Рубрики
Mikrotik

Mikrotik Windows SSTP туннель

Генерируем сертификаты(создавал opensslна debian7):

0. cd /etc/ssl

1. Генерируем ключ с кодовой фразой (позже мы её уберем). Имя ключа произвольное, в примере «cr».
openssl genrsa -des3 -out cr.key 4096

2. Формируем CSR запрос (важный момент)
Используем наш ключ из шага 1 и кодовую фразу.
Обратите внимание, что CN запись должна соответствовать IP адресу SSTP сервера.
openssl req -new -key cr.key -out cr.csr
вот так отвечал. 1.2.3.4 мой адрес
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:1.2.3.4
Locality Name (eg, city) []:1.2.3.4
Organization Name (eg, company) [Internet Widgits Pty Ltd]:1.2.3.4
Organizational Unit Name (eg, section) []:1.2.3.4
Common Name (e.g. server FQDN or YOUR name) []:1.2.3.4
Email Address []:mail@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: ничего не вводил
An optional company name []: ничего не вводил

3. Убираем кодовую фразу из ключа
cp cr.key cr-secret.key 
openssl rsa -in cr-secret.key -out cr.key

4. Генерируем  сертификат
openssl x509 -req -days 3650 -in cr.csr -signkey cr.key -out cr.crt

Импортируем сертификат в Mikrotik

0. копируем файлы cr.crt cr.key на микротик
1. заходим в консоль на микротик 
certificate import file=cr.crt
certificate> import file=cr.key
2. включаем SSTP сервер
interface sstp-server server
set authentication=pap,chap,mschap1,mschap2 certificate=cert1 \
default-profile=default enabled=yes keepalive-timeout=60 max-mru=1500 \
max-mtu=1500 mrru=disabled port=443 verify-client-certificate=no

Импортируем сертификат на клиенте

0.Для импорта необходимо от административной учетной записи открыть certmgr.msc. 
Далее Вид > Параметры … и установить флаг «Также показывать физические хранилища».
1.Затем, заходим в Доверенные корневые центры сертификации > Локальный компьютер и делаем в него Импорт нашего сертификата cr.crt.
2.При создании VPN в параметрах безопасности выбираете SSTP.