Долго говорить о самом SSTP Server нет необходимости, информацию о нем можно найти очень много в Интернете. Основное для понимания SSTP — это инкапсулируемый в HTTPs туннельный протокол и соответственно работает на порту 443. Это делает его достаточно доступным из любых сетей передачи данных. Сегодня сложно встретить сети с заблокированным HTTPs.
SSTP — это разработка Microsoft и данный протокол был представлен на Windows Server 2008 и Vista начиная с SP1.
Для шифрования используется SSL, для аутентификации — SSL и PPP. SSL соединение авторизует клиент сервер по SSL сертификату, а сервер клиента по PPP (MS-CHAP, EAP, PEAP). Примерный путь прохождения SSTP соединения:
TCP->SSL->HTTPS->SSTP->PPP->Туннель
Сервер SSTP на MikroTik
Перед началом работ сделаем резервную копию:
FILES --> BACKUP
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-1-1024x594.jpg)
Создадим пул для адресов VPN клиентов:
IP --> POOL
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-2-1024x620.jpg)
Создаем профиль SSTP Сервера:
PPP --> PROFILES
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-3-1024x619.jpg)
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-4.jpg)
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-5.jpg)
Создадим пользователя:
PPP --> SECRETS
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-6-1024x620.jpg)
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-7.jpg)
Поднимаем сервер сертификации (CA):
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-8-1024x621.jpg)
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-9.jpg)
Здесь:
Name: Имя центра сертификации (На фантазию)
Country: RU (двухсимвольный код страны)
State, Locatity, Organization, Unit: по желанию
Common Name: VPN IP adress (тут у меня IP адрес сервера, но при наличии реального доменного имени на этот IP можно использовать доменное имя, с учетом того, что клиент будет проверять сертификат и его DNS имя)
Key Size: длина ключа (2048 бит, можно меньше, можно больше)
Days Valid: 3650 (я выбрал 10 лет, тут на выбор)
Далее Key Usage:
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-10.jpg)
Это головной сертификат нашего CA и его роль только подписывать сертификаты выданные им самим. Оставляем только этот функционал: выдача приватных и публичных ключей.
Нажимаем Apply далее Sign:
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-11-1024x596.jpg)
Создаем сертификат SSTP сервера:
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-12-1024x622.jpg)
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-13-1024x621.jpg)
Нажимаем Apply далее Sign и подписываем сертификатом нашего CA:
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-14-1024x619.jpg)
Запускаем сервер VPN SSTP:
PPP --> INTERFACE --> SSTP SERVER
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-15-1024x619.jpg)
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-16-1024x619.jpg)
Сервер SSTP готов.
Убедимся что 443 порт открыт на файерволе. Если нет, открываем:
Подробно останавливаться не буду. Команда через консоль:
ip firewall filter> add chain=input action=accept protocol=tcp dst-port=443
Настройка клиента
Экспортируем сертификат центра сертификации:
SYSTEM --> CERTIFICATES
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-17-1024x621.jpg)
Забираем файл сертификата из FILES и устанавливаем на компьютер клиента.
Сертификат должен быть помещен в контейнер: Trusted Root Certification Authorities. Можно установить командой:
certutil -addstore Root C:\Path_to\CA.crt
Далее создаем VPN подключение:
![](https://blog.airmeno.ru/wp-content/uploads/2020/05/sstp_mikrotik-18.jpg)
Клиент готов. На этом все.
Отличный обзор. Отличный блог. Благодарю.