Jump to content

Вопрос по SSTP

dimugric

By dimugric
in Mikrotik Wireless

 Share

Recommended Posts

dimugric

dimugric

Posted
Posted

Коллеги, доброго времени суток.

По работе возникла необходимость предоставить ряду сотрудников из дома доступ одному из сервисов, который не очень хочется выставлять в публичный доступ.

Вариантов куча - pptp/openvpn/sstp и прочее.

Остановился на sstp по двум причинами: a) не нужно на клиентский компьютер устанавливать никаких софтин; b) есть возможность использовать сертификат клиентский сертификат для авторизации (помимо логина и пароля), следовательно можно использовать токен.

Процедура настройки никакой сложности не вызвала.

- Сгенерировал через openSSL сертификат, импортировал в микротик, настроил SSTP.

- в windows установил этот самый сертификат в доверенные, настроил соединение, всё подключилось, вопросов нет.

Остался самый последний вопрос:

Каким образом SSTP заставить подтверждать или отклонять сертификаты клиентские (их будет порядка 10 штук), если при настройке SSTP указывается только один сертификат (который впоследствие и импортировал в windows) для авторизации?

 

/interface sstp-server export

# oct/18/2015 14:53:27 by RouterOS 6.33

# software id = IJ25-4M3B

#

/interface sstp-server

add name=sstp-in1 user=TamTom

/interface sstp-server server

set authentication=mschap2 certificate=home.crt_0 enabled=yes

 

/certificate print

Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T - trusted

# NAME COMMON-NAME SUBJECT-ALT-NAME FINGERPRINT

0 K T home.crt_0 DNS_NAME fa8ec1a0c40a3f3df19e340

Saab95

Saab95

Posted
Posted

Вообще-то сертификат вешается на сервер, и все клиенты используют один сертификат для подключения. Если у вас 10 абонентов, можно поставить 10 микротиков и на каждый залить нужный сертификат, если с одним работать нельзя.

dimugric

dimugric

Posted
  • Author
Posted

Вообще-то сертификат вешается на сервер, и все клиенты используют один сертификат для подключения. Если у вас 10 абонентов, можно поставить 10 микротиков и на каждый залить нужный сертификат, если с одним работать нельзя.

 

Да это я понял, что вешается один, вот и спросил, может есть ещё какое-то решение помимо каскада микротиков.

В принципе SSTP подразумевает авторизацию до железки по сертификату, а вот уже sstp - по отдельному логину и паролю.

Видимо, пользователями оперировать можно уже на уровне как раз этих самых созданных под sstp user`ов

  • 3 years later...
amper

amper

Posted
Posted

А как быть в случае с самоподписанными сертификатами?

Какая-то странная ситуация, самоподписанный на микротике и импортированный в вин7 не работает, т.к. вин7 не может проверить его подлинность, но при этом если в вин7 импортировать СА из микротика которым подписывался сертификат указанный в настройках SSTP сервера, то только его одного достаточно, чтобы вин7 могла подключаться к микротику... так должно быть? Или СА в микротике должен быть не trusted?

  • 5 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.