в рамках сеанса HTTPS. Это, в свою очередь, создает систему SSTP с обеих сторон для управления. Теперь обе стороны инициируют связь уровня PPP.
  5. Согласование PPP с использованием SSTP через HTTPS происходит с двух сторон. Клиент должен пройти аутентификацию на сервере.
  6. Сеанс привязывается к IP-интерфейсу с обеих сторон и IP-адресу, назначенному для маршрутизации трафика.
  7. Трафик может проходить через соединение являясь либо IP-трафиком, либо другим.
ВЫВОД

SSTP является отличным дополнением к инструментам VPN и позволяет пользователям удаленно и безопасно подключаться к корпоративной сети. Блокирование удаленного доступа и проблемы NAT, кажется, забыты при использовании этого протокола. Технология стабильна, хорошо документирована и работает. Это отличный продукт, он очень приветствуется в наше время для удаленного доступа.
Туннель SSTP (VPN) будет работать через Secure-HTTP. Проблемы с VPN-соединениями на основе протокола туннелирования точка-точка (PPTP) или протокола туннелирования уровня 2 (L2TP) будут устранены. Веб-прокси, брандмауэры и маршрутизаторы преобразования сетевых адресов (NAT), расположенные на пути между клиентами и серверами, больше не будут блокировать VPN-подключения.

VPN:SSTP client-to-site (удаленное подключение с мобильных устройств)

В статье разбирается настройка SSTP-туннеля на оборудовании MikroTik с целью подключения рабочего места сотрудника (client-to-site VPN). После создания VPN-канала между сетями будет работать маршрутизация и будет выполнена проверка работоспособности. Также будут разобраны типичные проблемы, которые могут возникнуть в процессе настройки и проверки.

Введение

Схема сети

Схема сети VPN на маршрутизаторах MikroTik

В головном офисе установлен маршрутизатор GW1. Он же будет настроен в качестве VPN-сервера. В этом же офисе работает сервер DC1, который является контроллером домена и параллельно выполняет функции DNS и WINS-сервера. К головному офису будет подключаться компьютер, который будет настроен как VPN-клиент.

Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24

IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24
IP-адрес сервера DC1: 192.168.15.10/24

Удаленный компьютер
IP-адрес удаленного компьютера: 10.1.200.1/24

VPN-канал
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.101/32
Пулл адресов VPN-канала: 172.16.30.102 — 172.16.30.253

Полезные материалы по MikroTik

Углубленный курс "Администрирование сетевых устройств MikroTik" Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. 
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь 

Настройка

Настройка первого маршрутизатора

Через графический интерфейс

Включить SSTP Server:

Включение L2TP-сервера на маршрутизаторе МикроТик

Создать пул адресов для VPN-подключений:

Создание пула адресов для SSTP client-to-site на маршрутизаторе МикроТик

Создать профиль для VPN подключений. Указать адрес сервера DC1, который является DNS и WINS сервером. Без указания DNS и WINS VPN-подключение произойдет, но не будет возможности обращаться к узлам по именам.

Создание PPP-профиля для SSTP client-to-site на маршрутизаторе МикроТик

Добавить аккаунт пользователя:

Создание пользователя для SSTP client-to-site на маршрутизаторе МикроТик

На интерфейсе маршрутизатора, который смотрит в локальную сеть включить arp-proxy. Это нужно для того, чтобы удаленный клиент мог связываться с локальными хостами:

Включение arp-proxy для SSTP client-to-site на маршрутизаторе МикроТик

Через консоль

/interface sstp-server server
set authentication=mschap2 enabled=yes certificate=server

/ip pool
add name=vpn-pool ranges=172.16.30.102-172.16.30.253

/ppp profile
add name=»SSTP client-to-site» local-address=172.16.30.101 remote-address=vpn-pool change-tcp-mss=yes dns-server=192.168.15.10 wins-server=192.168.15.10

/ppp secret
add name=user-laptop password=user-laptop-password profile=»SSTP client-to-site» service=sstp

/interface ethernet
set ether1-LAN1 arp=proxy-arp

Настройка маршрутизации

Следует учесть

  • AES является единственным алгоритмом, который поддерживается модулем аппаратного шифрования, если такой установлен на маршрутизатор.
  • Клиенты Windows не смогут подключиться, если сервер не использует сертификат.

Проверка

Для того, что бы проверить VPN-соединение достаточно запустить ping с компьютера VPN-клиента на любой компьютер в сети за маршрутизатором GW1.

Типичные проблемы

  • Если VPN-соединение не устанавливается, то надо проверить:
  1. Не мешает ли файервол. Для уверенности лучше временно отключить все правила файервола на маршрутизаторе.
  2. Совпадают ли имя пользователя, пароль и ключ IPsec.
  3. На VPN-клиенте указан правильный адрес VPN-сервера к которому должно происходить подключение.

Полезные материалы по MikroTik

Углубленный курс "Администрирование сетевых устройств MikroTik" Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. 
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь 

Клиент sstp что это

Подключение по протоколу SSTP из Android

Чтобы удаленно подключиться к локальной сети интернет-центра Keenetic можно использовать туннели SSTP (Secure Socket Tunnel Protocol). Данный способ удобен тем, что VPN SSTP-подключение даже возможно к интернет-центру, который находится за NAT’ом провайдера и имеет частный “серый” IP-адрес для доступа в Интернет. При этом пользовательские данные (данный тип туннелей поддерживает передачу IP-пакетов) пересылаются при помощи https-трафика. В операционных системах Android потребуется установка дополнительного программного обеспечения для подключения к SSTP-серверу.

Пример настройки сервера SSTP показан в инструкции “VPN-сервер SSTP”.

Ниже рассмотрим пример подключения к серверу со смартфона под управлением ОС Android.

Чтобы создать соединение к SSTP-серверу, в мобильном устройстве на базе Android, можно воспользоваться приложением MS-SSTP VPN.

Установите VPN-клиент, найдите на рабочем столе или в поиске приложений ярлык программы MS-SSTP и запустите его.

Откроется главное окно программы. Нужно в конфигурацию по умолчанию вписать данные для подключения к SSTP-серверу.

В поле remote_addr впишите доменное имя интернет-центра, зарегистрированное в службе KeenDNS.

В полях remote_username и remote_password введите соответственно имя и пароль учетной записи роутера Keenetic, которой разрешено подключение к серверу по протоколу SSTP VPN.

Важно! Для подключения к роутеру через сторонние приложения, мы рекомендуем создать отдельную пользовательскую учетную запись, только с разрешением доступа к VPN-серверу SSTP. В целях безопасности, не используйте учетную запись администратора роутера, указывайте пользовательскую учетную запись с ограниченными правами.

Остальные параметры оставьте предустановленными по умолчанию.

Для запуска подключения нажмите кнопку START внизу страницы конфигурации.

При правильном указании имени сервера и учетной записи будет установлено подключение VPN SSTP.

Чтобы завершить подключение, нажмите кнопку STOP в приложении.

На мобильных Apple-устройствах с операционной системой iOS можно использовать платное приложение SSTP Connect.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *