SSTP VPN nouzové připojení v SBS 2011

SBS 2011 obsahuje průvodce pro konfiguraci VPN. Nakonfiguruje ale pouze PPTP VPN, tj. variantu, která pracuje s TCP/1723 a GRE protokolem (IP 41). Rozjíždět L2TP/IPSec VPN na SBS 2011 je peklo, protože uživatelé by byli ztraceni kvůli certifikátům. IKEv2 je zase omezené pouze na klienty Windows 7,8. Alternativou tak je SSTP VPN, dostupná od Windows Vista. Tento typ VPN nelze nakonfigurovat přes žádného SBS průvodce, ale hezky klasicky.

Problémem ale je, že standardní instalace SBS 2011 vytvoři certifikační autoritu, jejíž veřejný klíč nikam veřejně nevystaví (takže je nutné jej pro funkčnost SSTP VPN na VPN klientovi naimportovat do Trusted Root CA počítače) a navíc všem vydaným certifikátům dává CRL Distribution Points pouze v AD, tj. LDAP. To je při přístupu na SSTP server z Internetu nanic, VPN klient dostane chybovou hlášku o nemožnosti zkontrolovat revokační list. Dočasným řešením je tak na VPN klientovi dočasně zakázat ověřování revokace certifikátu SSTP serveru.

V HKLM\SYSTEM\CurrentControlSet\services\SstpSvc\Parameters je potřeba vytvořit nový REG_DWORD s názvem NoCertRevocationCheck a hodnotou 1. Poté již bude SSTP VPN navázána, ačkoliv SBS nevystavuje CRL.

Po rekonfiguraci CA na SBS a zprovoznění webu, který CRL vystavuje do Internetu, nesmíme zapomenout odstranit NoCertRevocationCheck z registrů VPN klienta.

Doplnění 15.9.2012:

Koukám, že stejné řešení z trochu odlišného důvodu jsem si již jednou poznamenal tady.

vpn_sstp_no-revo-check.reg (312,00 bytes)