Коллеги, здравствуйте. Встала такая задачка:
Есть удалённый сервер (физического доступа к нему нет) на Windows 11 Pro. Он находится за NAT. Необходимо на нём развернуть VPN сервер, при чём "Стандартный" (L2TP/IKEv2 + Ipsec; SSTPl PPTP - только они на выбор и никаких OpenVPN. Всё должно быть нативно).
Поскольку для работы Ipsec за NAT необходимо настраивать на сервере (не проблема) и клиентах (вот здесь проблема) NAT-T, PPTP медленный и плохо переключается при обрыве связи, было принято решение настроить SSTP.
Вопрос. Подскажите реализацию сервера SSTP для Windows 11. Не получается никак найти ((
И не найдете, потому что искать нечего. Не существует. Нативно только на версии Windows Server все работает, смотрите настройку роли NPS на сервере. Она то и как раз включает все варианты, pptp\L2TP\IKEv2\SSTP. На клиентских ОС никакой реализации PPP серверов не предусмотрено.
Drno, ну на серверной то жить можно даже в этом смысле хотя и грустно; а на десктопной да, совсем беда. Да и сстп-сервер на десктопной не поднять вроде нативными инструментами
Drno, я выше писал - доступа к нему нет. Микротик или Циско, или Нетгир с Тренднетом мне туда никто не поставит. Как и линукс на тачку. Сама тачка слабая, там процессор Intel Celeron N5095 стоит. Т.е. о виртуалках можно забыть (хотя в целом, могло бы быть решением).
Так что придётся пользоваться тем, что имеем.
В теории, можно развернуть виртуальную циску или микротик - они вообще не требовательны. Но я с ними никогда не работал и не знаю, как это всё заведётся
Juchok, ну я и имел ввиду микротик CHR...
исходя из того что Вы написали - задача не имеет НОРМАЛЬНОГО стабильного решения, только костыли.
тем более вин10 Про - это гадость с автообновами и кучей мусора...
Ziptar, потому, что некоторые виды кактусов очень даже вкусные. Или их плоды. Для каждой задачи есть свои инструменты. Настраивать аналог AD на Linux - редкого вида извращение. Использовать файловые серверы на *nix системах - тоже, когда требуется настройка сложных прав доступа на огромных, уже существующих шарах. Про TrueNAS даже говорить не буду - чего только стоит Там настроить распределение сложных прав доступа.
В винде это делается гораздо удобнее.
В тоже время, на Linux имеются другие очень крутые фишки, которые в винде реализованы через не то место. Так что рекомендую изучать разные инструменты, а не быть приверженцем одной религии.
Juchok, стояло так одно время, работало вполне нормально. скажем так - терпимо вполне. в плане стабильности ок было, но переодически был глюк с переподключением клиентов, судя по всему это какой то виндовый трабл - типа порт занят или около того... но у мну было там опенВПН
sstp щас на CHR на VPS крутится второй год .полёт отличный
Juchok, ну да, как обычный микротик...
ток там рега понадобится, у них на сайте.. и надо будет привязать её в винбоксе, иначе до 1мб ограничение скорости..
выбирайте при реге в винбоксе или p1 или p10
минусы - через 3 месяца обновы отключатся... либо платить за лицензию
Juchok, при чём тут AD и шары, если мы про маршрутизацию говорим?
Само собой разумеется, что в доменной среде с преимущественно виндовыми машинами альтернативы MS AD нет.
На счёт шар тут такое, тонкие настройки прав нужны довольно редко. А вот, например, webdav нормально на винде настроить - это та ещё нервотрёпка.
Ziptar, кстати нет. WebDAV на винде настраивается за примерно 10 минут, включая установку соответствующей службы. Там просто надо несколько телодвижений совершить внутри IIS. Настраивается быстро и не трудно. Плюс, привязка к системным/ADшным юзерам без танцев с бубном (кто настраивал связку samba+kerberos с его долбаными билетами, тот меня поймёт).
Сложные права не такая и редкость. По опыту, почти в любой уже средней (по размеру) компании их используют во весь рост.
Но вот функции Web-сервера или шлюзового сервера, или части кластера распределённой файловой системы я бы на винду не стал вешать. Почтовый сервер на винде... Если в Exchange нет потребности (а на деле она есть зачастую только у очень крупного бизнеса, как и в Sharepoint и т.д.), то я бы делал на Linux.. В общем, каждому по потребностям
Drno, Ну то-есть, я активирую триал и снимаются все ограничения. Далее, триал заканчивается и из ограничений появляется только отсутствие обновлений. А ограничений по скорости, VPN-сессиям и прочему не появляется, верно?
К слову, грузится на VMware капец, как долго. Больше часа мне показалось шла загрузка.
Ziptar, с автокадовскими - не очень понимаю, о чём речь. У меня клиент сидит сейчас на WinServ2019 с WebDAV. Контора проектировочная. Не говорили о каких-то проблемах. А что там не так с автокадовскими файлами?
Да, по логинам и паролям. По ключам, в смысле по токенам? Или что имеется ввиду?
Ziptar, по сертификатам не делал со времён 2016-й, ничего сказать не могу за сегодня. Тогда вроде ничего так было. Может за давностью лет, но не помню каких-то особенных проблем. Но опять-же, возможно в версиях дело. В 2012 зато начал нормально (для малого и среднего бизнеса) работать DFS. А в 2008 уже даже неплохо кластеризация работала.
Я к тому, что старая винда и нынешняя - разные очень. Бубунта ещё лет 5-7 назад тормозила на своём любимом Юнити, как не в себя. А сейчас - красота! Так что если интересно, очень рекомендую поковырять современные окошки. Там и контейнеризация уже давно есть, и Кибернейтс. И даже наконец-то встроили ssh-клиент в командную строку ))
Повторюсь, безусловно не панацея. Но потому и говорю - каждому по потребностям. Единственное, я бы наверное даже для шлюза не стал сейчас использовать FreeBSD. Т.к. она хоть и самая надежная (была, сейчас не знаю), но там прям совсем всё грустно с юзабилити. Впрочем, дело привычки возможно.
Juchok, юнити полный шлак.. линукс Минт это доказывает уже много лет))
по поводу окошек и контейнеров и прочего - муть же, оно разрабатывалось всё изначально под линукс. там оно нативно и хорошо запускается. нафига плодить виртуалки
кубер по мойму на винде хостить может только извращенец)))
Drno, ну здесь пожалуй соглашусь )) Сыровато пока. Я к тому, что всё растёт, всё развивается и судить, как плохо где-то по тому, как оно было 150 лет назад тоже некорректно
Ziptar, Не, сейчас вроде ничего так работает. Хотя меня, как любителя макбуков (а вот телефон на андройде - Goole Pixel прям огнище) для личного пользования (для нашей работы конечно не самая удобная вещь), больше радует Гном )) Привычнее ) И там ничего не тормозит.
У меня Debian и Centos обычно водятся. При чём если софт нормально работает и там, и там, то выбор по принципу "через детскую считалочку".
Drno, А с Минтом почему-то у меня дружба так и не пошла (( Вот не могу даже объяснить, в чём дело.
Не надо на клиенте никакой NAT-T настраивать :) винда доросла достаточно, чтобыв понять, что тут проброс и нужно NAT-T включить. Настройку клиентской части подключения по IPSec (IKEv2 - это один из компонентов) сможет сделать даже бабушка, если ей дать инструкцию, ну и энидеск пока никто не отменял.
как уже сказано на 11pro не получится, ибо там его нет, нужен сервер... Если же копать в эту сторону, то SSTP сервер можно поднять на SoftEther https://www.softether.org/5-download
Клиенты на Windows 10-11 подключаются нативно, нужно только сертификат импортировать на клиента.
Благодарю. Именно его и нашёл. Но на этапе проверки логина и пароля происходит завершение подключения то с ошибкой 800, то-2147014836. А сейчас вот утром вообще 789 ошибку выплюнул.
Juchok, значит где то ошибка настройки, либо сервера либо клиента... Я тут не могу помочь, ибо в винде не разбираюсь, у меня он на Linux Server работает, клиенты тоже все либо Linux, либо Android.
AlexVWill, да вот в том и проблема, что на Linux не было-бы проблем. Или Микрот и Циско. А на винде выпилили пакет для настройки ВПН-сервера из версий Про и оставили его только в серверной винде. Вот теперь пляски с бубном. А к серваку не подступиться и теперь надо извращаться ((
