SSTP для доступа удаленных сотрудников

Рет қаралды 45,062

4 жыл бұрын

Подключайтесь к нашей группе в Telegram: @miktrain (t.me/miktrain) чтобы задавать вопросы Роману Козлову.
Продолжаем бороться с подключением удаленных сотрудников к ресурсам предприятия.
На подходе вебинар про SSTP-протокол VPN, востребованный любителями WIndows и безопасности. Рассмотрим как он устроен. Попробуем настроить, посмотрим особенности работы с самоподписанными сертификатами и с коммерческими. Пообщаемся на тему плюсов и минусов.
Как всегда с Вами Роман Козлов - в этот раз из карантина.
Презентация
bit.ly/2X43tTq

Пікірлер: 71

@insky4049 3 жыл бұрын

Автор - Вы просто золото! Огромное спасибо Вам за Ваш труд, успехов и процветания Вам и команде!

@user-vp6vk1zs3f 4 жыл бұрын

Благодарю за обзор интересной для меня темы. Это полезно. И в то же время, а можно ли было бы перед выкладкой вебинара в ю-туб вырезать те эпизоды, где разговор отвлекается от рассмотрения темы, и где всякие технические неполадкки устраняются. Оно реально замахивает.

@jeyreno1138 4 жыл бұрын

Как не странно, в этом Вебинаре самый лучший звук

@shvictor73 3 жыл бұрын

Звук отличный, но "ээээ", "мм мм", "вот!" уверенности не добавляют

@jeyreno1138 3 жыл бұрын

@@shvictor73 к этому можно привыкнуть.

@user-pp5lu5wq9q 4 жыл бұрын

класс спасибо большое

@lefrenchle 4 жыл бұрын

Спасибо огромное. Теперь в Арсенале ВПН на SSTP. Всё работает!!!!! PPTP рвётся каждые 10 минут самопроизвольно и на 10ке как то криво соединяется, думаю на SSTP такого не будет.

@EGORGENREEDS 3 ай бұрын

Всё это очень здорово и збс, до тех пор пока тебе не понадобится с 1 белого IP ломиться на 443 порт: 1) Exchange OWA 2) SSTP 3) Сайт компании 4) ....

@aleksbotler5358 4 жыл бұрын

Нет аппаратной разгрузки шифрования SSTP. Почему нет, если есть аппаратные блоки AES в процессоре? Например 750 версии 3. В L2TP/IPSec использует аппаратную разгрузку, а в SSTP не будет? Эт как так? UPD. Сам спросил сам ответил. Действительно, скорость передачи данных существенно ниже, а нагрузка (при той же скорости) больше. Была произведена оценка и сравнение: sstp, l2tp/IPsec (тоже aes) Rb750Gr3. После установления связи SMB копировался большой файл (iso обаз). SSTP устоявшаяся средняя скорость 2,04 MB/s, CPU 17-60% среднюю можно оценить как 38% L2TP/IPSec устоявшаяся средняя скорость 9,01MB/s (очевидно, упирается в скорость канала к провайдеру), CPU 27-35% среднюю можно оценить как 31%. При этом, во втором случае нагрузка более равномерна и мало отклоняется от средней.

@aleksbotler5358 4 жыл бұрын

ИКЕвэ2. Долго думал, что это пок не дошло, что айк второй версии. "Лучше, но настройка L2TP с IPSecом проще". Что-то намешано, по моему. При использовании L2TP с IPSecом будет задействован IKE

@AlexPebodyGM 2 жыл бұрын

Роман, спасибо за очередное отличное видео, есть вопрос как раз про маки, IKEv2 по сертам никаким способом не хочет цепляться к VPN, не видит хоста серта, проблема известная, по шарному ключу запросто, есть хоть какое то вменяемое решение, чтобы Яблочная техника цеплялась по серту на IKEv2? Спасибо!

@aleksbotler5358 4 жыл бұрын

Вообще, я считаю, необходимо развивать подключения ВПН прежде всего на основе TLS или DTLS, и именно так, как браузер работает по HTTPS. GRE и IKE достаточно часто блочатся провайдерами, время от времени встречается ситуация, когда от какого-то провайдера не удается подключитьcя по L2TP/IPSec. Из сетей сотовых операторов это вообще приключения. А с учетом нарастающей паранойи у властей, в любой момент может заблочить все, отличное от HTTPS, тот же OpenVPN. Посему современный актуальный ВПН должен быть неотличим от HTTPS. Лучше всего, и при поведенченском анализе. SSTP, наверное, мог бы претендовать на роль такого коннекта.

@serg1567 2 жыл бұрын

У SSTP в версии микротика очень большие проблемы на Win7, он там просто не подключается.

@ocatex1 4 жыл бұрын

фильтр на пользователей PPP для ограничения офисного интернета не работает. Кто -то может тему поподробнее осветить?

@serg1567 2 жыл бұрын

Ноутбук через 4G модем по сотовой сети подключается к впн серверу на микротике в сети ростелекома. Впн по протоколу РРТР. Между нотбуком и впн сервером , через оператора сотовой связи идёт двойной трафик, например , если скачивать файл размером 10 мегабайт, то объём трафика будет 20 мегабайт. Вопрос - для РРТР это нормально , генерировать двойной трафик? Или это плохо настроен впн РРТР?

@nikopolv 4 жыл бұрын

C 10 подключается нормально, а в 7 выдает ошибку 0x800b0109, разобрался. Простой установкой сертификата про устанавливается куда надо. зайти в сертификаты локального компьютера и импортировать сертификат

@kurt54 5 ай бұрын

В случае истечения срока, можно ли продлить срок действия сертификата? Возможно ли поднять sstp сервер без использования сертификата? Такая функция вроде бы есть, но она для удаленных сотрудников почему-то не работает

@lefrenchle 4 жыл бұрын

У меня на Микротике поднят l2tp сервер + pptp сервис. Подключаюсь с компа и с телефона через VPN(l2tp+pptp) к микротику, проблем нет. Но вот непонятная штука, микротик ровно через 10 минут рвёт связь. Переподключась в ручную, и опять через 10 минут кидает связь :))) Укажите пожалуйста путь, куда копать. Танцы с бубном не помогли. Благодаря новому видео, попробую организовать подключение через SSTP.

@aleksbotler5358 4 жыл бұрын

36:45 -- Проблема с самоподписными сертификатами и использование сертификатов из Центров.

@alexyurk4825 3 жыл бұрын

У меня XPшка тоже дома есть. Живее всех живых. Правда есть трудности с серфингом по Интернету, многие сайты уже забили на поддержку IE.

@user-qr1li6pj2c 7 ай бұрын

WG теперь работает)

@8garage8 4 жыл бұрын

Приветствую!стал обладателем микротик RB952UI настроил интернет,wi-fi.Вопрос такой - имеется принтер canon с wi-fi (к сети подключил по wi-fi),c телефона и ноутбука могу распечатать через wi-fi,а с компьютера подключенного сетевым кабелем к роутеру не видит принтер,подключаю сетевой кабель который идет к телевизору - компьютер видит принтер и можно печатать (до этого стоял роутер zyhel - соединялся по wi-fi ) ,что блокирует микротик ???куда копать

@gennadiiorlov1992 3 жыл бұрын

сертификаты для SSTP генерятся в самой RouterOS, из винбокса, CLI команды есть в микротик вики, только вот аппаратное ускорение при этом не работает, максимум 13-15Мб/с, при том что L2TP+IPSec не тормозит

@serg1567 2 жыл бұрын

По SSTP получилось три мегабита ( не мегабайта ) на канале 300 мегабит.

@xxxblacklight 4 жыл бұрын

На винде же СА сертификат сам затаскивается из клиентского pfx... Вроде

@tfomsperm 2 жыл бұрын

Роман, доброго времени суток! Вопрос: в видео на 33:45 вы показываете уровень шифрования AES256-CBC, но у себя в Винде я оставил (утилита IISCrypto) активными только GCM-шифры. Естественно SSTP подключение не подключается :-) Как микротику объяснить, что нужно использовать AES256-GCM и умеет ли Микротик GCM вообще?

@serg1567 2 жыл бұрын

Не умеет.

@srg1197 4 жыл бұрын

Добавьте пожалуйста презентацию.

@user-bw3xr6zy7o 4 жыл бұрын

RDP передает данные в зашифрованном виде с помощью TLS 1.2 трубы, по данному протоколу передают данные и клиент -банки, и кассы в торговых сетях, и яндекс почта в браузерах, защищаете рдп также сертификатом, никакого отличия в плане безопасности от VPN трубы поверх IPSEC нет. около сотни подобных серверов настраивал никого до сих пор не взломали. но требуется определенный тюнинг и защита со стороны роутера. и тогда вполне ок.

@kirillkislitsyn1195 4 жыл бұрын

Невозможно подключиться по SSTP так как микротик не поддерживает TLS SNA, как это решить?

@user-pi6gs8tw9t 8 ай бұрын

Не получается... на клиенте пишет CN имя сертификата не совпадает с полученным значением

@vladislavyuzhaninov2010 4 жыл бұрын

Спасибо. Недавно пришлось настраивать, у сотрудника был Mac и он блокировал PPTP.

@LoungeMusicPlace 2 жыл бұрын

Вы sstp на маке подняли? Каким образом?

@agl-serg4598 4 жыл бұрын

После настройки при включении SSTP сервера получаю сообщение "Couldn't change SST Server - can't bind, check if port is not used by another service! (6)". Не могу понять, что может мешать. Есть только srcnat, allow input и forward established related. Нашёл! IP -> Services -> www-ssl

@alexsss4388 4 жыл бұрын

Спасибо за видео, вопрос не по теме, есть проблема с авторизацией пользователей по OVPN через AD, пишет в логах, что ошибка авторизации или сбрасывает соединение, при этом через l2tp/ipsec авторизовывает доменных пользователей нормально. Нужна какая-то дополнительная настройка на виндовом радиусе, не понимаю в чем проблема

@closdlockd 4 жыл бұрын

может потому что ovpn не умеет udp

@alexsss4388 3 жыл бұрын

@@closdlockd хм, это вполне может быть правдой...

@Susis71 4 жыл бұрын

Тем которые использует Mozilla Firefox будет лаги, с Google Chrome лагов нету.

@TheUmper 4 жыл бұрын

В связи с чем на windows 7 vpn по sstp не работает? настроить в микротике sstp сервер - на 10 ке работает. на 7 нет. служба не стартует?

@serg1567 2 жыл бұрын

Присоединяюсь к вопросу, но похоже тут только задают вопросы, а не отвечают...

@Trancefag 4 жыл бұрын

14:25

@user-rq3vi4oe7b 3 жыл бұрын

Обидно когда exchange server на 443 когда весит. Приходится айпи брать у провайдеров

@aleksbotler5358 3 жыл бұрын

А другой порт заюзать на SSTP религия не позволяет?

@negreevai 4 жыл бұрын

А можно ссылку на презентацию? Спасибо.

@serjiosheshesh3842 4 жыл бұрын

ссылка работает по http

@7453060 4 жыл бұрын

Познавательно. Роман, зачем gui в microtik его же воспринимать сложно?!

@MsDrosselmayer 4 жыл бұрын

Здравствуйте! Настроил. В рабочую сеть попадаю, но при этом пропадает интернет на локальной машине. Подскажите, что поправить в настройке локальной машине.

@aleksbotler5358 4 жыл бұрын

У тебя в настройках сети у твоего соединения стоит крыжик "Использовать основной шлюз в удаленной сети". После коннекта по ВПН у тебя трафик в инет начинает идти на новый шлюз (сервер ВПН), так как теперь дефолтный маршрут указывает на него. Смотри route print маршрут 0.0.0.0/0 Варианта решения тут 2: 1. На удаленном микротике настроить маскарадинг (SCRNAT) из "сети впн" в интернет. Разрешить в файерволе трафику проходить из этой сети в интернет (или убедиться что данная сеть подпадает под уже существующее разрешающее правило). При этом, в интернет ты станешь ходить через сеть организации, к которой подключаешься. Надо тебе это или нет, решай сам. Это может быть как плохо (так как канал организации начинает забиваться , минимум, удвоенным трафиком -- сперва из локальной машины до организации, потом это же пойдет в интернет), так и хорошо, если политика организации такова, что необходимо контролировать весь трафик, который может проходить на подключенные к сети организации машины. 2. Отключить крыжик, тогда весь инет будет, как и прежде, сразу с твоей машины в мир, но тогда тебе нужно будет решать вопрос с маршрутизации в удаленную сеть организации, так как твой комп не будет знать куда слать пакеты, предназначенные ей. Возможное решение -- самостоятельно добавлять маршрут в таблицу. Делать это придется руками ПОСЛЕ подключения к ВПН, и перманентный маршрут прописать не получится. Точнее, запись сохранится, но после отключения/подключения к впн комп не будет обращать на нее внимание. Придется удалять эту запись и прописывать снова. Возможное решение -- добавлять запись скриптом из планировщика по событию установления подключения. Может есть и другое решение, я не знаю. Не забывай в удаленном микротике разрешить в файерволе прохождение трафика между локальной сетью и "сетью впн". Кстати, в первом случае это тоже необходимо сделать.

@immickful 3 жыл бұрын

@@aleksbotler5358 по п2.: это где у нас постоянные маршруты-то не сохраняются вдруг?

@aleksbotler5358 3 жыл бұрын

@@immickful читай внимательнее. Запись о маршруте сохранится, но работать будет она до окончания подключения к удаленной сети. При последующих подключениях венда не будет обращать на неё внимания и связи до сети не будет, так как интерфейс другой. Придется удалить маршрут и создать его заново при подключенном впн.

@immickful 3 жыл бұрын

@@aleksbotler5358 так а в чем проблема привязать маршрут к интерфейсу конкретному? Номер интерфейса же не рандомится каждый раз.

@aleksbotler5358 3 жыл бұрын

@@immickful проблема в том, что этот интерфейс каждый раз для системы разный.

@kirillkislitsyn1195 4 жыл бұрын

Как подключить по sstp mikritik к keneetic?

@MultiUser45 4 жыл бұрын

Смотря какой keneetic. Младшие модели keneetic не имеют sstp сервера. Если есть на борту sstp сервер, то хотя бы по паролю должен поддерживать sstp подключение.

@kirillkislitsyn1195 4 жыл бұрын

@@MultiUser45 не подключается к кенетик 4G (у него есть сервер sstp), поясните пожалуйста как это сделать, какие настрой сделать надо? У меня сеть на микротике все работает, с Win 10 64x все хорошо подключается, а из микротика не хочет, в чем проблема может быть?

@kirillkislitsyn1195 4 жыл бұрын

@mdmshrm как подключить?

@kirillkislitsyn1195 4 жыл бұрын

@@MultiUser45 как подключить?

@KonstantinovAG 3 жыл бұрын

По моему провайдер в России блочащий впн (л2тп, ипсек) - недостоин существовать.

@kondratievas 4 жыл бұрын

Почему не 7.0 beta?

@Karaceg 3 жыл бұрын

Есть подозрение что там sstp поправили. В 6 данный тоннель это мучение, скорость в нем редко превышает 10 мегабит. Не берусь это утверждать на 100% но последний раз когда пробовал sstp в связке микротик-микротик это было именно так.

@vladber3558 3 жыл бұрын

Темы полезные и интересные. Вы большой молодец! Но есть слова паразиты, в частности "вот", "соответственно" и "непосредственно". Скорее всего Вы их используете как связующие для соединения нескольких мыслей. Но употребляете их слишком часто - раздражает. Только возможность услышать ценную информацию заставляет смотреть ролики до конца. Вместо "Ок" есть чудесное слово - "хорошо". Успехов Вам в этом не лёгком деле.

@pnp346 2 жыл бұрын

микротики заманчивы только своей ценой, за такие деньги фичасет впечатляет, ровно как и глючность, увы. Если бы эниконнект работал с микротами, цены бы им не было, а так мышиная возня кмк :)

@loza9600 3 жыл бұрын

неужели реально на ЭТО есть свой зритель ??? Минут 10 потратил на на эти кривляния и гримасы а информации 0 !!!

@Ghooooost 4 жыл бұрын

Странно, что за столько лет съёмки видео у вас В КАЖДОМ видео технические шоколадки. То звук, то видео, то тырнет лагает. Неужели вам сложно купить норм микрофон и сменить провайдера, раз этот не тащит. Эти косяки дискредитируют в вас специалиста