SSTP { VPN } kialakítása

Székács Andrásandras@edupro.hu

SZÁMALK Zrt

Virtuális Magánhálózatok - Windows

környezetben„Hagyományos” VPN protokollok

PPTPWindows NT és „kortársai”Windows 2000Windows XP, Windows Server 2003Windows Vista, Windows Server 2008

L2TPWindows 2000 óta

PPTP - pro és kontraPPTP

Egyszerű konfigJó adattitkosítás

Az authentikáció (általa) nem titkosítottEsetleges eszközprobléma: „NAT Editor” hiányaÖnálló tűzfalszabály szükséges

L2TP - pro és kontraL2TP

Jó adattitkosításAz authentikáció titkosítása

Esetleges eszközprobléma: „NAT-T ” hiányaÖnálló tűzfalszabály szükségesÖsszetett(ebb) konfig

Az SSTP protokoll

Egyszerű konfigSSL adattitkosításSSL már az authentikáció ideje alatt isNincs eszközprobléma

„SSTP pass trough” ?!? Tűzfalszabály: TCP 443

VPN protokollok összehasonlítása

IP L3PPPPPTP

SSTP

DataLink L2 GRE

L2TP

SSLTCP

UDP

IP L3

SSTP VPN - Az alkotóelemek:Windows Server 2008 NPAS-RRAS SSTP VPN Szerver

Windows Vista SP1 SSTP VPN Kliens

Certificate Authority SSL Tanusítvány, CRL kiadás

AD DSAuthentikáció

IIS Tanusítvány igénylés, CRL Disztribúció

SSTP VPN - Demó környezet

AD CSIIS

RRAS

AD DS,File Server

Internet

{ SSTP VPN KIALAKÍTÁSA}demó

SSTP VPN - Kapcsolódási hibákWindows Vista SP1 SSTP VPN Kliens

0x800704C9 – nincs szabad SSTP port0x80070040 – nincs SSL tanusítvány a kiszolgálón0x800B0101 – kiszolgáló SSL tanusítványa lejárt0x800B0109 – „Trusted Root CA” hiánya0x800B010F – a kiszolgáló neve eltér a tausítványétól

0x80092013 – nem elérhető a CRL…akkor hogyan működött a demóban?

RRAS

AD DS,File Server

Internet

Egy {lehetséges} valós környezet I.

AD CSIIS

Tűzfalszabály :TCP 80 (CRL)

Tűzfalszabály : TCP 443 (SSTP)

RRAS

AD DS,File Server

Internet

Publikus CA

Tűzfalszabály : TCP 443 (SSTP)

Egy {lehetséges} valós környezet II.