VPN neprojde přes NAT domácího routeru

cargopro

7. 2. 2017 21:33:44

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257675

cargopro

7. 2. 2017 21:35:18

https://postimg.org/image/aaa4o34k1/bd10f442/

vygeneroval jse zatím ten self-sign na serveru, ale ted nevim jak dál

7. 2. 2017 21:35:18

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257674

TomasX

(4 hodnocení)

7. 2. 2017 23:03:19

hm, potřeboval jsem vidět detail certifikátu :). Jak jsi ho tvořil?

Tohle ti pomůže?

makecert hledej na google pod "Certificate Creation Tool" nebo ho myslím obsahuje Visual Studio. Snad někdo poradí přesněji, už jesm to nedělal pár let.

7. 2. 2017 23:03:19

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257673

cargopro

7. 2. 2017 23:38:38

Napsal TomášX;1361585
hm, potřeboval jsem vidět detail certifikátu :). Jak jsi ho tvořil?
Tohle ti pomůže?
makecert -n "CN=myclient" -pe -sky exchange -m 196 -ss My -in "HP-SERVER" -is my -a sha256
makecert hledej na google pod "Certificate Creation Tool" nebo ho myslím obsahuje Visual Studio. Snad někdo poradí přesněji, už jesm to nedělal pár let.

až teď jsem vlastně doinstaloval a nakonfiguroval certifikační autoritu a mám kořenový certifikát...takže teď bych potřeboval vygenerovat a podepsat certifikát pro klienta, je na to v IIS klikátko (certifikáty serveru), ...je to volba vytvořit certifikát podepsaný sám sebou?

7. 2. 2017 23:38:38

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257672

TomasX

(4 hodnocení)

8. 2. 2017 00:14:08

klikátko by tam mělo být, máš to ale česky a nedokážu tě navigovat.

Ne, musíš ho podepsat tvoji CA, kterou jsi si vytvořil (ta může být self sign). Bez toho, abys klientsky certifikát podepsal tím, který ma server, nebude to fungovat.

8. 2. 2017 00:14:08

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257671

cargopro

8. 2. 2017 01:06:01

takhle vypadá rozhraní IIS v češtině, kde mám akorát cert -CA, ale kam dál kliknout aby se vytvořil podepsaný cert ?

picture share

8. 2. 2017 01:06:01

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257670

Vladimír Smitka

(4 hodnocení)

8. 2. 2017 09:13:53

Předpokládám, že chceš použít SSTP s ověřováním EAP-MSCHAP v2 (jménem/heslem - bez použití klientských certifikátů). Je tedy potřeba koupit/vygenerovat vlastní certifikát s položkou CN (Common name) na doménové jméno severu, kam se klienti budou připojovat (self signed může být i na IP adresu).

Pokud se certifikát generuje přes IIS tak tam není možnost CN nastavit, takže buď musí být IIS správně nastaven, nebo je třeba certifikát udělat přes jiný tool (např, selfssl z IIS resource kitu - zde návod konkrétně pro SSTP http://blog.witalis.net/sstp-with-self-signed-certificates.html)

Dále je potřeba zkontrolovat, zda je opravdu nastaven jako certifikát pro SSTP v konzoli Směrování a vzdálený přístup - vlastnosti (daného serveru) - zabezpečení - a dole se vybírá jaký certifikát se má použít.

Pak je potřeba daný certifikát nainstalovat na klienta - musí se nainstalovat do místního úložiště počítače (ne uživatele) - Důvěryhodné kořenové certifikační autority.

Obecně je ale lepší si udělat vlastní kořenovou CA, kterou se pak podepíšou libovolné certifikáty a nemusí se pak dokolečka vše importovat na klienty. Windows server má nástroje pro správu vlastní CA, ale mě moc nevyhovují (vlastně ani nedokážu popsat proč, ale vždy mě nějak rozčílí) a používám http://xca.sourceforge.net/.

8. 2. 2017 09:13:53

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257669

TomasX

(4 hodnocení)

8. 2. 2017 09:23:16

smitka: super, aspoň někdo to tady zná, s tímhle moc nepracuji. Podle screenu to vypadá, že CA má správný CN na HP-SERVER, což předpokládám, že je i jméno serveru.

8. 2. 2017 09:23:16

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257668

cargopro

8. 2. 2017 09:45:46

ok díky, tak já se s tím nějak poperu

8. 2. 2017 09:45:46

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257667

Vladimír Smitka

(4 hodnocení)

8. 2. 2017 09:47:28

Napsal TomášX;1361632
aspoň někdo to tady zná

Tak bych to úplně nepopsal :-) S WinServerem dělám spíše z donucení a snažím se mu vyhnout a když už ho musím používat, tak často používám jiné nástroje (viz XCA)...

Každopádně záleží jak ten certifikát chce použít, pokud jako CA, se kterou podepíše nový certifikát tak je CN ok.

Pokud ho chce použít jako koncový certifikát, tak CN musí být doména/ip kam se budou klienti připojovat. To lze nastavit bud někde v hloubi IIS nebo jednodušeji nastavit "Úplný název počítače" v systému (a zvážit zda to neovlivní něco z již nastavených rolí).

8. 2. 2017 09:47:28

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257666

cargopro

8. 2. 2017 19:14:15

Napsal smitka;1361647
Tak bych to úplně nepopsal :-) S WinServerem dělám spíše z donucení a snažím se mu vyhnout a když už ho musím používat, tak často používám jiné nástroje (viz XCA)...

Každopádně záleží jak ten certifikát chce použít, pokud jako CA, se kterou podepíše nový certifikát tak je CN ok.

Pokud ho chce použít jako koncový certifikát, tak CN musí být doména/ip kam se budou klienti připojovat. To lze nastavit bud někde v hloubi IIS nebo jednodušeji nastavit "Úplný název počítače" v systému (a zvážit zda to neovlivní něco z již nastavených rolí).

mým cílem je "pouze" připojení VPN klienta pro ověření licence na serveru za situace, kdy jsem na netu přes Vodafone (proto SSTP). Takže žádné velké akce s CA neplánuji, tak snad se mi podaří vygenerovat certifikát (nevím kde -na klientovi, nebo v konzole CA serveru?) podepsat (taky zatím nevím jak) a naiportovat do klienta. Kořenový cerifikáta musím také asi naimportovat do klienta do ulozistě důvěryhodných autorit? Je to hrozná zápletka ale cíl má pro mě význam, takže se budu snažit:)

8. 2. 2017 19:14:15

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257665

cargopro

11. 2. 2017 22:56:47

při přidávání ROLE Webová služba Zápis certifikátů je vyžadováno aby uživatel náležel do skupiny Enterprise Admins, jenže takovou skupinu ve správě uživatelů na Win serveru 2012 R nemám...narazil někdo na tento konflikt oprávnění při instalaci sluřeb AD CS ?

11. 2. 2017 22:56:47

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257664

TomasX

(4 hodnocení)

11. 2. 2017 23:21:21

a co si na ten windows servet nainstalovat softether, ten má vlastní implementaci SSTP a certifikáty ti vygeneruje sám a nedělá s nimi takové voloviny. Ona je tohle otázka pár minut pro znalého, ty se s tím trápíš pár dní...

11. 2. 2017 23:21:21

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257663

cargopro

12. 2. 2017 09:05:08

Napsal TomášX;1362813
a co si na ten windows servet nainstalovat softether, ten má vlastní implementaci SSTP a certifikáty ti vygeneruje sám a nedělá s nimi takové voloviny. Ona je tohle otázka pár minut pro znalého, ty se s tím trápíš pár dní...

sem si říkal, že bych to měl takové homogenní pod Microsoftem, ale jsou to fakt šílenosti, jedna klikačka je podmíněna doinstalováním druhé klikačky a v podstatě nevíš co se na pozadí děje a stále nějaká nová oprávnění :) Asi se na to vyseru.

12. 2. 2017 09:05:08

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257662

Vladimír Smitka

(4 hodnocení)

12. 2. 2017 10:35:33

Napsal cargopro;1362832
sem si říkal, že bych to měl takové homogenní pod Microsoftem, ale jsou to fakt šílenosti, jedna klikačka je podmíněna doinstalováním druhé klikačky a v podstatě nevíš co se na pozadí děje a stále nějaká nová oprávnění :) Asi se na to vyseru.

Tak problém je spíše v tom, že moc nevíš co děláš... Nevím proč instaluješ AD CS - to je služba pro bezpečné předávání certifikátů na klienty v Active Directory doméně, nemyslím si, že toto potřebuješ. Pokud server není doménový kontrolér (strukturu sítě jsi nám zatím nepopsal), tak přidávání rolí AD bude mít mnoho dalších závislostí, ve kterých mohou být různé konflikty s dalšími rolemi, když se bez rozmyslu instalují na jeden server. Pokud to chce uživatele Enterprise Admin, tak něco z toho co chceš nainstalovat vyžaduje verzi Windows Server Enterprise (nebo Datacenter, myslím).

Pokud jsem to pochopil, tak máš stále problém vygenerovat si certifikát, v tom případě budeš mít nejjednodušší, když si jednoduše koupíš SSL certifikát od komerční důvěryhodné certifikační agentury pro vpn.tvojedomena.cz, nasměruješ tento DNS záznam na IP tvého serveru a ve Winserver tento certifikát včetně privátního klíče nainstaluješ a vybereš ho pro použití s VPN. Vyřešíš tak i problém s instalací certifikátů na klienty.

12. 2. 2017 10:35:33

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/strana/2/#reply1257661