Задать вопрос
@user2k

Как защитить vpn mikrotik сертификатами?

Вопрос вот в чем: включил sstp-сервер в микротик, создал CA сертификат. Экспортировал его клиенту windows. Подключился успешно. Но при такой схеме соединение без сертификата тоже возможно. для проверки подключился соседним микротиком с помощью логин/пасс. Тогда я создал еще один сертификат, подписал его ранее созданным CA, добавил в Доверенные корневые центры в Windows и на сервере sstp включил опцию virify client certificated. При таком раскладе подключиться не удается.
В теории я понимаю, что необходим сертификат подписанный удостоверяющим центром , данный сертификат необходимо импортировать в ОС, а на стороне сервера сделать проверку клиентов на предмет наличия этого сертификата. Но как это применить в данной системе не понимаю пока еще.
  • Вопрос задан
  • 6796 просмотров
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 4
Нужно было поступать следующим образом:
  1. Создать CA сертификат на Микротике и подписать его
  2. Создать Server-сертификат на Микротике и подписать его CA, установить его в качестве сертификата для sstp-сервера
  3. Создать Client1-сертификат на Микротике и подписать его CA, установить его клиенту в качестве идля подключения
Ответ написан
Ziptar
@Ziptar
Дилетант широкого профиля
Verify client certificate работает только при соединении через sstp двух микротиков. Windows для проверки подлинности клиенским сертификатом (для sstp) должен использовать EAP, который микротик не поддерживает ни в каком виде (для vpn).

Вариантов с проверкой клиентского сертификата в тиках при сочленении с виндовым клиентом только два: openvpn и ikev2

UPD: впрочем, может я и не прав на счёт eap для vpn. Народ в интеретах пишет, что возможно. Но это нужно или иметь radius сервер, или городить его на микротике.
Года два-три назад это точно не работало.
Ответ написан
Комментировать
@kursy-po-it
Обучение: https://курсы-по-ит.рф/lp-mikrotik-mtcna
Посмотрите здесь: mikrotik.vetriks.ru .
Ответ написан
Комментировать
@VanSun
не знаю на сколько еще актуально, но mikrotik-mikrotik по sstp могут подключаться вообще без сертификатов.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы