На фоне карантина и повсеместного перехода офисов на удаленку, понадобилось быстро поднять VPNы.
Эта краткая заметка-напоминалка поможет тем, кому нужно быстро и без лишних дискуссий поднять безопасный VPN.
Сразу предупрежу. SSTP "искаропки" работает на Win7 и выше. Возможно на висте, но там я не проверял. И еще момент: подходит только для одноранговых сетей.
Нам понадобиться маршрутизатор Mikrotik с RouterOS на борту. По начинке смотрите сами. В моей максимальной конфигурации 20 удаленных клиентов отлично живут на RB951Ui-2nD.
1. На микротике создаем сертификат CA. Coman Name обязательно должно совпадать либо с внешним доменом либо с внешним IP. В key usage указать crl sign. Key Size 4096 у всех сертификатов.
2. Подписываем сертификат. CA CRL HOST тот же что и CN
3. Создаем сертификат сервера. CN тот же что и в первом сертификате. Это ВАЖНО! В key Usage указать: tls client, tls server. Убрать crl sign
4. Подписать второй сертификат первым.
5. Экспортируем первый сертификат.
6. Создаем профиль в PPP - Profile
7. Local address адрес сервера, можно указать любой (10.8.0.1)
8. Remote address - указать пул внутренней сети. (dhcp-pool)
9. Во вкладке Limits опция Only One. Если на каждого пользователя отдельный логин пароль, то ставим yes если под одним логином будут ходить все то no
10. В PPP - SSTP включаем sstp и в certificate выбираем сертификат из шага 3.
11. Идем в interfaces - bridge1. в ARP указать - proxy-arp
12. Идем в PPP - Secrets и создаем логин пользователя. В Profile указать профиль созданный ранее. Service выбираем sstp или all
13. Закидываем сертификат на удаленную машину. И импортируем его в "Доверенные центр сертификации" ЛОКАЛЬНОГО КОМПЬЮТЕРА. не пользователя! Это важно.
14. Создаем подключение к ВПН
15. Логин и пароль из шага 10.
16. В опциях нового подключения нужно зайти во вкладку Сеть в свойства протокола TCP\IP v4 и там снять галочку "Использовать шлюз в удаленной сети" в противном случае интернет пойдет через удаленный сервер.
17. done. Все подключившиеся клиенты сразу будут иметь доступ во внутреннюю сеть за mikrotik.
Эта краткая заметка-напоминалка поможет тем, кому нужно быстро и без лишних дискуссий поднять безопасный VPN.
Сразу предупрежу. SSTP "искаропки" работает на Win7 и выше. Возможно на висте, но там я не проверял. И еще момент: подходит только для одноранговых сетей.
Нам понадобиться маршрутизатор Mikrotik с RouterOS на борту. По начинке смотрите сами. В моей максимальной конфигурации 20 удаленных клиентов отлично живут на RB951Ui-2nD.
1. На микротике создаем сертификат CA. Coman Name обязательно должно совпадать либо с внешним доменом либо с внешним IP. В key usage указать crl sign. Key Size 4096 у всех сертификатов.
2. Подписываем сертификат. CA CRL HOST тот же что и CN
3. Создаем сертификат сервера. CN тот же что и в первом сертификате. Это ВАЖНО! В key Usage указать: tls client, tls server. Убрать crl sign
4. Подписать второй сертификат первым.
5. Экспортируем первый сертификат.
6. Создаем профиль в PPP - Profile
7. Local address адрес сервера, можно указать любой (10.8.0.1)
8. Remote address - указать пул внутренней сети. (dhcp-pool)
9. Во вкладке Limits опция Only One. Если на каждого пользователя отдельный логин пароль, то ставим yes если под одним логином будут ходить все то no
10. В PPP - SSTP включаем sstp и в certificate выбираем сертификат из шага 3.
11. Идем в interfaces - bridge1. в ARP указать - proxy-arp
12. Идем в PPP - Secrets и создаем логин пользователя. В Profile указать профиль созданный ранее. Service выбираем sstp или all
13. Закидываем сертификат на удаленную машину. И импортируем его в "Доверенные центр сертификации" ЛОКАЛЬНОГО КОМПЬЮТЕРА. не пользователя! Это важно.
14. Создаем подключение к ВПН
15. Логин и пароль из шага 10.
16. В опциях нового подключения нужно зайти во вкладку Сеть в свойства протокола TCP\IP v4 и там снять галочку "Использовать шлюз в удаленной сети" в противном случае интернет пойдет через удаленный сервер.
17. done. Все подключившиеся клиенты сразу будут иметь доступ во внутреннюю сеть за mikrotik.
Комментариев нет:
Отправить комментарий