Как и где в Windows Server нужно настроить IP-адреса и статические маршруты для работы SSTP‑сервера?

Question

Ростислав

windows-server , сети

Как и где в Windows Server нужно настроить IP-адреса и статические маршруты для работы SSTP‑сервера?

У меня Windows Server 2022 с двумя ролями: 1) Hyper‑V с виртуальной машиной MikroTik, выступающей как маршрутизатор сети; 2) SSTP‑сервер для VPN. Нужно сделать так, чтобы VPN‑клиенты могли обращаться только к одному локальному ресурсу и к нескольким сайтам в интернете, а весь остальной трафик отправлялся через их основной роутер (то есть не шел через VPN). Я думаю передавать нужные маршруты клиентам через DHCP, но не понимаю, где это настраивается. Как правильно реализовать такую маршрутную политику и где следует указывать/передавать эти маршруты?

5 июня 2026 г. 15:01

Ответы на вопрос 1

Похожие вопросы

Answer 1

Коротко — где что настраивать и как правильно реализовать желаемое поведение.

Основные идеи
- SSTP (RRAS) даёт клиенту IP и устанавливает туннель. Маршруты, по которым клиент будет отдавать трафик в туннель, контролируются на стороне клиента (split‑tunnel / «Use default gateway on remote network») и/или через механизмы аутентификации (RADIUS) — не через обычные DHCP‑опции.
- DHCP‑опция 121 (classless static routes) применяется к DHCP‑клиентам; RRAS, даже если берёт адреса у DHCP, как правило не «проксирует» эти DHCP‑опции дальше в PPP/SSTP‑сессию. То есть идея «передавать маршруты через DHCP» для VPN‑клиентов не сработает.
- Практичные варианты решения: 1) включить split tunneling и «запушить» нужные маршруты на клиенты (GPO / Intune / startup‑скрипт / PowerShell); 2) заставить сеть/маршрутизатор (MikroTik) и/или firewall разрешать доступ от VPN‑пула только к нужному локальному ресурсу и блокировать всё остальное. Часто используют и оба подхода вместе.

Где на Windows Server настраивать IP и RRAS (SSTP)
1) Сетевые адреса сервера (физ./вирт. NIC)
- В «Network Connections» назначьте IP на внешний интерфейс (тот, что виден в интернете) или обеспечьте проброс TCP 443 на MikroTik (если RRAS стоит за NAT).
- SSTP слушает на TCP/443. Сертификат (SSL) нужно поставить в Personal store у Local Computer и выбрать его в свойствах RRAS → Security → SSTP certificate.

2) RRAS — установка/настройка
- Server Manager → Add Roles and Features → Remote Access → Role services: VPN (и DirectAccess если нужно, но нам достаточно VPN).
- После установки: Routing and Remote Access → щёлкнуть сервер → Configure and Enable Routing and Remote Access → Custom configuration → VPN access (и NAT/Firewall если нужно).
- В свойствах RRAS → IPv4 → Address Assignment:
  - Либо «Static address pool» — задайте пул адресов (желательно отдельный подсеть/диапазон, не пересекающийся с LAN и клиентскими подсетями).
  - Либо «Use DHCP» — RRAS будет брать адреса у DHCP (но, как сказано выше, DHCP‑опции не доходят до VPN‑клиента).

3) (Опционально) Static Routes в RRAS
- В консоли RRAS → IPv4 → General → можно добавить статические маршруты для самого сервера (чтобы RRAS мог доставлять трафик из VPN в вашу сеть), но эти маршруты применимы к таблице маршрутизации сервера, а не «пушатся» автоматом клиенту.

Как «запушить» маршруты клиентам (варианты)
A) Самый надёжный и контролируемый (рекомендую): управлять маршрутами на клиентах
- Включить split tunneling на клиенте (чтобы по умолчанию интернет шёл не через VPN):
  - На клиенте (Windows) в свойствах VPN connection → IPv4 → Advanced → снять галку «Use default gateway on remote network».
  - Для централизованной настройки на доменных машинах используйте GPO / Intune / скрипты.
- Добавить статические маршруты в VPN‑профиль на клиенте (пример PowerShell):
  - Set-VpnConnection -Name "SSTP‑VPN" -SplitTunneling $true
  - Add-VpnConnectionRoute -ConnectionName "SSTP‑VPN" -DestinationPrefix "10.10.10.5/32"
  - Add-VpnConnectionRoute -ConnectionName "SSTP‑VPN" -DestinationPrefix "93.184.216.34/32" (IP целевого сайта)
  Эти команды можно выполнять через GPO (Startup/Logon script), Intune или при создании VPN‑профиля.

B) Push маршрутов с сервера через RADIUS (если хотите, чтобы сервер сам назначал маршруты)
- RADIUS имеет атрибут «Framed‑Route» (способ передачи маршрутов PPP‑клиенту). Технически это правильный путь для «проталкивания» маршрутов сервером.
- На практике: нужно использовать NPS (Microsoft RADIUS) или внешний RADIUS, и настроить выдачу Framed‑Route в политике аутентификации. GUI NPS не всегда прост для этого — иногда приходится добавлять RADIUS‑атрибут вручную (Vendor‑Specific или framed‑route) или использовать сторонний RADIUS, который умеет отдавать эти маршруты.
- Минус: сложнее настроить, и всё равно надо быть аккуратным с адресами/масками.

C) Серверсайд‑ограничение доступа (обязательное для безопасности)
- Даже если вы настроите маршруты на клиентах, доверять клиентам полностью опасно. На MikroTik и/или Windows Server нужно:
  - дать VPN‑пулу доступ только к конкретному локальному ресурсу (IP/порт), запретить доступ к другим локальным подсетям.
  - если нужно, блокировать у сервера/маршрутизатора NAT/форвардинг внешнего трафика через VPN.
- На MikroTik это делается правилами firewall (accept для VPN-пула → IP ресурса, drop/deny для остальных локальных подсетей). На Windows можно добавить firewall rules, но удобнее делать на центральном маршрутизаторе (в вашем случае MikroTik).

Практический план действий для вашей схемы (Hyper‑V + MikroTik + Windows SSTP)
1. На MikroTik:
   - Пробросьте TCP/443 с внешнего интерфейса на адрес Windows Server (если Server за NAT).
   - Настройте firewall: allow from VPN пул к единственному локальному ресурсу (IP сервера/сервиса), deny к другим локальным подсетям.
2. На Windows Server:
   - Установите RRAS (SSTP). Укажите сертификат.
   - В RRAS → IPv4 → Address Assignment задайте статический пул для VPN‑клиентов (например, 10.200.200.0/24).
   - Проверьте в RRAS, что сервер сам умеет маршрутизировать трафик из этого пула в LAN (возможно, добавьте маршруты в RRAS если нужно).
3. На клиентах:
   - Настройте VPN‑профили с SplitTunneling включённым (Set‑VpnConnection -SplitTunneling $True).
   - Добавьте конкретные маршруты к разрешённым IP/сайтам (Add‑VpnConnectionRoute), либо добавьте скрипт, который при подключении добавляет маршруты.
   - Если клиенты доменные — разверните через GPO/Intune.
4. Тестируйте:
   - Подключитесь с клиентского ПК за иным роутером: проверьте, что по умолчанию интернет идёт через локальную сеть клиента; запросы к разрешённым IP идут через туннель; доступ к другим локальным адресам блокируется на MikroTik.

Короткие ответы на вопросы «где настраивать»
- IP адреса интерфейсов — в Network Connections (или на MikroTik, если внешнее).
- Пул IP для VPN клиентов — в RRAS → Properties → IPv4 → Address Assignment (Static address pool) либо DHCP.
- «Статические маршруты» для самого сервера — RRAS → IPv4 → General → Static Routes (это маршруты сервера, не маршруты клиента).
- Маршруты, которые должен получить клиент:
  - либо задаются на клиенте (PowerShell / GPO / Intune) — рекомендованный способ;
  - либо «проталкиваются» через RADIUS (Framed‑Route) — более сложный вариант и требует RADIUS-конфигурации.
- Не используйте DHCP‑options для передачи маршрутов VPN‑клиентам — это не будет работать как вы ожидаете.

Если хотите, могу:
- дать точную пошаговую инструкцию по настройке RRAS (screenshots/команды),
- подготовить PowerShell‑скрипты (Set‑VpnConnection / Add‑VpnConnectionRoute) и пример GPO/скрипта для распространения на клиентские машины,
- или помочь с правилами firewall на MikroTik (пара правил accept/deny) для вашего конкретного адресного плана — пришлите план сети (какие подсети, какой пул для VPN, IP локального ресурса и т.д.).