Благодарю за обзор интересной для меня темы. Это полезно. И в то же время, а можно ли было бы перед выкладкой вебинара в ю-туб вырезать те эпизоды, где разговор отвлекается от рассмотрения темы, и где всякие технические неполадкки устраняются. Оно реально замахивает.
Спасибо огромное. Теперь в Арсенале ВПН на SSTP. Всё работает!!!!! PPTP рвётся каждые 10 минут самопроизвольно и на 10ке как то криво соединяется, думаю на SSTP такого не будет.
Нет аппаратной разгрузки шифрования SSTP. Почему нет, если есть аппаратные блоки AES в процессоре? Например 750 версии 3. В L2TP/IPSec использует аппаратную разгрузку, а в SSTP не будет? Эт как так? UPD. Сам спросил сам ответил. Действительно, скорость передачи данных существенно ниже, а нагрузка (при той же скорости) больше. Была произведена оценка и сравнение: sstp, l2tp/IPsec (тоже aes) Rb750Gr3. После установления связи SMB копировался большой файл (iso обаз). SSTP устоявшаяся средняя скорость 2,04 MB/s, CPU 17-60% среднюю можно оценить как 38% L2TP/IPSec устоявшаяся средняя скорость 9,01MB/s (очевидно, упирается в скорость канала к провайдеру), CPU 27-35% среднюю можно оценить как 31%. При этом, во втором случае нагрузка более равномерна и мало отклоняется от средней.
В случае истечения срока, можно ли продлить срок действия сертификата? Возможно ли поднять sstp сервер без использования сертификата? Такая функция вроде бы есть, но она для удаленных сотрудников почему-то не работает
Ноутбук через 4G модем по сотовой сети подключается к впн серверу на микротике в сети ростелекома. Впн по протоколу РРТР. Между нотбуком и впн сервером , через оператора сотовой связи идёт двойной трафик, например , если скачивать файл размером 10 мегабайт, то объём трафика будет 20 мегабайт. Вопрос - для РРТР это нормально , генерировать двойной трафик? Или это плохо настроен впн РРТР?
Приветствую!стал обладателем микротик RB952UI настроил интернет,wi-fi.Вопрос такой - имеется принтер canon с wi-fi (к сети подключил по wi-fi),c телефона и ноутбука могу распечатать через wi-fi,а с компьютера подключенного сетевым кабелем к роутеру не видит принтер,подключаю сетевой кабель который идет к телевизору - компьютер видит принтер и можно печатать (до этого стоял роутер zyhel - соединялся по wi-fi ) ,что блокирует микротик ???куда копать
Роман, спасибо за очередное отличное видео, есть вопрос как раз про маки, IKEv2 по сертам никаким способом не хочет цепляться к VPN, не видит хоста серта, проблема известная, по шарному ключу запросто, есть хоть какое то вменяемое решение, чтобы Яблочная техника цеплялась по серту на IKEv2? Спасибо!
сертификаты для SSTP генерятся в самой RouterOS, из винбокса, CLI команды есть в микротик вики, только вот аппаратное ускорение при этом не работает, максимум 13-15Мб/с, при том что L2TP+IPSec не тормозит
У меня на Микротике поднят l2tp сервер + pptp сервис. Подключаюсь с компа и с телефона через VPN(l2tp+pptp) к микротику, проблем нет. Но вот непонятная штука, микротик ровно через 10 минут рвёт связь. Переподключась в ручную, и опять через 10 минут кидает связь :))) Укажите пожалуйста путь, куда копать. Танцы с бубном не помогли. Благодаря новому видео, попробую организовать подключение через SSTP.
После настройки при включении SSTP сервера получаю сообщение "Couldn't change SST Server - can't bind, check if port is not used by another service! (6)". Не могу понять, что может мешать. Есть только srcnat, allow input и forward established related. Нашёл! IP -> Services -> www-ssl
ИКЕвэ2. Долго думал, что это пок не дошло, что айк второй версии. "Лучше, но настройка L2TP с IPSecом проще". Что-то намешано, по моему. При использовании L2TP с IPSecом будет задействован IKE
Вообще, я считаю, необходимо развивать подключения ВПН прежде всего на основе TLS или DTLS, и именно так, как браузер работает по HTTPS. GRE и IKE достаточно часто блочатся провайдерами, время от времени встречается ситуация, когда от какого-то провайдера не удается подключитьcя по L2TP/IPSec. Из сетей сотовых операторов это вообще приключения. А с учетом нарастающей паранойи у властей, в любой момент может заблочить все, отличное от HTTPS, тот же OpenVPN. Посему современный актуальный ВПН должен быть неотличим от HTTPS. Лучше всего, и при поведенченском анализе. SSTP, наверное, мог бы претендовать на роль такого коннекта.
C 10 подключается нормально, а в 7 выдает ошибку 0x800b0109, разобрался. Простой установкой сертификата про устанавливается куда надо. зайти в сертификаты локального компьютера и импортировать сертификат
@@user-ssh-dima Выберите "Запустить " в меню "Пуск " и введите mmc. Появится MMC. В меню "Файл" выберите "Добавить или удалить привязку". Откроется окно "Добавление или удаление оснастки". В списке доступных оснастки выберите "Сертификаты", а затем нажмите кнопку "Добавить". найти доверенные серификаты и туда добавить
RDP передает данные в зашифрованном виде с помощью TLS 1.2 трубы, по данному протоколу передают данные и клиент -банки, и кассы в торговых сетях, и яндекс почта в браузерах, защищаете рдп также сертификатом, никакого отличия в плане безопасности от VPN трубы поверх IPSEC нет. около сотни подобных серверов настраивал никого до сих пор не взломали. но требуется определенный тюнинг и защита со стороны роутера. и тогда вполне ок.
Здравствуйте! Настроил. В рабочую сеть попадаю, но при этом пропадает интернет на локальной машине. Подскажите, что поправить в настройке локальной машине.
У тебя в настройках сети у твоего соединения стоит крыжик "Использовать основной шлюз в удаленной сети". После коннекта по ВПН у тебя трафик в инет начинает идти на новый шлюз (сервер ВПН), так как теперь дефолтный маршрут указывает на него. Смотри route print маршрут 0.0.0.0/0 Варианта решения тут 2: 1. На удаленном микротике настроить маскарадинг (SCRNAT) из "сети впн" в интернет. Разрешить в файерволе трафику проходить из этой сети в интернет (или убедиться что данная сеть подпадает под уже существующее разрешающее правило). При этом, в интернет ты станешь ходить через сеть организации, к которой подключаешься. Надо тебе это или нет, решай сам. Это может быть как плохо (так как канал организации начинает забиваться , минимум, удвоенным трафиком -- сперва из локальной машины до организации, потом это же пойдет в интернет), так и хорошо, если политика организации такова, что необходимо контролировать весь трафик, который может проходить на подключенные к сети организации машины. 2. Отключить крыжик, тогда весь инет будет, как и прежде, сразу с твоей машины в мир, но тогда тебе нужно будет решать вопрос с маршрутизации в удаленную сеть организации, так как твой комп не будет знать куда слать пакеты, предназначенные ей. Возможное решение -- самостоятельно добавлять маршрут в таблицу. Делать это придется руками ПОСЛЕ подключения к ВПН, и перманентный маршрут прописать не получится. Точнее, запись сохранится, но после отключения/подключения к впн комп не будет обращать на нее внимание. Придется удалять эту запись и прописывать снова. Возможное решение -- добавлять запись скриптом из планировщика по событию установления подключения. Может есть и другое решение, я не знаю. Не забывай в удаленном микротике разрешить в файерволе прохождение трафика между локальной сетью и "сетью впн". Кстати, в первом случае это тоже необходимо сделать.
@@immickful читай внимательнее. Запись о маршруте сохранится, но работать будет она до окончания подключения к удаленной сети. При последующих подключениях венда не будет обращать на неё внимания и связи до сети не будет, так как интерфейс другой. Придется удалить маршрут и создать его заново при подключенном впн.
Спасибо за видео, вопрос не по теме, есть проблема с авторизацией пользователей по OVPN через AD, пишет в логах, что ошибка авторизации или сбрасывает соединение, при этом через l2tp/ipsec авторизовывает доменных пользователей нормально. Нужна какая-то дополнительная настройка на виндовом радиусе, не понимаю в чем проблема
Смотря какой keneetic. Младшие модели keneetic не имеют sstp сервера. Если есть на борту sstp сервер, то хотя бы по паролю должен поддерживать sstp подключение.
@@MultiUser45 не подключается к кенетик 4G (у него есть сервер sstp), поясните пожалуйста как это сделать, какие настрой сделать надо? У меня сеть на микротике все работает, с Win 10 64x все хорошо подключается, а из микротика не хочет, в чем проблема может быть?
Есть подозрение что там sstp поправили. В 6 данный тоннель это мучение, скорость в нем редко превышает 10 мегабит. Не берусь это утверждать на 100% но последний раз когда пробовал sstp в связке микротик-микротик это было именно так.
Темы полезные и интересные. Вы большой молодец! Но есть слова паразиты, в частности "вот", "соответственно" и "непосредственно". Скорее всего Вы их используете как связующие для соединения нескольких мыслей. Но употребляете их слишком часто - раздражает. Только возможность услышать ценную информацию заставляет смотреть ролики до конца. Вместо "Ок" есть чудесное слово - "хорошо". Успехов Вам в этом не лёгком деле.
микротики заманчивы только своей ценой, за такие деньги фичасет впечатляет, ровно как и глючность, увы. Если бы эниконнект работал с микротами, цены бы им не было, а так мышиная возня кмк :)
Странно, что за столько лет съёмки видео у вас В КАЖДОМ видео технические шоколадки. То звук, то видео, то тырнет лагает. Неужели вам сложно купить норм микрофон и сменить провайдера, раз этот не тащит. Эти косяки дискредитируют в вас специалиста
Благодарю за обзор интересной для меня темы. Это полезно. И в то же время, а можно ли было бы перед выкладкой вебинара в ю-туб вырезать те эпизоды, где разговор отвлекается от рассмотрения темы, и где всякие технические неполадкки устраняются. Оно реально замахивает.
Как не странно, в этом Вебинаре самый лучший звук
Звук отличный, но "ээээ", "мм мм", "вот!" уверенности не добавляют
@@shvictor73 к этому можно привыкнуть.
Настроено соединение клиента с офисной подсетью через SSTP. А как днс имена разрешить при подключении?
Спасибо огромное. Теперь в Арсенале ВПН на SSTP. Всё работает!!!!! PPTP рвётся каждые 10 минут самопроизвольно и на 10ке как то криво соединяется, думаю на SSTP такого не будет.
Нет аппаратной разгрузки шифрования SSTP. Почему нет, если есть аппаратные блоки AES в процессоре? Например 750 версии 3. В L2TP/IPSec использует аппаратную разгрузку, а в SSTP не будет? Эт как так?
UPD. Сам спросил сам ответил. Действительно, скорость передачи данных существенно ниже, а нагрузка (при той же скорости) больше. Была произведена оценка и сравнение:
sstp, l2tp/IPsec (тоже aes) Rb750Gr3. После установления связи SMB копировался большой файл (iso обаз).
SSTP устоявшаяся средняя скорость 2,04 MB/s, CPU 17-60% среднюю можно оценить как 38%
L2TP/IPSec устоявшаяся средняя скорость 9,01MB/s (очевидно, упирается в скорость канала к провайдеру), CPU 27-35% среднюю можно оценить как 31%. При этом, во втором случае нагрузка более равномерна и мало отклоняется от средней.
Не получается... на клиенте пишет CN имя сертификата не совпадает с полученным значением
В случае истечения срока, можно ли продлить срок действия сертификата?
Возможно ли поднять sstp сервер без использования сертификата? Такая функция вроде бы есть, но она для удаленных сотрудников почему-то не работает
Ноутбук через 4G модем по сотовой сети подключается к впн серверу на микротике в сети ростелекома. Впн по протоколу РРТР. Между нотбуком и впн сервером , через оператора сотовой связи идёт двойной трафик, например , если скачивать файл размером 10 мегабайт, то объём трафика будет 20 мегабайт. Вопрос - для РРТР это нормально , генерировать двойной трафик? Или это плохо настроен впн РРТР?
Приветствую!стал обладателем микротик RB952UI настроил интернет,wi-fi.Вопрос такой - имеется принтер canon с wi-fi (к сети подключил по wi-fi),c телефона и ноутбука могу распечатать через wi-fi,а с компьютера подключенного сетевым кабелем к роутеру не видит принтер,подключаю сетевой кабель который идет к телевизору - компьютер видит принтер и можно печатать (до этого стоял роутер zyhel - соединялся по wi-fi ) ,что блокирует микротик ???куда копать
Роман, спасибо за очередное отличное видео, есть вопрос как раз про маки, IKEv2 по сертам никаким способом не хочет цепляться к VPN, не видит хоста серта, проблема известная, по шарному ключу запросто, есть хоть какое то вменяемое решение, чтобы Яблочная техника цеплялась по серту на IKEv2? Спасибо!
Добавьте пожалуйста презентацию.
36:45 -- Проблема с самоподписными сертификатами и использование сертификатов из Центров.
фильтр на пользователей PPP для ограничения офисного интернета не работает. Кто -то может тему поподробнее осветить?
сертификаты для SSTP генерятся в самой RouterOS, из винбокса, CLI команды есть в микротик вики, только вот аппаратное ускорение при этом не работает, максимум 13-15Мб/с, при том что L2TP+IPSec не тормозит
По SSTP получилось три мегабита ( не мегабайта ) на канале 300 мегабит.
У меня на Микротике поднят l2tp сервер + pptp сервис. Подключаюсь с компа и с телефона через VPN(l2tp+pptp) к микротику, проблем нет. Но вот непонятная штука, микротик ровно через 10 минут рвёт связь. Переподключась в ручную, и опять через 10 минут кидает связь :))) Укажите пожалуйста путь, куда копать. Танцы с бубном не помогли. Благодаря новому видео, попробую организовать подключение через SSTP.
откуда взялось доменное имя??? ничего не понятно
После настройки при включении SSTP сервера получаю сообщение "Couldn't change SST Server - can't bind, check if port is not used by another service! (6)".
Не могу понять, что может мешать. Есть только srcnat, allow input и forward established related.
Нашёл! IP -> Services -> www-ssl
А можно ссылку на презентацию? Спасибо.
ссылка работает по http
ИКЕвэ2. Долго думал, что это пок не дошло, что айк второй версии. "Лучше, но настройка L2TP с IPSecом проще". Что-то намешано, по моему. При использовании L2TP с IPSecом будет задействован IKE
Невозможно подключиться по SSTP так как микротик не поддерживает TLS SNA, как это решить?
Вообще, я считаю, необходимо развивать подключения ВПН прежде всего на основе TLS или DTLS, и именно так, как браузер работает по HTTPS. GRE и IKE достаточно часто блочатся провайдерами, время от времени встречается ситуация, когда от какого-то провайдера не удается подключитьcя по L2TP/IPSec. Из сетей сотовых операторов это вообще приключения. А с учетом нарастающей паранойи у властей, в любой момент может заблочить все, отличное от HTTPS, тот же OpenVPN. Посему современный актуальный ВПН должен быть неотличим от HTTPS. Лучше всего, и при поведенченском анализе. SSTP, наверное, мог бы претендовать на роль такого коннекта.
У SSTP в версии микротика очень большие проблемы на Win7, он там просто не подключается.
К сожалению, некоторые умудряются блочить и Sstp даже на 443-ом порту. (В ОАЭ например). Скорее всего DPIшничают. Там же и sip tls не проходит и srtp.
C 10 подключается нормально, а в 7 выдает ошибку 0x800b0109, разобрался. Простой установкой сертификата про устанавливается куда надо. зайти в сертификаты локального компьютера и импортировать сертификат
Можно поподробнее, а то у меня тоже на 7-ке ошибка 800 ?
@@user-ssh-dima
Выберите "Запустить " в меню "Пуск " и введите mmc.
Появится MMC.
В меню "Файл" выберите "Добавить или удалить привязку".
Откроется окно "Добавление или удаление оснастки".
В списке доступных оснастки выберите "Сертификаты", а затем нажмите кнопку "Добавить".
найти доверенные серификаты и туда добавить
Обидно когда exchange server на 443 когда весит. Приходится айпи брать у провайдеров
А другой порт заюзать на SSTP религия не позволяет?
класс спасибо большое
RDP передает данные в зашифрованном виде с помощью TLS 1.2 трубы, по данному протоколу передают данные и клиент -банки, и кассы в торговых сетях, и яндекс почта в браузерах, защищаете рдп также сертификатом, никакого отличия в плане безопасности от VPN трубы поверх IPSEC нет. около сотни подобных серверов настраивал никого до сих пор не взломали. но требуется определенный тюнинг и защита со стороны роутера. и тогда вполне ок.
Всё это очень здорово и збс, до тех пор пока тебе не понадобится с 1 белого IP ломиться на 443 порт: 1) Exchange OWA 2) SSTP 3) Сайт компании 4) ....
Спасибо. Недавно пришлось настраивать, у сотрудника был Mac и он блокировал PPTP.
Здравствуйте! Настроил. В рабочую сеть попадаю, но при этом пропадает интернет на локальной машине. Подскажите, что поправить в настройке локальной машине.
У тебя в настройках сети у твоего соединения стоит крыжик "Использовать основной шлюз в удаленной сети". После коннекта по ВПН у тебя трафик в инет начинает идти на новый шлюз (сервер ВПН), так как теперь дефолтный маршрут указывает на него. Смотри route print маршрут 0.0.0.0/0 Варианта решения тут 2:
1. На удаленном микротике настроить маскарадинг (SCRNAT) из "сети впн" в интернет. Разрешить в файерволе трафику проходить из этой сети в интернет (или убедиться что данная сеть подпадает под уже существующее разрешающее правило). При этом, в интернет ты станешь ходить через сеть организации, к которой подключаешься. Надо тебе это или нет, решай сам. Это может быть как плохо (так как канал организации начинает забиваться , минимум, удвоенным трафиком -- сперва из локальной машины до организации, потом это же пойдет в интернет), так и хорошо, если политика организации такова, что необходимо контролировать весь трафик, который может проходить на подключенные к сети организации машины.
2. Отключить крыжик, тогда весь инет будет, как и прежде, сразу с твоей машины в мир, но тогда тебе нужно будет решать вопрос с маршрутизации в удаленную сеть организации, так как твой комп не будет знать куда слать пакеты, предназначенные ей. Возможное решение -- самостоятельно добавлять маршрут в таблицу. Делать это придется руками ПОСЛЕ подключения к ВПН, и перманентный маршрут прописать не получится. Точнее, запись сохранится, но после отключения/подключения к впн комп не будет обращать на нее внимание. Придется удалять эту запись и прописывать снова. Возможное решение -- добавлять запись скриптом из планировщика по событию установления подключения. Может есть и другое решение, я не знаю. Не забывай в удаленном микротике разрешить в файерволе прохождение трафика между локальной сетью и "сетью впн". Кстати, в первом случае это тоже необходимо сделать.
@@aleksbotler5358 по п2.: это где у нас постоянные маршруты-то не сохраняются вдруг?
@@immickful читай внимательнее. Запись о маршруте сохранится, но работать будет она до окончания подключения к удаленной сети. При последующих подключениях венда не будет обращать на неё внимания и связи до сети не будет, так как интерфейс другой. Придется удалить маршрут и создать его заново при подключенном впн.
@@aleksbotler5358 так а в чем проблема привязать маршрут к интерфейсу конкретному? Номер интерфейса же не рандомится каждый раз.
@@immickful проблема в том, что этот интерфейс каждый раз для системы разный.
В связи с чем на windows 7 vpn по sstp не работает? настроить в микротике sstp сервер - на 10 ке работает. на 7 нет. служба не стартует?
Присоединяюсь к вопросу, но похоже тут только задают вопросы, а не отвечают...
У меня XPшка тоже дома есть. Живее всех живых. Правда есть трудности с серфингом по Интернету, многие сайты уже забили на поддержку IE.
Спасибо за видео, вопрос не по теме, есть проблема с авторизацией пользователей по OVPN через AD, пишет в логах, что ошибка авторизации или сбрасывает соединение, при этом через l2tp/ipsec авторизовывает доменных пользователей нормально. Нужна какая-то дополнительная настройка на виндовом радиусе, не понимаю в чем проблема
может потому что ovpn не умеет udp
@@closdlockd хм, это вполне может быть правдой...
Как подключить по sstp mikritik к keneetic?
Смотря какой keneetic. Младшие модели keneetic не имеют sstp сервера. Если есть на борту sstp сервер, то хотя бы по паролю должен поддерживать sstp подключение.
@@MultiUser45 не подключается к кенетик 4G (у него есть сервер sstp), поясните пожалуйста как это сделать, какие настрой сделать надо? У меня сеть на микротике все работает, с Win 10 64x все хорошо подключается, а из микротика не хочет, в чем проблема может быть?
@mdmshrm как подключить?
@@MultiUser45 как подключить?
Почему не 7.0 beta?
Есть подозрение что там sstp поправили. В 6 данный тоннель это мучение, скорость в нем редко превышает 10 мегабит. Не берусь это утверждать на 100% но последний раз когда пробовал sstp в связке микротик-микротик это было именно так.
Тем которые использует Mozilla Firefox будет лаги, с Google Chrome лагов нету.
Познавательно. Роман, зачем gui в microtik его же воспринимать сложно?!
WG теперь работает)
Я из 2024 WG уже есть
По моему провайдер в России блочащий впн (л2тп, ипсек) - недостоин существовать.
Темы полезные и интересные. Вы большой молодец! Но есть слова паразиты, в частности "вот", "соответственно" и "непосредственно". Скорее всего Вы их используете как связующие для соединения нескольких мыслей. Но употребляете их слишком часто - раздражает. Только возможность услышать ценную информацию заставляет смотреть ролики до конца. Вместо "Ок" есть чудесное слово - "хорошо". Успехов Вам в этом не лёгком деле.
микротики заманчивы только своей ценой, за такие деньги фичасет впечатляет, ровно как и глючность, увы. Если бы эниконнект работал с микротами, цены бы им не было, а так мышиная возня кмк :)
Странно, что за столько лет съёмки видео у вас В КАЖДОМ видео технические шоколадки. То звук, то видео, то тырнет лагает.
Неужели вам сложно купить норм микрофон и сменить провайдера, раз этот не тащит. Эти косяки дискредитируют в вас специалиста
неужели реально на ЭТО есть свой зритель ??? Минут 10 потратил на на эти кривляния и гримасы а информации 0 !!!
много слов, вообще это как можно столько слов,тоесть воды налить...
Господину презрение и дизлайк за "Икспишку". Тогда были настоящие программисты, ща криворукие индусы.
Пиздец, ты ранимый.. Сразу предупреди, что еще может задеть тонкую душу поэта, чтоб Роману снова не облажаться