[dimugric]

Коллеги, доброго времени суток.

По работе возникла необходимость предоставить ряду сотрудников из дома доступ одному из сервисов, который не очень хочется выставлять в публичный доступ.

Вариантов куча - pptp/openvpn/sstp и прочее.

Остановился на sstp по двум причинами: a) не нужно на клиентский компьютер устанавливать никаких софтин; b) есть возможность использовать сертификат клиентский сертификат для авторизации (помимо логина и пароля), следовательно можно использовать токен.

Процедура настройки никакой сложности не вызвала.

- Сгенерировал через openSSL сертификат, импортировал в микротик, настроил SSTP.

- в windows установил этот самый сертификат в доверенные, настроил соединение, всё подключилось, вопросов нет.

Остался самый последний вопрос:

Каким образом SSTP заставить подтверждать или отклонять сертификаты клиентские (их будет порядка 10 штук), если при настройке SSTP указывается только один сертификат (который впоследствие и импортировал в windows) для авторизации?

 

/interface sstp-server export

# oct/18/2015 14:53:27 by RouterOS 6.33

# software id = IJ25-4M3B

#

/interface sstp-server

add name=sstp-in1 user=TamTom

/interface sstp-server server

set authentication=mschap2 certificate=home.crt_0 enabled=yes

 

/certificate print

Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T - trusted

# NAME COMMON-NAME SUBJECT-ALT-NAME FINGERPRINT

0 K T home.crt_0 DNS_NAME fa8ec1a0c40a3f3df19e340

[Saab95]

Вообще-то сертификат вешается на сервер, и все клиенты используют один сертификат для подключения. Если у вас 10 абонентов, можно поставить 10 микротиков и на каждый залить нужный сертификат, если с одним работать нельзя.

[dimugric]

Вообще-то сертификат вешается на сервер, и все клиенты используют один сертификат для подключения. Если у вас 10 абонентов, можно поставить 10 микротиков и на каждый залить нужный сертификат, если с одним работать нельзя.

 

Да это я понял, что вешается один, вот и спросил, может есть ещё какое-то решение помимо каскада микротиков.

В принципе SSTP подразумевает авторизацию до железки по сертификату, а вот уже sstp - по отдельному логину и паролю.

Видимо, пользователями оперировать можно уже на уровне как раз этих самых созданных под sstp user`ов

[amper]

А как быть в случае с самоподписанными сертификатами?

Какая-то странная ситуация, самоподписанный на микротике и импортированный в вин7 не работает, т.к. вин7 не может проверить его подлинность, но при этом если в вин7 импортировать СА из микротика которым подписывался сертификат указанный в настройках SSTP сервера, то только его одного достаточно, чтобы вин7 могла подключаться к микротику... так должно быть? Или СА в микротике должен быть не trusted?

[Saab95]

SSTP и без сертификата работает.