Serwer SSTP [Konfiguracja Mikrotik]

Wstęp

W dobie dzisiejszego świata ochrona prywatności w internecie jest ważnym czynnikiem każdego użytkownika. Na pomoc przychodzi protokół SSTP ( Secure Socket Tunelling Protocol), który jest jednym z typów połączenia VPN. Tworzy tunel pomiędzy klientem a serwerem. Korzysta z protokołu TLS dzięki czemu wszystkie dane przesyłane przez ten tunel są szyfrowane. Jeśli osoba trzecia przechwyci ruch sieciowy, nie będzie mogła odczytać treści przesyłanych danych.

W przypadku Mikrotika, połączenie SSTP może być skonfigurowane na routerze lub innym urządzeniu sieciowym obsługującym protokół PPP (Point to Point Protocol).

Instrukcję w formie video obejrzysz tutaj 🙂

Wstęp
Generowanie certyfikatu
Generowanie certyfikatu dla serwera
Tworzenie puli dla SSTP
Uruchomienie usługi
Dodanie reguły w zaporze
Konfiguracja klienta

Schemat działania protokołu SSTP

Konfiguracja serwera SSTP

  1. Generowanie, podpisywanie oraz eksport certyfikatów

Po zalogowaniu się do winboxa musimy wygenerować certyfikaty.

Dodajemy certyfikat i uzupełniamy odpowiednie pola

Name: nazwa certyfikatu

Country: wybieramy kraj

Common Name: adres publiczny naszego serwera

Key size: rozmiar klucza szyfrowania

W zakładce Key Usage wybieramy crl sign oraz key cert. Sign oraz zatwierdzamy Apply i Ok

Teraz tworzymy certyfikat dla serwera

Dodajemy nowy i uzupełniamy odpowiednie pola

Name: nazwa certyfikatu

Country: wybieramy kraj

Common Name: adres publiczny naszego serwera

Key size: rozmiar klucza szyfrowania

W zakładce Key usage zaznaczamy digital signature, key enciphement oraz tls server, potwierdzamy Apply i Ok

Trzeba teraz podpisać wygenerowane certyfikaty.

Klikamy na certyfikat PPM i wybieramy Sign

Po zakończonym procesie, powtarzamy czynności dla certyfikatu serwera, wybierając certyfikat w polu CA

Teraz należy wyeksportować certyfikat, który klient będzie musiał zaimportować go u siebie.

Klikamy PPM na główny certyfikat i wybieramy Export

Pojawi się on w zakładce Files

Aby wysłać certyfikat klientowi, możemy użyć np. poczty

Konfiguracja ustawień SSTP

Tworzymy pule, która będzię wykorzystywana przez SSTP

Wchodzimy w zakładke IP > POOL  oraz uzupełniamy pola i zatwierdzamy

Przechodzimy teraz do zakładki PPP > Profiles aby utworzyć nowy profil.

Uzupełniamy odpowiednie pola

Name: nazwa profilu

Local address: pierwszy adres z puli (brama)

Remote address: wskazujemy pulę

Oraz w zakładce Protocols

Tworzymy teraz użytkownika (klienta), który będzie się logować

Przechodzimy do zakładki Secrets i dodajemy nowe pole, uzupełniając je

Name: nazwa użytkownika

Password: hasło użytkownika

Service: wybieramy protokół SSTP

Profile: poprzednio utworzony profil

Musimy uruchomić teraz usługę SSTP, przechodzimy do zakładki Interface oraz SSTP Server

Klikamy Enabled

Default profile: utworzony profil

Authentication: mschap2 jest obecnie najlepszy

Certificate: wybieramy certyfikat serwera

I zatwierdzamy

Musimy utworzyć teraz regułę na zaporze, by przepuszczała połączenie SSTP

Z zakładki wybieramy IP > Firewall

Dodajemy nową regułę uzupełniając pola

Chain: input

Protocol: 6 (tcp)

Dst. Port: 443

W zakładce action powinna zostać zaznaczona opcja Accept

Gdy nie mamy ustawionej reguły, by przepuszczała ruch sieciowy wchodzimy dodatkowo w zakładkę NAT oraz uzupełniamy pola

Chain: srcnat

Out. Interface: interfejs do którego mamy podłączony router

W zakładce Action trzeba zaznaczyć masquerade

Po tych krokach serwer SSTP będzie działał poprawnie

Gdy klient połączy się, będzie go można zobaczyć w zakładce PPP > Active Connections

Konfiguracja klienta SSTP

Gdy zaimportujemy certyfikat na pulpit klikamy w niego i wybieramy zainstaluj certyfikat

Później wybieramy opcję Umieść wszystkie certyfikaty i wskazujemy folder Zaufane główne urzędy certyfikacji

Po tych krokach powinno ukazać się okno

Dodajemy nowe połączenie VPN i uzupełniamy pola

Nazwa połączenia: nazwa jaka będzie wyświetlana

Nazwa lub adres serwera: adres publiczny serwera mikrotik

Typ sieci VPN: wybieramy Protokół SSTP

Typ informacji użytkownika: użytkownik i hasło

Nazwa: nazwa użytkownika

Hasło: hasło użytkownika

Zapisuje i klikamy połącz

Jak widzimy wszystko działa, klient dostaje adres z utworzonej puli i może pingować na bramę

Po rozłączeniu ukażą się takie informacje