Jump to content
  • 0

SSTP VPN проблем със сертификат


windwalker78

Question

          Здравейте,

          Опитвам се да вдигна един SSTP VPN  между mikrotik 6.40.4 (Намира се зад NAT с port forward на 443) - Windows 7 x64 sp1 и виждам зор със сертификата май:

Генерирам ги така и пускам и sstp услугата + ppp:

/system identity set name=sstp.tbrook

/certificate
add name=ca-template common-name=sstp.tbrook days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=server-template common-name=*.sstp.tbrook days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=client-template common-name=client1.sstp.tbrook days-valid=3650 key-size=2048 key-usage=tls-client

sign ca-template name=ca-certificate
sign server-template name=server-certificate ca=ca-certificate
sign client-template name=client-certificate ca=ca-certificate

/ip
pool add name=”vpn-pool” ranges=10.30.0.2-10.30.0.10

/ppp
profile add name=”vpn-profile” use-encryption=yes local-address=10.30.0.250 dns-server=10.30.0.250 remote-address=vpn-pool
secret add name=client1 profile=vpn-profile password=TestPass

/interface sstp-server server
set enabled=yes default-profile=vpn-profile authentication=mschap2 certificate=server-certificate force-aes=yes pfs=yes

/certificate
export-certificate ca-certificate export-passphrase=””

След това копирам cert_export_ca-certificate.crt на Win7 и го вмъквам под  Certificates (Local Computer) -> Trusted Root Certification Authorities

Вкарах и  sstp.tbrook с ip адрес в hosts файла.

Като опитам да се свържа, в windows виждам това:

Error is again 0x800B010F The certificate’s CN name does not match the passed value.

В логовете на микротика само това:

sstp,ppp,debug: LCP lowerdown
sstp,ppp,debug: LCP down event in initial state

Някой с идея какво да пробвам?

Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0

Предполагам се опитваж да се вържеш от клиента по IP а не по хостнейм и ти бие грешка, че не съвпада със сертификата. SSTP е чуден протокол, но за да нямаш драми, по-добре ползвай истински, а на селф-сайгнет  сертификат и DNS.

Link to comment
Share on other sites

  • 0

Забравил съм да пиша. Опитвах и по hostname sstp.tbrook и по IP адрес.

Link to comment
Share on other sites

  • 0
  • Administrator

Генерирай го по CLAUD днс-а на микротика

https://wiki.mikrotik.com/wiki/SSTP_step-by-step

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator
Преди 2 часа, windwalker78 написа:

Благодаря! Ще пробвам и с openssl да ги генерирам.

От самия микротик може да си го генерираш

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Работата е ясна:

1. Хем бях пуснал NTP, хем по някаква причина се върнало на 17ти. 1 ден разлика, големи проблеми

2. Тук трябва да точния IP/DNS, към който се връзва клиента 

add name=server-template common-name=myrouter.mydomain.com days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server

3. Оказва се че всичко работи и без клиентския сертификат:

/certificate
add name=client-template common-name=client1.sstp.tbrook days-valid=3650 key-size=2048 key-usage=tls-client
sign client-template name=client-certificate ca=ca-certificate

Благодаря за отзивчивостта и успех!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.