SSTP для доступа удаленных сотрудников
ฝัง
- เผยแพร่เมื่อ 27 ก.ย. 2024
- Подключайтесь к нашей группе в Telegram: @miktrain (t.me/miktrain) чтобы задавать вопросы Роману Козлову.
Продолжаем бороться с подключением удаленных сотрудников к ресурсам предприятия.
На подходе вебинар про SSTP-протокол VPN, востребованный любителями WIndows и безопасности. Рассмотрим как он устроен. Попробуем настроить, посмотрим особенности работы с самоподписанными сертификатами и с коммерческими. Пообщаемся на тему плюсов и минусов.
Как всегда с Вами Роман Козлов - в этот раз из карантина.
Презентация
bit.ly/2X43tTq
Спасибо огромное. Теперь в Арсенале ВПН на SSTP. Всё работает!!!!! PPTP рвётся каждые 10 минут самопроизвольно и на 10ке как то криво соединяется, думаю на SSTP такого не будет.
Нет аппаратной разгрузки шифрования SSTP. Почему нет, если есть аппаратные блоки AES в процессоре? Например 750 версии 3. В L2TP/IPSec использует аппаратную разгрузку, а в SSTP не будет? Эт как так?
UPD. Сам спросил сам ответил. Действительно, скорость передачи данных существенно ниже, а нагрузка (при той же скорости) больше. Была произведена оценка и сравнение:
sstp, l2tp/IPsec (тоже aes) Rb750Gr3. После установления связи SMB копировался большой файл (iso обаз).
SSTP устоявшаяся средняя скорость 2,04 MB/s, CPU 17-60% среднюю можно оценить как 38%
L2TP/IPSec устоявшаяся средняя скорость 9,01MB/s (очевидно, упирается в скорость канала к провайдеру), CPU 27-35% среднюю можно оценить как 31%. При этом, во втором случае нагрузка более равномерна и мало отклоняется от средней.
Благодарю за обзор интересной для меня темы. Это полезно. И в то же время, а можно ли было бы перед выкладкой вебинара в ю-туб вырезать те эпизоды, где разговор отвлекается от рассмотрения темы, и где всякие технические неполадкки устраняются. Оно реально замахивает.
Всё это очень здорово и збс, до тех пор пока тебе не понадобится с 1 белого IP ломиться на 443 порт: 1) Exchange OWA 2) SSTP 3) Сайт компании 4) ....
Вообще, я считаю, необходимо развивать подключения ВПН прежде всего на основе TLS или DTLS, и именно так, как браузер работает по HTTPS. GRE и IKE достаточно часто блочатся провайдерами, время от времени встречается ситуация, когда от какого-то провайдера не удается подключитьcя по L2TP/IPSec. Из сетей сотовых операторов это вообще приключения. А с учетом нарастающей паранойи у властей, в любой момент может заблочить все, отличное от HTTPS, тот же OpenVPN. Посему современный актуальный ВПН должен быть неотличим от HTTPS. Лучше всего, и при поведенченском анализе. SSTP, наверное, мог бы претендовать на роль такого коннекта.
У SSTP в версии микротика очень большие проблемы на Win7, он там просто не подключается.
К сожалению, некоторые умудряются блочить и Sstp даже на 443-ом порту. (В ОАЭ например). Скорее всего DPIшничают. Там же и sip tls не проходит и srtp.
ИКЕвэ2. Долго думал, что это пок не дошло, что айк второй версии. "Лучше, но настройка L2TP с IPSecом проще". Что-то намешано, по моему. При использовании L2TP с IPSecом будет задействован IKE
У меня XPшка тоже дома есть. Живее всех живых. Правда есть трудности с серфингом по Интернету, многие сайты уже забили на поддержку IE.
RDP передает данные в зашифрованном виде с помощью TLS 1.2 трубы, по данному протоколу передают данные и клиент -банки, и кассы в торговых сетях, и яндекс почта в браузерах, защищаете рдп также сертификатом, никакого отличия в плане безопасности от VPN трубы поверх IPSEC нет. около сотни подобных серверов настраивал никого до сих пор не взломали. но требуется определенный тюнинг и защита со стороны роутера. и тогда вполне ок.
WG теперь работает)
Ноутбук через 4G модем по сотовой сети подключается к впн серверу на микротике в сети ростелекома. Впн по протоколу РРТР. Между нотбуком и впн сервером , через оператора сотовой связи идёт двойной трафик, например , если скачивать файл размером 10 мегабайт, то объём трафика будет 20 мегабайт. Вопрос - для РРТР это нормально , генерировать двойной трафик? Или это плохо настроен впн РРТР?
В случае истечения срока, можно ли продлить срок действия сертификата?
Возможно ли поднять sstp сервер без использования сертификата? Такая функция вроде бы есть, но она для удаленных сотрудников почему-то не работает
Приветствую!стал обладателем микротик RB952UI настроил интернет,wi-fi.Вопрос такой - имеется принтер canon с wi-fi (к сети подключил по wi-fi),c телефона и ноутбука могу распечатать через wi-fi,а с компьютера подключенного сетевым кабелем к роутеру не видит принтер,подключаю сетевой кабель который идет к телевизору - компьютер видит принтер и можно печатать (до этого стоял роутер zyhel - соединялся по wi-fi ) ,что блокирует микротик ???куда копать
Роман, спасибо за очередное отличное видео, есть вопрос как раз про маки, IKEv2 по сертам никаким способом не хочет цепляться к VPN, не видит хоста серта, проблема известная, по шарному ключу запросто, есть хоть какое то вменяемое решение, чтобы Яблочная техника цеплялась по серту на IKEv2? Спасибо!
Не получается... на клиенте пишет CN имя сертификата не совпадает с полученным значением
Невозможно подключиться по SSTP так как микротик не поддерживает TLS SNA, как это решить?
После настройки при включении SSTP сервера получаю сообщение "Couldn't change SST Server - can't bind, check if port is not used by another service! (6)".
Не могу понять, что может мешать. Есть только srcnat, allow input и forward established related.
Нашёл! IP -> Services -> www-ssl
C 10 подключается нормально, а в 7 выдает ошибку 0x800b0109, разобрался. Простой установкой сертификата про устанавливается куда надо. зайти в сертификаты локального компьютера и импортировать сертификат
Можно поподробнее, а то у меня тоже на 7-ке ошибка 800 ?
@@user-ssh-dima
Выберите "Запустить " в меню "Пуск " и введите mmc.
Появится MMC.
В меню "Файл" выберите "Добавить или удалить привязку".
Откроется окно "Добавление или удаление оснастки".
В списке доступных оснастки выберите "Сертификаты", а затем нажмите кнопку "Добавить".
найти доверенные серификаты и туда добавить
Познавательно. Роман, зачем gui в microtik его же воспринимать сложно?!
А можно ссылку на презентацию? Спасибо.
ссылка работает по http
откуда взялось доменное имя??? ничего не понятно
Спасибо. Недавно пришлось настраивать, у сотрудника был Mac и он блокировал PPTP.
Вы sstp на маке подняли? Каким образом?
По моему провайдер в России блочащий впн (л2тп, ипсек) - недостоин существовать.
Спасибо за видео, вопрос не по теме, есть проблема с авторизацией пользователей по OVPN через AD, пишет в логах, что ошибка авторизации или сбрасывает соединение, при этом через l2tp/ipsec авторизовывает доменных пользователей нормально. Нужна какая-то дополнительная настройка на виндовом радиусе, не понимаю в чем проблема
может потому что ovpn не умеет udp
@@closdlockd хм, это вполне может быть правдой...
микротики заманчивы только своей ценой, за такие деньги фичасет впечатляет, ровно как и глючность, увы. Если бы эниконнект работал с микротами, цены бы им не было, а так мышиная возня кмк :)
Здравствуйте! Настроил. В рабочую сеть попадаю, но при этом пропадает интернет на локальной машине. Подскажите, что поправить в настройке локальной машине.
У тебя в настройках сети у твоего соединения стоит крыжик "Использовать основной шлюз в удаленной сети". После коннекта по ВПН у тебя трафик в инет начинает идти на новый шлюз (сервер ВПН), так как теперь дефолтный маршрут указывает на него. Смотри route print маршрут 0.0.0.0/0 Варианта решения тут 2:
1. На удаленном микротике настроить маскарадинг (SCRNAT) из "сети впн" в интернет. Разрешить в файерволе трафику проходить из этой сети в интернет (или убедиться что данная сеть подпадает под уже существующее разрешающее правило). При этом, в интернет ты станешь ходить через сеть организации, к которой подключаешься. Надо тебе это или нет, решай сам. Это может быть как плохо (так как канал организации начинает забиваться , минимум, удвоенным трафиком -- сперва из локальной машины до организации, потом это же пойдет в интернет), так и хорошо, если политика организации такова, что необходимо контролировать весь трафик, который может проходить на подключенные к сети организации машины.
2. Отключить крыжик, тогда весь инет будет, как и прежде, сразу с твоей машины в мир, но тогда тебе нужно будет решать вопрос с маршрутизации в удаленную сеть организации, так как твой комп не будет знать куда слать пакеты, предназначенные ей. Возможное решение -- самостоятельно добавлять маршрут в таблицу. Делать это придется руками ПОСЛЕ подключения к ВПН, и перманентный маршрут прописать не получится. Точнее, запись сохранится, но после отключения/подключения к впн комп не будет обращать на нее внимание. Придется удалять эту запись и прописывать снова. Возможное решение -- добавлять запись скриптом из планировщика по событию установления подключения. Может есть и другое решение, я не знаю. Не забывай в удаленном микротике разрешить в файерволе прохождение трафика между локальной сетью и "сетью впн". Кстати, в первом случае это тоже необходимо сделать.
@@aleksbotler5358 по п2.: это где у нас постоянные маршруты-то не сохраняются вдруг?
@@immickful читай внимательнее. Запись о маршруте сохранится, но работать будет она до окончания подключения к удаленной сети. При последующих подключениях венда не будет обращать на неё внимания и связи до сети не будет, так как интерфейс другой. Придется удалить маршрут и создать его заново при подключенном впн.
@@aleksbotler5358 так а в чем проблема привязать маршрут к интерфейсу конкретному? Номер интерфейса же не рандомится каждый раз.
@@immickful проблема в том, что этот интерфейс каждый раз для системы разный.
Почему не 7.0 beta?
Есть подозрение что там sstp поправили. В 6 данный тоннель это мучение, скорость в нем редко превышает 10 мегабит. Не берусь это утверждать на 100% но последний раз когда пробовал sstp в связке микротик-микротик это было именно так.
Как подключить по sstp mikritik к keneetic?
Смотря какой keneetic. Младшие модели keneetic не имеют sstp сервера. Если есть на борту sstp сервер, то хотя бы по паролю должен поддерживать sstp подключение.
@@MultiUser45 не подключается к кенетик 4G (у него есть сервер sstp), поясните пожалуйста как это сделать, какие настрой сделать надо? У меня сеть на микротике все работает, с Win 10 64x все хорошо подключается, а из микротика не хочет, в чем проблема может быть?
@mdmshrm как подключить?
@@MultiUser45 как подключить?
Странно, что за столько лет съёмки видео у вас В КАЖДОМ видео технические шоколадки. То звук, то видео, то тырнет лагает.
Неужели вам сложно купить норм микрофон и сменить провайдера, раз этот не тащит. Эти косяки дискредитируют в вас специалиста
Господину презрение и дизлайк за "Икспишку". Тогда были настоящие программисты, ща криворукие индусы.
Пиздец, ты ранимый.. Сразу предупреди, что еще может задеть тонкую душу поэта, чтоб Роману снова не облажаться
Роман, доброго времени суток! Вопрос: в видео на 33:45 вы показываете уровень шифрования AES256-CBC, но у себя в Винде я оставил (утилита IISCrypto) активными только GCM-шифры. Естественно SSTP подключение не подключается :-) Как микротику объяснить, что нужно использовать AES256-GCM и умеет ли Микротик GCM вообще?
Не умеет.
14:25
неужели реально на ЭТО есть свой зритель ??? Минут 10 потратил на на эти кривляния и гримасы а информации 0 !!!
У меня на Микротике поднят l2tp сервер + pptp сервис. Подключаюсь с компа и с телефона через VPN(l2tp+pptp) к микротику, проблем нет. Но вот непонятная штука, микротик ровно через 10 минут рвёт связь. Переподключась в ручную, и опять через 10 минут кидает связь :))) Укажите пожалуйста путь, куда копать. Танцы с бубном не помогли. Благодаря новому видео, попробую организовать подключение через SSTP.
Как не странно, в этом Вебинаре самый лучший звук
Звук отличный, но "ээээ", "мм мм", "вот!" уверенности не добавляют
@@shvictor73 к этому можно привыкнуть.
фильтр на пользователей PPP для ограничения офисного интернета не работает. Кто -то может тему поподробнее осветить?
Тем которые использует Mozilla Firefox будет лаги, с Google Chrome лагов нету.
36:45 -- Проблема с самоподписными сертификатами и использование сертификатов из Центров.
сертификаты для SSTP генерятся в самой RouterOS, из винбокса, CLI команды есть в микротик вики, только вот аппаратное ускорение при этом не работает, максимум 13-15Мб/с, при том что L2TP+IPSec не тормозит
По SSTP получилось три мегабита ( не мегабайта ) на канале 300 мегабит.
В связи с чем на windows 7 vpn по sstp не работает? настроить в микротике sstp сервер - на 10 ке работает. на 7 нет. служба не стартует?
Присоединяюсь к вопросу, но похоже тут только задают вопросы, а не отвечают...
Добавьте пожалуйста презентацию.
Обидно когда exchange server на 443 когда весит. Приходится айпи брать у провайдеров
А другой порт заюзать на SSTP религия не позволяет?
Темы полезные и интересные. Вы большой молодец! Но есть слова паразиты, в частности "вот", "соответственно" и "непосредственно". Скорее всего Вы их используете как связующие для соединения нескольких мыслей. Но употребляете их слишком часто - раздражает. Только возможность услышать ценную информацию заставляет смотреть ролики до конца. Вместо "Ок" есть чудесное слово - "хорошо". Успехов Вам в этом не лёгком деле.
класс спасибо большое
На винде же СА сертификат сам затаскивается из клиентского pfx... Вроде