+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Вопросы по SSTP в RoS5beta1 (баг?)

Вопросы по SSTP в RoS5beta1 (баг?), RouterOS

workie

Guest

13.04.2010 07:57:00

Всем привет! Сейчас у меня возникли проблемы с SSTP-сервером. Хочу подключиться к SSTP-серверу с помощью встроенного клиента Windows 7 и Windows Server 2008R2. На роутере установлен сертификат, он расшифрован (перед сертификатом стоит KR), и SSTP-сервер использует именно этот сертификат. Проблема в том, что когда пытаюсь подключиться к серверу, Windows выдает ошибку 0x800B0109 (цепочка сертификатов обработана, но завершилась корневым сертификатом, которому доверие не установлено). При этом корневой CA я уже импортировал в доверенные сертификаты. Если поставить галочку «Требовать клиентский сертификат» в настройках SSTP-сервера, появляется другая ошибка: 0x80070320 (определённый oplock, связанный с этим дескриптором, теперь связан с другим дескриптором). В логах роутера вижу: 09:51:45 sstp,info <sstp-0>: waiting for call... 09:51:45 sstp,info <sstp-0>: terminating... - port error 09:51:45 sstp,info <sstp-0>: disconnected Если включаю подробное логирование SSTP, появляется: 09:54:17 sstp,info <sstp-0>: waiting for call... 09:54:17 sstp,info <sstp-0>: terminating... - port error 09:54:18 sstp,debug <sstp-0>: LCP lowerdown 09:54:18 sstp,debug <sstp-0>: LCP down event in initial state 09:54:18 sstp,info <sstp-0>: disconnected Есть идеи? Спасибо!

Moredhel

Guest

15.09.2010 02:50:00

Привет, я делаю такую же настройку с 5.0b6 и столкнулся с точно такой же проблемой: при выключенной проверке — «certificate chain processed…», при включенной — ошибка oplock. Я использую сертификаты, сгенерированные на cacert.org, и сертификат с флагом KR.

webguyz

Guest

12.07.2011 15:33:00

Хотя эта ветка и старая, у меня такая же проблема и та же ошибка 0x80070320 при попытке подключиться к моему SSTP-серверу, который — RB1200 с OS 5.5, с клиента на Windows 7. У меня есть сертификат от rapidssl, и когда я делаю /certificate print cert1 (мой созданный сертификат), статус показывает KR, что должно быть правильно. Логирование SSTP включено, и всё, что я вижу: ожидаю звонка, завершаю… — сбой рукопожатия: LCP lowerdown: LCP down event в исходном состоянии. Никакой толковой информации о том, что происходит. Вопрос: нужен ли публичный ключ на клиенте Windows 7? Судя по некоторым документам Microsoft, похоже, что да, но, возможно, это для самоподписанных сертификатов, которых у нас нет. ОБНОВЛЕНИЕ!!! Только что наткнулся на пост, где советовали отключить галочку "проверять клиентский сертификат" на SSTP-сервере — и теперь я подключаюсь!

LedNick Guest	#4 0 12.08.2011 09:33:00 webguyz, молодцы, что выложили решение здесь.

otgooneo

Guest

27.12.2011 07:10:00

Привет, Webguyz, не могли бы вы здесь написать подробнее, как именно импортировали сертификат в Windows 7? Я уже импортировал сертификат в Windows 7, и статус сертификата на Routerboard — KR. Но у меня выдает ошибку #0x800B0109. Если включить «проверку клиентского сертификата», появляется ошибка #0x80070320. У моего Routerboard есть публичный IP, но нет доменного имени. Я создал сертификат с common.name=202.XXX.XXX.2. Искал решение на форумах Microsoft и MT последние два дня.

mrz

Guest

27.12.2011 07:24:00

Ошибка "Untrusted root" означает, что центр сертификации (CA) не входит в список доверенных в Windows. Если его импортировали правильно, но указанный адрес не совпадает с адресом сервера, тогда отключите параметр verify-server-address-from-certificate.

otgooneo

Guest

27.12.2011 15:19:00

Извините, что задаю вопрос, полностью связанный с Microsoft. Я понимаю, что не могу правильно импортировать сертификат в Windows 7. Но, пожалуйста, подскажите, как правильно импортировать сертификат. У меня есть два файла: один с расширением .crt, другой — .key. Но Microsoft позволяет импортировать только один файл и без пароля.

sinnet3000 Guest	#8 0 09.11.2012 21:42:00 У меня такая проблема, и я уже пробовал решения отсюда, но она не решилась. Я использую версию 5.21.

5nik Guest	#9 0 10.11.2012 18:44:00 У меня была такая же проблема, как и у тебя. Решением для меня стало импортировать самоподписанный сертификат в хранилище сертификатов локального компьютера: Открой MMC. Добавь оснастку сертификатов локального компьютера (Нажми Файл → Добавить/Удалить оснастку → Выбери «Сертификаты» из списка доступных оснасток → Нажми Добавить → Выбери «Учетная запись компьютера» → Далее → Убедись, что выбран «Локальный компьютер» → Завершить → ОК). Импортируй сертификат в «Доверенные корневые центры сертификации». После этого SSTP VPN начал работать на клиенте с Windows 7.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры