sojkovi.info

Mikrotik uměl a umí spoustu VPNek, často byl ale problém jak projít přes firewall. Řešením bylo třeba prohnat OpenVPN po portu 443. Znamenalo to nainstalovat do windows klienta a následovalo trochu konfigurování, které mohlo některým dělat problémy. Windows 7, Vista a 2008 už mimo PPTP a L2TP umí SSTP, který přes firewall projde. Klienta ve Windows nastavíme za méně než deset minut. O Linuxu nemá cenu se zmiňovat, to je jiná liga a tam není nic nemožné. Tady si ukážeme jak nastavit na mikrotiku SSTP server v konfiguraci Remote Client a pak také Site-to-Site.

Nejdříve je třeba na mikrotik nahrát certifikáty. První je certifikát certifikační autority, která vydala komunikační certifikát a druhý je pro komunikaci spolu s klíčem. Jak vytvořit certifikáty si ukážeme jinde. Nejsnažší způsob nahrání je přetažní souborů do winboxu do okna File list.

Naimportujeme nahrané certifikáty
/certificate import file-name=ca.crt
/certificate import file-name=sstp.domena.com.crt
/certificate import file-name=sstp.domena.com.key

Pojmenujeme si certifikáty
/certificate set name=CA cert1
/certificate set name=sstp.domena.com cert2

Vytvoříme uživatele test s heslem test pro sstp. Local addres je adresa serveru a remote addres je adresa kterou dostane klient, použijeme přednastavený profil.
/ppp secret add name=test password=test service=sstp profile=default-encryption local-address=192.168.0.1 remote-address=192.168.0.100

Spustíme server na defaultním portu 443 s certifikátem sstp.domena.com.
/interface sstp-server server set enabled=yes default-profile=default-encryption port=443 certificate=sstp.domena.com

Teď už se můžeme k mikrotiku na sstp připojit pomocí VPNky ve Windows.

Další nastavení bude pro Site-to-Site. Nastavíme SSTP server, SSTP klient a přidáme routování. Taky tu máme jeden řádek pro samostatného klienta.

Začátek bude hodně podobný předchozímu postupu.
Nakopírujeme certifikáty a importujeme je do mikrotiku.
[admin@site1] >/certificate import file-name=ca.crt
[admin@site1] >/certificate import file-name=sstp.domena.com.crt
[admin@site1] >/certificate import file-name=sstp.domena.com.key
[admin@site1] >/certificate set name=CA cert1
[admin@site1] >/certificate set name=sstp.domena.com cert2

Připojení pro síť s mikrotik klientem
[admin@site1] >/ppp secret add name=klient password=klient service=sstp profile=default-encryption local-address=192.168.10.1 remote-address=192.168.10.2 routes="192.168.1.0/24 192.168.10.2"
Připojení pro samostatného klienta, třeba notebook
[admin@site1] >/ppp secret add name=windows password=windows service=sstp profile=default-encryption local-address=192.168.10.1 remote-address=192.168.10.100

Spustíme server
[admin@site1] >/interface sstp-server server set enabled=yes default-profile=default-encryption port=443 certificate=sstp.domena.com

Na druhém mikrotiku spustíme SSTP klienta
[admin@site2] >/interface sstp-client add user=klient password=klient connect-to=sstp.domena.com disabled=no

Přidáme routování
[admin@site2] >/ip route add dst-address=192.168.0.0/24 gateway=192.168.10.1