Вы находитесь на странице: 1из 19

SSTP для доступа

удаленных
сотрудников

mikrotik-training.ru
WiFi-авторизация на Mikrotik с помощью звонка Asterisk

Сфера применения Парикмахерские

hotspot Стадионы

Бары Аэропорты

В парках
Кафе

и так далее…
Курсы по Mikrotik с гарантией результата
WiFi-авторизация на Mikrotik с помощью звонка Asterisk

Сфера применения Парикмахерские

hotspot Стадионы

Бары Аэропорты

В парках
Кафе

и так далее…
Курсы по Mikrotik с гарантией результата
WiFi-авторизация на Mikrotik с помощью звонка Asterisk

Сфера применения Парикмахерские

hotspot Стадионы

Бары Аэропорты

В парках
Кафе

и так далее…
Курсы по Mikrotik с гарантией результата
SSTP для доступа удаленных сотрудников

Содержание
• SSTP

• Автоматическая настройка – use ipsec

• Ручная настройка ipsec

• Ручная настройка L2tp + ipsec ikev2 c


сертификатами

• Маршруты

• PPP Multilink Protocol

• Полезности

Курсы по Mikrotik с гарантией результата


SSTP для доступа удаленных сотрудников

SSTP
• Secure Socket Tunneling Protocol (SSTP) передает PPP через SSL или TSL.
• PPP - протокол, используемый для установления соединения между двумя
узлами.
• Примечание. Два устройства RouterOS могут устанавливать туннель SSTP даже
без использования сертификатов (не в соответствии со стандартом Microsoft).
• Рекомендуется использовать сертификаты всегда!

Курсы по Mikrotik с гарантией результата 6


SSTP для доступа удаленных сотрудников

Локальная Сеть / Ресурсы компании

Интернет L3

SSTP-vpn SSTP-vpn

Курсы по Mikrotik с гарантией результата 7


SSTP для доступа удаленных сотрудников

SSTP

• Microsoft представила протокол защищенного туннелирования


сокетов (SSTP) в Windows Vista, и он по-прежнему считается
платформой только для Windows, хотя он доступен в ряде других
операционных систем.
• Он имеет те же преимущества, что и OpenVPN, так как SSTP
использует SSLv3 и обладает большей стабильностью, поскольку
он включен в Windows, что также упрощает его использование.
• Он использует тот же порт, который используется SSL-
соединениями; порт 443.
• Он использует 2048-битные сертификаты шифрования и
аутентификации.
• RouterOS имеет как сервер SSTP, так и клиентскую реализацию

Курсы по Mikrotik с гарантией результата 8


SSTP для доступа удаленных сотрудников

SSTP создание CA сертификата

Курсы по Mikrotik с гарантией результата


SSTP для доступа удаленных сотрудников

SSTP создание сертификата сервера

Курсы по Mikrotik с гарантией результата


SSTP для доступа удаленных сотрудников

Self-signed Certificate

/certificate add name=sstp country=ES state=Toledo locality=Illescas organization=IT unit=IT common-name=sstp.example.com subject-alt-
name=DNS:sstp.example.com key-size=2048 days-valid=365 key-usage=digital-signature,key-encipherment,tls-client,tls-server

/certificate sign sstp name=sstp ca=CA


/ certificate set sstp trusted=yes

Курсы по Mikrotik с гарантией результата


SSTP для доступа удаленных сотрудников

Self-signed Certificate

Force AES (поддерживается AES256). Если клиенты Windows


(поддерживает только RC4) не сможет подключиться без этой
опции.

/interface sstp-server server set authentication=mschap1,mschap2 certificate=sstp default-profile=default-encryption enabled=yes force-aes=yes

Курсы по Mikrotik с гарантией результата


SSTP для доступа удаленных сотрудников

Self-signed Certificate

/ppp secret add name=demo password=demo local-address=10.0.0.1 remote-address=10.0.0.11 \


profile=default-encryption service=sstp

Курсы по Mikrotik с гарантией результата 13


SSTP для доступа удаленных сотрудников

Self-signed Certificate

Курсы по Mikrotik с гарантией результата 14


SSTP для доступа удаленных сотрудников

Self-signed Certificate

Курсы по Mikrotik с гарантией результата 15


SSTP для доступа удаленных сотрудников

Плюсы
• Встроенная поддержка в Windows • Работа через IPv6

• При наличии коммерческого сертификата • Передача prefix ipv6 через SSTP


– простота настройки
• Нормальная работа с маршрутизацией
• Хорошая проходимость Firewall и NAT
• Поддержка MLCP
• Поддержка многоядерности в RouterOS

• Высокий уровень безопасности

• Возможность работы RouterOS-RouterOS


без сертификатов

Курсы по Mikrotik с гарантией результата


SSTP для доступа удаленных сотрудников

Минусы
• Отсутствие полноценной поддержки мобильных OS

• Покупка сертификатов или установка на всех клиентов

• TCP

• Отсутствие поддержки аппаратной разгрузки шифрования в RouterBoard

• Высокая нагрузка на сервер SSTP

Курсы по Mikrotik с гарантией результата


SSTP для доступа удаленных сотрудников

Полезности
• https://winprotocoldoc.blob.core.windows.net/productionwindowsarchives/MS-SSTP/[MS-
SSTP]-170915-diff.pdf

• https://help.mikrotik.com/docs/display/ROS/SSTP

• https://github.com/gitpel/letsencrypt-routeros

• powershell Add-VpnConnection -Name “name-vpn" -ServerAddress “dns-name.sstp-


server.com" -TunnelType sstp –SplitTunneling

• Add-WindowsCapability -name "RIP.Listener~~~~0.0.1.0" -online

• netsh advfirewall firewall add rule name = "Open port RIP listener" dir=in action=allow
protocol=UDP localport=520

• net start iprip


Курсы по Mikrotik с гарантией результата
СПАСИБО
ЗА ВНИМАНИЕ

Приходите на наши курсы по


Mikrotik и Asterisk