SOKOLÍK.CZ

 Konfigurace SSTP VPN

Jak nakonfigurovat SSTP VPN na Windows.

RRAS konfigurace

• Na serveru je třeba nainstalovat RRAS (Routing and Remote Access) - ve Windows 2008 Serveru se jedná o Roli Network Policy and Access Service.
• Nakonfigurovat jako VPN server.
• Následně je třeba v RRASu ve Vlastnostech serveru na Záložce Security vybrat Certifikát
• Chceme-li poslouchat na jiném portu než 443, nastavíme port v registrech:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\ListenerPort=[Port]

Ostatní nastavení v registry najdete v KB947054.

Získání důvěryhodného certifikátu

Možnosti jsou dvě - bůď požádat o certifikát zdarma na StartCom a nebo nainstalovat Certifikační autoritu, v IIS požádat o certifikát (IIS -> server -> Server Certificates -> Create Domain Certificate) a ten pak nahrát na RRAS server do Osobních certifikátů počítače (pokud není IIS na stejném serveru.)

Rozchození SSTP VPN na klientovi

• Defaultní Windows client podporuje SSTP pouze od Windows Vista a novější.
• Přidat VPN, ip_adresa[:port] a nastavit v Zabezpečení Typ sítě na Protokol SSTP.
• Aby fungovala VPN, musí být certifikát na serveru důvěryhodný. Při vlastní certifikační autoritě je třeba vyexportovat certifikát certifikační autority a naimportovat jej do Důvěryhodných kořenových certifikátů počítače na klientovi. Tím se stane certifikát důvěryhodný.
• Dalším krokem k tomu, aby byl certifikát důvěryhodný je, že musí být vypublikovaný CRL (Certification Revocation List). Pokud nechcete kontrolovat CRL, lze to na klientovy vypnout v registry:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\NoCertRevocationCheck=1

Ostatní nastavení v registry najdete v KB947054.

| Sdílet

Komentáře čtenářů

Chcete-li ke komentáři přidat svou fotku nebo jinou ikonku, postupujte podle návodu.