Serwer SSTP [Konfiguracja Mikrotik]
Wstęp
W dobie dzisiejszego świata ochrona prywatności w internecie jest ważnym czynnikiem każdego użytkownika. Na pomoc przychodzi protokół SSTP ( Secure Socket Tunelling Protocol), który jest jednym z typów połączenia VPN. Tworzy tunel pomiędzy klientem a serwerem. Korzysta z protokołu TLS dzięki czemu wszystkie dane przesyłane przez ten tunel są szyfrowane. Jeśli osoba trzecia przechwyci ruch sieciowy, nie będzie mogła odczytać treści przesyłanych danych.
W przypadku Mikrotika, połączenie SSTP może być skonfigurowane na routerze lub innym urządzeniu sieciowym obsługującym protokół PPP (Point to Point Protocol).
Instrukcję w formie video obejrzysz tutaj 🙂
Wstęp
Generowanie certyfikatu
Generowanie certyfikatu dla serwera
Tworzenie puli dla SSTP
Uruchomienie usługi
Dodanie reguły w zaporze
Konfiguracja klienta
Schemat działania protokołu SSTP
Konfiguracja serwera SSTP
- Generowanie, podpisywanie oraz eksport certyfikatów
Po zalogowaniu się do winboxa musimy wygenerować certyfikaty.
Dodajemy certyfikat i uzupełniamy odpowiednie pola
Name: nazwa certyfikatu
Country: wybieramy kraj
Common Name: adres publiczny naszego serwera
Key size: rozmiar klucza szyfrowania
W zakładce Key Usage wybieramy crl sign oraz key cert. Sign oraz zatwierdzamy Apply i Ok
Teraz tworzymy certyfikat dla serwera
Dodajemy nowy i uzupełniamy odpowiednie pola
Name: nazwa certyfikatu
Country: wybieramy kraj
Common Name: adres publiczny naszego serwera
Key size: rozmiar klucza szyfrowania
W zakładce Key usage zaznaczamy digital signature, key enciphement oraz tls server, potwierdzamy Apply i Ok
Trzeba teraz podpisać wygenerowane certyfikaty.
Klikamy na certyfikat PPM i wybieramy Sign
Po zakończonym procesie, powtarzamy czynności dla certyfikatu serwera, wybierając certyfikat w polu CA
Teraz należy wyeksportować certyfikat, który klient będzie musiał zaimportować go u siebie.
Klikamy PPM na główny certyfikat i wybieramy Export
Pojawi się on w zakładce Files
Aby wysłać certyfikat klientowi, możemy użyć np. poczty
Konfiguracja ustawień SSTP
Tworzymy pule, która będzię wykorzystywana przez SSTP
Wchodzimy w zakładke IP > POOL oraz uzupełniamy pola i zatwierdzamy
Przechodzimy teraz do zakładki PPP > Profiles aby utworzyć nowy profil.
Uzupełniamy odpowiednie pola
Name: nazwa profilu
Local address: pierwszy adres z puli (brama)
Remote address: wskazujemy pulę
Oraz w zakładce Protocols
Tworzymy teraz użytkownika (klienta), który będzie się logować
Przechodzimy do zakładki Secrets i dodajemy nowe pole, uzupełniając je
Name: nazwa użytkownika
Password: hasło użytkownika
Service: wybieramy protokół SSTP
Profile: poprzednio utworzony profil
Musimy uruchomić teraz usługę SSTP, przechodzimy do zakładki Interface oraz SSTP Server
Klikamy Enabled
Default profile: utworzony profil
Authentication: mschap2 jest obecnie najlepszy
Certificate: wybieramy certyfikat serwera
I zatwierdzamy
Musimy utworzyć teraz regułę na zaporze, by przepuszczała połączenie SSTP
Z zakładki wybieramy IP > Firewall
Dodajemy nową regułę uzupełniając pola
Chain: input
Protocol: 6 (tcp)
Dst. Port: 443
W zakładce action powinna zostać zaznaczona opcja Accept
Gdy nie mamy ustawionej reguły, by przepuszczała ruch sieciowy wchodzimy dodatkowo w zakładkę NAT oraz uzupełniamy pola
Chain: srcnat
Out. Interface: interfejs do którego mamy podłączony router
W zakładce Action trzeba zaznaczyć masquerade
Po tych krokach serwer SSTP będzie działał poprawnie
Gdy klient połączy się, będzie go można zobaczyć w zakładce PPP > Active Connections
Konfiguracja klienta SSTP
Gdy zaimportujemy certyfikat na pulpit klikamy w niego i wybieramy zainstaluj certyfikat
Później wybieramy opcję Umieść wszystkie certyfikaty i wskazujemy folder Zaufane główne urzędy certyfikacji
Po tych krokach powinno ukazać się okno
Dodajemy nowe połączenie VPN i uzupełniamy pola
Nazwa połączenia: nazwa jaka będzie wyświetlana
Nazwa lub adres serwera: adres publiczny serwera mikrotik
Typ sieci VPN: wybieramy Protokół SSTP
Typ informacji użytkownika: użytkownik i hasło
Nazwa: nazwa użytkownika
Hasło: hasło użytkownika
Zapisuje i klikamy połącz
Jak widzimy wszystko działa, klient dostaje adres z utworzonej puli i może pingować na bramę
Po rozłączeniu ukażą się takie informacje
