Article VPN and remote work
Kamil Zgódka | 2016-11-28

Konfiguracja VPN z protokołem SSTP do pracy zdalnej

Wielokrotnie spotykamy się z sytuacją, w której pracownicy firmy potrzebują uzyskać zdalny dostęp do zasobów firmowych, czy to podczas delegacji, spotkania biznesowego poza firmą, czy też zwyczajnie w przypadku pracy z domu. W takich sytuacjach wymagane jest skonfigurowane i poprawnie działające połączenie VPN, które nam to umożliwi. VPN do pracy zdalnej to jedno z najpopularniejszych rozwiązań. Wiele firm wykorzystuje w tym celu najprostsze w konfiguracji, a zarazem mało bezpieczne połączenie za pomocą protokołu PPTP. W niniejszym artykule przedstawię alternatywę oraz bezpieczniejsze rozwiązanie, czyli konfigurację połączenia VPN na podstawie protokołu SSTP.

Wielokrotnie spotykamy się z sytuacją, w której pracownicy firmy potrzebują uzyskać zdalny dostęp do zasobów firmowych, czy to podczas delegacji, spotkania biznesowego poza firmą, czy też zwyczajnie w przypadku pracy z domu. W takich sytuacjach wymagane jest skonfigurowane i poprawnie działające połączenie VPN, które nam to umożliwi. VPN do pracy zdalnej to jedno z najpopularniejszych rozwiązań. Wiele firm wykorzystuje w tym celu najprostsze w konfiguracji, a zarazem mało bezpieczne połączenie za pomocą protokołu PPTP. W niniejszym artykule przedstawię alternatywę oraz bezpieczniejsze rozwiązanie, czyli konfigurację połączenia VPN na podstawie protokołu SSTP.

SSTP – Secure Socket Tunneling Protocol. Jest to protokół, który został wprowadzony razem z systemem Windows Vista SP1 oraz Windows Server 2008. Protokół SSTP wykorzystuje silniejsze szyfrowanie (256 bit) niż w przypadku PPTP (128 bit), a cały ruch przekazywany jest przez port 443 protokołu TCP.

Zalety:

  • silniejsze szyfrowania,
  • ruch przez port 443, który nie jest blokowany przez zapory sieciowe,
  • wykorzystanie certyfikatu do połączenia – większe bezpieczeństwo,
  • integracja ze środowiskiem Windows (od wersji Vista SP1 do Windows 10).

Wady:

  • bardziej skomplikowana konfiguracja niż w przypadku PPTP,
  • brak wsparcia dla innych systemów operacyjnych.

Konfiguracja SSTP na serwerze
1. Generowanie certyfikatu

Zgodnie z zaleceniami ze strony Microsoft konfigurację należy przeprowadzić na serwerze, który nie jest kontrolerem domeny.

W pierwszym kroku z poziomu „Server Manager” instalujemy na naszym serwerze rolę „Active Directory Certificate Services”.

Po instalacji w oknie podsumowania wybieramy „Configure Active Directory Certificate Services on the destination server”. Zostaniemy przekierowani do konfiguratora „ADCS”, w którym zaznaczamy „Certification Authority”, resztę ustawień pozostawiamy jako domyślne.
Nadajemy nazwę dla certyfikatu CA, np. CONTOSO-CA, a następnie określamy termin ważności certyfikatu, domyślnie jest to 5 lat. Po dokonaniu wszystkich ustawień usługa ADCS zostanie skonfigurowana.

Przechodzimy do konfiguracji naszego certyfikatu. Posłużymy się w tym celu gotowym szablonem IPSec, który zduplikujemy i skonfigurujemy.
Otwieramy przystawkę „Certificate Templates” poprzez „Microsoft Management Console”.

🔍

Znajdujemy szablon IPSec i z menu kontekstowego wybieramy „Duplicate Template”.

🔍

Przechodzimy do zakładki „General” i nadajemy nazwę dla naszego szablonu.

🔍

Przechodzimy do zakładki „Request Handling” i zaznaczamy „Allow privet key to be exported” dzięki czemu uzyskamy możliwość exportu certyfikatu i będziemy mogli zainstalować go na komputerach użytkowników.

🔍

Resztę ustawień dokonujemy jak na poniższych screenach.

🔍
🔍
🔍

Po zapisaniu ustawień przechodzimy do „Certification Authority” i dodajemy nasz nowo utworzony szablon w podkatalogu „Certificate Templates”.

🔍
🔍

Możemy przejść do generowania certyfikatu naszego serwera. Otwieramy przystawkę „Certificates”.

🔍

Dodajemy nowy Certificate Request dla certyfikatu osobistego.

🔍
🔍

UWAGA! W poniższym kroku ustawiamy Common Name, który będzie używany przy konfiguracji połączenia na komputerze użytkownika – podajemy go jako „Adres internetowy”. Jeśli podamy inną nazwę nie uda nam się nawiązać połączenia.

🔍
🔍

2. Instalacja i konfiguracja RRAS

Instalujemy rolę „Remote Access”, w „Role Services” zaznaczamy „DirectAccess and VPN (RAS)”.

🔍

Po zakończeniu instalacji przechodzimy do „Routing and Remote Access” i uruchamiamy usługę.

🔍
🔍
🔍

Możemy zdefiniować pulę adresów IP, które będą przydzielane klientom połączonym przez VPN, lub pozostawić opcję domyślną, a adresy będą przypisywane przez DHCP.

🔍

Przypisujemy wcześniej wygenerowany przez nas certyfikat, którym będą musieli autentykować się użytkownicy podczas połączenia.

🔍

Ostatnią zmianą po stronie serwera jest zezwolenie użytkownikom na dostęp do sieci. W tym celu w Active Directory przechodzimy do właściwości użytkownika, który ma posiadać dostęp i w zakładce „Dial-in” zaznaczamy „Allow access”.

🔍

3. Przekierowanie DNS oraz portu 443

Dodajemy host A przekierowujący z adresu vpn.contoso.com na zewnętrzny adres IP, oraz dodajemy przekierowanie wskazujące na adres IP serwera, na którym mamy skonfigurowany SSTP.
Połączenie SSTP odbywa się przez port 443, więc należy na routerze przekierować ruch właśnie na tym porcie.

🔍

Konfiguracja VPN na komputerze użytkownika

W pierwszym kroku musimy wyexportować certyfikat z serwera, a następnie zaimportować na komputerze użytkownika.
Dodajemy nowe połączenie VPN (podobnie jak w przypadku połączenia PPTP)

🔍

Po utworzeniu połączenia przechodzimy do jego właściwości i w zakładce „Zabezpieczenia” wymuszamy protokół SSTP oraz zezwalamy na użycie protokołu „Microsoft CHAP wersja 2”.

🔍

Błędy jakie mogą wystąpić przy próbie połączenia

Bardzo często przy próbie połączenia pojawia się poniższy błąd:
Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Aby go wyeliminować należy dodać odpowiedni wpis w rejestrze. Otwieramy rejestr i przechodzimy do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SStpSvc\Parameters i dodajemy nowy klucz DWORD o nazwie NoCertRevocationCheck i ustawiamy wartość 1.

Czy potrzebujesz wsparcia w zakresie konfiguracji połączenia VPN dla Twoich pracowników? Zgłoś się do nas!

Oferujemy kompleksowe wsparcie IT dla firm, jako doświadczona firma outsourcingowa dostosujemy nowoczesne rozwiązania do potrzeb Twojej firmy. Pierwszym krokiem będzie audyt informatyczny abyśmy mogli wskazać obszary infrastruktury wymagające udoskonalenia.

Źródło:
• Opracowanie własne
• https://technet.microsoft.com/pl-pl/library/poradnik-krok-po-kroku-instalowanie-i-konfiguracja-sstp-cz-i.aspx
• https://technet.microsoft.com/pl-pl/library/poradnik-krok-po-kroku-instalowanie-i-konfiguracja-sstp-cz-ii.aspx

Kamil Zgódka -
Related articles
Case study
| migrations and backups Case Study: Implementing Hardened Backup in Microsoft Azure. Read more
Article
| career Employee training and development in Support Online Read more
Article
| migrations and backups Veeam Hardened Repository – What is it and how does it protect backups against ransomware in 2026? Read more
Your IT.
our
support.
Contact us

The administrator of your personal data is Support Online sp. z o.o. Your personal data will be processed to respond to your inquiry and, if you consent, also to send the SOL newsletter. You can read about the detailed rules for personal data processing by our organization in our Privacy Policy.

FAQ
What does an IT company do? What IT solutions do we use at Support Online? When is it worth using an IT company? Why is it worth hiring an IT company rather than a freelance IT specialist? What are the advantages of working with IT Support Online?

An IT company, or IT firm, deals with information technology in a broad sense. This includes, among other things:

  1. Software design and development: An IT company can create custom applications for other companies or software products for the mass market. Depending on their specialization, these can include mobile applications, desktop applications, web applications, or embedded systems.
  2. Consulting services: An IT company often provides experts to advise on implementing new technologies, optimizing business processes, or selecting appropriate technological solutions.
  3. Cloud solutions: Many IT companies specialize in implementing and managing cloud solutions, such as data storage, application hosting, and data analysis platforms.
  4. IT security: Protection against cyberattacks, security audits, implementing security policies, and network monitoring are just some of the IT companies' responsibilities in this area.
  5. IT infrastructure management: In this area, a company may manage servers, databases, networks, and endpoints.
  6. Technical Support and Service: An IT company may provide support for its own products or general IT support for other companies, managing their technology on a daily basis.
  7. Training: Many IT providers also offer training in software use and secure technology use.
  8. Hardware Solutions: Some IT companies may also provide and configure computer, server, or network hardware.

Depending on their specialization and size, an IT company may offer one, several, or all of the above solutions. When choosing a provider, it's important to thoroughly understand their services and tailor them to your individual needs.

At Support Online, we have been supporting companies for years with

  1. comprehensive user support (both on-site and remotely),
  2. we service computers, phones, tablets, and related network issues,
  3. we specialize in server administration: Windows, Linux/Unix,
  4. we support virtualizers such as KVM, Hyper-V, VMWare, and Proxmox,
  5. we support cloud services, particularly solutions such as Azure, Microsoft 365, and AWS,
  6. we monitor servers and devices on the internet,
  7. we consult on development, DRP, and support the stability of your business in the IT layer.

If you're looking for a good IT company, Support Online is the right place to grow your business.

It's worth using an IT company like Support Online when:

  1. You plan to implement new technologies or software in your company.
  2. You need specialized technology consulting.
  3. You want to optimize existing IT processes.
  4. You struggle with digital security issues.
  5. You need support in managing your IT infrastructure.
  6. You lack internal resources or expertise to implement certain technology projects.

Using external IT experts can bring benefits in terms of saving time and resources, and ensuring high-quality solutions.

Hiring an IT company like Support Online offers several key benefits over an IT freelancer:

  1. Support from the entire team: An IT company has a full team of specialists, from DevOps specialists and Cyber ​​Security Specialists to IT Helpdesk Specialists, who possess diverse skills and experience, enabling faster problem resolution and the implementation of more complex projects.
  2. Reliability and stability: IT companies have an established reputation and track record, which can translate into greater reliability and stability of services.
  3. Maintenance and support: An IT company can offer service contracts, warranties, and after-sales support, which may be more difficult to obtain from an individual freelancer.
  4. Resources: Companies have access to more resources, tools, and technologies that can accelerate and improve project execution.
  5. Long-term availability: The risk of a freelancer disappearing or changing careers is greater than the risk of a well-established company going out of business.

However, it's worth noting that the choice between a company and a freelancer depends on your specific needs and situation. If you value peace of mind and a quick response to unexpected problems, it is worth choosing an IT company such as Support Online.

Partnering with IT Support Online offers the following advantages:

  1. Professional IT outsourcing: The company guarantees high-quality IT outsourcing services for businesses of all sizes.
  2. Comprehensive IT support: IT Support Online provides comprehensive IT support that meets the diverse needs of businesses.
  3. Saves time and money: With our support, clients can focus on their core business activities while reducing the costs associated with information technology management.
  4. Serving a diverse range of businesses: The company specializes in serving both small and medium-sized enterprises and large corporations, demonstrating its flexibility and ability to adapt to diverse client needs.
  5. Leadership in IT outsourcing: The company is recognized as a leader in IT outsourcing, particularly in the Poznań and Warsaw regions.

By partnering with our company, IT Support Online, businesses can count on a high standard of service and professionalism at every stage of the relationship.

Free consultation
22 335 28 00