RouterOS SSTP

本帖最後由 dreamy2k 於 2013-6-10 10:09 編輯

因為呢幾日有D忙所以現在才出教程!!大家覺得有什么問題歡迎提出指點

首先要用SSTP有兩個條件
1. DOMAIN，一個SUB DOMAIN，例如(sstp.abc.com)
2. 要去申請一張網絡認可的SSL証書，免費有www.startssl.com

因為SSL証書是依賴DNS去作出認証，所以DOMAIN的事先要解決
甘解決了DOMAIN的事后可以跟以下的網友的教學去STARTSSL上申請一年免費的証書

Startssl SSL 证书申请图解

申請完之后要去"Authenticate" -> "Tool Box" -> "StartCom CA Certificates" -> 下載"StartCom Root CA (PEM encoded)" 和 "Class 1 Intermediate Server CA"

甘SSL方面有四個file出來，ca.pem, sub.class1.server.ca.pem, server.pem和server.key

ROUTEROS SSTP有Site to Site同CLIENT to Site，在ROUTER SSTP SERVER SIDE不論SITE TO SITE或CLIENT TO SITE 設置都大同小異
先加返D SSL証書 ,張D証書UPLOAD去ROUTEROS上"FILE"，之后拉入去頂層，同OPENVPN做法一樣

之后去System -> certificate -> import -> 選返個ca.pem -> passphrase打個密碼入去
完成再import -> 選返個sub.class1.server.ca.pem -> passphrase打個密碼入去
完成再import -> 選返個server.pem -> passphrase打個密碼入去
完成再import -> 選返個server.key -> passphrase打個密碼入去

*密碼統一用同一個
完成了就去再名幫d 証書，ca, class 1 ca, server (呢幾個名系我自己用，大家可以用別的吾一定跟我)

完成后就可以去ppp -> interface -> sstp server

ENABLE: 打勾
Auteentication: 全打勾
Certificate: 選返server
Verify Client Ceritificate: 吾好打勾

完成去Secrets加個USER

Name: peter (Username)
Password: 123456
Service: sstp或any
Profile: default
Local Address: 192.168.2.1 (Router Server Side VPN IP)
Remote Address: 192.168.2.2 (Client Side VPN IP)

完成了甘基本Server Side完成了

甘就回去返windows vista, 7 或8

之后去新增VPN，好似PPTP甘做
新增完去內容->安全性選返SSTP
同個SERVER 位置要用申請STARTSSL時的SUB DOMAIN

*補充
在WINDOWS CLIENT上要加返sub.class1.server.ca.pem入電腦先可以連上
開始->執行->mmc->檔案->新增或移除嵌入式管理單元->憑證->新增->電腦帳戶->完成

憑證->受信任的發行者->憑證>空白地方右鍵->所有工作->匯入->選回下載了的"sub.class1.server.ca.pem"
完成匯入后先去連接SSTP

---------------------------------------------------------------------------------------------------------------------------
2013-06-13補充

還有SERVER 和CLIENT的設置要分享給大家知道

假設:
有兩台RB450G (可以用其他型號ROUTEROS ROUTER)
SERVER SIDE NETWORK: 192.168.88.0/24
CLIENT SIDE NETWORK: 192.168.89.0/24

在SERVER SIDE

INTERFACE上加入一個SSTP SERVER介面
"NAME"輸入一個介面名稱
"USER"輸入設置好的SSTP帳號

PPP->SECRETS找回SSTP帳號
LOCAL ADDRESS: 本地IP，一個和本地IP不同的NETWORK(例如" 192.168.200.130)
REMOTE ADDRESS: CLIENT IP，一個LOCAL ADDRESS同NETWORK IP(例如" 192.168.200.111)
ROUTES: 192.168.89.0/24 192.168.200.111 1 (192.168.89.0/24是CLIENT NETWORK)

IP->FIREWALL->NAT->加入一條srcnat
General:
Dst. Address: 192.168.89.0/24
Protocol: 6 (tcp)
Out. Interface: sstp server介面名稱
Action:
Action: masquerade

*如果CLIENT SIDE有VLAN又想系SERVER SIDE入到去
IP->FIREWALL->Route加入一個routing

Dst. address: client side vlan network (例如: 192.168.90.0/24)
Gateway: SSTP SERVER INTERFACE

在CLIENT SIDE
IP->FIREWALL->Route加入一個routing

Dst. address: server side network (例如: 192.168.88.0/24)
Gateway: SSTP CLIENT INTERFACE

dreamy2k

新手上路

Rank: 1

2^#

發表於 2013-1-22 09:17 | 顯示全部帖子

其實DDNS都得!!因為佢要系SUB DOMAIN吾系DOMAIN

TOP

dreamy2k

新手上路

Rank: 1

3^#

發表於 2013-1-22 12:14 | 顯示全部帖子

本帖最後由 dreamy2k 於 2013-1-22 12:17 編輯

其實DDNS系得!!因為佢系要SUB DOMAIN例如abc.dyndns.org

dyndns.org系主domain, abc.dyndns.org系SUB DOMAIN
所以在startssl注册時用先打dyndns.org之后打abc.dyndns.org甘就得

startssl上主domain沒有限制，sub domain先要唯一

TOP

dreamy2k

新手上路

Rank: 1

4^#

發表於 2013-1-24 17:39 | 顯示全部帖子

回復 dreamy2k

startssl沒有主domain做不了驗證.
雯雯發表於 2013-1-23 17:25

對對!!我忘記了他要SEND一封電郵去DOMAIN注册者的email 郵箱里

不好意思

TOP

dreamy2k

新手上路

Rank: 1

5^#

發表於 2013-1-24 20:44 | 顯示全部帖子

回復 9# 雯雯

你CHECK下個DOMAIN登記是用什么電郵呀

http://whois.domaintools.com/

TOP

dreamy2k

新手上路

Rank: 1

6^#

發表於 2013-1-25 08:45 | 顯示全部帖子

回復 12# 雯雯

雯雯你有沒有見到有這欄呀??

Registrant Email: xxx@abc.com

TOP

dreamy2k

新手上路

Rank: 1

7^#

發表於 2013-1-25 08:49 | 顯示全部帖子

回復 13# 角色

對呀!!如果你想用可以去dyndns.org申請primary domain，以前我都系在佢地度申請
不過一年要三百幾港幣我覺得貴先去返香港的hosting公司

我用呢間http://www.hostingspeed.net

一年的費用先200樓下，同佢地有一個dynamic dns的服務
可以把你申請放系佢度的domain，用個CLEINT更新sub domain的IP

TOP

dreamy2k