RouterBoard SSTP

useful

Ahoj,
protože OpenVPN potřebuje na Windows klienta a já nechci mít nainstalováno několik klientů rozhodl jsem se přejít na SSTP. Zarazilo mě použití Certifikátu o kterém se všude píše, ale ve výsledku pokud nepropojuji pouze RouterBoard a RouterBoard nemohu mít zaškrtnuto "Verify Client Certificate", takže se používá pouze autorizace heslem.
Mohl by mi někdo vysvětlit proč i když mám vygenerovaný a do Windows importovaný certifikát tak se nedá použít?
Jak podstatně je vlastně sníženo zabezpečení, pokud nelze na RouterBoard SSTP Serveru aktivovat "Verify Client Certificate"
Děkuji

witek

Implementace SSTP v Mikrotiku není identická jako implementace u Microsoftu a autentizace certifikátem nikdy nefungovala.

Jediná VPN, kterou bych v tuto chvíli uvažoval (pokud se jedná o road warior - Windows, MacOS...), je IKEv2. Implementace je na začátku trochu hraní (zejména ladění PFS a auth/enc method na Windows v PowerShell), ale pak je to aktuálně nejlepší řešení. Každému klientovi uděláš extra certifikát, pecková je taky HW akcelerace na straně Mikrotiku. :-)

useful

Jak moc narazím u IKEv2 na průchodnost firewallů?
Mohu spustit SSTP na serveru, nebo instalovat OpenVPN klienta jako dalšího, ale pokoušel jsem se zvolit něco univerzálního i snadného pro správu.

drakgon

useful my používáme jen ikev2 a nikdy jsem neměl nikde problém... nebezi nám to na MK, ale jako StrongSwan na linuxu, ale to asi na fw nama vliv...

witek

Průchodnost firewallu, nebo průchodnost skrz NAT? Skrz NAT projde SSTP, OVPN a IKEv2 v pohodě. Skrz firewall, to je otázka na konkrétní policy.

SSTP má výhodu, že defaultně běží na TCP 443 (to samé co HTTPS) a má klienta ve Windows.
Nevýhoda je rozdílná implementace v MS a MT (nemožnost autentizace certifikátem), využívání TCP pro VPN také není ideální a neviděl jsem klienta pro MacOS, Android...

OVPN defaultně běží v Mikrotiku na TCP 1194 (UDP se, tuším, objevilo až v 7.0beta). Výhoda je variabilita konfigurace a klienti snad pro všechny myslitelné OS.
Nevýhoda je zase VPN skrz TCP. Snad to bude od 7.0 lepší. :-)

IKEv2 potřebuje UDP 500 (IKE), UDP 4500 (NAT Traversal) a ESP. Výhoda je přítomnost klienta v Windows a MacOS. Do Android se nainstaluje Strongswan. HW akcelerace na straně Mikrotiku. Do Windows tedy nemusíte nic instalovat. Každému uživateli můžete vystavit certifikát a tím řídit jejich přístup.
Nevýhoda je mírně náročnější konfigurace, než SSTP/OVPN.

Skrz NAT ale projdou všechny. SSTP těží z přítomnosti ve Windows a TCP 443. IKEv2 je nativně podporovaný i dalšími OS a nabízí nejvyšší performance.

drakk

Mám nasazeno SSTP na MT s certifikátem (Pomohl mi @krystofklima ). A na Androidu používám VPN Client Pro, který má SSTP placené.

witek

drakk SSTP s SSL certifikátem na straně serveru (Mikrotiku) ano, to funguje.
Tazatel se zajímá o volbu "verify-client-certificate" (v podstatě Mutual TLS). To jsem v kombinaci Mikrotik<>Windows zatím neviděl funkční.

useful

O průchodnost jako použitelnost, hotely, zahraničí....

SSTP má klienta i na Android. Na Androidu jsem právě začal řešit když jsem tam dostával certifikát, zadal jsem jméno, heslo a ono se to připojilo i bez certifikátu :-(

Zkusím rozjet IKEv2 a uvidím.
Díky