Mikrotik.moscow [тема: Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?]

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?

Mon, 23 Jun 2025 03:52:00 +0300

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP? RouterOS в форуме RouterOS.
Ссылка на статью была для более старой версии RouterOS, и с тех пор в соответствующей функциональности было достаточно много изменений, как я уже писал в предыдущих постах: параметр для указания теперь называется не dns, а dns-name. Если вы используете URL вида xxxxxx.sn.mynetname.net, предоставленный IP Cloud (то есть не указываете параметр dns-name), то сертификат будет запрашиваться/обновляться с помощью вызова DNS-01, и вам больше не нужно запускать службу www с открытым TCP-портом 80. RouterOS теперь пытается автоматически обновлять сертификат (когда проходит 80% срока его действия), поэтому расписанный в статье скрипт уже не нужен. Ваш собственный расписанный скрипт потребуется только при специфических задачах, как я упоминал выше (использование собственного домена и блокировка порта 80 по умолчанию или необходимость обновлять сертификат для таких сервисов, как SSTP Server или User Manager). Кроме того, промежуточный сертификат (обычно R10 или R11) теперь тоже автоматически добавляется в список сертификатов в последних версиях RouterOS, чего не было во времена написания той статьи.
23.06.2025 03:52:00, CGGXANNX.

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?

Sun, 22 Jun 2025 15:26:00 +0300

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP? RouterOS в форуме RouterOS.
На ПК C с Windows 10 64, который подключался по SSTP с сертификатом Mikrotik в течение месяца, теперь подключение отказано, даже Let’s Encrypt не помогает. Что-то пошло не так в Windows, система просит исправить сетевые параметры, я проверил — всё в порядке. На Mikrotik в разделе dice стоит статус «authenticated», логин и пароль верны, но клиент внезапно отключается. Windows неправильно проверяет сертификаты, я удалял сертификат, но это не помогает, может, нужно перезагрузить?
22.06.2025 15:26:00, GiovanniG.

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?

Sun, 22 Jun 2025 13:22:00 +0300

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP? RouterOS в форуме RouterOS.
Я протестировал на четвёртом компьютере — всё работает, метод правильный, и я здесь коротко всё изложу для тех, кому может пригодиться в будущем. Подробное руководство: https://mikrotikmasters.com/mikrotik-with-lets-encrypt-ssl-certificate/

Включите DDNS в /IP/cloud и скопируйте адрес, затем откройте терминал и вставьте команду
enable-ssl-certificate dns=<скопированный DDNS адрес>
Чтобы сертификат обновлялся автоматически, перейдите в /system/scheduler и создайте новую задачу на выполнение каждые 88 дней с той же командой.

Зайдите в /system/certificates и установите доверие обоим сертификатам. Используйте сертификат с DDNS адресом (не тот второй, который называется “intermediate”) в настройках SSTP сервера. Если вы правильно настроили SSTP сервер с логином и паролем, он будет работать в Windows.

На втором компьютере это не работает — что-то не так с Windows. Если знаете, как это исправить, как восстановить функции VPN, пожалуйста, подскажите. Спасибо!
22.06.2025 13:22:00, GiovanniG.

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?

Sun, 22 Jun 2025 12:14:00 +0300

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP? RouterOS в форуме RouterOS.
Спасибо большое за объяснение, теперь всё выглядит действительно дружелюбно. Да, я сменил сертификат на SSTP-сервере, там доступны два варианта, один из них называется intermediate, и если я его выбираю, Windows 10 вдруг выдает ошибку, что удаленный хост (mikrotik) отказывается подключаться, с другим вариантом проблема остаётся прежней. Нужно ли как-то подождать?

P.S. На компьютере B я добавил и протестировал другой SSTP-сервер, недавно подписанный через Let’s Encrypt, та же ошибка. На компьютере A я вручную удалил сертификаты, и теперь работает с обоими. Загадка Windows.
22.06.2025 12:14:00, GiovanniG.

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?

Sun, 22 Jun 2025 11:47:00 +0300

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP? RouterOS в форуме RouterOS.
Обратите внимание, если вы используете сгенерированный сертификат Let’s Encrypt для SSTP-сервера, вам вообще не нужно экспортировать сертификат и устанавливать его на клиентах! Всем клиентам достаточно использовать тот же домен/поддомен в качестве удалённого адреса SSTP-сервера. И, конечно же, не забудьте выбрать этот сертификат в разделе PPP → SSTP Server → Certificate!
22.06.2025 11:47:00, CGGXANNX.

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?

Sun, 22 Jun 2025 11:44:00 +0300

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP? RouterOS в форуме RouterOS.
Текущая версия RouterOS 7 имеет встроенную поддержку запроса и обновления сертификатов Let’s Encrypt. Вот соответствующий фрагмент из документации: Certificates - RouterOS - MikroTik Documentation. Если вы используете субдомен IP Cloud, предоставленный MikroTik (xxxxxx.sn.mynetname.net), достаточно выполнить эту команду один раз: /certificate enable-ssl-certificate — роутер автоматически запросит сертификат LE для субдомена IP Cloud и будет заниматься его последующим обновлением.

Если же вы используете свой собственный субдомен, нужно следить за следующими условиями при запросе сертификата и его обновлении:
- Служба www должна быть запущена.
- TCP порт 80 для входящих запросов из интернета (chain input) не должен быть заблокирован ни для IPv4, ни для IPv6, или для обоих (можно заблокировать для IPv4, но открыть для IPv6 — тоже будет работать).

Команда для запроса или обновления сертификата будет выглядеть так:
/certificate enable-ssl-certificate dns-name=my.domain.com

Сертификат будет отображаться в System → Certificates и его можно использовать для SSTP. Разумеется, клиенты SSTP должны использовать тот же субдомен, чтобы установить соединение с роутером.

Хотя роутер может автоматически обновлять сертификат, RouterOS сам обновляет настройку сертификата только для сервиса www-ssl и не меняет настройки SSTP-сервера после обновления. Это нужно делать вручную или через запланированный скрипт.

Кроме того, если вы используете собственный домен, а не предоставленный IP Cloud (xxxxxx.sn.mynetname.net), нужно убедиться, что www запущен и порт 80 открыт во время автоматического обновления. Но обычно не разумно держать www и порт 80 открытыми для интернета. Лучше оставить службу выключенной и порт заблокированным в фаерволе, а для обновлений написать свой скрипт, который каждые ~80 дней будет:

- Временно включать службу www
- Разблокировать TCP порт 80 на chain input (только для IPv6, если он у вас есть, иначе для IPv4)
- Выполнять /certificate enable-ssl-certificate dns-name=my.domain.com
- Снова блокировать TCP порт 80 на chain input
- Отключать службу www
- Обновлять SSTP сертификат, назначенный на www-ssl

Или, если вы не дружите со скриптами, можно просто делать это вручную каждые 80 дней.
22.06.2025 11:44:00, CGGXANNX.

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?

Sun, 22 Jun 2025 11:40:00 +0300

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP? RouterOS в форуме RouterOS.
Я нашёл тут гайд: https://mikrotikmasters.com/mikrotik-with-lets-encrypt-ssl-certificate/. Получить сертификат очень просто — нужна всего одна команда в терминале: certificate enable-ssl-certificate dns=<строка DNS, сгенерированная Mikrotik DDNS, в разделе /IP/cloud>. Я доверился, вручную удалил предыдущий сертификат на ПК B (новая установка Win10-64, которая отказывается работать), проверил — выдает ошибку с сертификатом. Затем я экспортировал и вручную установил новый сертификат, но тоже не работает. Что делать? Где я ошибаюсь?
22.06.2025 11:40:00, GiovanniG.

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?

Sun, 22 Jun 2025 11:07:00 +0300

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP? RouterOS в форуме RouterOS.
Спасибо, ребята, то, что вы написали, звучит знакомо, но я ещё никогда этого не делал. Похоже, мне придётся потратить часы на поиск информации и эксперименты. Кто-нибудь не мог бы написать короткое руководство с пошаговыми действиями? Как вообще запускается этот certbot? Я не могу понять, что с ним делать — это ведь не .exe для Windows и не telnet-сервер. Что мне делать? Нужно ли запускать certbot с того же IP, который я регистрирую? Можно ли как-то использовать Mikrotik для этого? И как потом использовать полученный сертификат? Просто ставлю его на Windows или надо привязать сертификат ещё и к SSTP-серверу на Mikrotik? Как? Чтобы обновить сертификат, Mikrotik может это сделать самостоятельно? Или надо обновлять через другое устройство с того же IP? Большое спасибо!
22.06.2025 11:07:00, GiovanniG.

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP?

Sat, 07 Jun 2025 20:03:00 +0300

Есть ли какая-нибудь альтернатива штатному Windows-клиенту SSTP? RouterOS в форуме RouterOS.
Привет, меня уже достали эти чудики с SSTP VPN клиентом в Windows 10. Сегодня он работает (с использованием сертификата Mikrotik), а на следующий день без всяких причин выдает ошибку. В точности такая же процедура на другом компьютере работает, а на третьем — нет. Просто сюрреализм, как Windows управляет сертификатами, да еще и ни слова толкового не говорит, чтобы понять и исправить проблему. Для таких глупых требований по сертификатам, которые мне вообще не нужны и, думаю, никому не нужны. На Android я использую SSTP Max, и там всё работает без сертификатов.
Меня уже задолбало тратить часы, пробуя установить по всем возможным способам, удалять вручную и опять ставить — это не выход, это выброшенное время.
Поэтому я ищу сторонний SSTP клиент для Windows, который не парится этими бесполезными сертификатами, что-то вроде Wireguard клиента, например. Есть что-нибудь? Гуглил, но ничего толкового не нашёл. Спасибо!
07.06.2025 20:03:00, GiovanniG.