返回列表 發帖

RouterOS SSTP

本帖最後由 dreamy2k 於 2013-6-10 10:09 編輯

因為呢幾日有D忙所以現在才出教程!!大家覺得有什么問題歡迎提出指點

首先要用SSTP有兩個條件
1. DOMAIN,一個SUB DOMAIN,例如(sstp.abc.com)
2. 要去申請一張網絡認可的SSL証書,免費有www.startssl.com

因為SSL証書是依賴DNS去作出認証,所以DOMAIN的事先要解決
甘解決了DOMAIN的事后可以跟以下的網友的教學去STARTSSL上申請一年免費的証書

Startssl SSL 证书申请图解

申請完之后要去"Authenticate" -> "Tool Box" -> "StartCom CA Certificates" -> 下載"StartCom Root CA (PEM encoded)" 和 "Class 1 Intermediate Server CA"

甘SSL方面有四個file出來,ca.pem, sub.class1.server.ca.pem, server.pem和server.key

ROUTEROS SSTP有Site to Site同CLIENT to Site,在ROUTER SSTP SERVER SIDE不論SITE TO SITE或CLIENT TO SITE 設置都大同小異
先加返D SSL証書 ,張D証書UPLOAD去ROUTEROS上"FILE",之后拉入去頂層,同OPENVPN做法一樣

之后去System -> certificate -> import -> 選返個ca.pem -> passphrase打個密碼入去
完成再import -> 選返個sub.class1.server.ca.pem -> passphrase打個密碼入去
完成再import -> 選返個server.pem -> passphrase打個密碼入去
完成再import -> 選返個server.key -> passphrase打個密碼入去

*密碼統一用同一個
完成了就去再名幫d 証書,ca, class 1 ca, server (呢幾個名系我自己用,大家可以用別的吾一定跟我)

完成后就可以去ppp -> interface -> sstp server

ENABLE: 打勾
Auteentication: 全打勾
Certificate: 選返server
Verify Client Ceritificate: 吾好打勾

完成去Secrets加個USER

Name: peter (Username)
Password: 123456
Service: sstp或any
Profile: default
Local Address: 192.168.2.1 (Router Server Side VPN IP)
Remote Address: 192.168.2.2 (Client Side VPN IP)

完成了甘基本Server Side完成了

甘就回去返windows vista, 7 或8

之后去新增VPN,好似PPTP甘做
新增完去內容->安全性選返SSTP
同個SERVER 位置要用申請STARTSSL時的SUB DOMAIN

*補充
在WINDOWS CLIENT上要加返sub.class1.server.ca.pem入電腦先可以連上
開始->執行->mmc->檔案->新增或移除嵌入式管理單元->憑證->新增->電腦帳戶->完成

憑證->受信任的發行者->憑證>空白地方右鍵->所有工作->匯入->選回下載了的"sub.class1.server.ca.pem"
完成匯入后先去連接SSTP

---------------------------------------------------------------------------------------------------------------------------
2013-06-13補充

還有SERVER 和CLIENT的設置要分享給大家知道

假設:
有兩台RB450G (可以用其他型號ROUTEROS ROUTER)
SERVER SIDE NETWORK: 192.168.88.0/24
CLIENT SIDE NETWORK: 192.168.89.0/24

在SERVER SIDE

INTERFACE上加入一個SSTP SERVER介面
"NAME"輸入一個介面名稱
"USER"輸入設置好的SSTP帳號

PPP->SECRETS找回SSTP帳號
LOCAL ADDRESS: 本地IP,一個和本地IP不同的NETWORK(例如" 192.168.200.130)
REMOTE ADDRESS: CLIENT IP,一個LOCAL ADDRESS同NETWORK IP(例如" 192.168.200.111)
ROUTES: 192.168.89.0/24 192.168.200.111 1 (192.168.89.0/24是CLIENT NETWORK)

IP->FIREWALL->NAT->加入一條srcnat
General:
Dst. Address: 192.168.89.0/24
Protocol: 6 (tcp)
Out. Interface: sstp server介面名稱
Action:
Action: masquerade

*如果CLIENT SIDE有VLAN又想系SERVER SIDE入到去
IP->FIREWALL->Route加入一個routing

Dst. address: client side vlan network (例如: 192.168.90.0/24)
Gateway: SSTP SERVER INTERFACE

在CLIENT SIDE
IP->FIREWALL->Route加入一個routing

Dst. address: server side network (例如: 192.168.88.0/24)
Gateway: SSTP CLIENT INTERFACE

我要用SSTP。好像Mikrotik 要SSL certification,所有准备在Godaddy 申请Domain name. 现在想问如何将noip 的 Dynamic DNS同Godaddy 的domain name 连在一起。是URL/DNS redirect? 还是每次到Godaddy 网站改的?

TOP

有補充大家去返1樓看看呀,系SSTP ROUTING

TOP

GODADDY CHEAP DOMAIN

TOP

回復 19# pnp1010

只需有crt和key就可以了!
Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

我跟足starssl 申請方法,出了ca.pem, sub.class1.server.ca.pem,請問如何有pem, server.pem和server.key產生?

TOP

回復 17# 角色

大家一起學習

TOP

回復 15# dreamy2k

谢谢CHING的信息。其实在networking方面,在CHING的帖子学习不少的信息。

TOP

本帖最後由 雯雯 於 2013-1-25 11:02 編輯

回復 14# dreamy2k

沒有見到. 我找到方法, 只需用freedns.afraid.org免費DDNS服務便可, 在Google App申誡domain只需10美元/年.
Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

回復 13# 角色

對呀!!如果你想用可以去dyndns.org申請primary domain,以前我都系在佢地度申請
不過一年要三百幾港幣我覺得貴先去返香港的hosting公司

我用呢間http://www.hostingspeed.net

一年的費用先200樓下,同佢地有一個dynamic dns的服務
可以把你申請放系佢度的domain,用個CLEINT更新sub domain的IP

TOP

回復 12# 雯雯

雯雯你有沒有見到有這欄呀??

Registrant Email: xxx@abc.com

TOP

回復 6# dreamy2k

像我用homeftp.org在dyndns.org里的异类domain,那么好像不能满足sub-domain (dyndns.org)的要求了。

TOP

回復 11# dreamy2k

沒有顯示, 只顯示是在GoDaddy.
Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

回復 9# 雯雯

你CHECK下個DOMAIN登記是用什么電郵呀


http://whois.domaintools.com/

TOP

Might be stick with RouterOS(both server and client):
http://wiki.mikrotik.com/wiki/Manual:Create_Certificates
RB750G, RB2011UAS-2HnD
IP01, A580IP, AT-610

TOP

返回列表