В предыдущей части я уже рассказал о том, как пандемийные реалии привели меня на тернистый путь настройки безопасной удаленной работы для коллег по офису. Трудности подстерегли меня там, где их никто не ожидал – скорость подключения при использовании VPN упала до неприличия.
Заподозрив, что причина замедления может крыться в ограничениях у оператора связи, я решил испробовать другой вариант – SSTP. Поскольку в данном случае не требуется установка дополнительного программного обеспечения, то, сделав бэкап, я перешел прямо к настройке.
Сначала создал пул клиентских адресов:
Затем – профиль сервера SSTP:
Создал профиль пользователя:
Далее начинается веселье с настройкой сертификатов.
Настраиваем сервер сертификации:
Где указал название центра сертификации (из головы), два символа кода страны, следующие поля заполнил произвольно, важно указать внешний IP адрес сервера в Common Name, размер ключа в битах и срок действия (например, 10 лет)
Дальше настроил выдачу приватных и публичных ключей:
И самоподписал сертификат:
Подобным образом создал сертификат сервера SSTP. Указал выбранный ранее сертификационный центр, и подписал сертификат сервера ключом центра сертификации.
Далее можно включать сервер SSTP:
В настройках SSTP сервера рекомендуется оставлять только mschap2 протокол аутентификации, так же рекомендуется указать версию TLS 1.2. но я решил пока оставить по умолчанию.
Галочку PFS я трогать не стал, так как не понимаю ее глубокий смысл.
Настроив сервер, проверил фаерволл открытие порта 443.
Чтобы настроить клиент экспортировал сертификат, зайдя в пункт меню System:
Файл сертификата, взятый из раздела Files, установил на клиентский компьютер в Trusted Root Certification Authorities и создал VPN подключение:
Окончив настройку, решил замерить скорость, 6-12 Мбит/с, с одной стороны это победа, протокол не режется оператором так явно как L2TP, но за счет того что SSTP работает на TCP и внутри него трафик чаще всего так же TCP происходит жуткое снижение производительности сети. С такой скоростью оперативного решения рабочих задач ожидать не приходится. Хотя удаленный рабочий стол работает не плохо, а вот файловая шара выдает грустные 300кб\сек.
Для себя я сделал весьма неутешительные выводы – обеспечение безопасности соединения в условиях, которые могут предоставить операторы связи оборачивается неизбежной потерей скорости соединения. В итоге SSTP на протоколе TCP + 4G дают скорости едва приемлемые для работы.