Tohle si musím napsat. Přišel jsem k SBS 2011, který byl nainstalován někým jiným. Je vidět, že na to několik let nebylo pořádně sáhnuto (Exchange 2010 SP1 atd.). Chci rozjet SSTP VPN. Pamatuji si, že jsem se SBS a SSTP dříve bojoval, jeden článek mám tady, další tady. Pořád nic. Hlásí mi to chybovou hlášku, kterou jsem nikdy předtím neviděl.
Pro klid duše jsem si ověřil navázání VPN i z Windows 7, stejná chyba. Více...
Před pár týdny jsem si pohrával s myšlenkou nasadit SoftEther. Nakonec z toho sešlo, protože je to sice zajímavý, leč nehotový produkt. Nicméně v souvislosti s tímto testováním jsem narazil na zajímavou hlášku, když jsem testoval L2TP/IPSec – a došlo mi, že v létě se mi ozval kolega ze Švédska, který se marně snažil připojit své zařízení ke korporátní VPN. Teď bych se vsadil, že to bylo kvůli tomuto – náš pre-shared key je totiž delší než 10 znaků.
Takže pokud se z Android zařízení nemůžete připojit k L2TP/IPSec VPN, může to být jednak nekompatibilitou s NAT-T, jednak příliš dlouhým PSK.
SBS 2011 obsahuje průvodce pro konfiguraci VPN. Nakonfiguruje ale pouze PPTP VPN, tj. variantu, která pracuje s TCP/1723 a GRE protokolem (IP 41). Rozjíždět L2TP/IPSec VPN na SBS 2011 je peklo, protože uživatelé by byli ztraceni kvůli certifikátům. IKEv2 je zase omezené pouze na klienty Windows 7,8. Alternativou tak je SSTP VPN, dostupná od Windows Vista. Tento typ VPN nelze nakonfigurovat přes žádného SBS průvodce, ale hezky klasicky.
Problémem ale je, že standardní instalace SBS 2011 vytvoři certifikační autoritu, jejíž veřejný klíč nikam veřejně nevystaví (takže je nutné jej pro funkčnost SSTP VPN na VPN klientovi naimportovat do Trusted Root CA počítače) a navíc všem vydaným certifikátům dává CRL Distribution Points pouze v AD, tj. LDAP. To je při přístupu na SSTP server z Internetu nanic, VPN klient dostane chybovou hlášku o nemožnosti zkontrolovat revokační list. Dočasným řešením je tak na VPN klientovi dočasně zakázat ověřování revokace certifikátu SSTP serveru. Více...