Mikrotik SSTP server

[Nikiforos]

καλημερα! κανω αυτο το θεμα για να λεμε για τον SSTP vpn server, με οποιονδηποτε client.
Παρακατω μερικες σελιδες για το setup για οδηγους και οχι μονο.

https://wiki.mikrotik.com/wiki/Manual:Interface/SSTP (γενικος οδηγος ο επισημος)

https://wiki.mikrotik.com/wiki/SSTP_step-by-step (πιστοποιητικα που θυμιζουν openvpn!)

https://www.medo64.com/2017/01/simpl...r-on-mikrotik/ (HOW TO)

https://support.purevpn.com/mikrotik-sstp (mikrotik sstp client)

https://www.youtube.com/watch?v=rA8mOS5PCjk (mikrotik sstp client video)

https://www.youtube.com/watch?v=Qk-Na_1OorM (mikrotik SSL sstp server video)

Και SSTP clients σε διαφορα λειτουργικα :

Φαινεται στα win από τα vista και μετα να εχει SSTP client ενσωματωμενο, συμφωνα με αυτο το αρθρο https://www.howtogeek.com/211329/whi...psec-vs.-sstp/
Linux http://sstp-client.sourceforge.net/
android https://play.google.com/store/apps/d....sstpvpnclient
mac os https://www.axot.org/2015/03/03/isst...t-for-mac-osx/
για διαφορα λειτουργικα αυτο το προγραμμα υποστηριζει και SSTP client https://strongvpn.com/setup.html

[jkarabas]

Ωραία Νικηφόρε ευκαιρία να το δοκιμάσουμε και αυτό.

[jkarabas]

Νικηφόρε κατάφερες τελικά να σου δουλέψει από Android? Το έχεις δοκιμάσει?

[Nikiforos]

Νικηφόρε κατάφερες τελικά να σου δουλέψει από Android? Το έχεις δοκιμάσει?

Καλημέρα, έχω σε ένα 951 client για να παίρνω ιντερνέτ από γείτονα μέσω εξωτερικών ασύρματων συνδέσεων. Οπότε όχι δεν το έχω δοκιμάσει σε android. Με τα δικά μου δουλεύω μόνο με openvpn , έχω δοκιμάσει σε android και l2tp+ipsec client.

[jkarabas]

Λοιπόν ο SSTP server στο mikrotik με την εφαρμογή (SSTP VPN client) παίζει κανονικά.
Η προϋπόθεση είναι να αλλάξουμε την default πόρτα από 443 σε όποια επιθυμούμε πχ 4435. Για κάποιο λόγο η 443 με την client του android έχει πρόβλημα παρόλο που στα services έκανα disable την 443 για να μην έχει θέμα. Βέβαια σαν αρχή έχω την συνήθεια πάντα να αλλάζω τις default ports σε όλες τις υπηρεσίες.

Να αναφέρω λοιπόν με τη σειρά το setup του:

Mikrotik
Δημιουργία certificates
New terminal

/certificate
add name=ca-template common-name=ca-sstp days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=server-template common-name=server-sstp days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=client-template common-name=client-sstp days-valid=3650 key-size=2048 key-usage=tls-client

sign ca-template name=ca-certificate
sign server-template name=server-certificate ca=ca-certificate
sign client-template name=client-certificate ca=ca-certificate

Δημιουργία IP Pool
IP → Pool → Add → Name: SSTP Pool → Address: 10.20.30.40-10.20.30.45

Δημιουργία profile PPP
PPP → profiles ->Add → Name: SSTP → Local Address: SSTP Pool → Remote Address: SSTP Pool → DNS Server: H ip του mikrotik εφόσον έχετε περάσει τους DNS του provider στο Mikrotik.

Δημιουργία secrets PPP
secrets → Add: yourname → Password: yourpass → service: sstp

SSTP server
PPP → Interfaces → SSTP server:

Enable [x]
Port [4435]
Max MTU: 1500
Max MRU: 1500
Keepalive timeout: 60
Default profile: SSTP
Authentication: mschap2 [x]
Certificates: server-certificate
Force Aes: [x]
PFS: [x]

Σε αυτό το σημείο πριν προχωρήσω να επισημάνω ότι η επιλογή Verify client certificate δεν υποστηρίζεται από την εφαρμογή του android SSTP VPN client και έτσι δεν την ενεργοποιούμε στο mikrotik.
Οι ρυθμίσεις του SSTP VPN client for android φαίνονται στις εικόνες.

[Nikiforos]

Καλησπέρα, μπράβο πολύ ωραίος! Το sstp όπως φαίνεται πάει να χτυπήσει το openvpn και το συστήνει και η mikrotik αντί για εκείνο. Μεγάλο μειονέκτημα ότι δεν υποστηρίζεται από by default από πολλές συσκευές ενώ σε άλλες δεν βρίσκω client όπως πχ στο linux nas server μου τύπου qnap. Πάντως είναι καλύτερο από θέμα ασφάλειας από όλα τα άλλα γνωστά vpn και όπως λένε ακόμα και από το l2tp+ipsec. Εφόσον όμως παίζει με πιστοποιητικά γιατί μπορεί να παίξει και πολύ απλά με τα τυπικά όπως στο σκέτο l2tp και pptp.

[jkarabas]

Καλησπέρα, μπράβο πολύ ωραίος! Το sstp όπως φαίνεται πάει να χτυπήσει το openvpn και το συστήνει και η mikrotik αντί για εκείνο. Μεγάλο μειονέκτημα ότι δεν υποστηρίζεται από by default από πολλές συσκευές ενώ σε άλλες δεν βρίσκω client όπως πχ στο linux nas server μου τύπου qnap. Πάντως είναι καλύτερο από θέμα ασφάλειας από όλα τα άλλα γνωστά vpn και όπως λένε ακόμα και από το l2tp+ipsec. Εφόσον όμως παίζει με πιστοποιητικά γιατί μπορεί να παίξει και πολύ απλά με τα τυπικά όπως στο σκέτο l2tp και pptp.

Κοίτα με ξενέρωσε το γεγονός ότι το συγκεκριμένο client for android δεν υποστηρίζει client certificate, οπότε είναι στην ουσία άχρηστο το certificate for client. Μίλησα και μαζί τους για το συγκεκριμένο θέμα. Πάντως μαζί με το openvpn είναι τα ποιο ασφαλής.

[Nikiforos]

Καλησπέρα, για android έχει και άλλους sstp client πχ το strongvpn που έχω ήδη αναφερει, απλά έγραψα έναν τυχαία. Δοκιμασες κάποιον άλλον που ίσως να υποστηρίζει τα certificates? Χωρίς αυτά δεν θα είναι ασφαλές και τόσο και δεν θα πρέπει να τρέχει και ο server έτσι λογικά αλλιώς θα τα θέλει από τον πελάτη για να συνδεθεί.

[jkarabas]

Καλησπέρα, για android έχει και άλλους sstp client πχ το strongvpn που έχω ήδη αναφερει, απλά έγραψα έναν τυχαία. Δοκιμασες κάποιον άλλον που ίσως να υποστηρίζει τα certificates? Χωρίς αυτά δεν θα είναι ασφαλές και τόσο και δεν θα πρέπει να τρέχει και ο server έτσι λογικά αλλιώς θα τα θέλει από τον πελάτη για να συνδεθεί.

το έχω υπόψιν για κάποιο free client SSTP αλλά δεν το έψαξα να σου πω την αλήθεια. Αυτόν που αναφέρεις νομίζω δεν κάνει για το SSTP πρωτόκολλο.

[Nikiforos]

Λέει στον τίτλο του ότι κάνει αλλά μάλλον όχι στην έκδοση για android. Πάντως έχει και άλλα free τυχαία ανέφερα αυτά δεν δουλεύω με sstp δικό μου οπότε έχω μόνο ένα client σε mikrotik.

[xhaos]

Btw μόλις διάβαζα ότι το sstp δεν έχει δεχτεί κανένα εξωτερικό audit. Δηλαδή όποιος το χρησιμοποιεί απλά πρέπει να δεχθεί ότι η ms το έχει ελέγξει επαρκώς και δεν έχει θέματα...... απλά lol.

Και μάλιστα δεν υπάρχει πρόβλεψη ή σχεδιασμός να γίνει audit γιατί θέλουν να διατηρήσει τη κλειστή/ proprietary λογική.

[Nikiforos]

Καλημέρα άστα xchaos λέμε! Καλά κάνεις αν θυμάμαι καλά openvpn server σε linux machine...έλεος ποια η μικροτικ! Έχει και σχέση η μς απλά για τα πανηγύρια λοιπόν.....

[Nikiforos]

καλημερα, σε συνεχεια του θεματος αυτου προκειμενου να μην ειμαι OFFTOPIC : https://www.adslgr.com/forum/threads...N-Script/page2

Ειδα για το SSTP τι λεει στο wikipedia https://en.wikipedia.org/wiki/Secure...eling_Protocol

αναμεσα στα αλλα ειδα αυτο που δεν μου αρεσε καθολου, μιας και ανεφερα καποια στιγμη οτι ισως να ηθελα να παω σε SSTP αντι OVPN πανω σε Mikrotik Rbs για τις μεταξυ τους συνδεσεις.

SSTP suffers from the same performance limitations as any other IP-over-TCP tunnel. In general, performance will be acceptable only as long as there is sufficient excess bandwidth on the un-tunneled network link to guarantee that the tunneled TCP timers do not expire. If this becomes untrue, performance falls off dramatically. This is known as the "TCP meltdown problem".[6][7]

αρα παλι παιζουμε με TCP ετσι? κατι που θελαμε να αποφυγουμε και αυτο το θεωρουσαμε και μεγαλο μειονεκτημα του OVPN....

και φυσικα αυτο που εγραψε ο xchaos στο ποστ #11 και οτι εχει σχεση με την ακατανομαστη MS το SSTP σιγουρα ειναι κατι που θα με κανει να πω μακρια και αγαπημενοι?

Οποτε μου φαινεται καλυτερη λύση l2tp+ipsec και ποιο ευκολο και με UDP...η συνεχεια στο δικο του θεμα εδω : https://www.adslgr.com/forum/threads...th-Ipsec/page3

[xhaos]

l2tp+ipsec is the way to go.
το ξανά γράφω, είχα τον sstp server με ΣΟΒΑΡΟ password και είδα στα log μου συνδεδεμένους!
πλέον τα παράτησα τα Mtik και γύρισα πίσω στο openWRT, και λειτουργώ με OpenConnect και OpenSwan

[Nikiforos]

καλημερα, πως ειχες βαλει αρχεια πιστοποιησεων ή εντελως απλο σεταπ? γιατι και ενας φιλος βαριεται και τα στηνει χυμα εντελως οποτε ειναι σουρωτηρια οπως το pptp. Σε καμια περιπτωση δεν μπορουμε να εμπιστευτουμε μονο ενα password οσο καλο και δυνατο και αν ειναι!

εμ γιαυτο εγω επιμενω σε OpenVPN (ΟVPN) μιλώντας για mikrotik και ας μην υποστηριζει UDP, LZO και TLS, προσωπικα το προτιμω απο οτιδηποτε αλλο.

τωρα εχω openwrt μονο σε raspberry 1 model B (σε μια απο τις αρκετες SD που εχω), ενω παλιοτερα ειχα και ενα Ubiquiti Routerstation Pro για το AWMN αλλα το εχω δωσει τωρα λογω ανωτερας βιας....
αλλα το εκτιμω πολυ σαν λειτουργικο τα σπαει απλα! respect....