12
返回列表 發帖
dreamy2k

Rank: 1
1# 跳轉到 » 倒序看帖
打印
tT
發表於 2013-1-21 09:58 | 只看該作者

RouterOS SSTP

本帖最後由 dreamy2k 於 2013-6-10 10:09 編輯

因為呢幾日有D忙所以現在才出教程!!大家覺得有什么問題歡迎提出指點

首先要用SSTP有兩個條件
1. DOMAIN,一個SUB DOMAIN,例如(sstp.abc.com)
2. 要去申請一張網絡認可的SSL証書,免費有www.startssl.com

因為SSL証書是依賴DNS去作出認証,所以DOMAIN的事先要解決
甘解決了DOMAIN的事后可以跟以下的網友的教學去STARTSSL上申請一年免費的証書

Startssl SSL 证书申请图解

申請完之后要去"Authenticate" -> "Tool Box" -> "StartCom CA Certificates" -> 下載"StartCom Root CA (PEM encoded)" 和 "Class 1 Intermediate Server CA"

甘SSL方面有四個file出來,ca.pem, sub.class1.server.ca.pem, server.pem和server.key

ROUTEROS SSTP有Site to Site同CLIENT to Site,在ROUTER SSTP SERVER SIDE不論SITE TO SITE或CLIENT TO SITE 設置都大同小異
先加返D SSL証書 ,張D証書UPLOAD去ROUTEROS上"FILE",之后拉入去頂層,同OPENVPN做法一樣

之后去System -> certificate -> import -> 選返個ca.pem -> passphrase打個密碼入去
完成再import -> 選返個sub.class1.server.ca.pem -> passphrase打個密碼入去
完成再import -> 選返個server.pem -> passphrase打個密碼入去
完成再import -> 選返個server.key -> passphrase打個密碼入去

*密碼統一用同一個
完成了就去再名幫d 証書,ca, class 1 ca, server (呢幾個名系我自己用,大家可以用別的吾一定跟我)

完成后就可以去ppp -> interface -> sstp server

ENABLE: 打勾
Auteentication: 全打勾
Certificate: 選返server
Verify Client Ceritificate: 吾好打勾

完成去Secrets加個USER

Name: peter (Username)
Password: 123456
Service: sstp或any
Profile: default
Local Address: 192.168.2.1 (Router Server Side VPN IP)
Remote Address: 192.168.2.2 (Client Side VPN IP)

完成了甘基本Server Side完成了

甘就回去返windows vista, 7 或8

之后去新增VPN,好似PPTP甘做
新增完去內容->安全性選返SSTP
同個SERVER 位置要用申請STARTSSL時的SUB DOMAIN

*補充
在WINDOWS CLIENT上要加返sub.class1.server.ca.pem入電腦先可以連上
開始->執行->mmc->檔案->新增或移除嵌入式管理單元->憑證->新增->電腦帳戶->完成

憑證->受信任的發行者->憑證>空白地方右鍵->所有工作->匯入->選回下載了的"sub.class1.server.ca.pem"
完成匯入后先去連接SSTP

---------------------------------------------------------------------------------------------------------------------------
2013-06-13補充

還有SERVER 和CLIENT的設置要分享給大家知道

假設:
有兩台RB450G (可以用其他型號ROUTEROS ROUTER)
SERVER SIDE NETWORK: 192.168.88.0/24
CLIENT SIDE NETWORK: 192.168.89.0/24

在SERVER SIDE

INTERFACE上加入一個SSTP SERVER介面
"NAME"輸入一個介面名稱
"USER"輸入設置好的SSTP帳號

PPP->SECRETS找回SSTP帳號
LOCAL ADDRESS: 本地IP,一個和本地IP不同的NETWORK(例如" 192.168.200.130)
REMOTE ADDRESS: CLIENT IP,一個LOCAL ADDRESS同NETWORK IP(例如" 192.168.200.111)
ROUTES: 192.168.89.0/24 192.168.200.111 1 (192.168.89.0/24是CLIENT NETWORK)

IP->FIREWALL->NAT->加入一條srcnat
General:
Dst. Address: 192.168.89.0/24
Protocol: 6 (tcp)
Out. Interface: sstp server介面名稱
Action:
Action: masquerade

*如果CLIENT SIDE有VLAN又想系SERVER SIDE入到去
IP->FIREWALL->Route加入一個routing

Dst. address: client side vlan network (例如: 192.168.90.0/24)
Gateway: SSTP SERVER INTERFACE

在CLIENT SIDE
IP->FIREWALL->Route加入一個routing

Dst. address: server side network (例如: 192.168.88.0/24)
Gateway: SSTP CLIENT INTERFACE
收藏 分享

homeinns

Rank: 1
2#
發表於 2013-1-21 14:23 | 只看該作者
有鑒于最近國内的網絡警察大力收緊對 不同種類破網翻墻的打擊力度,尤其是 “港燦” 最集中的珠三角地區。

連我們這些有很多年破網翻墻經驗的老雀都感到壓力。

看來開發下一代 破網翻墻 的 VPN 是刻不容緩的工作啦,以保持這個 “貓和老鼠”遊戲的延續性。

看來, Microsoft 的 新一代 SSTP VPN 是一個不錯的選擇。

上面 C-Hing 談及的就是在  RouterOS 裏面設立 SSTP VPN Server 的攻略。

下面是一些 SSTP VPN 的 General Knowledge 和 背景資料。

http://technet.microsoft.com/en-us/library/cc731352(v=ws.10).aspx

SSTP VPN 的 Dial-Up Client 軟件, 在 Window 7 (或更高級版本)裏, 是 Built-In 的, 不用再下載。(很遺憾,在老的 Window XP 系統,是不支援 SSTP VPN 的)

TOP

雯雯

Rank: 1
3#
發表於 2013-1-21 14:26 | 只看該作者
回復 2# homeinns

SSTP VPN最大問題係張cert, 就算用startssl也要有個自己付費的domain.
Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

dreamy2k

Rank: 1
4#
發表於 2013-1-22 09:17 | 只看該作者
其實DDNS都得!!因為佢要系SUB DOMAIN吾系DOMAIN

TOP

雯雯

Rank: 1
5#
發表於 2013-1-22 09:36 | 只看該作者
回復 4# dreamy2k

會唔會有D DDNS唔得? 例如DynDNS.
Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

dreamy2k

Rank: 1
6#
發表於 2013-1-22 12:14 | 只看該作者
本帖最後由 dreamy2k 於 2013-1-22 12:17 編輯

其實DDNS系得!!因為佢系要SUB DOMAIN例如abc.dyndns.org

dyndns.org系主domain, abc.dyndns.org系SUB DOMAIN
所以在startssl注册時用先打dyndns.org之后打abc.dyndns.org甘就得

startssl上主domain沒有限制,sub domain先要唯一

TOP

雯雯

Rank: 1
7#
發表於 2013-1-23 17:25 | 只看該作者
回復 6# dreamy2k

startssl沒有主domain做不了驗證.
Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

dreamy2k

Rank: 1
8#
發表於 2013-1-24 17:39 | 只看該作者
回復  dreamy2k

startssl沒有主domain做不了驗證.
雯雯 發表於 2013-1-23 17:25


對對!!我忘記了他要SEND一封電郵去DOMAIN注册者的email 郵箱里

不好意思

TOP

雯雯

Rank: 1
9#
發表於 2013-1-24 18:03 | 只看該作者
回復 8# dreamy2k

才想起之前在Google App買過1個domain還有幾個月到期, 請問怎樣指去DynDNS?
Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

Qnewbie

Rank: 1
10#
發表於 2013-1-24 18:26 | 只看該作者
Might be stick with RouterOS(both server and client):
http://wiki.mikrotik.com/wiki/Manual:Create_Certificates
RB750G, RB2011UAS-2HnD
IP01, A580IP, AT-610

TOP

dreamy2k

Rank: 1
11#
發表於 2013-1-24 20:44 | 只看該作者
回復 9# 雯雯

你CHECK下個DOMAIN登記是用什么電郵呀


http://whois.domaintools.com/

TOP

雯雯

Rank: 1
12#
發表於 2013-1-24 20:50 | 只看該作者
回復 11# dreamy2k

沒有顯示, 只顯示是在GoDaddy.
Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

角色

Rank: 2
13#
發表於 2013-1-24 20:51 | 只看該作者
回復 6# dreamy2k

像我用homeftp.org在dyndns.org里的异类domain,那么好像不能满足sub-domain (dyndns.org)的要求了。

TOP

dreamy2k

Rank: 1
14#
發表於 2013-1-25 08:45 | 只看該作者
回復 12# 雯雯

雯雯你有沒有見到有這欄呀??

Registrant Email: xxx@abc.com

TOP

dreamy2k

Rank: 1
15#
發表於 2013-1-25 08:49 | 只看該作者
回復 13# 角色

對呀!!如果你想用可以去dyndns.org申請primary domain,以前我都系在佢地度申請
不過一年要三百幾港幣我覺得貴先去返香港的hosting公司

我用呢間http://www.hostingspeed.net

一年的費用先200樓下,同佢地有一個dynamic dns的服務
可以把你申請放系佢度的domain,用個CLEINT更新sub domain的IP

TOP

12
返回列表