Windows Server 2012 R2 配置SSL-VPN心得经验

2018-7-7 杰克 VPN

      最近一个客户想搭建VPN实现员工在公司以外的位置访问公司内部服务器资源,基于这种“点对网”的VPN需求有很多解决方案。 PPTP、L2TP、SSLVPN 等都可以实现,最初打算使用简单的PPTP来实现。但有的员工使用的苹果MAC电脑,在2016年之后的苹果MAC版本中已经没有PPTP的拨号选项了。必须使用第三方的VPN客户端软件来进行PPTP的连接,而且一些运营商或终端的本地网络过滤了1723端口或PPTP协议。于是打算采用部署L2TP方式来连接,但Windows终端系统配置L2TP拨号又异常麻烦。一些系统还要修改注册表。最终决定采用SSL-VPN的方式

      采用SSL的方式,首先想到了一些大的VPN硬件厂商。但客户资金有限不可能为这个事情去花费一笔不菲的费用,决定采用软件方式来实现。我所了解的软件实现有二种方式:微软Windows下的SSTP 和 开源的Openvpn  考虑到客户对Linux命令不是很熟悉决定使用Windows的SSTP

 

      在Windows下搭建SSTP并不复杂,但步骤很多。需要安装AD域角色、证书角色、IIS、路由及远程访问等几个角色功能。域角色和路由及IIS、远程访问角色配置相对简单,基本默认配置即可。网上有大量的教程,在此不再赘述。因SSL方式涉及证书的配置,在Windows下SSTP的主要问题都集中在证书角色的配置上。主要在下面几个配置的地方:

证书服务器属性里的扩展项里需要勾选的CRL复选框

ca1.png

证书服务器属性里的扩展项里需要勾选的AIA复选框

ca2.png

 

整体来说,在Windows下配置SSTP并不困难。总结出以下几个需要注意的地方:

1.域使用的域名与公网域名一致,并能解析到服务器上。因为SSTP客户端拨号使用的是域名方式,不是IP地址

2.网络出口设备除映射用于SSL的443端口外还需要映射80端口,用于终端SSL拨号验证CRL 否则会报0x80092013错误

3.申请证书的名字一定要和vpn拨号的域名匹配

 

网上部署SSTP的博客教程:

http://siqiwu.blog.51cto.com/765882/174264

http://wenku.baidu.com/view/3583a8a2b0717fd5360cdc84.html

 

标签: VPN SSLVPN Windows域 证书服务 SSL

评论:

清欢度
2021-08-30 15:51
@杰克
我做sstp vpn 时,客户端连接时显示  由于吊销服务器已脱机,吊销 功能无法检查脱销
杰克
2021-08-31 14:41
@清欢度:感谢翻阅我的博客,证书问题基本上都是域控端CA的配置问题
Draven
2020-07-30 11:42
您好,@杰克:
       对照的时候,问题百出,您能发一个详细的教程吗?
杰克
2020-08-05 01:42
@Draven:文章末尾有二个链接对应的是相关教程,第一个好像不能打开了。但第二个百度文库的那个是比较详细的搭建教程,可以去百度文库下载
月满西楼
2020-02-16 10:50
你好请教一下12系统的sstp vpn就是ssl VPN吗有什区别吗能说一下吗谢谢你
杰克
2020-03-18 17:34
@月满西楼:感谢翻阅我的技术博客!

我认为:
SSL-VPN是一种VPN技术,用到了SSL加密技术。所以称之为SSL-VPN
微软的SSTP也是一种VPN技术,用到了SSL加密技术,所以可以归类于SSL-VPN
larry
2019-06-04 08:21
看了这篇关于 SSL VPN

http://www.wj64.net/?post=22

对照着做的时候,总是出现问题,不知道是否有个详细的教程。

万分感谢!
杰克
2019-07-04 16:06
@larry:您好!
这段时间比较忙,没有更新维护博客内容。感谢翻阅我的博客
关于SSL-VPN这个教程,我手上没有2012的,但有2008的。已发你QQ邮箱

发表评论:

Powered by emlog 京ICP备17037512-1 e-mail:jackhkyin@163.com QQ:393147796