dimugric Опубликовано 9 декабря, 2015 · Жалоба Коллеги, доброго времени суток. По работе возникла необходимость предоставить ряду сотрудников из дома доступ одному из сервисов, который не очень хочется выставлять в публичный доступ. Вариантов куча - pptp/openvpn/sstp и прочее. Остановился на sstp по двум причинами: a) не нужно на клиентский компьютер устанавливать никаких софтин; b) есть возможность использовать сертификат клиентский сертификат для авторизации (помимо логина и пароля), следовательно можно использовать токен. Процедура настройки никакой сложности не вызвала. - Сгенерировал через openSSL сертификат, импортировал в микротик, настроил SSTP. - в windows установил этот самый сертификат в доверенные, настроил соединение, всё подключилось, вопросов нет. Остался самый последний вопрос: Каким образом SSTP заставить подтверждать или отклонять сертификаты клиентские (их будет порядка 10 штук), если при настройке SSTP указывается только один сертификат (который впоследствие и импортировал в windows) для авторизации? /interface sstp-server export # oct/18/2015 14:53:27 by RouterOS 6.33 # software id = IJ25-4M3B # /interface sstp-server add name=sstp-in1 user=TamTom /interface sstp-server server set authentication=mschap2 certificate=home.crt_0 enabled=yes /certificate print Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T - trusted # NAME COMMON-NAME SUBJECT-ALT-NAME FINGERPRINT 0 K T home.crt_0 DNS_NAME fa8ec1a0c40a3f3df19e340 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 декабря, 2015 · Жалоба Вообще-то сертификат вешается на сервер, и все клиенты используют один сертификат для подключения. Если у вас 10 абонентов, можно поставить 10 микротиков и на каждый залить нужный сертификат, если с одним работать нельзя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimugric Опубликовано 9 декабря, 2015 · Жалоба Вообще-то сертификат вешается на сервер, и все клиенты используют один сертификат для подключения. Если у вас 10 абонентов, можно поставить 10 микротиков и на каждый залить нужный сертификат, если с одним работать нельзя. Да это я понял, что вешается один, вот и спросил, может есть ещё какое-то решение помимо каскада микротиков. В принципе SSTP подразумевает авторизацию до железки по сертификату, а вот уже sstp - по отдельному логину и паролю. Видимо, пользователями оперировать можно уже на уровне как раз этих самых созданных под sstp user`ов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
amper Опубликовано 14 мая, 2019 · Жалоба А как быть в случае с самоподписанными сертификатами? Какая-то странная ситуация, самоподписанный на микротике и импортированный в вин7 не работает, т.к. вин7 не может проверить его подлинность, но при этом если в вин7 импортировать СА из микротика которым подписывался сертификат указанный в настройках SSTP сервера, то только его одного достаточно, чтобы вин7 могла подключаться к микротику... так должно быть? Или СА в микротике должен быть не trusted? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 июня, 2019 · Жалоба SSTP и без сертификата работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...