راه اندازی SSTP-VPN در میکروتیک
راه اندازی SSTP-VPN در میکروتیک
در این مقاله آموزشی قصد داریم:
با نحوه راه اندازی سرور SSTP در میکروتیک آشنا شویم.
پروتکل SSTP:
پروتکل SSTP یا Secure Socket Tunneling Protocol پروتکلی ابداعی توسط شرکت مایکروسافت است
که با معرفی ویندوز ویستا سرویس پک ۱ به دنیا معرفی شد
و امروزه در تمامی سیستم عامل های خانواده مایکروسافت این سرویس پشتیبانی می شود.
این سرویس از پروتکل مشهور SSL برای رمزنگاری و ارسال داده ها استفاده می کند
و طبیعتا وقتی اسم SSL می آید شما به یاد https و یا TLS که پروتکل های امنیتی وب هستند می افتید.
در واقع یکی از مهمترین مشکلاتی که SSTP حل می کند،
مشکل فایروال ها و سرویس های NAT ای است که در بین راه سرویس های VPN قرار می گیرند
و مانعی بزرگ برای برقراری ارتباط بین VPN ها هستند.
با توجه به اینکه پروتکل SSTP از پورت شناخته شده ۴۴۳، که پورت مورد استفاده در https هم هست استفاده می کند
تقریبا در اکثر فایروال های دنیا این پورت براحتی و بدون دردسر قابل عبور است.
پیاده سازی این سرویس:
البته هر چند پیاده سازی این سرویس در سمت کلاینت بسیار ساده است و تنها با ایجاد کردن یک Connection انجام می شود
اما راه اندازی سرویس SSTP در سمت سرور بعضا می تواند بسیار پیچیده باشد
و در قالب سناریوهای متنوعی قابل پیاده سازی است که در این مقاله به نحوه راه اندازی ساده این سرویس در تجهیزات میکروتیک می پردازیم.
با توجه به این که این سرویس از SSL برای رمزنگاری ارتباطات استفاده می کند
جهت ایجاد یک SSL معتبر یا Local می توانیم از یک CA Server اینترنتی معتبر یا سرور داخلی استفاده کنیم
که در این مقاله ابتدا در روتر میکروتیک خود یک CA ایجاد کرده و سپس نسبت به ایجاد SSL و فعالسازی سرور SSTP اقدام می کنیم.
در نسخه های قبلی میکروتیک:
امکان ایجاد CA و Sign کردن توسط خود میکروتیک وجود نداشت و کاربران باید بصورت جداگانه یک CA Request ایجاد کرده
و در یک سرور لینوکسی با سرویس OpenSSL نسبت به ایجاد Cert اقدام کنند
ولی در نسخه جدید میکروتیک خوشبختانه این قابلیت قرار داده شده است که بصورت Self-Sign امکان ایجاد Cert وجود دارد.
ابتدا در روتر میکروتیک به منو SystemàCertificate وارد می شویم، روی گزینه + کلیک می کنیم
و پارامترها را به شکل زیر تکمیل می کنیم:
در ادامه:
بعد از دخیره سازی CA فوق، مجدداً نسبت به ایجاد یک CA برای سمت Server اقدام می کنیم.
در نظر داشته باشید در قسمت Common Name باید آدرس دامنه و یا IP سرور را وارد کنیم.
برای Certificate دوم در قسمت Key Usage باید همه گزینه ها را غیرفعال کنیم.
بعد از این کار:
روی CA اول که با نام MTK_CA ایجاد کردیم گزینه Sign را انتخاب می کنیم و در قسمت CA CRL Host مجدد آدرس سرور را وارد می کنیم:
بعد از این کار:
باید در قسمت Certificate باید در کنار MTK_CA گزینه KAT درج شود.
در ادامه:
روی MTK_Server نیز عملیات Sign را انجام می دهیم و در قسمت CA گزینه MTK_CA را انتخاب کرده و روی Sign کلیک می کنیم.
بعد از ایجاد Cert نسبت به ایجاد پروفایل VPN و فعال کردن SSTP Server اقدام می کنیم:
در نظر داشته باشید که تنظیمات مربوط به PPP Profile در این مقاله گنجانده نشده است
و قبل از فعال سازی سرور SSTP، ابتدا باید یک Profile مناسب که شامل IP Pool و اطلاعات مربوط به DNS و رمزنگاری و… می باشد ایجاد شود.
سپس:
از قسمت Secrets شناسه کاربری و رمز عبور مناسب برای اتصال توسط کاربران برای ایشان در نظر گرفته شود.
در نهایت:
با فعال کردن SSTP Server و انتخاب MTK_Server در قسمت Certificate این سرویس در سمت سرور بطور کامل فعال می شود.
در مرحله آخر:
جهت اتصال کاربران در ابتدا باید CA سرور را از میکروتیک export کرده
و در سیستم عامل ویندوز و یا… کاربر به عنوان یک Trusted Root Certification Authoritiesدر Local Machine ویندوز Import نماییم.
سپس:
فایل cert_export_MTK_CA.crt را به سیستم کاربر منتقل کرده و Install می کنیم:
و در نهایت:
با شناسه و رمزی که از قبل در روتر تعریف شده است، نسبت به اتصال در میکروتیک با SSTP اقدام می کنیم.
جهت مشاهده فیلم های آموزشی میکروتیک بر روی این لینک کلیک نمایید.
جدیدترین اخبار مجموعه فراز نتورک را در صفحات اجتماعی دنبال کنید.
راه اندازی SSTP-VPN در میکروتیک – نویسنده: مهندس بهداد رحمانی
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.