Перейти к содержанию

Настройка SSTP на MikroTik для объединения офисов с аутентификацией с помощью пароля

Материал из MikroTik Wiki

Введение

Статья содержит пошаговое руководство по настройке протокола SSTP на MikroTik для объединения двух офисов (site-to-site VPN). Информация актуальна для RouterOS v7.21, последняя проверка актуальности была в январе 2026. Также описана настройка маршрутизации и брандмауэра, приведены типичные проблемы и способы проверки полученных результатов. Все операции демонстрируются как через графический интерфейс WinBox 3 и WinBox 4, так и через командную строку (CLI).

Протокол SSTP работает по клиент-серверной модели, т.е. один маршрутизатор должен быть SSTP-сервером, принимающим подключения, а второй – SSTP-клиентом, инициирующим подключения. Для возможности установления соединения через Интернет внешний интерфейс маршрутизатора, на котором будет настроен SSTP-сервер, должен иметь маршрутизируемый в Интернете (публичный, «белый») IP-адрес. Если такие адреса есть на обоих маршрутизаторах, то чаще всего SSTP-сервер располагают в головном офисе. Если же такой IP-адрес есть только в одном из офисов, то SSTP-сервер располагают именно в нем.

Рисунок 1. Схема сети

Схема сети при настройке на оборудовании MikroTik объединения офисов с помощью SSTP


Параметр маршрутизатора Офис 1 Офис 2
Имя R1 R2
Тип VPN-интерфейса SSTP-сервер SSTP-клиент
Адрес VPN-интерфейса 172.16.1.1/32 172.16.1.2/32
Адрес внешнего (WAN) интерфейса 100.64.111.1/24 100.64.222.1/24
Адрес внутреннего (LAN) интерфейса 10.11.11.1/24 10.22.22.1/24
Адрес внутренней (LAN) сети 10.11.11.0/24 10.22.22.0/24
Онлайн-курс по MikroTik от автора этой статьи
Получите бесплатные уроки из онлайн-курса "Администрирование сетевых устройств MikroTik".
Актуальность уроков: RouterOS 7.21.


Настройка SSTP-соединения

Настройка SSTP-сервера

Общее описание

SSTP-сервер расположен на маршрутизаторе R1. Для его настройки необходимо выполнить следующие действия:

Включить SSTP-сервер. Аутентификация (проверка подлинности учетных данных клиента) выполняется силами протокола SSTP. Необходимо применять только аутентификацию MS-CHAPv2 как наиболее безопасную.

Создать учетную запись. Чтобы упростить работу с учетными записями в будущем, рекомендуется использовать названия, которые сразу будут указывать на конкретный офис (например, «office-samara» или «office-novosibirsk») вместо абстрактных «office-1», «office-2» и т. д. Это позволит избежать путаницы при большом количестве подобных записей.

Создать статическую запись SSTP-сервера. Наличие такой записи не является обязательным, т.к. и без нее необходимый виртуальный интерфейс будет создаваться динамически при каждом новом подключении. Однако, что динамический интерфейс исчезнет после разрыва соединения и, даже если после восстановления соединения заново появится с тем же самым именем, то уже не отобразится в правилах, в которых ранее мог быть использован. Таким образом это может нарушить работу правил Firewall, Mangle, NAT и других блоков. А при наличии статической записи SSTP-сервера такой проблемы не возникает.

Настройка через графический интерфейс

Рисунок 2. Настройка на R1 SSTP-сервера

Настройка на R1 SSTP-сервера


Рисунок 3. Настройка на R1 SSTP-сервера

Настройка на R1 SSTP-сервера


Рисунок 4. Создание на R1 учетной записи на SSTP-сервере

Создание на R1 учетной записи на SSTP-сервере


Рисунок 5. Создание на R1 учетной записи на SSTP-сервере

Создание на R1 учетной записи на SSTP-сервере


Рисунок 6. Создание на R1 статического интерфейса на SSTP-сервере

Создание на R1 статического интерфейса на SSTP-сервере


Рисунок 7. Создание на R1 статического интерфейса на SSTP-сервере

Создание на R1 статического интерфейса на SSTP-сервере

Настройка через командную строку

/interface/sstp-server/server
set authentication=mschap2 enabled=yes

/ppp/secret
add local-address=172.16.1.1 name=office-2 password=office-2_password profile=default-encryption remote-address=172.16.1.2 service=sstp

/interface/sstp-server
add name="SSTP Server for office-2" user=office-2

Настройка SSTP-клиента

Общее описание

SSTP-клиент расположен на маршрутизаторе R2. Для его настройки необходимо выполнить одно действие:

Создать SSTP-интерфейс. На этом этапе необязательно настраивать аутентификацию только с помощью MSCHAPv2, т.к. сервер все равно будет разрешать подключения только с этим способом аутентификации.

Настройка через графический интерфейс

Рисунок 8-1. Настройка на R2 SSTP-клиента

Настройка на R2 SSTP-клиента


Рисунок 8-2. Настройка на R2 SSTP-клиента

Настройка на R2 SSTP-клиента


Рисунок 9-1. Настройка на R2 SSTP-клиента

Настройка на R2 SSTP-клиента


Рисунок 9-2. Настройка на R2 SSTP-клиента

Настройка на R2 SSTP-клиентаx

Настройка через командную строку

/interface sstp-client
add connect-to=100.64.111.1 disabled=no name="SSTP office-1 connection" profile=default-encryption user=office-2 password=office-2_password


Проверка SSTP-соединения

Общее описание

И на SSTP-сервере, и на SSTP-клиенте при успешном установлении соединения рядом с интерфейсом должен появиться флаг «R», что значит running, т. е. «запущено».

Telegram
Секреты настройки MikroTik
Более 17.000 подписчиков самого большого telegram-канала «MikroTik-сэнсэй» первыми узнают секреты настройки MikroTik от автора этой статьи.

Подписаться на «MikroTik‑сэнсэй»

Проверка на SSTP-сервере

Проверка через графический интерфейс

Рисунок 10. Проверка на R1 работоспособности туннеля на SSTP-сервере

Проверка на R1 работоспособности туннеля на SSTP-сервере


Рисунок 11. Проверка на R1 работоспособности туннеля на SSTP-сервере

Проверка на R1 работоспособности туннеля на SSTP-сервере


Проверка через командную строку

В результате выполнения команды 

/interface/sstp-server print

должен появиться следующий результат: 

[admin@R1] > /interface/sstp-server print
Flags: R - RUNNING
Columns: NAME, USER, MTU, CLIENT-ADDRESS, UPTIME, ENCODING
#   NAME                      USER       MTU  CLIENT-ADDRESS  UPTIME  ENCODING  
0 R SSTP Server for office-2  office-2  1500  100.64.222.1    1m45s   AES256-CBC

Проверка на SSTP-клиенте

Проверка через графический интерфейс

Рисунок 12. Проверка на R2 работоспособности туннеля на SSTP-клиенте

Проверка на R2 работоспособности туннеля на SSTP-клиенте


Рисунок 13. Проверка на R2 работоспособности туннеля на SSTP-клиенте

Проверка на R2 работоспособности туннеля на SSTP-клиенте


Проверка через командную строку

В результате выполнения команды 

/interface/sstp-client print

должен появиться следующий результат: 

[admin@R2] > /interface/sstp-client print
Flags: X - disabled; R - running; H - hw-crypto 
 0  R  name="SSTP office-1 connection" max-mtu=1500 max-mru=1500 mrru=disabled 
       connect-to=100.64.111.1 port=443 http-proxy=:: proxy-port=443 
       certificate=none verify-server-certificate=no 
       verify-server-address-from-certificate=yes user="office-2" 
       password="office-2_password" profile=default-encryption 
       keepalive-timeout=60 add-default-route=no dial-on-demand=no 
       authentication=pap,chap,mschap1,mschap2 pfs=no tls-version=any 
       ciphers=aes256-sha add-sni=no


Настройка маршрутизации

Для передачи данных между двумя сетями недостаточно наличия VPN-соединения. Чтобы она стала возможной, на каждом устройстве нужно добавить маршрут к внутренней сети другого офиса через IP-адрес VPN-интерфейса противоположного маршрутизатора. Для этого необходимо:

  • на маршрутизаторе R1 создать маршрут до внутренней сети офиса 2 (10.22.22.0/24) через VPN-интерфейс маршрутизатора R2 (172.16.1.2);
  • на маршрутизаторе R2 создать маршрут до внутренней сети офиса 1 (10.11.11.0/24) через VPN-интерфейс маршрутизатора R1 (172.16.1.1).

Для такой настройки понадобятся два параметра:

  • Dst. Address (dst-address), в котором нужно указать IP-адрес удаленной сети;
  • Gateway (gateway), в котором нужно указать IP-адрес VPN-интерфейса противоположного маршрутизатора.

Маршрут к внутренней сети другого офиса в некоторых случаях можно настраивать не через IP-адрес VPN-интерфейса противоположной стороны, а через интерфейс, из которого будут исходить пакеты. Но такую возможность следует использовать только в некоторых случаях, и ее надо использовать с пониманием, зачем это делается.

Настройка маршрутизации на маршрутизаторе R1 (офис 1)

Настройка через графический интерфейс

Рисунок 14. Настройка на R1 маршрутизации

Настройка на R1 маршрутизации


Рисунок 15. Настройка на R1 маршрутизации

Настройка на R1 маршрутизации


Настройка через командную строку

/ip/route
add dst-address=10.22.22.0/24 gateway=172.16.1.2

Настройка маршрутизации на маршрутизаторе R2 (офис 2)

Настройка через графический интерфейс

Рисунок 16. Настройка на R2 маршрутизации

Настройка на R2 маршрутизации


Рисунок 17. Настройка на R2 маршрутизации

Настройка на R2 маршрутизации


Настройка через командную строку

/ip/route
add dst-address=10.11.11.0/24 gateway=172.16.1.1

Проверка маршрутизации

Проверка в головном офисе и в филиале

Если маршрутизация была правильно настроена, то данные между двумя сетями должны начать передаваться. Чтобы проверить корректность настройки, можно выполнить команду ping с компьютера в одной сети до компьютера в другой сети. Но здесь возможны нюансы. Некоторые антивирусы блокируют ICMP-запросы, и поэтому ping'и могут не проходить. Более того, некоторые антивирусы, например антивирус Касперского, умеют блокировать ICMP-запросы из других сетей и при этом не блокировать такие же запросы из своей сети. Поэтому если ping'и с компьютера на компьютер не проходят, то рекомендуется проверить прохождение ICMP-запросов с компьютера в локальной сети до внутреннего интерфейса маршрутизатора в другой сети. Для этого необходимо:

  • при проверке из офиса 1 запустить ping до IP-адреса 10.22.22.1;
  • при проверке из офиса 2 запустить ping до IP-адреса 10.11.11.1.

Если такие ping'и проходят, то с вероятностью 100 % VPN-соединение и маршрутизация с обеих сторон настроены корректно и с вероятностью 99 % проблему нужно искать не на маршрутизаторах. При этом существует 1-процентная вероятность того, что причиной невозможности передачи данных являются какие-то другие неверные настройки.

Потенциальные проблемы при маршрутизации

Если маршрутизация между двумя маршрутизаторами MikroTik не выполняется, необходимо проверить следующее:

  • Настройки маршрутизации на обоих маршрутизаторах.
  • Настройки брандмауэра на компьютере, который пингуется. Для надежности можно временно отключить встроенный брандмауэр и антивирус, чтобы исключить их влияние на ICMP-запросы.

Распространенной ошибкой является использование технологии NAT для данных, маршрутизируемых между удаленными сетями. Это действительно может потребоваться, но только в некоторых частных случаях. Например, если нет возможности внести изменения в таблицу маршрутизации на одном из маршрутизаторов. Если же такая возможность есть, но при этом данные начинают маршрутизироваться только при использовании NAT, то с вероятностью 99 % имеется ошибка в настройках маршрутизации.

Онлайн-курс по MikroTik от автора этой статьи
Получите бесплатные уроки из онлайн-курса "Администрирование сетевых устройств MikroTik".
Актуальность уроков: RouterOS 7.21.


Причины низкой скорости

Если скорость передачи данных между офисами значительно ниже скорости самого медленного интернет-канала, то необходимо проверить следующее:

  • Хватает ли ресурсов процессора.
  • Нет ли проблем с MTU. Проблема чаще всего наблюдается при использовании множества вложенных туннелей. Например, если SSTP-туннель передается через PPPoE-туннель от интернет-провайдера.

Полезные ссылки

Онлайн-курсы по MikroTik

Онлайн-курсы по сетям

Telegram-каналы

Telegram-чат

Прочее


Источник — https://mikrotik.wiki/w/index.php?title=Настройка_SSTP_на_MikroTik_для_объединения_офисов_с_аутентификацией_с_помощью_пароля&oldid=22231
Мы собираем файлы куки для анализа пользовательской активности и улучшения качества сайта с помощью сервиса Я.Метрика. Продолжая использовать сайт, вы с этим соглашаетесь.