Получено непредвиденное сообщение или оно имеет неправильный формат sstp mikrotik
Обновлено: 04.07.2024
Настройка site-to-site VPN между Kerio и Mikrotik
Добрый день! Есть задача - настроить VPN-соединение между офисами. В удаленном - Kerio Control.
VPN site to site, Kerio Mikrotik
Здравствуйте. Не могу настроить VPN тунель. На данном этапе пытаюсь только создать само.
Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall
Добрый день. Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же.
Не могу создать vpn site to site на cisco asa 5506-x
Ребята нужна помощь в создании vpn на firewall cisco asa 5506-x, в гугле нет ничего обэтом.
vpn между миктотиками или микротиком и ПК?
на виндовс столкнулся с такой-же проблемой, там нужно как-то по особенному импортировать сертификат, сейчас уже не помню, но тоже намучился, плюнул, поставил сертификат letsencrypt и забыл
Сегодня поговорим о том как настроить SSTP Server на MikroTik. Расшифровывается аббревиатура как Secure Socket Tunneling Protocol – PPP туннель аутентифицирует через TLS канал. Использует TCP порт 443 и фактически проходит через все фаерволы и прокси сервера. Впервые был представлен в Windows Vista SP1. С того момента прошло много времени, но не зря, т.к. все поняли очевидные его плюсы, а именно:
- Безопасный, используются алгоритмы AES;
- Хорошо проходим, тесты показывают установку соединения из Тайландского WiFi в отеле и обычного Украинского провайдера;
- Полностью поддерживается MS Windows.
- работает на одном ядре;
- уязвим перед некоторыми атаками MITM (скорее фантастика).
В сегодняшней статье мы рассмотрим настройку SSTP сервера на роутере микротик с версией 6.46.4 и клиента на операционной системе Windows 10 Pro 1909. Идеальное решение для предоставления пользовательского подключения к корпоративной сети и не только. Прикрутив коммерческий сертификат, вы снимаете с себя ручное добавление его в машинах Windows. Но в качестве демонстрации, мы будем использовать само подписанный. Так же возможно настроить Site to Site туннель между двумя Mikrotik, причем без них, что крайне не рекомендую.
Схема сети
- Сервер SSTP имеет адрес 192.168.100.2;
- Клиентский ПК получает из пула 192.168.1.0/24;
- Маршрутизируемая сеть между удаленными площадками.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Настройка сервера SSTP
Конфигурация устройства проста. Имеем RouterBoard с настроенным выходом в интернет. Подключение будет происходить по сертификату, в котором вместо имени указан IP адрес. Первым делом нужно создать сертификат центра сертификации. Переходим в System – Certificates и создаем новый.
В поле Name указываем понятное имя, отображаемое в списке;
Вы так же можете указать длину ключа и срок действия.
Далее переходим в Key Usage. Снимаем галки со всего, оставляя только на crl sign и key cert. sign.
Жмем Apply и Sign. В новом открывшемся окне подписания, стартуем процесс подписи кнопкой Start.
По завершении увидим в Progress состояние done и аббревиатуру KAT возле CA.
Далее создаем сертификат самого сервера SSTP, который будет указан в качестве основного на интерфейсе. Жмем плюс и заполняем все поля аналогично предыдущему, за исключением понятного имени.
На вкладке Key Usage добавляем галочки tls client и tls server.
Жмем Apply и Sign. В открывшимся окне подписи в поле CA выбираем корневой сертификат и стартуем процесс.
Далее создадим профиль подключения для клиентов. PPP – Profiles. Указываем понятное имя профиля;
- адрес в туннеле;
- разрешаем TCP MSS;
- запрещаем UPnP.
- Use MPLS – запретить;
- Use Compression – разрешить;
- Use Encryption – разрешить;
В Limits выставляем Only One в no.
Создадим пользователя в Secrets.
- Name – имя пользователя, регистр имеет значение;
- Password – пароль;
- Service – SSTP;
- Profile – созданный выше;
- Remote Address – адрес в туннеле.
Сохраняем и переходим в PPP – interfaces. Нас интересует вкладка SSTP Server.
Открыв ее, указываем следующие значения:
- Enable – ставим галочку;
- Default Profile – ранее созданный;
- Authentication – mschapv2;
- Certificate – Server;
- Force AES, PFS – включаем.
Если страшно, то можно выставить TLS Version в only 1.2. Двигаемся дальше к фаерволу. Просто одно правило. Разрешить входящий трафик на 443 порт – все.
Настройка SSTP клиента на Микротик
Для дальнейшей конфигурации нам нужен сертификат центра сертификации добавить в доверенные компьютера. Иначе начнется песня со списком отзывов и в этом роде. Конечно, таких проблем не будет, используя коммерческий. Но его нужно сначала выгрузить. Открываем System – Certificates, выбираем CA и жмем Export.
В Files должен появится экспорт. Передаем его любым удобным способом на клиентскую машину.
Далее вы можете вручную его добавить в доверенные ПК, но я предпочитаю это делать скриптом. Сохраняем в формате .bat
Создаем на рабочем столе папу CA, копируем туда CA.crt и запускаем из-под администратора батник.
Проверяем что все хорошо.
Далее переходим в Центра управления сетями и общим доступом – Создание и настройка нового подключения или сети.
Подключение к рабочему месту.
Использовать мое подключение к Интернету.
Указываем адрес и имя будущего интерфейса.
Сохраняем и пытаемся подключиться.
На момент написания статьи у меня вышла такая ошибка.
Это было связанно со временем. Т.к. в виртуальных машинах оно идет по-другому. Открыв свойства сертификата, заметил, что срок, с которого действителен еще не наступило. Исправив время на правильное, все заработало. Вывод, не используйте само подписанные. Проверим подключение на клиенте и сервере.
На этом пожалуй все, в этой статье мы показали как можно легко создать SSTP сервер на роутере Микротик и подключить к нему клиента Windows 10. Спасибо за внимание и до новых встреч.
89 вопросов по настройке MikroTik
Есть задача подключиться к удаленной сети по VPN SSTP. Скорее всего, в роли VPN-сервера выступает Windows server 2008, точно не известно.
Для подключения, администратор удаленной сети, выдал
Настроил VPN на рабочей станции (Windows 7) - все заработало. Есть доступ к удаленной сети, хосты отвечают на пинги, по RDP можно подключится.
Попытался настроить на маршрутизаторе Mikrotik c RouterOS v.6.34.3:
Как я понял, подключение инициализируется, сервер отвечает, и на стадии проверки сертификата соединение обрывается.
Не могу понять, где я ошибся или что не настроил.
Ответы (2 шт):
no key for certificate found
Требует файл с ключом. *.key. Сам сталкивался с этой проблемой, т.е. одного корневого сертификата мало микротику, не смотря на то, что настраивается только клиент. Как это обойти-настроить не нашел, просто вставил ключ, благо я и был администратором.
Секреты настройки
файрвола через
Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
VPN-SSTP ошибка 0х80090326. + Изменился отпечаток сертификата.
VPN: клиент-сервер. Сервер RB2011UAS, v6.42.6.
Показалось странным, что выпущенный на Mikrotik сертификат и сертификат, экспортированный из Mikrotik и установленный в хранилище Win7, имеют разный отпечаток. К сожалению, в работающем варианте отпечатки не сравнивались.
Что посоветуете?
Читайте также: