SSTP для доступа удаленных сотрудников
Ғылым және технология
Подключайтесь к нашей группе в Telegram: @miktrain (t.me/miktrain) чтобы задавать вопросы Роману Козлову.
Продолжаем бороться с подключением удаленных сотрудников к ресурсам предприятия.
На подходе вебинар про SSTP-протокол VPN, востребованный любителями WIndows и безопасности. Рассмотрим как он устроен. Попробуем настроить, посмотрим особенности работы с самоподписанными сертификатами и с коммерческими. Пообщаемся на тему плюсов и минусов.
Как всегда с Вами Роман Козлов - в этот раз из карантина.
Презентация
bit.ly/2X43tTq
Пікірлер: 71
Автор - Вы просто золото! Огромное спасибо Вам за Ваш труд, успехов и процветания Вам и команде!
Благодарю за обзор интересной для меня темы. Это полезно. И в то же время, а можно ли было бы перед выкладкой вебинара в ю-туб вырезать те эпизоды, где разговор отвлекается от рассмотрения темы, и где всякие технические неполадкки устраняются. Оно реально замахивает.
класс спасибо большое
Спасибо огромное. Теперь в Арсенале ВПН на SSTP. Всё работает!!!!! PPTP рвётся каждые 10 минут самопроизвольно и на 10ке как то криво соединяется, думаю на SSTP такого не будет.
Как не странно, в этом Вебинаре самый лучший звук
@shvictor73
3 жыл бұрын
Звук отличный, но "ээээ", "мм мм", "вот!" уверенности не добавляют
@jeyreno1138
3 жыл бұрын
@@shvictor73 к этому можно привыкнуть.
Всё это очень здорово и збс, до тех пор пока тебе не понадобится с 1 белого IP ломиться на 443 порт: 1) Exchange OWA 2) SSTP 3) Сайт компании 4) ....
ИКЕвэ2. Долго думал, что это пок не дошло, что айк второй версии. "Лучше, но настройка L2TP с IPSecом проще". Что-то намешано, по моему. При использовании L2TP с IPSecом будет задействован IKE
Добавьте пожалуйста презентацию.
У меня XPшка тоже дома есть. Живее всех живых. Правда есть трудности с серфингом по Интернету, многие сайты уже забили на поддержку IE.
Нет аппаратной разгрузки шифрования SSTP. Почему нет, если есть аппаратные блоки AES в процессоре? Например 750 версии 3. В L2TP/IPSec использует аппаратную разгрузку, а в SSTP не будет? Эт как так? UPD. Сам спросил сам ответил. Действительно, скорость передачи данных существенно ниже, а нагрузка (при той же скорости) больше. Была произведена оценка и сравнение: sstp, l2tp/IPsec (тоже aes) Rb750Gr3. После установления связи SMB копировался большой файл (iso обаз). SSTP устоявшаяся средняя скорость 2,04 MB/s, CPU 17-60% среднюю можно оценить как 38% L2TP/IPSec устоявшаяся средняя скорость 9,01MB/s (очевидно, упирается в скорость канала к провайдеру), CPU 27-35% среднюю можно оценить как 31%. При этом, во втором случае нагрузка более равномерна и мало отклоняется от средней.
фильтр на пользователей PPP для ограничения офисного интернета не работает. Кто -то может тему поподробнее осветить?
Вообще, я считаю, необходимо развивать подключения ВПН прежде всего на основе TLS или DTLS, и именно так, как браузер работает по HTTPS. GRE и IKE достаточно часто блочатся провайдерами, время от времени встречается ситуация, когда от какого-то провайдера не удается подключитьcя по L2TP/IPSec. Из сетей сотовых операторов это вообще приключения. А с учетом нарастающей паранойи у властей, в любой момент может заблочить все, отличное от HTTPS, тот же OpenVPN. Посему современный актуальный ВПН должен быть неотличим от HTTPS. Лучше всего, и при поведенченском анализе. SSTP, наверное, мог бы претендовать на роль такого коннекта.
@serg1567
2 жыл бұрын
У SSTP в версии микротика очень большие проблемы на Win7, он там просто не подключается.
Роман, спасибо за очередное отличное видео, есть вопрос как раз про маки, IKEv2 по сертам никаким способом не хочет цепляться к VPN, не видит хоста серта, проблема известная, по шарному ключу запросто, есть хоть какое то вменяемое решение, чтобы Яблочная техника цеплялась по серту на IKEv2? Спасибо!
Роман, доброго времени суток! Вопрос: в видео на 33:45 вы показываете уровень шифрования AES256-CBC, но у себя в Винде я оставил (утилита IISCrypto) активными только GCM-шифры. Естественно SSTP подключение не подключается :-) Как микротику объяснить, что нужно использовать AES256-GCM и умеет ли Микротик GCM вообще?
@serg1567
2 жыл бұрын
Не умеет.
36:45 -- Проблема с самоподписными сертификатами и использование сертификатов из Центров.
У меня на Микротике поднят l2tp сервер + pptp сервис. Подключаюсь с компа и с телефона через VPN(l2tp+pptp) к микротику, проблем нет. Но вот непонятная штука, микротик ровно через 10 минут рвёт связь. Переподключась в ручную, и опять через 10 минут кидает связь :))) Укажите пожалуйста путь, куда копать. Танцы с бубном не помогли. Благодаря новому видео, попробую организовать подключение через SSTP.
сертификаты для SSTP генерятся в самой RouterOS, из винбокса, CLI команды есть в микротик вики, только вот аппаратное ускорение при этом не работает, максимум 13-15Мб/с, при том что L2TP+IPSec не тормозит
@serg1567
2 жыл бұрын
По SSTP получилось три мегабита ( не мегабайта ) на канале 300 мегабит.
C 10 подключается нормально, а в 7 выдает ошибку 0x800b0109, разобрался. Простой установкой сертификата про устанавливается куда надо. зайти в сертификаты локального компьютера и импортировать сертификат
На винде же СА сертификат сам затаскивается из клиентского pfx... Вроде
В случае истечения срока, можно ли продлить срок действия сертификата? Возможно ли поднять sstp сервер без использования сертификата? Такая функция вроде бы есть, но она для удаленных сотрудников почему-то не работает
Ноутбук через 4G модем по сотовой сети подключается к впн серверу на микротике в сети ростелекома. Впн по протоколу РРТР. Между нотбуком и впн сервером , через оператора сотовой связи идёт двойной трафик, например , если скачивать файл размером 10 мегабайт, то объём трафика будет 20 мегабайт. Вопрос - для РРТР это нормально , генерировать двойной трафик? Или это плохо настроен впн РРТР?
RDP передает данные в зашифрованном виде с помощью TLS 1.2 трубы, по данному протоколу передают данные и клиент -банки, и кассы в торговых сетях, и яндекс почта в браузерах, защищаете рдп также сертификатом, никакого отличия в плане безопасности от VPN трубы поверх IPSEC нет. около сотни подобных серверов настраивал никого до сих пор не взломали. но требуется определенный тюнинг и защита со стороны роутера. и тогда вполне ок.
Приветствую!стал обладателем микротик RB952UI настроил интернет,wi-fi.Вопрос такой - имеется принтер canon с wi-fi (к сети подключил по wi-fi),c телефона и ноутбука могу распечатать через wi-fi,а с компьютера подключенного сетевым кабелем к роутеру не видит принтер,подключаю сетевой кабель который идет к телевизору - компьютер видит принтер и можно печатать (до этого стоял роутер zyhel - соединялся по wi-fi ) ,что блокирует микротик ???куда копать
Не получается... на клиенте пишет CN имя сертификата не совпадает с полученным значением
Невозможно подключиться по SSTP так как микротик не поддерживает TLS SNA, как это решить?
Спасибо. Недавно пришлось настраивать, у сотрудника был Mac и он блокировал PPTP.
@LoungeMusicPlace
2 жыл бұрын
Вы sstp на маке подняли? Каким образом?
WG теперь работает)
А можно ссылку на презентацию? Спасибо.
@serjiosheshesh3842
4 жыл бұрын
ссылка работает по http
После настройки при включении SSTP сервера получаю сообщение "Couldn't change SST Server - can't bind, check if port is not used by another service! (6)". Не могу понять, что может мешать. Есть только srcnat, allow input и forward established related. Нашёл! IP -> Services -> www-ssl
Спасибо за видео, вопрос не по теме, есть проблема с авторизацией пользователей по OVPN через AD, пишет в логах, что ошибка авторизации или сбрасывает соединение, при этом через l2tp/ipsec авторизовывает доменных пользователей нормально. Нужна какая-то дополнительная настройка на виндовом радиусе, не понимаю в чем проблема
@closdlockd
4 жыл бұрын
может потому что ovpn не умеет udp
@alexsss4388
3 жыл бұрын
@@closdlockd хм, это вполне может быть правдой...
Познавательно. Роман, зачем gui в microtik его же воспринимать сложно?!
В связи с чем на windows 7 vpn по sstp не работает? настроить в микротике sstp сервер - на 10 ке работает. на 7 нет. служба не стартует?
@serg1567
2 жыл бұрын
Присоединяюсь к вопросу, но похоже тут только задают вопросы, а не отвечают...
Тем которые использует Mozilla Firefox будет лаги, с Google Chrome лагов нету.
Обидно когда exchange server на 443 когда весит. Приходится айпи брать у провайдеров
@aleksbotler5358
3 жыл бұрын
А другой порт заюзать на SSTP религия не позволяет?
Здравствуйте! Настроил. В рабочую сеть попадаю, но при этом пропадает интернет на локальной машине. Подскажите, что поправить в настройке локальной машине.
@aleksbotler5358
4 жыл бұрын
У тебя в настройках сети у твоего соединения стоит крыжик "Использовать основной шлюз в удаленной сети". После коннекта по ВПН у тебя трафик в инет начинает идти на новый шлюз (сервер ВПН), так как теперь дефолтный маршрут указывает на него. Смотри route print маршрут 0.0.0.0/0 Варианта решения тут 2: 1. На удаленном микротике настроить маскарадинг (SCRNAT) из "сети впн" в интернет. Разрешить в файерволе трафику проходить из этой сети в интернет (или убедиться что данная сеть подпадает под уже существующее разрешающее правило). При этом, в интернет ты станешь ходить через сеть организации, к которой подключаешься. Надо тебе это или нет, решай сам. Это может быть как плохо (так как канал организации начинает забиваться , минимум, удвоенным трафиком -- сперва из локальной машины до организации, потом это же пойдет в интернет), так и хорошо, если политика организации такова, что необходимо контролировать весь трафик, который может проходить на подключенные к сети организации машины. 2. Отключить крыжик, тогда весь инет будет, как и прежде, сразу с твоей машины в мир, но тогда тебе нужно будет решать вопрос с маршрутизации в удаленную сеть организации, так как твой комп не будет знать куда слать пакеты, предназначенные ей. Возможное решение -- самостоятельно добавлять маршрут в таблицу. Делать это придется руками ПОСЛЕ подключения к ВПН, и перманентный маршрут прописать не получится. Точнее, запись сохранится, но после отключения/подключения к впн комп не будет обращать на нее внимание. Придется удалять эту запись и прописывать снова. Возможное решение -- добавлять запись скриптом из планировщика по событию установления подключения. Может есть и другое решение, я не знаю. Не забывай в удаленном микротике разрешить в файерволе прохождение трафика между локальной сетью и "сетью впн". Кстати, в первом случае это тоже необходимо сделать.
@immickful
3 жыл бұрын
@@aleksbotler5358 по п2.: это где у нас постоянные маршруты-то не сохраняются вдруг?
@aleksbotler5358
3 жыл бұрын
@@immickful читай внимательнее. Запись о маршруте сохранится, но работать будет она до окончания подключения к удаленной сети. При последующих подключениях венда не будет обращать на неё внимания и связи до сети не будет, так как интерфейс другой. Придется удалить маршрут и создать его заново при подключенном впн.
@immickful
3 жыл бұрын
@@aleksbotler5358 так а в чем проблема привязать маршрут к интерфейсу конкретному? Номер интерфейса же не рандомится каждый раз.
@aleksbotler5358
3 жыл бұрын
@@immickful проблема в том, что этот интерфейс каждый раз для системы разный.
14:25
Как подключить по sstp mikritik к keneetic?
@MultiUser45
4 жыл бұрын
Смотря какой keneetic. Младшие модели keneetic не имеют sstp сервера. Если есть на борту sstp сервер, то хотя бы по паролю должен поддерживать sstp подключение.
@kirillkislitsyn1195
4 жыл бұрын
@@MultiUser45 не подключается к кенетик 4G (у него есть сервер sstp), поясните пожалуйста как это сделать, какие настрой сделать надо? У меня сеть на микротике все работает, с Win 10 64x все хорошо подключается, а из микротика не хочет, в чем проблема может быть?
@kirillkislitsyn1195
4 жыл бұрын
@mdmshrm как подключить?
@kirillkislitsyn1195
4 жыл бұрын
@@MultiUser45 как подключить?
По моему провайдер в России блочащий впн (л2тп, ипсек) - недостоин существовать.
Почему не 7.0 beta?
@Karaceg
3 жыл бұрын
Есть подозрение что там sstp поправили. В 6 данный тоннель это мучение, скорость в нем редко превышает 10 мегабит. Не берусь это утверждать на 100% но последний раз когда пробовал sstp в связке микротик-микротик это было именно так.
микротики заманчивы только своей ценой, за такие деньги фичасет впечатляет, ровно как и глючность, увы. Если бы эниконнект работал с микротами, цены бы им не было, а так мышиная возня кмк :)
Темы полезные и интересные. Вы большой молодец! Но есть слова паразиты, в частности "вот", "соответственно" и "непосредственно". Скорее всего Вы их используете как связующие для соединения нескольких мыслей. Но употребляете их слишком часто - раздражает. Только возможность услышать ценную информацию заставляет смотреть ролики до конца. Вместо "Ок" есть чудесное слово - "хорошо". Успехов Вам в этом не лёгком деле.
неужели реально на ЭТО есть свой зритель ??? Минут 10 потратил на на эти кривляния и гримасы а информации 0 !!!
Странно, что за столько лет съёмки видео у вас В КАЖДОМ видео технические шоколадки. То звук, то видео, то тырнет лагает. Неужели вам сложно купить норм микрофон и сменить провайдера, раз этот не тащит. Эти косяки дискредитируют в вас специалиста
Господину презрение и дизлайк за "Икспишку". Тогда были настоящие программисты, ща криворукие индусы.
@user-cw2qk5ei1g
4 жыл бұрын
Пиздец, ты ранимый.. Сразу предупреди, что еще может задеть тонкую душу поэта, чтоб Роману снова не облажаться
откуда взялось доменное имя??? ничего не понятно