как поменять порт sstp на windows

Как устроен VPN через SSTP

Нашёл буквально несколько упоминаний о SSTP на Хабре, в связи с чем хочу рассказать про устройство этого протокола. Secure Socket Tunneling Protocol (SSTP) – протокол VPN от Microsoft, основанный на SSL и включённый в состав их ОС начиная с Windows 2008 и Windows Vista SP1. Соединение проходит с помощью HTTPS по 443 порту. Для шифрования используется SSL, для аутентификации — SSL и PPP. Подробнее про устройство — под катом.

Серверная часть протокола включена в ОС Windows Server 2008, 2008 R2, 2012, 2012 R2. Далее рассказывается про текущую (и, кажется, единственную) версию — 1.0.
В основном используется для подключения типа узел-узел или узел-сеть. По умолчанию для соединения используется 443 порт, но можно настроить и на другие порты.

Условная схема пакета с данными

Условно стек протоколов при передаче данных выглядит так (показаны только заголовки, относящиеся к VPN, без подлежащих уровней):

Структура собственно SSTP пакета:

Флаг C = 0 если пакет с данными, и C = 1, если пакет управляющий.

Немного слов об используемой криптографии

Порядок установления соединения

1. Клиентом устанавливается TCP соединение на 443-ий порт SSTP сервера.
2. Проходит установление SSL/TLS соединения поверх TCP соединения. Клиент проверяет сертификат сервера.
3. Проходит HTTPS приветствие.
4. Начинается установление SSTP соединения. Все SSTP пакеты идут внутри HTTPS. Клиент посылает запрос на установление соединения (Call Connect Request message). В этом сообщении передаётся номер протокола, который будет использоваться внутри SSTP; в текущей версии стандарта это всегда PPP.
5. Сервер проверяет запрос и, если всё ОК, отвечает на него подтверждением (Call Connect Acknowledge message), в котором сообщает 32-битное случайное число (ClientNonce), используемое в следующем ответе клиента для защиты от повторения, а так же список хэш-функций для подписи следующего ответа (SHA1 и/или SHA256).
6. Происходит PPP авторизация. Все пакеты PPP вложены в SSTP пакеты и, соответственно, зашифрованы SSL.
7. Клиент посылает Call Connected message, в которое включаются ClientNonce и Хэш сертификата сервера (ClientCertificateHash), полученного при установлении SSL соединения.
Это сообщение подписывается с помощью указанной сервером хэш-функции (точнее HMAC на её основе) и ключа, полученного в процессе PPP авторизации. Таким образом осуществляется cryptographic binding. Если для авторизации в PPP используется протокол, не поддерживающий генерацию ключей для MPPE (PAP или CHAP), то HMAC вычисляется с использованием ключа, равного нулю; т. е. фактически cryptographic binding не производится и описанная выше атака человек посередине возможна.
8. Сервер проверяет Call Connected message, на этом SSTP считается установленным.
9. Заканчивается установление параметров PPP.
Всё, соединение установлено. Дальше стороны обмениваются пакетами с данными.

Обрыв соединения

Что бы отличить простой канала от разрыва связи стороны «пингуют» друг друга. Если в течение 60 секунд обмена пакетами не было, посылается Echo Request (управляющий пакет протокола SSTP). Если в течение следующих 60 секунд нет ответа, соединение разрывается.

Завершение соединения

Завершение соединения происходит без особых нюансов, стороны обмениваются SSTP-сообщениями об окончании соединения и через несколько секунд рвут соединение.

Источник

Опыт использования L2TP/IPsec VPN показал, что при наличии внятной пошаговой инструкции по подключению, большинство пользователей способны без особых проблем настроить такое VPN-подключение самостоятельно. Но всё-таки всегда остаются индивидуумы, которые умудряются наделать ошибок даже в таких условиях, и поэтому мысль о необходимости упрощения процесса создания VPN-подключения всегда мелькала где-то на заднем фоне. К тому же в ряде ситуаций мы столкнулись с проблемой блокировки некоторых портов, необходимых для L2TP/IPsec VPN, обнаруженной на уровне интернет-провайдеров. Причём иногда дело доходило до абсурда, когда у одного и того-же интернет-провайдера трафик L2TP/IPsec в одном конце города транслировался беспрепятственно, а в другом конце города блокировался. Мы уже даже мысленно поделили для себя зоны разных интернет-провайдеров на сегменты, где L2TP/IPsec VPN будет работать без нареканий, и на зоны, где точно будут проблемы и нам потребуется подумать об альтернативных вариантах доступа к ресурсам локальной корпоративной сети. Помимо этого, были и случаи, когда командированные пользователи и «отпускники», удалённо пытающиеся подключиться через «гостиничный интернет», испытывали проблемы в силу всё тех же проблем с блокировкой нужных портов. Разумеется перед внедрением L2TP/IPsec VPN мы понимали все эти риски и в подавляющем большинстве проблемных ситуаций находилось какое-то обходное решение, но «осадочек» от каждой такой ситуации оставался неприятный.

Я начал вспоминать, почему же ранее мой выбор пал именно на L2TP/IPsec. Определяющих факторов было два – приемлемый уровень безопасности и поддержка более широкого круга клиентских ОС. Помню, что в то время меня заинтересовал протокол SSTP, но было пару факторов, которые заставили меня отстраниться от данной технологии. Во первых, на то время у нас было ещё достаточное количество клиентов на базе Microsoft Windows XP, а в этой ОС протокол SSTP, как известно, не поддерживается. Во вторых, у меня не было возможности использовать публичный сертификат с корпоративными доменными именами для защиты SSTP соединений, а заменять его на сертификат внутреннего выделенного ЦС не было желания, так как это влекло за собой проблемы связанные с распространением его корневого сертификата на интернет-клиентов и публикации списка отзыва сертификатов (Certificate Revocation List – CRL) в Интернет.

Но прошло время, клиентов с Windows XP стало на порядок меньше (усиление корпоративной политики ИБ и агрессивные рекламные компании Microsoft по обновлению ОС сделали своё дело), а у меня появилась возможность работы с публичным сертификатом. К тому же на глаза мне попалась информация о том, что на таких OC, как Linux и Apple Mac OS X, клиентское ПО для поддержки SSTP подключений уже давно вполне успешно эксплуатируется, несмотря на то, что в своё время этому протоколу пророчили «Win-изоляцию» в силу его проприетарности.

Таким образом, совершенно определённо, для нас настало время испытать на практике все преимущества SSTP, в частности возможность работы практически в любых условиях, везде, где только есть возможность использования стандартного Интернет-соединения по протоколу HTTPS (TCP 443). То есть при использовании SSTP, теоретически, у вас нигде не должно возникнуть проблем с VPN подключением, ни из дома (даже при условии использования всяких там NAT-ов и всевозможных кривых настроек местного сетевого оборудования интернет-провайдеров), ни в гостинице (даже при условии использования прокси), ни где быто ни было ещё. К тому же процедура настройки VPN-соединения с использованием SSTP на клиентской системе упрощается до безобразия и не подразумевает манипуляций с цифровыми сертификатами (при условии, что на стороне сервера используется публичный сертификат).

Основные требования к клиентам и их настройка

Если речь вести о клиентских системах на базе ОС Microsoft Windows, то нужно учесть, что SSTP работает на системах начиная с Windows Vista SP1 и более поздних. Для клиентских систем ниже Windows Vista SP1, в том числе и для ещё «живых мамонтов» в виде Windows XP, как и ранее, предполагается использование протокола L2TP/IPsec со всеми вытекающими обстоятельствами, о которых я говорил выше. От использования протокола PPTP, как уже давно скомпрометированного, предлагается отказаться вовсе. Ссылки на обновлённые инструкции по настройке SSTP соединения на клиентских ОС Windows можно найти в конце этой статьи.

Основные требования к VPN-серверу и его настройка

Серверную часть VPN-соединения в нашем случае будет представлять собой расширение к созданной ранее конфигурации VPN-сервера на базе Windows Server 2012 R2 с ролью Remote Access.

Требования к сертификату VPN-сервера

Обязательным требованием к получаемому сертификату является также то, что список отзыва сертификатов (CRL) указанный в сертификате обязательно должен быть доступен в Интернете, так как в самом начале создания SSTP соединения клиентский компьютер будет пытаться проверить не является ли предоставленный VPN-сервером сертификат отозванным. Не будет доступного CRL – не будет SSTP соединения.

Полученный сертификат устанавливается на VPN-сервере в хранилище сертификатов Local Computer\Personal и должен иметь привязку к закрытому ключу этого сертификата.

Настройка роли Remote Access

После того, как на VPN-сервере установлен сертификат, откроем оснастку Routing and Remote Access и в свойствах сервера VPN на вкладке Security выберем этот сертификат для SSTP в разделе SSL Certificate Binding

Изменение этой опции выведет предложение об автоматическом перезапуске служб RRAS. Соглашаемся с перезапуском служб.

Далее в разделе Ports добавим порты SSTP. В нашем примере под SSTP соединения отдаётся большая часть портов и небольшая часть портов выделяется для клиентов без поддержки SSTP, например Windows XP. Возможность же подключения по протоколу PPTP отключаем совсем.

После сделанных изменений проверим TCP прослушиватели (TCP Listener) работающие на нашем VPN-сервере. Среди них должен появиться прослушиватель для 443 порта, на который VPN-сервером будут приниматься клиентские подключения по протоколу SSTP:

Не забываем настроить брандмауэр, включив уже имеющееся после установки и настройки роли Remote Access правило Secure Socket Tunneling Protocol (SSTP-In)

Поимо этого можно отключить разрешающее правило для входящих PPTP-подключений на порт TCP 1723 (в конфигурации по умолчанию это правило называется «Routing and Remote Access (PPTP-In)«)

Так как наш VPN-сервер является членом NLB-кластера, нам потребуется дополнительно создать правило разрешающее балансировку порта TCP 443.

Сделанных настроек вполне достаточно для того чтоб наш VPN-сервер смог успешно принимать SSTP подключения.

Проверяем подключение VPN-клиента

На клиентской машине имеющей прямой доступ в интернет по 443 порту настраиваем проверочное VPN-соединение и выполняем подключение…

На стороне сервера при этом убеждаемся в том, что клиент использует один из свободных созданных нами ранее SSTP портов…

Инструкции для пользователей

Как уже отмечалось ранее, для пользователей выполняющих подключение к корпоративным VPN-серверам из Интернет необходимо разработать чёткие пошаговые инструкции. Мне удалось протестировать (и параллельно разработать пошаговые инструкции для пользователей) VPN-подключения в составе следующих операционных систем:

Источник

SSTP VPN: Все, что вы хотели бы знать,

SSTP является запатентованной технологией, первоначально разработанной Microsoft. Это означает безопасный протокол Оправа Tunneling и был впервые представлен в Microsoft Vista. Теперь вы можете легко подключиться к SSTP VPN на популярных версиях Windows (и Linux). Настройка SSTP VPN в Ubuntu для Windows, не слишком сложно, как хорошо. В этом руководстве, мы научим вас, как настроить SSTP VPN Mikrotik и сравнить его с другими популярными протоколами, а также.

Часть 1: Что такое SSTP VPN?

Secure Socket Tunneling Protocol является широко используемым протоколом туннелирования, который может быть использован для создания собственного VPN. Эта технология была разработана корпорацией Майкрософт и может быть развернута с маршрутизатором вашего выбора, как Mikrotik SSTP VPN.

В SSTP VPN Ubuntu для Windows, порт 443 используется как аутентификация происходит в конце клиента. После получения сертификата сервера, устанавливается соединение. HTTPS и SSTP пакеты, которые затем передаются от клиента, что приводит к переговорам PPP. После того, как IP-интерфейс назначается, сервер и клиент может легко передавать пакеты данных.

Часть 2: Как настроить VPN с SSTP?

Настройка SSTP VPN в Ubuntu или Windows, немного отличается от L2TP или PPTP. Несмотря на то, что технология является родной для Windows, вам нужно будет настроить MikroTik SSTP VPN. Вы можете использовать любой другой маршрутизатор, а также. Хотя, в этом уроке мы рассмотрели настройка SSTP VPN Mikrotik на ОС Windows 10. Процесс очень похож на других версиях Windows, и SSTP VPN Ubuntu тоже.

Шаг 1: Получение сертификата для проверки подлинности клиента

Как вы знаете, для того, чтобы настройки Mikrotik SSTP VPN, необходимо создать специальные сертификаты. Чтобы сделать это, выберите Система> Сертификаты и решили создать новый сертификат. Здесь вы можете указать имя DNS для настройки SSTP VPN. Кроме того, срок годности должен быть действителен в течение следующих 365 дней. Размер ключа должен быть 2048 бит.

После этого перейдите на вкладку Использование ключа и включить только CrL знак и ключ сертификата. подписать варианты.

Сохраните изменения, нажав на кнопку «Применить». Это позволит создать сертификат сервера для SSTP VPN Mikrotik тоже.

Шаг 2: Создание сертификата сервера

Таким же образом, вам необходимо создать сертификат для сервера, а также. Дайте ему соответствующее имя и установить размер ключа в 2048. Продолжительность может быть что угодно, от 0 до 3650.

Теперь перейдите на вкладку Использование ключа и убедитесь, что ни один из вариантов включен.

Просто нажмите на кнопку «Применить» и закройте окно.

Шаг 3: Подписать сертификат

Для того, чтобы продолжить, вы должны подписать сертификат самостоятельно. Просто откройте сертификат и нажмите на кнопку «Sign». Введите имя DNS или статический IP-адрес и выбрать для самостоятельного знака сертификата.

После подписания, вы не сможете вносить какие-либо изменения в сертификате.

Шаг 4: Подписать сертификат сервера

Таким же образом, вы можете подписать сертификат сервера, а также. Вам может понадобиться дополнительный секретный ключ, чтобы сделать его более безопасным.

Шаг 5: Включение сервера

Теперь вам нужно включить сервер SSTP VPN и создать секрет. Просто зайдите в опции PPP и включить сервер SSTP. Аутентификации должны быть только «mschap2». Кроме того, отключите опцию проверки сертификата клиента перед сохранением этих изменений.

Кроме того, создать новый PPP секрет. Введите имя пользователя, пароль и адрес локальной сети вашего маршрутизатора Mikrotik. Кроме того, вы можете указать IP-адрес удаленного клиента здесь.

Шаг 6: Экспорт сертификата

Теперь нам нужно экспортировать сертификат проверки подлинности клиента. Заблаговременно, убедитесь, что порт 443 открыт.

Просто запустите интерфейс вашего маршрутизатора один больше времени. Выберите сертификат ЦС и нажмите на кнопку «Экспорт». Установите сильный Экспорт Passphrase.

Большой! Мы почти на месте. Перейти к интерфейсу маршрутизатора и скопировать и вставить сертификат ЦС на диске Windows.

После этого вы можете запустить мастер для импорта нового сертификата. Выберите локальную машину в качестве источника.

Здесь вы можете просмотреть сертификат, который вы создали. Вы также можете запустить «certlm.msc» и установить сертификат там.

Шаг 7: Создание SSTP VPN

В конце концов, вы можете перейти в Панель управления> Сеть и настройки и выбрать для создания нового VPN. Введите имя сервера и убедитесь, что тип VPN указан как SSTP.

После того, как SSTP VPN будет создан, вы можете перейти к интерфейсу Mikrotik. Здесь вы можете просмотреть MikroTik SSTP VPN, который был добавлен. Теперь вы можете подключиться к этому SSTP VPN Mikrotik в любое время.

Часть 3: SSTP против PPTP

Как вы знаете, SSTP довольно сильно отличается от PPTP. Например, PPTP доступен практически для всех ведущих платформ (включая Android и IOS). С другой стороны, SSTP является родным для Windows.

PPTP также быстрый протокол туннелирования по сравнению с SSTP. Хотя, SSTP является более безопасным вариантом. Поскольку он основан на порт, который никогда не блокируется межсетевыми экранами, он может легко обойти систему безопасности NAT и межсетевые экраны. То же самое не может быть применен к PPTP.

Если вы ищете протокол VPN для ваших личных потребностей, то вы можете пойти с PPTP. Оно не может быть столь же безопасным, как SSTP, но это довольно легко установить. Есть также свободно доступные сервера PPTP VPN.

Часть 4: SSTP против OpenVPN

В то время как SSTP и PPTP совершенно разные, OpenVPN и SSTP имеют много общих черт. Основное различие заключается в том, что SSTP принадлежит Microsoft и в основном работает на системах Windows. С другой стороны, OpenVPN является технология с открытым исходным кодом и работает почти на всех основных платформах (включая настольные и мобильные системы).

SSTP может обойти все виды межсетевых экранов, в том числе тех, которые блокируют OpenVPN. Вы можете легко настроить службу OpenVPN с применением шифрования по вашему выбору. И, OpenVPN и SSTP вполне безопасно. Хотя, вы можете настроить OpenVPN в соответствии с изменением в вашей сети, которые не могут быть легко достигнуты в SSTP.

Кроме того, OpenVPN может туннель UDP и сети, а также. Для настройки OpenVPN, вам потребуется программное обеспечение сторонних разработчиков при настройке SSTP VPN на Windows, проще.

Теперь, когда вы знаете основы SSTP VPN и как настроить Mikrotik SSTP VPN, вы можете легко удовлетворить ваши требования. Просто перейдите по протоколу VPN по вашему выбору и обязательно иметь безопасный опыт просмотра.

Источник

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

Настройка SSTP VPN-сервера на роутерах Mikrotik

SSTP, как технологию удаленного доступа следует рассматривать в первую очередь для тех клиентов, которые могут работать из самых различных мест и должны всегда иметь возможность быстро подключиться к корпоративной сети соблюдая высокие требования безопасности. К недостаткам следует отнести повышенные накладные расходы и связанную с этим невысокую производительность, но это общий недостаток всех VPN-протоколов поверх TCP.

Создание центра сертификации и выпуск сертификатов

Так как SSTP использует HTTPS для установления защищенного соединения нам понадобится сертификат сервера, поэтому создадим собственный центр сертификации (CA) и выпустим необходимый сертификат. Если в вашей сети уже имеется развернутая инфраструктура PKI, то можете выпустить сертификат с ее помощью, мы же рассмотрим использование для этих целей собственных возможностей RouterOS.

Перед тем, как приступить к созданию центра сертификации убедитесь, что на роутере правильно настроено текущее время и часовой пояс, а также включена синхронизация времени через NTP.

Перейдем на вкладку Key Usage и оставим только crl sign и key cert. sign, затем сохраним сертификат нажав Apply, и подпишем его кнопкой Sign, в открывшемся окне следует указать CA CRL Host, для которого можно использовать один из IP-адресов роутера, в нашем случае это localhost. Если же при помощи данного CA вы собираетесь выпускать сертификаты для других серверов, то следует указать доступный для них адрес, внутренний или внешний.

В терминале все это можно быстро сделать командами:

Затем выпустим сертификат сервера. При этом надо определиться каким образом вы будете подключаться к серверу по IP-адресу или FQDN (доменному имени), второй вариант более предпочтителен, так как при смене адреса вам придется перевыпустить сертификат сервера и изменить настройки всех клиентских подключений.

На закладке Key Usage устанавливаем digital-signature, key-encipherment и tls-server и подписываем сертификат сервера, для этого в поле CA выберите ранее выпущенный корневой сертификат.

В терминале:

При подключении через SSTP клиент прежде всего устанавливает с сервером защищенное соединения, а для этого ему нужно проверить сертификат и убедиться в его подлинности, в противном случае продолжение соединения будет невозможным. Чтобы клиентские системы доверяли нашим сертификатам нам нужно будет установить на них корневой сертификат нашего CA.

В терминале сертификат можно экспортировать командой:

Найти и скачать выгруженный сертификат можно в разделе Files.

Настройка SSTP VPN-сервера

Перед тем как браться за настройку сервера следует определиться со схемой доступа к сети, существуют два основных варианта: Proxy ARP, когда адреса удаленным клиентам выдаются из диапазона основной сети и они получают доступ без дополнительных настроек, и маршрутизация, когда диапазон адресов для VPN-клиентов не пересекается с основной сетью, а для доступа в нее будет необходимо указать маршруты, этот процесс можно автоматизировать с помощью PowerShell.

В терминале:

Или выполним команду:

Эти же действия в командной строке:

В терминале для включения и настройки сервера выполните:

На этом настройка закончена, сервер готов принимать подключения.

Настройка подключения клиента в Windows

После чего в свойствах подключения на закладке Безопасность убедимся, что в разделе Проверка подлинности указан только протокол MS-CHAP v2.

Настройка клиента закончена, можно подключаться.

Настройка подключения клиента в Linux

В используемых нами дистрибутивах Linux нет штатного SSTP-клиента, однако есть сторонняя разработка, которой мы и воспользуемся. Все нижесказанное будет справедливо для дистрибутивов основанных на Debian и Ubuntu, если у вас иная система обратитесь на страницу проекта.

Проще всего владельцам Ubuntu, им достаточно просто подключить PPA, ниже приведен пример для Ubuntu 18.04, для других систем просто измените кодовое название дистрибутива:

В Debian процесс немного более сложный, сначала получим и установим ключ репозитория проекта:

Затем создадим файл с указанием источников пакетов:

И внесем в него следующие строки:

Обновим список пакетов и установим клиент:

После чего появится возможность создать SSTP-соединение штатными средствами Network Manager. Настройки несложные: указываем адрес сервера, учетные данные и сертификат CA, у которого предварительно следует изменить расширение на PEM.

Если вы все сделали правильно, то соединение будет установлено.

Дополнительные материалы:

Mikrotik

The Dude

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Источник