SSTP

برقراری ارتباط امن بین دو روتر میکروتیک با استفاده از تانل SSTP

امنیت یکی از حیاتی ترین پارامترها در دنیای ارتباطات کنونی می باشد. بزرگترین نگرانی کارشناسان این حوزه برقراری ارتباطی امن بین شعب مختلف یک سازمان می باشد. عدم ارتباط امن بین شعب و یک سازمان و یا سازمان های مختلف همواره اطلاعات و ارتباطات سازمان ها را درمخاطره قرار داده است، در این آموزش یکی از امن ترین شیوه های ارتباطی بین شعب مختلف را آموزش می دهیم، هرگونه سؤال و یا ابهام در این سناریو را می توانید از قسمت نظرات پیگیری نمایید.

sstp-tunnel-mikrotik

برای شروع ابتدا کانفیگ های زیر را در روتر Office انجام دهید.

ابتدا با وینباکس به آن وصل شوید و دستورات زیر را برای ایجاد Certificate در Terminal روتر اجرا کنید.

توجه داشته باشید بعضی از دستورها Load CPU را به ۱۰۰% می رسانند به همین دلیل بعد از اجرای هر خط  صبر کنید Load CPU به ۰%  برسد.

 

مجوز سرور:

 

/certificate add name=CA-tpl country="IR" state="TEHRAN" locality="TEHRAN" organization="TECHTIK" unit="TECHTIK" common-name="CA" key-size=4096 days-valid=3650 key-usage=crl-sign,key-cert-sign

/certificate sign CA-tpl ca-crl-host=127.0.0.1 name="CA"

/certificate add name=SERVER-tpl country="IR" state="TEHRAN" locality="TEHRAN" organization="TECHTIK" unit="TECHTIK" common-name="1.1.1.1" key-size=4096 days-valid=1095 key-usage=digital-signature,key-encipherment,tls-server

/certificate sign SERVER-tpl ca="CA" name="SERVER"

مجوز کاربر:

/certificate add name=CLIENT-tpl country="IR" state="TEHRAN" locality="TEHRAN" organization="TECHTIK" unit="TECHTIK" common-name="CLIENT" key-size=4096 days-valid=4650 key-usage=tls-client

/certificate add name=CLIENT1 copy-from="CLIENT-tpl" common-name="CLIENT1"

/certificate sign CLIENT1 ca="CA" name="CLIENT1"

خارج کردن مجوز ها:

/certificate export-certificate CA export-passphrase=""

/certificate export-certificate CLIENT1 export-passphrase=12345678

 

از منو سمت چپ برروی PPP کلیک کرده تا صفحه PPP باز شود سپس برروی SSTP Server کلیک کنید تا صفحه SSTP Server باز شود.

sstp-tunnel-mikrotik

 

  1. تیک Enabled را بزنید.
  2. Default encryption را انتخاب کنید.
  3. Certificate سرور را انتخاب کنید.
  4. تیک Verify Client Certificate را بزنید.

sstp-tunnel-mikrotik

 

پست های مرتبط

سپس با کلیک برروی تب  Secrets و + یک اکانت برای برقراری تانل بسازید.

sstp-tunnel-mikrotik

  1. نام کاربری را تایپ کنید.
  2. رمز عبور را تایپ کنید.
  3. نوع سرویس (که در این آموزش SSTP می باشد) را انتخاب کنید.
  4. Default-encryption را انتخاب کنید.
  5. دراین قسمت ]IP آدرس دو سر تانل را تایپ کنید.(در یک رنج باشند).
  6. آدرس شبکه داخلی روتر Home را وارد کنید.

 

حالا فایل های Certificate که ساخته اید را به روتر Home  انتقال دهید.

sstp-tunnel-mikrotik

 

کانفیگ های زیر را در روتر Home انجام دهید.

از منو سمت چپ System را انتخاب و گزینه Certificate  را کلیک کنید تا صفحه Certificates  باز شود.

sstp-tunnel-mikrotik

 

و با کلیک برروی Import ، Certificate هایی که ساخته اید به روتر Home  اضافه کنید.

sstp-tunnel-mikrotik

 

حالا از منو سمت چپ برروی PPP کلیک کنید تا صفحه PPP باز شود ، حالا برروی + کلیک کنید.

sstp-tunnel-mikrotik

 

در صفحه New Interface  تب Dial Out را انتخاب کنید.

sstp-tunnel-mikrotik

  1. آدرس IP روتر Office را وارد کنید.
  2. Certificate کلاینت را انتخاب کنید.
  3. این گزینه را تیک بزنید.
  4. نام کاربری که در روتر Office تایپ نمودید را وارد کنید.
  5. رمزعبوری که در روتر Office  تایپ نمودید را وارد کنید.
  6. Default-encryption را انتخاب کنید.

با کلیک برروی Ok ارتباط تانل برقرار می شود.

 

برای دسترسی به شبکه داخلی روتر Office کانفیگ زیر را انجام دهید.

سپس از از منو سمت چپ برروی IP کلیک و گزینه Routes را انتخاب و برروی + کلیک کنید.

sstp-tunnel-mikrotik

 

  1. IP آدرس شبکه داخلی روتر Office را تایپ کنید.
  2. IP آدرس سرتانل روتر Office را وارد کنید.

 

حالا شبکه های داخلی روتر Office  و Home با استفاده از تانل SSTP با هم ارتباط دارند.

علاقمندان به آموزش های میکروتیک می توانند با عضویت در وبسایت و کانال تلگرام تک تیک از آخرین آموزش های میکروتیکی مطلع شوند.

3 نظرات
  1. بهزاد می گوید

    سلام در مورد این خط توضیح می دین که چکار میکنه؟؟
    ممنون

    1. علی کارآگاه می گوید

      نحوه امضا کردن Certificate و اضافه کردن URl برای CRL

  2. بهزاد می گوید

    /certificate sign CA-tpl ca-crl-host=127.0.0.1 name=”CA” در مورد این خط

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.