SSTP для доступа удаленных сотрудников

Роман, большое тебе спасибо за твои видео!
По ним всегда всё без проблем получается!
Всё понятно.

ne_fakechestno

Нет аппаратной разгрузки шифрования SSTP. Почему нет, если есть аппаратные блоки AES в процессоре? Например 750 версии 3. В L2TP/IPSec использует аппаратную разгрузку, а в SSTP не будет? Эт как так?


UPD. Сам спросил сам ответил. Действительно, скорость передачи данных существенно ниже, а нагрузка (при той же скорости) больше. Была произведена оценка и сравнение:
sstp, l2tp/IPsec (тоже aes) Rb750Gr3. После установления связи SMB копировался большой файл (iso обаз).
SSTP устоявшаяся средняя скорость 2, 04 MB/s, CPU 17-60% среднюю можно оценить как 38%
L2TP/IPSec устоявшаяся средняя скорость 9, 01MB/s (очевидно, упирается в скорость канала к провайдеру), CPU 27-35% среднюю можно оценить как 31%. При этом, во втором случае нагрузка более равномерна и мало отклоняется от средней.

aleksbotler

Благодарю за обзор интересной для меня темы. Это полезно. И в то же время, а можно ли было бы перед выкладкой вебинара в ю-туб вырезать те эпизоды, где разговор отвлекается от рассмотрения темы, и где всякие технические неполадкки устраняются. Оно реально замахивает.

КонстантинТарасенков-фс

Как не странно, в этом Вебинаре самый лучший звук

jeyreno

Спасибо огромное. Теперь в Арсенале ВПН на SSTP. Всё PPTP рвётся каждые 10 минут самопроизвольно и на 10ке как то криво соединяется, думаю на SSTP такого не будет.

lefrenchle

Всё это очень здорово и збс, до тех пор пока тебе не понадобится с 1 белого IP ломиться на 443 порт: 1) Exchange OWA 2) SSTP 3) Сайт компании 4) ....

EGORGENREEDS

Настроено соединение клиента с офисной подсетью через SSTP. А как днс имена разрешить при подключении?

ПетрВалерьяныч-вь

Не получается... на клиенте пишет CN имя сертификата не совпадает с полученным значением

SkyMagister

RDP передает данные в зашифрованном виде с помощью TLS 1.2 трубы, по данному протоколу передают данные и клиент -банки, и кассы в торговых сетях, и яндекс почта в браузерах, защищаете рдп также сертификатом, никакого отличия в плане безопасности от VPN трубы поверх IPSEC нет. около сотни подобных серверов настраивал никого до сих пор не взломали. но требуется определенный тюнинг и защита со стороны роутера. и тогда вполне ок.

Евгений-хэс

Приветствую!стал обладателем микротик RB952UI настроил интернет, wi-fi.Вопрос такой - имеется принтер canon с wi-fi (к сети подключил по wi-fi), c телефона и ноутбука могу распечатать через wi-fi, а с компьютера подключенного сетевым кабелем к роутеру не видит принтер, подключаю сетевой кабель который идет к телевизору - компьютер видит принтер и можно печатать (до этого стоял роутер zyhel - соединялся по wi-fi ), что блокирует микротик ???куда копать

garage

Ноутбук через 4G модем по сотовой сети подключается к впн серверу на микротике в сети ростелекома. Впн по протоколу РРТР. Между нотбуком и впн сервером, через оператора сотовой связи идёт двойной трафик, например, если скачивать файл размером 10 мегабайт, то объём трафика будет 20 мегабайт. Вопрос - для РРТР это нормально, генерировать двойной трафик? Или это плохо настроен впн РРТР?

serg

фильтр на пользователей PPP для ограничения офисного интернета не работает. Кто -то может тему поподробнее осветить?

ocatex

Вообще, я считаю, необходимо развивать подключения ВПН прежде всего на основе TLS или DTLS, и именно так, как браузер работает по HTTPS. GRE и IKE достаточно часто блочатся провайдерами, время от времени встречается ситуация, когда от какого-то провайдера не удается подключитьcя по L2TP/IPSec. Из сетей сотовых операторов это вообще приключения. А с учетом нарастающей паранойи у властей, в любой момент может заблочить все, отличное от HTTPS, тот же OpenVPN. Посему современный актуальный ВПН должен быть неотличим от HTTPS. Лучше всего, и при поведенченском анализе. SSTP, наверное, мог бы претендовать на роль такого коннекта.

aleksbotler

В случае истечения срока, можно ли продлить срок действия сертификата?
Возможно ли поднять sstp сервер без использования сертификата? Такая функция вроде бы есть, но она для удаленных сотрудников почему-то не работает

kurt

ИКЕвэ2. Долго думал, что это пок не дошло, что айк второй версии. "Лучше, но настройка L2TP с IPSecом проще". Что-то намешано, по моему. При использовании L2TP с IPSecом будет задействован IKE

aleksbotler

Роман, спасибо за очередное отличное видео, есть вопрос как раз про маки, IKEv2 по сертам никаким способом не хочет цепляться к VPN, не видит хоста серта, проблема известная, по шарному ключу запросто, есть хоть какое то вменяемое решение, чтобы Яблочная техника цеплялась по серту на IKEv2? Спасибо!

AlexPebodyGM

У меня на Микротике поднят l2tp сервер + pptp сервис. Подключаюсь с компа и с телефона через VPN(l2tp+pptp) к микротику, проблем нет. Но вот непонятная штука, микротик ровно через 10 минут рвёт связь. Переподключась в ручную, и опять через 10 минут кидает связь :))) Укажите пожалуйста путь, куда копать. Танцы с бубном не помогли. Благодаря новому видео, попробую организовать подключение через SSTP.

lefrenchle

Невозможно подключиться по SSTP так как микротик не поддерживает TLS SNA, как это решить?

kirillkislitsyn

После настройки при включении SSTP сервера получаю сообщение "Couldn't change SST Server - can't bind, check if port is not used by another service! (6)".
Не могу понять, что может мешать. Есть только srcnat, allow input и forward established related.
Нашёл! IP -> Services -> www-ssl

agl-serg

36:45 -- Проблема с самоподписными сертификатами и использование сертификатов из Центров.

aleksbotler