Заметки около ИТ
Статьи Категории Метки
Заметки около ИТ

Содержание

Содержание

Настройка SSTP VPN на Mikrotik (Client-to-Site)

 включен в  категорию Администрирование
     193 слов   Одна минута 

Сегодня настроим VPN с Mikrotik на Mikrotik по протоколу SSTP с проверкой серверного сертификата.

SSTP network design
Сеть SSTP подключения

Сертификат будем использовать от Let’s Encrypt. Так что нам потребуется сертификат DST Root CA X3 (x3.pem), Let’s Encrypt Authority X3 (le.pem), сертификат и приватный ключ для sstp.example.net (sstp.example.net.pem).

Импортируем x3.pem, le.pem и sstp.example.net.pem в меню System > Certificates > Import.

Устанавливаем имя серверного Mikrotik:

shell-session

/system identity
set name=sstp.example.net

Создаём пул IP-адресов для клиентов:

shell-session

/ip pool
add name=sstp-pool ranges=172.16.16.100-172.16.16.250

Создаём профиль:

shell-session

/ppp profile
add change-tcp-mss=yes name=sstp-srv-profile local-address=172.16.16.1 \
  remote-address=sstp-pool use-encryption=yes

Включаем SSTP-сервер:

shell-session

/interface sstp-server server
set authentication=mschap1,mschap2 certificate=sstp.example.net.pem_0 \
  default-profile=sstp-srv-profile enabled=yes

Создаём пользователя:

shell-session

/ppp secret
add name=client1 password=pass profile=sstp-srv-profile \
  remote-address=172.16.16.10 service=sstp

Создаём статический сетевой интерфейс для клиента:

shell-session

/interface sstp-server
add name=sstp-in-client1 user=client1

Разрешаем входящие подключения на SSTP-сервер:

shell-session

/ip firewall filter
add action=accept chain=input dst-port=443 protocol=tcp

Импортируем x3.pem и le.pem в меню System > Certificates > Import.

Создаём подключение:

shell-session

/interface sstp-client
add authentication=mschap1,mschap2 connect-to=203.0.113.1 disabled=no \
  name=sstp-out-1 user=client1 password=pass \
  profile=default-encryption  verify-server-certificate=yes

Добавляем NAT:

shell-session

/interface sstp-client
/ip firewall nat
add action=masquerade chain=srcnat out-interface=sstp-out-1
  1. Manual:Interface/SSTP
  2. VPN:SSTP client-to-site (удаленное подключение с мобильных устройств)
Oбновлена 2019-03-16
 Mikrotik
 | Домой