Špek s VPN

Tohle si musím napsat. Přišel jsem k SBS 2011, který byl nainstalován někým jiným. Je vidět, že na to několik let nebylo pořádně sáhnuto (Exchange 2010 SP1 atd.). Chci rozjet SSTP VPN. Pamatuji si, že jsem se SBS a SSTP dříve bojoval, jeden článek mám tady, další tady. Pořád nic. Hlásí mi to chybovou hlášku, kterou jsem nikdy předtím neviděl.

vpn_no_sstp_connection

Pro klid duše jsem si ověřil navázání VPN i z Windows 7, stejná chyba.

Takže Google. Vypadl na mne tento článek,  díky kterému jsem si zopáknul vazbení certifikátů. Pak jsem zahodil wildcard certifikát, který na serveru byl, a vytvořil SAN certifikát, co kdyby. Jenže abych tohle mohl udělat, tak jsem musel nejdříve povolit vystavování SAN certifikátů na interní root CA.

Pak jsem zjistil, že v SBS 2011 není standardně nainstalována služba role AD Certificate Services pojmenovaná Certification Authority Web Enrollment. Tak není problém ji nainstalovat. Jenže ouha, ten server nebyl dlouho restartovaný, jsou v něm napůl nainstalované nějaké aktualizace, které vyžadují reboot a nepovolí instalaci ničeho dalšího. Super, reboot provést nemůžu, protože je pracovní doba.

No tak dobře, už kdysi dávno jsem vystavoval certifikát přes commandlajnu. Postup je to vcelku jednoduchý.

certreq -attrib "CertificateTemplate:webserver" –submit ssl.req

Pak jsem si vzpomněl, že standardní webserver template neumožňuje export privátního klíče, tak jsem si vytvořil nový template “Webserver V2” a u původního template nastavil, že je nahrazen tím mým. Pak jsem si vytvořil SAN certifikát podle tohoto postupu. Měl by jít použít i SAN CSR z Exchange 2010 serveru, který na tom SBS je, ale už si nepamatuji, jakou mi to házelo chybu, tak jsem se raději rozhodl certifikační požadavek vytvořit ručně.

No hurá, SAN certifikát konečně mám, takže jej nastavuji i v konfiguraci RRAS. Restartuji RRAS a zkouším SSTP VPN. Ne, furt ne. To je strašné. Vzdal jsem to a začal řešit ještě jeden problém. A to pomohlo. Po chvilce mi blesklo hlavou podezření, kouknu do RRASu a fakt! Taková blbost a takového času. Schválně – co bylo špatně?

vpn_no_sstp_ports

Zobrazit komentáře