1. 首頁 > 生活經驗 > >

RouterOS搭建一臺SSTPServer用于遠程辦公 routeros安裝教程

經驗常識知識分享

2020新冠疫情期間,很多單位提倡在家soho辦公,這時候有一臺ssl v*n服務器就顯得尤為重要 。下面步驟可以搭建一臺低成本的RouterOS的ssl服務器 。
【RouterOS搭建一臺SSTPServer用于遠程辦公 routeros安裝教程】一、基礎知識
SSL 安全協議最初是由美國網景公司設計開發的,全稱為:安全套接層協議 (Secure Sockets Layer) , 它指定了在應用程序協議 ( 如 HTTP 、 Telnet 、FTP) 和 TCP/IP 之間提供數據安全性分層的機制,它是在傳輸通信協議上實現的一種安全協議,采用公開密鑰技術,它為TCP/IP 連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證 。
SSTP可以認為是微軟版的SSL v*n協議,微軟自2008服務器開始支持SSTP,不過微軟系統在實現上配置相當復雜 。RouterOS上可以簡單配置實現SSTP的服務器,配合微軟的客戶端,搭建一個較為完美的ssl系統 。
SSTP系統需要用到服務器證書,微軟的客戶端需要用到信任的授權單位的證書,所以一般企業就用自簽名證書來實現 。
二、搭建環境
1、RouterOS V6.46 (一片網卡,內外網都在上面)
2、客戶端:windows 10 專業版
3、域名:xu.com (根據單位不同可替換)
4、ca證書名稱:ca.xu.com
5、服務器證書名稱:server.xu.com
三、配置步驟
1、 ip pool等SSTP服務器設置
在RouterOS上,需要先設置SSTP服務器相關內容,主要步驟有設置pool池,設置profile文件,設置撥號用戶名,最后設置服務器并關聯相關參數 。
/ip pool addname=“sstp-v*n-pool” ranges=172.30.0.2-172.30.0.254
/ppp profile addname=“sstp-v*n-profile” use-encryption=yes local-address=172.30.0.1dns-server=8.8.8.8remote-address=sstp-v*n-pool
/ppp secret addname=sstpuser1 profile=sstp-v*n-profile password=sstpuser1 service=sstp
/interfacesstp-server server set enabled=yes default-profile=sstp-v*n-profileauthentication=mschap2
/interfacesstp-server server set enabled=yes default-profile=sstp-v*n-profile authentication=mschap2certificate=server.xu.com force-aes=yes pfs=yes
2、 配置證書系統并導出CA證書
以下步驟同樣是在RouterOS上做:
第一步先建立證書模板 。
/certificate
addname=ca-template common-name=ca.xu.comdays-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign
addname=server-template common-name=*.xu.com days-valid=3650key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
第二步進行簽名,ca做自己簽名 。
/certificate
sign ca-templatename=ca.xu.com
sign server-templatename=server.xu.com ca=ca.xu.com
第三步導出ca證書(用export),再下載到本地,這些步驟可通過webcfg的菜單界面來做比較方便 。
第四部,在客戶端計算機上導入打本地計算機中 。
步驟:是找到該證書文件、右鍵、導入證書 。

RouterOS搭建一臺SSTPServer用于遠程辦公 routeros安裝教程

文章插圖
注意證書存儲位置一定要導入到“本地計算機”的“受信任的根證書頒發機構”中 。
3、 在PC客戶端導入CA證書 。
在win10的客戶端上,在網絡的v*n一欄中,添加v*n連接,如下圖所示:
RouterOS搭建一臺SSTPServer用于遠程辦公 routeros安裝教程

文章插圖
連接名稱可以任意寫一個容易記住的名字,但是服務器名稱或地址必須要寫域名,本文是server.xu.com 。因為是測試環境,我需要修改我的etc/hosts文件,正式環境可不用修改 。Hosts文件添加一行:
192.168.12.251 server.xu.com
如果是大規模部署,可手工方式建立sstp v*n的鏈接文件,直接在客戶機器上運行以下命令:(在powershell以管理員命令方式運行)
PS> powershell.exe -c ‘Add-v*nConnection -name “SSTP-v*n連接” -ServerAddress“server.xu.com” -TunnelType Sstp -auth MSChapv2 -RememberCredential-PassThru’
4、測試 。
在windows10機器上,找到“Sstp-v*n連接”,撥號,輸入用戶名和密碼(我用的用戶名和密碼都是sstpuser1),測試,正常 。
總體來說比較簡單,是一臺比較有用的SSL設備,適合小微企業使用 。RouterOS路由器的基礎設置本文并沒有寫出來 。最主要有設置有內外網ip,nat轉換使之能上網,如果實際使用還需要做一些安全設置,如更改admin密碼,關閉不常用的端口等 。還需要申請域名和公網地址,祝順利 。
常見錯誤:
SSL握手失敗時,您將看到以下證書錯誤之一:(綜合了網上的一些信息和我自己總結的一些錯誤)
證書尚未生效 :證書日期晚于當前時間;證書已過期 :證書的到期日期在當前時間之前;invalid證書用途 :提供的證書不能用于指定目的;self在鏈中簽名的證書 :可以使用不受信任的證書建立證書鏈,但是在本地找不到根可以在本地獲取頒發者證書:CA證書不在本地導入;server的IP地址與證書不匹配 :啟用了服務器地址驗證,但是證書中提供的地址與服務器的地址不匹配;證書的cn名與傳遞的值不匹配:這是在服務器上選用了CA的驗證,正確的應該選用server的驗證 。域名變了也是這個錯誤 。接收到的消息異常,或格式不準確:這是因為在服務器上未啟動證書認證 。(在SSTP Server的設置上可修改 。)證書對于請求用法無效:有證書,但是在PC機器上把正確的ca證書禁用了 。證書對于請求用法無效:證書導入了,查看證書屬性,發現證書目的是給客戶端身份驗證使用的 。改為給服務器身份驗證使用 。處理證書鏈,但是在不受信任提供程序信任的根證書中終止:證書沒有正確導入,原因是沒有導入正確的證書到“本地計算機”的受信任根頒發機構的目錄中 ?;蛘咴蚴亲C書正確,導入到了“當前用戶”的受信任根頒發機構目錄 。服務器地址錯誤也是這個提示 。不能建立到遠程計算機的連接,你可能需要更改此連接的網絡設置:在SSTP服務器設置中,勾選了PFS 。不是有連接錯誤提示,但是有時也能連接上來 。MRRU設置了也會有這個提示 。由于目標服務器積極拒絕,無法連接:服務器上SSTP服務器沒有起作用,需要enable 。能建立到遠程計算機的連接,因此用于此連接的端口已關閉:是認證方法不對,改為machapV2 。此句柄相關聯的操作鎖定現在與其他句柄相關聯:是SSTP服務器設置中勾選了“verify ClientCertificate” 。,