Настройка SSTP с аутентификацией с помощью пароля для объединения офисов

Введение

В статье поэтапно описана настройка маршрутизаторов MikroTik для объединения двух офисов (двух сетей) с помощью протокола SSTP. С помощью этого соединения можно будет передавать данные между офисами через защищенный канал связи (VPN-туннель), а не через Интернет. Кроме того, здесь описана настройка маршрутизации и брандмауэра, а также типичные проблемы, с которыми можно столкнуться при этом процессе, и способы проверки полученных результатов. Настройка описывается на примере графического интерфейса  (GUI) утилит WinBox 3 и WinBox 4, а также на примере интерфейса командной строки (CLI).

Протокол SSTP работает по клиент-серверной модели, т.е. один маршрутизатор должен быть SSTP-сервером, принимающим подключения, а второй – SSTP-клиентом, инициирующим подключения. Для возможности установления соединения через Интернет внешний интерфейс маршрутизатора, на котором будет настроен SSTP-сервер, должен иметь маршрутизируемый в Интернете (публичный, «белый») IP-адрес. Если такие адреса есть на обоих маршрутизаторах, то чаще всего SSTP-сервер располагают в головном офисе. Если же такой IP-адрес есть только в одном из офисов, то SSTP-сервер располагают именно в нем.

Углубленный курс «Администрирование сетевых устройств MikroTik»
Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA.

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

На Telegram-канале Mikrotik-сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь

ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315

Настройка SSTP-соединения

Настройка SSTP-сервера

Общее описание

SSTP-сервер расположен на маршрутизаторе R1. Для его настройки необходимо выполнить следующие действия:

Включить SSTP-сервер. Аутентификация (проверка подлинности учетных данных клиента) выполняется силами протокола SSTP. Необходимо применять только аутентификацию MS-CHAPv2 как наиболее безопасную.

Создать учетную запись. Чтобы упростить работу с учетными записями в будущем, рекомендуется использовать названия, которые сразу будут указывать на конкретный офис (например, «office-samara» или «office-novosibirsk») вместо абстрактных «office-1», «office-2» и т. д. Это позволит избежать путаницы при большом количестве подобных записей.

Создать статическую запись SSTP-сервера. Наличие такой записи не является обязательным, т.к. и без нее необходимый виртуальный интерфейс будет создаваться динамически при каждом новом подключении. Однако, что динамический интерфейс исчезнет после разрыва соединения и, даже если после восстановления соединения заново появится с тем же самым именем, то уже не отобразится в правилах, в которых ранее мог быть использован. Таким образом это может нарушить работу правил Firewall, Mangle, NAT и других блоков. А при наличии статической записи SSTP-сервера такой проблемы не возникает.

Настройка через графический интерфейс

Настройка через командную строку

/interface/sstp-server/server
set authentication=mschap2 enabled=yes

/ppp/secret
add local-address=172.16.1.1 name=office-2 password=office-2_password profile=default-encryption remote-address=172.16.1.2 service=sstp

/interface/sstp-server
add name="SSTP Server for office-2" user=office-2

Настройка SSTP-клиента

Общее описание

SSTP-клиент расположен на маршрутизаторе R2. Для его настройки необходимо выполнить одно действие:

Создать SSTP-интерфейс. На этом этапе необязательно настраивать аутентификацию только с помощью MSCHAPv2, т.к. сервер все равно будет разрешать подключения только с этим способом аутентификации.

Настройка через графический интерфейс

Настройка через командную строку

/interface sstp-client

add connect-to=100.64.111.1 disabled=no name="SSTP office-1 connection" profile=default-encryption user=office-2

Чек-лист по настройке MikroTik
Проверьте свою конфигурацию по 28-ми пунктам. Подходит для RouterOS v6 и v7. Дата публикации: июнь 2025.

Проверка SSTP-соединения

Общее описание

И на SSTP-сервере, и на SSTP-клиенте при успешном установлении соединения рядом с интерфейсом должен появиться флаг «R», что значит running, т. е. «запущено».

Проверка на SSTP-сервере

Проверка через графический интерфейс

Проверка через командную строку

В результате выполнения команды

/interface/sstp-server print

должен появиться следующий результат:

[admin@R1] > /interface/sstp-server print
Flags: R - RUNNING
Columns: NAME, USER, MTU, CLIENT-ADDRESS, UPTIME, ENCODING
#   NAME                      USER       MTU  CLIENT-ADDRESS  UPTIME  ENCODING  
0 R SSTP Server for office-2  office-2  1500  100.64.222.1    1m45s   AES256-CBC

Проверка на SSTP-клиенте

Проверка через графический интерфейс

Проверка через командную строку

В результате выполнения команды

/interface/sstp-client print

должен появиться следующий результат:

[admin@R2] > /interface/sstp-client print
Flags: X - disabled; R - running; H - hw-crypto 
 0  R  name="SSTP office-1 connection" max-mtu=1500 max-mru=1500 mrru=disabled 
       connect-to=100.64.111.1 port=443 http-proxy=:: proxy-port=443 
       certificate=none verify-server-certificate=no 
       verify-server-address-from-certificate=yes user="office-2" 
       password="office-2_password" profile=default-encryption 
       keepalive-timeout=60 add-default-route=no dial-on-demand=no 
       authentication=pap,chap,mschap1,mschap2 pfs=no tls-version=any 
       ciphers=aes256-sha add-sni=no 

Настройка маршрутизации

Для передачи данных между двумя сетями недостаточно наличия VPN-соединения. Чтобы она стала возможной, на каждом устройстве нужно добавить маршрут к внутренней сети другого офиса через IP-адрес VPN-интерфейса противоположного маршрутизатора. Для этого необходимо:

• на маршрутизаторе R1 создать маршрут до внутренней сети офиса 2 (10.22.22.0/24) через VPN-интерфейс маршрутизатора R2 (172.16.1.2);
• на маршрутизаторе R2 создать маршрут до внутренней сети офиса 1 (10.11.11.0/24) через VPN-интерфейс маршрутизатора R1 (172.16.1.1).

Для такой настройки понадобятся два параметра:

• Dst. Address (dst-address), в котором нужно указать IP-адрес удаленной сети;
• Gateway (gateway), в котором нужно указать IP-адрес VPN-интерфейса противоположного маршрутизатора.

Маршрут к внутренней сети другого офиса в некоторых случаях можно настраивать не через IP-адрес VPN-интерфейса противоположной стороны, а через интерфейс, из которого будут исходить пакеты. Но такую возможность следует использовать только в некоторых случаях, и ее надо использовать с пониманием, зачем это делается.

Настройка маршрутизации на маршрутизаторе R1 (офис 1)

Настройка через графический интерфейс

Настройка через командную строку

/ip/route
add dst-address=10.22.22.0/24 gateway=172.16.1.2

Настройка маршрутизации на маршрутизаторе R2 (офис 2)

Настройка через графический интерфейс

Настройка через командную строку

/ip/route
add dst-address=10.11.11.0/24 gateway=172.16.1.1

Проверка маршрутизации

Проверка в головном офисе и в филиале

Если маршрутизация была правильно настроена, то данные между двумя сетями должны начать передаваться. Чтобы проверить корректность настройки, можно выполнить команду ping с компьютера в одной сети до компьютера в другой сети. Но здесь возможны нюансы. Некоторые антивирусы блокируют ICMP-запросы, и поэтому ping'и могут не проходить. Более того, некоторые антивирусы, например антивирус Касперского, умеют блокировать ICMP-запросы из других сетей и при этом не блокировать такие же запросы из своей сети. Поэтому если ping'и с компьютера на компьютер не проходят, то рекомендуется проверить прохождение ICMP-запросов с компьютера в локальной сети до внутреннего интерфейса маршрутизатора в другой сети. Для этого необходимо:

• при проверке из офиса 1 запустить ping до IP-адреса 10.22.22.1;
• при проверке из офиса 2 запустить ping до IP-адреса 10.11.11.1.

Если такие ping'и проходят, то с вероятностью 100 % VPN-соединение и маршрутизация с обеих сторон настроены корректно и с вероятностью 99 % проблему нужно искать не на маршрутизаторах. При этом существует 1-процентная вероятность того, что причиной невозможности передачи данных являются какие-то другие неверные настройки.

Потенциальные проблемы при маршрутизации

Если маршрутизация между двумя маршрутизаторами MikroTik не выполняется, необходимо проверить следующее:

• Настройки маршрутизации на обоих маршрутизаторах.
• Настройки брандмауэра на компьютере, который пингуется. Для надежности можно временно отключить встроенный брандмауэр и антивирус, чтобы исключить их влияние на ICMP-запросы.

Распространенной ошибкой является использование технологии NAT для данных, маршрутизируемых между удаленными сетями. Это действительно может потребоваться, но только в некоторых частных случаях. Например, если нет возможности внести изменения в таблицу маршрутизации на одном из маршрутизаторов. Если же такая возможность есть, но при этом данные начинают маршрутизироваться только при использовании NAT, то с вероятностью 99 % имеется ошибка в настройках маршрутизации.

Причины низкой скорости

Если скорость передачи данных между офисами значительно ниже скорости самого медленного интернет-канала, то необходимо проверить следующее:

• Хватает ли ресурсов процессора.
• Нет ли проблем с MTU. Проблема чаще всего наблюдается при использовании множества вложенных туннелей. Например, если SSTP-туннель передается через PPPoE-туннель от интернет-провайдера.

Полезные ссылки

Онлайн-курсы по MikroTik

• Администрирование сетевых устройств MikroTik
• Файрвол и приоритизация трафика на MikroTik
• Маршрутизация на MikroTik
• Коммутация на MikroTik

Онлайн-курсы по сетям

• Математика и физика в сетевых технологиях
• Архитектура современных компьютерных сетей
• Устройство, проектирование и диагностика беспроводных сетей IEEE 802.11 (Wi-Fi)

Telegram-каналы

• Mikrotik-сэнсей
• Сетевой архитектор

Telegram-чат

• MikrotikLab

Прочее

• Чек-лист по настройке MikroTik