Secure Socket Tunneling Protocol
Więcej miejsc do posłuchania:
Link do artykułu.
0:00 Wprowadzenie
0:22 Generowanie certyfikatów
2:50 Ustawienie Profilu PPP Secret
3:14 Konfiguracja Zasad Firewalla
4:04 Konfiguracja VPN’a
6:30 Podsumowanie
Transkrypcja
Cześć, dzisiaj pokażę jak skonfigurować VPN’a w oparciu o SSTP na MikroTiku i na kliencie Windowsowym. Jeżeli te kroki Cię interesują to będzie to kilkuminutowa instrukcja jak szybko zestawić takie połączenie bez konieczności instalowania czegokolwiek na stacji końcowej na Windowsie.
Zaczynamy od wygenerowania certyfikatów. Czyli system -> certyficates i będziemy potrzebować dwa certyfikaty. Certyfikat z Urzędu i certyfikat serwera. Tutaj widać, że certyfikat to będzie w tym przykładzie certyfikat urzędu certyfikacyjnego. Common Name adres IP naszego MikroTika bo tutaj będziemy mieli też urząd certyfikacji. Sposób użycia crl i key cert. Sposób użycia klucza powiązanego z tym certyfikatem i certyfikat serwera, który wystawiamy Country jest opcjonalne ale Common Name jest tutaj bardzo kluczowe. Czyli ten adres IP, który używamy musi być właściwie wpisany. Jeżeli tutaj wpisujesz po nazwie DNS’owej to oczywiście w Common Name powinien być wpisany FQDN czyli ta nazwa domenowa. Typ użycia dla serwera to digital sygnature, key encipherment i tls server.
Podpisujemy oba wnioski, które wystawiliśmy. Certyfikat czyli dla nazwy certyfikatu certyfikat został już wystawiony i jest zaufany. Jeżeli chodzi o drugi certyfikat czyli server to jest widać po prawej stronie CA wyspecyfikowane i to oznacza, że certyfikat dla serwera SSTP jest wystawiony przez urząd, który się nazywa Certyfikat. Zauważ też, że nasz Urząd ma już automatycznie zaufany jakby poziom zaufania tego Urzędu czyli Trusted jest. Natomiast dla serwera, dla tego certyfikatu serwera musimy to jeszcze dodatkowo zaznaczyć, że ufamy urzędowi, który wystawił ten certyfikat. Oba certyfikaty są teraz zaufane, eksportujemy certyfikat urzędu. To będzie potrzebne na stacji końcowej. Na Windowsie z którego będziemy VPN zestawiać.
Następnie tworzymy pulę adresową dla połączenia VPN’owego no i to będą adresy 7.7.7.2 do 7.7.7.5 Pulę mamy adresowa stworzoną, teraz tą pulę będziemy przypinać do profilu. Najpierw profil PPP czyli point to point Protocol. Tworzymy taki profil, następnie nadajemy adres IP dla tego interfejsu, który będzie powiązany z tym połączeniem. Używamy szyfrowania w tym profilu PPP. Wszystkie pozostałe rzeczy są ustawione no i default.
Kolejnym krokiem to jest ustawienie profilu PPP Secret. Nazywamy ten profil, ustawiamy hasło. Typ usługi SSTP i profil VPN, który wcześniej ustawialiśmy. Na końcu w tej zakładce interfejs musimy włączyć serwer SSTP na naszym Mikrotiku używając profilu VPN i certyfikatu dla tej usługi.
Następnym krokiem jest konfiguracja zasad Firewalla czyli musimy w chain input, który dotyczy pakietu idącego do Mikrotika na porcie 4.3 Action akcept ustawić. Następnie ustawiamy maskaradę. To jest jedna z opcji ale tu w tym przykładzie akurat pokazujemy jak ustawić to z natowaniem Czyli będziemy cały ten ruch z puli VPN’owej wcześniej ustawionej natować na adres naszego Mikrotika. Czyli maskarada No i teraz możemy przejść do konfiguracji na naszym Windowsie jako stacji końcowej. Mamy jeden interfejs. Możemy najpierw spróbować zapingować bez podniesionego VPN’a czy jest osiągalny adres 7.7.7.1 No nie jest, jeszcze nie skonfigurowaliśmy profilu odpowiedniego.
Teraz kolejnym krokiem będzie konfiguracja VPN’a w ramach dostępnego suplikanta. Czyli nie trzeba nic więcej konfigurować na tym Windowsie wystarczy odpowiednie parametry wpisać. Pierwszy krok, który potrzebujemy zrobić to importujemy certyfikat na tą stację Windowsa. Musimy tutaj do tego naszego katalogu zaufanych urzędów dodać nasz certyfikat, który wyeksportowaliśmy wcześniej z MikroTika. Czyli magazyn certyfikatów zaufanych i teraz możemy przejść do konfiguracji VPN’a. Jeszcze tylko dodam krótką informację dlaczego dodajemy ten certyfikat. Ano dlatego, ze my mamy na naszym mikrotiku urząd nie zaufany publicznie. Czyli nasz Windows, który tutaj będziemy konfigurować, nie ufa urzędowi, który wystawiał certyfikaty konieczne do zestawienia tego połączenia VPN.
Jeżeli byś miał takie certyfikaty z urzedów publicznie zaufanych to wtedy nie musisz wykonywać tego kroku bo Windows po prostu będzie ufał publicznym zaufanym urzędom. Jeżeli robisz tak jak w tym przykładzie to trzeba ten certyfikat zaimportować do zaufanych urzędów. Konfiguracji VPN’a, nazwa połączenia, adres IP serwera, czyli naszego Mikrotika. Wybieramy protokół SSTP, będziemy się logować nazwą użytkownika i hasłem. Czyli oprócz tego, że certyfikaty będą weryfikowane to jeszcze będzie weryfikowany użytkownik i hasło.
Mamy profil stworzony, łączymy. Jest połączony VPN. Możemy teraz sprawdzić czy nowy interfejs nam został dodany do Windowsa, widzimy PPP adapter jest podłączony z adresem z końcówką 5. Jak zapingujemy adres z końcówką 1 to jest adres tego tunelu VPN’owego po stronie Mikrotika to widzimy, że ruch przechodzi. Tak samo możemy zapingować ruch w internecie bo mamy skonfigurowaną maskaradę. Czyli NAT. Jeżeli wyłączymy teraz profil VPN’owy i spróbujemy jeszcze raz zapingować, tunel jest nie połączony. Połączenie jest niemożliwe czyli wychodzą time out’y na pingu. Widzimy, że musimy włączyć połączenie VPN, żeby nam zadziałało połączenie. W profilu PPP możemy zobaczyć sobie Active conections i zobaczyć jakie tunele są do nas zestawiane z jakiego adresu IP przychodzi to połączenie i jaki adres klienta czyli w tym przypadku z końcówką 5 widzimy w połączeniu z naszym Mikrotikiem.
To wszystko w tym odcinku. Jeżeli masz jakieś pytania albo uwagi co do tego materiału to oczywiście pisz w komentarzu. Dziękuję Ci za uwagę i do zobaczenia, do usłyszenia już za tydzień.