Благодарю за обзор интересной для меня темы. Это полезно. И в то же время, а можно ли было бы перед выкладкой вебинара в ю-туб вырезать те эпизоды, где разговор отвлекается от рассмотрения темы, и где всякие технические неполадкки устраняются. Оно реально замахивает.
Нет аппаратной разгрузки шифрования SSTP. Почему нет, если есть аппаратные блоки AES в процессоре? Например 750 версии 3. В L2TP/IPSec использует аппаратную разгрузку, а в SSTP не будет? Эт как так? UPD. Сам спросил сам ответил. Действительно, скорость передачи данных существенно ниже, а нагрузка (при той же скорости) больше. Была произведена оценка и сравнение: sstp, l2tp/IPsec (тоже aes) Rb750Gr3. После установления связи SMB копировался большой файл (iso обаз). SSTP устоявшаяся средняя скорость 2,04 MB/s, CPU 17-60% среднюю можно оценить как 38% L2TP/IPSec устоявшаяся средняя скорость 9,01MB/s (очевидно, упирается в скорость канала к провайдеру), CPU 27-35% среднюю можно оценить как 31%. При этом, во втором случае нагрузка более равномерна и мало отклоняется от средней.
Спасибо огромное. Теперь в Арсенале ВПН на SSTP. Всё работает!!!!! PPTP рвётся каждые 10 минут самопроизвольно и на 10ке как то криво соединяется, думаю на SSTP такого не будет.
В случае истечения срока, можно ли продлить срок действия сертификата? Возможно ли поднять sstp сервер без использования сертификата? Такая функция вроде бы есть, но она для удаленных сотрудников почему-то не работает
Ноутбук через 4G модем по сотовой сети подключается к впн серверу на микротике в сети ростелекома. Впн по протоколу РРТР. Между нотбуком и впн сервером , через оператора сотовой связи идёт двойной трафик, например , если скачивать файл размером 10 мегабайт, то объём трафика будет 20 мегабайт. Вопрос - для РРТР это нормально , генерировать двойной трафик? Или это плохо настроен впн РРТР?
Роман, спасибо за очередное отличное видео, есть вопрос как раз про маки, IKEv2 по сертам никаким способом не хочет цепляться к VPN, не видит хоста серта, проблема известная, по шарному ключу запросто, есть хоть какое то вменяемое решение, чтобы Яблочная техника цеплялась по серту на IKEv2? Спасибо!
У меня на Микротике поднят l2tp сервер + pptp сервис. Подключаюсь с компа и с телефона через VPN(l2tp+pptp) к микротику, проблем нет. Но вот непонятная штука, микротик ровно через 10 минут рвёт связь. Переподключась в ручную, и опять через 10 минут кидает связь :))) Укажите пожалуйста путь, куда копать. Танцы с бубном не помогли. Благодаря новому видео, попробую организовать подключение через SSTP.
Приветствую!стал обладателем микротик RB952UI настроил интернет,wi-fi.Вопрос такой - имеется принтер canon с wi-fi (к сети подключил по wi-fi),c телефона и ноутбука могу распечатать через wi-fi,а с компьютера подключенного сетевым кабелем к роутеру не видит принтер,подключаю сетевой кабель который идет к телевизору - компьютер видит принтер и можно печатать (до этого стоял роутер zyhel - соединялся по wi-fi ) ,что блокирует микротик ???куда копать
сертификаты для SSTP генерятся в самой RouterOS, из винбокса, CLI команды есть в микротик вики, только вот аппаратное ускорение при этом не работает, максимум 13-15Мб/с, при том что L2TP+IPSec не тормозит
ИКЕвэ2. Долго думал, что это пок не дошло, что айк второй версии. "Лучше, но настройка L2TP с IPSecом проще". Что-то намешано, по моему. При использовании L2TP с IPSecом будет задействован IKE
Вообще, я считаю, необходимо развивать подключения ВПН прежде всего на основе TLS или DTLS, и именно так, как браузер работает по HTTPS. GRE и IKE достаточно часто блочатся провайдерами, время от времени встречается ситуация, когда от какого-то провайдера не удается подключитьcя по L2TP/IPSec. Из сетей сотовых операторов это вообще приключения. А с учетом нарастающей паранойи у властей, в любой момент может заблочить все, отличное от HTTPS, тот же OpenVPN. Посему современный актуальный ВПН должен быть неотличим от HTTPS. Лучше всего, и при поведенченском анализе. SSTP, наверное, мог бы претендовать на роль такого коннекта.
RDP передает данные в зашифрованном виде с помощью TLS 1.2 трубы, по данному протоколу передают данные и клиент -банки, и кассы в торговых сетях, и яндекс почта в браузерах, защищаете рдп также сертификатом, никакого отличия в плане безопасности от VPN трубы поверх IPSEC нет. около сотни подобных серверов настраивал никого до сих пор не взломали. но требуется определенный тюнинг и защита со стороны роутера. и тогда вполне ок.
После настройки при включении SSTP сервера получаю сообщение "Couldn't change SST Server - can't bind, check if port is not used by another service! (6)". Не могу понять, что может мешать. Есть только srcnat, allow input и forward established related. Нашёл! IP -> Services -> www-ssl
C 10 подключается нормально, а в 7 выдает ошибку 0x800b0109, разобрался. Простой установкой сертификата про устанавливается куда надо. зайти в сертификаты локального компьютера и импортировать сертификат
@@user-ssh-dima Выберите "Запустить " в меню "Пуск " и введите mmc. Появится MMC. В меню "Файл" выберите "Добавить или удалить привязку". Откроется окно "Добавление или удаление оснастки". В списке доступных оснастки выберите "Сертификаты", а затем нажмите кнопку "Добавить". найти доверенные серификаты и туда добавить
Здравствуйте! Настроил. В рабочую сеть попадаю, но при этом пропадает интернет на локальной машине. Подскажите, что поправить в настройке локальной машине.
У тебя в настройках сети у твоего соединения стоит крыжик "Использовать основной шлюз в удаленной сети". После коннекта по ВПН у тебя трафик в инет начинает идти на новый шлюз (сервер ВПН), так как теперь дефолтный маршрут указывает на него. Смотри route print маршрут 0.0.0.0/0 Варианта решения тут 2: 1. На удаленном микротике настроить маскарадинг (SCRNAT) из "сети впн" в интернет. Разрешить в файерволе трафику проходить из этой сети в интернет (или убедиться что данная сеть подпадает под уже существующее разрешающее правило). При этом, в интернет ты станешь ходить через сеть организации, к которой подключаешься. Надо тебе это или нет, решай сам. Это может быть как плохо (так как канал организации начинает забиваться , минимум, удвоенным трафиком -- сперва из локальной машины до организации, потом это же пойдет в интернет), так и хорошо, если политика организации такова, что необходимо контролировать весь трафик, который может проходить на подключенные к сети организации машины. 2. Отключить крыжик, тогда весь инет будет, как и прежде, сразу с твоей машины в мир, но тогда тебе нужно будет решать вопрос с маршрутизации в удаленную сеть организации, так как твой комп не будет знать куда слать пакеты, предназначенные ей. Возможное решение -- самостоятельно добавлять маршрут в таблицу. Делать это придется руками ПОСЛЕ подключения к ВПН, и перманентный маршрут прописать не получится. Точнее, запись сохранится, но после отключения/подключения к впн комп не будет обращать на нее внимание. Придется удалять эту запись и прописывать снова. Возможное решение -- добавлять запись скриптом из планировщика по событию установления подключения. Может есть и другое решение, я не знаю. Не забывай в удаленном микротике разрешить в файерволе прохождение трафика между локальной сетью и "сетью впн". Кстати, в первом случае это тоже необходимо сделать.
@@immickful читай внимательнее. Запись о маршруте сохранится, но работать будет она до окончания подключения к удаленной сети. При последующих подключениях венда не будет обращать на неё внимания и связи до сети не будет, так как интерфейс другой. Придется удалить маршрут и создать его заново при подключенном впн.
Спасибо за видео, вопрос не по теме, есть проблема с авторизацией пользователей по OVPN через AD, пишет в логах, что ошибка авторизации или сбрасывает соединение, при этом через l2tp/ipsec авторизовывает доменных пользователей нормально. Нужна какая-то дополнительная настройка на виндовом радиусе, не понимаю в чем проблема
Темы полезные и интересные. Вы большой молодец! Но есть слова паразиты, в частности "вот", "соответственно" и "непосредственно". Скорее всего Вы их используете как связующие для соединения нескольких мыслей. Но употребляете их слишком часто - раздражает. Только возможность услышать ценную информацию заставляет смотреть ролики до конца. Вместо "Ок" есть чудесное слово - "хорошо". Успехов Вам в этом не лёгком деле.
Есть подозрение что там sstp поправили. В 6 данный тоннель это мучение, скорость в нем редко превышает 10 мегабит. Не берусь это утверждать на 100% но последний раз когда пробовал sstp в связке микротик-микротик это было именно так.
Смотря какой keneetic. Младшие модели keneetic не имеют sstp сервера. Если есть на борту sstp сервер, то хотя бы по паролю должен поддерживать sstp подключение.
@@MultiUser45 не подключается к кенетик 4G (у него есть сервер sstp), поясните пожалуйста как это сделать, какие настрой сделать надо? У меня сеть на микротике все работает, с Win 10 64x все хорошо подключается, а из микротика не хочет, в чем проблема может быть?
микротики заманчивы только своей ценой, за такие деньги фичасет впечатляет, ровно как и глючность, увы. Если бы эниконнект работал с микротами, цены бы им не было, а так мышиная возня кмк :)
Странно, что за столько лет съёмки видео у вас В КАЖДОМ видео технические шоколадки. То звук, то видео, то тырнет лагает. Неужели вам сложно купить норм микрофон и сменить провайдера, раз этот не тащит. Эти косяки дискредитируют в вас специалиста
Благодарю за обзор интересной для меня темы. Это полезно. И в то же время, а можно ли было бы перед выкладкой вебинара в ю-туб вырезать те эпизоды, где разговор отвлекается от рассмотрения темы, и где всякие технические неполадкки устраняются. Оно реально замахивает.
Нет аппаратной разгрузки шифрования SSTP. Почему нет, если есть аппаратные блоки AES в процессоре? Например 750 версии 3. В L2TP/IPSec использует аппаратную разгрузку, а в SSTP не будет? Эт как так?
UPD. Сам спросил сам ответил. Действительно, скорость передачи данных существенно ниже, а нагрузка (при той же скорости) больше. Была произведена оценка и сравнение:
sstp, l2tp/IPsec (тоже aes) Rb750Gr3. После установления связи SMB копировался большой файл (iso обаз).
SSTP устоявшаяся средняя скорость 2,04 MB/s, CPU 17-60% среднюю можно оценить как 38%
L2TP/IPSec устоявшаяся средняя скорость 9,01MB/s (очевидно, упирается в скорость канала к провайдеру), CPU 27-35% среднюю можно оценить как 31%. При этом, во втором случае нагрузка более равномерна и мало отклоняется от средней.
Спасибо огромное. Теперь в Арсенале ВПН на SSTP. Всё работает!!!!! PPTP рвётся каждые 10 минут самопроизвольно и на 10ке как то криво соединяется, думаю на SSTP такого не будет.
Как не странно, в этом Вебинаре самый лучший звук
Звук отличный, но "ээээ", "мм мм", "вот!" уверенности не добавляют
@@shvictor73 к этому можно привыкнуть.
Настроено соединение клиента с офисной подсетью через SSTP. А как днс имена разрешить при подключении?
В случае истечения срока, можно ли продлить срок действия сертификата?
Возможно ли поднять sstp сервер без использования сертификата? Такая функция вроде бы есть, но она для удаленных сотрудников почему-то не работает
Ноутбук через 4G модем по сотовой сети подключается к впн серверу на микротике в сети ростелекома. Впн по протоколу РРТР. Между нотбуком и впн сервером , через оператора сотовой связи идёт двойной трафик, например , если скачивать файл размером 10 мегабайт, то объём трафика будет 20 мегабайт. Вопрос - для РРТР это нормально , генерировать двойной трафик? Или это плохо настроен впн РРТР?
Роман, спасибо за очередное отличное видео, есть вопрос как раз про маки, IKEv2 по сертам никаким способом не хочет цепляться к VPN, не видит хоста серта, проблема известная, по шарному ключу запросто, есть хоть какое то вменяемое решение, чтобы Яблочная техника цеплялась по серту на IKEv2? Спасибо!
У меня на Микротике поднят l2tp сервер + pptp сервис. Подключаюсь с компа и с телефона через VPN(l2tp+pptp) к микротику, проблем нет. Но вот непонятная штука, микротик ровно через 10 минут рвёт связь. Переподключась в ручную, и опять через 10 минут кидает связь :))) Укажите пожалуйста путь, куда копать. Танцы с бубном не помогли. Благодаря новому видео, попробую организовать подключение через SSTP.
Приветствую!стал обладателем микротик RB952UI настроил интернет,wi-fi.Вопрос такой - имеется принтер canon с wi-fi (к сети подключил по wi-fi),c телефона и ноутбука могу распечатать через wi-fi,а с компьютера подключенного сетевым кабелем к роутеру не видит принтер,подключаю сетевой кабель который идет к телевизору - компьютер видит принтер и можно печатать (до этого стоял роутер zyhel - соединялся по wi-fi ) ,что блокирует микротик ???куда копать
Не получается... на клиенте пишет CN имя сертификата не совпадает с полученным значением
сертификаты для SSTP генерятся в самой RouterOS, из винбокса, CLI команды есть в микротик вики, только вот аппаратное ускорение при этом не работает, максимум 13-15Мб/с, при том что L2TP+IPSec не тормозит
По SSTP получилось три мегабита ( не мегабайта ) на канале 300 мегабит.
ИКЕвэ2. Долго думал, что это пок не дошло, что айк второй версии. "Лучше, но настройка L2TP с IPSecом проще". Что-то намешано, по моему. При использовании L2TP с IPSecом будет задействован IKE
Вообще, я считаю, необходимо развивать подключения ВПН прежде всего на основе TLS или DTLS, и именно так, как браузер работает по HTTPS. GRE и IKE достаточно часто блочатся провайдерами, время от времени встречается ситуация, когда от какого-то провайдера не удается подключитьcя по L2TP/IPSec. Из сетей сотовых операторов это вообще приключения. А с учетом нарастающей паранойи у властей, в любой момент может заблочить все, отличное от HTTPS, тот же OpenVPN. Посему современный актуальный ВПН должен быть неотличим от HTTPS. Лучше всего, и при поведенченском анализе. SSTP, наверное, мог бы претендовать на роль такого коннекта.
У SSTP в версии микротика очень большие проблемы на Win7, он там просто не подключается.
К сожалению, некоторые умудряются блочить и Sstp даже на 443-ом порту. (В ОАЭ например). Скорее всего DPIшничают. Там же и sip tls не проходит и srtp.
RDP передает данные в зашифрованном виде с помощью TLS 1.2 трубы, по данному протоколу передают данные и клиент -банки, и кассы в торговых сетях, и яндекс почта в браузерах, защищаете рдп также сертификатом, никакого отличия в плане безопасности от VPN трубы поверх IPSEC нет. около сотни подобных серверов настраивал никого до сих пор не взломали. но требуется определенный тюнинг и защита со стороны роутера. и тогда вполне ок.
У меня XPшка тоже дома есть. Живее всех живых. Правда есть трудности с серфингом по Интернету, многие сайты уже забили на поддержку IE.
Всё это очень здорово и збс, до тех пор пока тебе не понадобится с 1 белого IP ломиться на 443 порт: 1) Exchange OWA 2) SSTP 3) Сайт компании 4) ....
откуда взялось доменное имя??? ничего не понятно
фильтр на пользователей PPP для ограничения офисного интернета не работает. Кто -то может тему поподробнее осветить?
Добавьте пожалуйста презентацию.
Невозможно подключиться по SSTP так как микротик не поддерживает TLS SNA, как это решить?
После настройки при включении SSTP сервера получаю сообщение "Couldn't change SST Server - can't bind, check if port is not used by another service! (6)".
Не могу понять, что может мешать. Есть только srcnat, allow input и forward established related.
Нашёл! IP -> Services -> www-ssl
А можно ссылку на презентацию? Спасибо.
ссылка работает по http
В связи с чем на windows 7 vpn по sstp не работает? настроить в микротике sstp сервер - на 10 ке работает. на 7 нет. служба не стартует?
Присоединяюсь к вопросу, но похоже тут только задают вопросы, а не отвечают...
Познавательно. Роман, зачем gui в microtik его же воспринимать сложно?!
C 10 подключается нормально, а в 7 выдает ошибку 0x800b0109, разобрался. Простой установкой сертификата про устанавливается куда надо. зайти в сертификаты локального компьютера и импортировать сертификат
Можно поподробнее, а то у меня тоже на 7-ке ошибка 800 ?
@@user-ssh-dima
Выберите "Запустить " в меню "Пуск " и введите mmc.
Появится MMC.
В меню "Файл" выберите "Добавить или удалить привязку".
Откроется окно "Добавление или удаление оснастки".
В списке доступных оснастки выберите "Сертификаты", а затем нажмите кнопку "Добавить".
найти доверенные серификаты и туда добавить
Обидно когда exchange server на 443 когда весит. Приходится айпи брать у провайдеров
А другой порт заюзать на SSTP религия не позволяет?
Здравствуйте! Настроил. В рабочую сеть попадаю, но при этом пропадает интернет на локальной машине. Подскажите, что поправить в настройке локальной машине.
У тебя в настройках сети у твоего соединения стоит крыжик "Использовать основной шлюз в удаленной сети". После коннекта по ВПН у тебя трафик в инет начинает идти на новый шлюз (сервер ВПН), так как теперь дефолтный маршрут указывает на него. Смотри route print маршрут 0.0.0.0/0 Варианта решения тут 2:
1. На удаленном микротике настроить маскарадинг (SCRNAT) из "сети впн" в интернет. Разрешить в файерволе трафику проходить из этой сети в интернет (или убедиться что данная сеть подпадает под уже существующее разрешающее правило). При этом, в интернет ты станешь ходить через сеть организации, к которой подключаешься. Надо тебе это или нет, решай сам. Это может быть как плохо (так как канал организации начинает забиваться , минимум, удвоенным трафиком -- сперва из локальной машины до организации, потом это же пойдет в интернет), так и хорошо, если политика организации такова, что необходимо контролировать весь трафик, который может проходить на подключенные к сети организации машины.
2. Отключить крыжик, тогда весь инет будет, как и прежде, сразу с твоей машины в мир, но тогда тебе нужно будет решать вопрос с маршрутизации в удаленную сеть организации, так как твой комп не будет знать куда слать пакеты, предназначенные ей. Возможное решение -- самостоятельно добавлять маршрут в таблицу. Делать это придется руками ПОСЛЕ подключения к ВПН, и перманентный маршрут прописать не получится. Точнее, запись сохранится, но после отключения/подключения к впн комп не будет обращать на нее внимание. Придется удалять эту запись и прописывать снова. Возможное решение -- добавлять запись скриптом из планировщика по событию установления подключения. Может есть и другое решение, я не знаю. Не забывай в удаленном микротике разрешить в файерволе прохождение трафика между локальной сетью и "сетью впн". Кстати, в первом случае это тоже необходимо сделать.
@@aleksbotler5358 по п2.: это где у нас постоянные маршруты-то не сохраняются вдруг?
@@immickful читай внимательнее. Запись о маршруте сохранится, но работать будет она до окончания подключения к удаленной сети. При последующих подключениях венда не будет обращать на неё внимания и связи до сети не будет, так как интерфейс другой. Придется удалить маршрут и создать его заново при подключенном впн.
@@aleksbotler5358 так а в чем проблема привязать маршрут к интерфейсу конкретному? Номер интерфейса же не рандомится каждый раз.
@@immickful проблема в том, что этот интерфейс каждый раз для системы разный.
Спасибо за видео, вопрос не по теме, есть проблема с авторизацией пользователей по OVPN через AD, пишет в логах, что ошибка авторизации или сбрасывает соединение, при этом через l2tp/ipsec авторизовывает доменных пользователей нормально. Нужна какая-то дополнительная настройка на виндовом радиусе, не понимаю в чем проблема
может потому что ovpn не умеет udp
@@closdlockd хм, это вполне может быть правдой...
Спасибо. Недавно пришлось настраивать, у сотрудника был Mac и он блокировал PPTP.
Вы sstp на маке подняли? Каким образом?
класс спасибо большое
36:45 -- Проблема с самоподписными сертификатами и использование сертификатов из Центров.
Тем которые использует Mozilla Firefox будет лаги, с Google Chrome лагов нету.
По моему провайдер в России блочащий впн (л2тп, ипсек) - недостоин существовать.
WG теперь работает)
Темы полезные и интересные. Вы большой молодец! Но есть слова паразиты, в частности "вот", "соответственно" и "непосредственно". Скорее всего Вы их используете как связующие для соединения нескольких мыслей. Но употребляете их слишком часто - раздражает. Только возможность услышать ценную информацию заставляет смотреть ролики до конца. Вместо "Ок" есть чудесное слово - "хорошо". Успехов Вам в этом не лёгком деле.
Почему не 7.0 beta?
Есть подозрение что там sstp поправили. В 6 данный тоннель это мучение, скорость в нем редко превышает 10 мегабит. Не берусь это утверждать на 100% но последний раз когда пробовал sstp в связке микротик-микротик это было именно так.
Как подключить по sstp mikritik к keneetic?
Смотря какой keneetic. Младшие модели keneetic не имеют sstp сервера. Если есть на борту sstp сервер, то хотя бы по паролю должен поддерживать sstp подключение.
@@MultiUser45 не подключается к кенетик 4G (у него есть сервер sstp), поясните пожалуйста как это сделать, какие настрой сделать надо? У меня сеть на микротике все работает, с Win 10 64x все хорошо подключается, а из микротика не хочет, в чем проблема может быть?
@mdmshrm как подключить?
@@MultiUser45 как подключить?
Я из 2024 WG уже есть
микротики заманчивы только своей ценой, за такие деньги фичасет впечатляет, ровно как и глючность, увы. Если бы эниконнект работал с микротами, цены бы им не было, а так мышиная возня кмк :)
Странно, что за столько лет съёмки видео у вас В КАЖДОМ видео технические шоколадки. То звук, то видео, то тырнет лагает.
Неужели вам сложно купить норм микрофон и сменить провайдера, раз этот не тащит. Эти косяки дискредитируют в вас специалиста
неужели реально на ЭТО есть свой зритель ??? Минут 10 потратил на на эти кривляния и гримасы а информации 0 !!!
много слов, вообще это как можно столько слов,тоесть воды налить...
Господину презрение и дизлайк за "Икспишку". Тогда были настоящие программисты, ща криворукие индусы.
Пиздец, ты ранимый.. Сразу предупреди, что еще может задеть тонкую душу поэта, чтоб Роману снова не облажаться