Коллеги, доброго времени суток.
По работе возникла необходимость предоставить ряду сотрудников из дома доступ одному из сервисов, который не очень хочется выставлять в публичный доступ.
Вариантов куча - pptp/openvpn/sstp и прочее.
Остановился на sstp по двум причинами: a) не нужно на клиентский компьютер устанавливать никаких софтин; b) есть возможность использовать сертификат клиентский сертификат для авторизации (помимо логина и пароля), следовательно можно использовать токен.
Процедура настройки никакой сложности не вызвала.
- Сгенерировал через openSSL сертификат, импортировал в микротик, настроил SSTP.
- в windows установил этот самый сертификат в доверенные, настроил соединение, всё подключилось, вопросов нет.
Остался самый последний вопрос:
Каким образом SSTP заставить подтверждать или отклонять сертификаты клиентские (их будет порядка 10 штук), если при настройке SSTP указывается только один сертификат (который впоследствие и импортировал в windows) для авторизации?
/interface sstp-server export
# oct/18/2015 14:53:27 by RouterOS 6.33
# software id = IJ25-4M3B
#
/interface sstp-server
add name=sstp-in1 user=TamTom
/interface sstp-server server
set authentication=mschap2 certificate=home.crt_0 enabled=yes
/certificate print
Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T - trusted
# NAME COMMON-NAME SUBJECT-ALT-NAME FINGERPRINT
0 K T home.crt_0 DNS_NAME fa8ec1a0c40a3f3df19e340