windwalker78 Posted April 17, 2018 Report Share Posted April 17, 2018 Здравейте, Опитвам се да вдигна един SSTP VPN между mikrotik 6.40.4 (Намира се зад NAT с port forward на 443) - Windows 7 x64 sp1 и виждам зор със сертификата май: Генерирам ги така и пускам и sstp услугата + ppp: /system identity set name=sstp.tbrook /certificate add name=ca-template common-name=sstp.tbrook days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign add name=server-template common-name=*.sstp.tbrook days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server add name=client-template common-name=client1.sstp.tbrook days-valid=3650 key-size=2048 key-usage=tls-client sign ca-template name=ca-certificate sign server-template name=server-certificate ca=ca-certificate sign client-template name=client-certificate ca=ca-certificate /ip pool add name=”vpn-pool” ranges=10.30.0.2-10.30.0.10 /ppp profile add name=”vpn-profile” use-encryption=yes local-address=10.30.0.250 dns-server=10.30.0.250 remote-address=vpn-pool secret add name=client1 profile=vpn-profile password=TestPass /interface sstp-server server set enabled=yes default-profile=vpn-profile authentication=mschap2 certificate=server-certificate force-aes=yes pfs=yes /certificate export-certificate ca-certificate export-passphrase=”” След това копирам cert_export_ca-certificate.crt на Win7 и го вмъквам под Certificates (Local Computer) -> Trusted Root Certification Authorities Вкарах и sstp.tbrook с ip адрес в hosts файла. Като опитам да се свържа, в windows виждам това: Error is again 0x800B010F The certificate’s CN name does not match the passed value. В логовете на микротика само това: sstp,ppp,debug: LCP lowerdown sstp,ppp,debug: LCP down event in initial state Някой с идея какво да пробвам? Link to comment Share on other sites More sharing options...
0 gbdesign Posted April 17, 2018 Report Share Posted April 17, 2018 Предполагам се опитваж да се вържеш от клиента по IP а не по хостнейм и ти бие грешка, че не съвпада със сертификата. SSTP е чуден протокол, но за да нямаш драми, по-добре ползвай истински, а на селф-сайгнет сертификат и DNS. Link to comment Share on other sites More sharing options...
0 windwalker78 Posted April 18, 2018 Author Report Share Posted April 18, 2018 Забравил съм да пиша. Опитвах и по hostname sstp.tbrook и по IP адрес. Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted April 18, 2018 Administrator Report Share Posted April 18, 2018 Генерирай го по CLAUD днс-а на микротика https://wiki.mikrotik.com/wiki/SSTP_step-by-step Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 windwalker78 Posted April 18, 2018 Author Report Share Posted April 18, 2018 Благодаря! Ще пробвам и с openssl да ги генерирам. Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted April 18, 2018 Administrator Report Share Posted April 18, 2018 Преди 2 часа, windwalker78 написа: Благодаря! Ще пробвам и с openssl да ги генерирам. От самия микротик може да си го генерираш Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 windwalker78 Posted April 18, 2018 Author Report Share Posted April 18, 2018 Работата е ясна: 1. Хем бях пуснал NTP, хем по някаква причина се върнало на 17ти. 1 ден разлика, големи проблеми 2. Тук трябва да точния IP/DNS, към който се връзва клиента add name=server-template common-name=myrouter.mydomain.com days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server 3. Оказва се че всичко работи и без клиентския сертификат: /certificate add name=client-template common-name=client1.sstp.tbrook days-valid=3650 key-size=2048 key-usage=tls-client sign client-template name=client-certificate ca=ca-certificate Благодаря за отзивчивостта и успех! Link to comment Share on other sites More sharing options...
Question
windwalker78
Здравейте,
Опитвам се да вдигна един SSTP VPN между mikrotik 6.40.4 (Намира се зад NAT с port forward на 443) - Windows 7 x64 sp1 и виждам зор със сертификата май:
Генерирам ги така и пускам и sstp услугата + ppp:
/system identity set name=sstp.tbrook /certificate add name=ca-template common-name=sstp.tbrook days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign add name=server-template common-name=*.sstp.tbrook days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server add name=client-template common-name=client1.sstp.tbrook days-valid=3650 key-size=2048 key-usage=tls-client sign ca-template name=ca-certificate sign server-template name=server-certificate ca=ca-certificate sign client-template name=client-certificate ca=ca-certificate /ip pool add name=”vpn-pool” ranges=10.30.0.2-10.30.0.10 /ppp profile add name=”vpn-profile” use-encryption=yes local-address=10.30.0.250 dns-server=10.30.0.250 remote-address=vpn-pool secret add name=client1 profile=vpn-profile password=TestPass /interface sstp-server server set enabled=yes default-profile=vpn-profile authentication=mschap2 certificate=server-certificate force-aes=yes pfs=yes /certificate export-certificate ca-certificate export-passphrase=””
След това копирам cert_export_ca-certificate.crt на Win7 и го вмъквам под Certificates (Local Computer) -> Trusted Root Certification Authorities
Вкарах и sstp.tbrook с ip адрес в hosts файла.
Като опитам да се свържа, в windows виждам това:
Error is again 0x800B010F The certificate’s CN name does not match the passed value.
В логовете на микротика само това:
sstp,ppp,debug: LCP lowerdown sstp,ppp,debug: LCP down event in initial state
Някой с идея какво да пробвам?
Link to comment
Share on other sites
6 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now