آموزش راه اندازی و کانفیگ SSTP VPN در میکروتیک

پروتکل SSTP در میکروتیک توسط شرکت مایکروسافت ابداع شده است؛ تا ویندوز ویستا سرویس پک وان سرویس را به تمام جهان معرفی نماید. اما آیا شما می دانید این پروتکل چیست و چگونه می توان آن را راه اندازی نمود؟ اصلا کاربرد استفاده از پروتکل میکروتیک چیست و راه اندازی آن چه مزایایی می تواند به همراه داشته باشد؟  

امروزه تمام سیستم عامل های خانواده مایکروسافت قادر هستند از این پروتکل پشتیبانی نمایند. این سرویس از پروتکل SSL که نمونه ای از پروتکل های مشهور است، برای ارسال و حتی رمزنگاری داده ها استفاده می نماید. زمانی که نام SSL به میان می آید، بیشتر افرادی که در این زمینه اطلاعات دارند به یاد https یا TLS می افتند. این پروتکل ها، از نمونه پروتکل های امنیتی وب سایت ها به شمار می روند. 

در مورد پروتکل SSTP در میکروتیک باید بگوییم که قادر است به راحتی مشکل فایروال ها و سرویس های NAT را برطرف نماید. این مشکلات اصولا در مسیر سرویس های VPN قرار گرفته و برای برقراری ارتباط بین VPN ها مانع ایجاد می کنند. در حالی که پروتکل SSTP نوعی پورت شناخته شده است. این پورت اصولا در https وجود داشته و مورد استفاده قرار می گیرد. 

به همین دلیل بیشتر فایروال ها در دنیا می توانند به راحتی از این پورت برای عبور استفاده کنند. البته باید به این نکته نیز اشاره نماییم، که با وجود آنکه این سرویس را می توان به سادگی در سمت کلاینت پیاده سازی کرد، اما ممکن است در برخی موارد راه اندازی SSTP در میکروتیک پیچیده باشد. 

پس برای این که بتوان از پروتکل SSTP در میکروتیک به راحتی بر روی سرور استفاده کرد، باید نحوه راه اندازی آن را گام به گام مورد بررسی قرار داد. اصولا می توان این پروتکل را در قالب سناریوهای متنوعی پیاده کرد. از این رو نیاز به یادگیری راه اندازی دارد. 

کاربرد VPN در پروتکل SSTP میکروتیک

کاربرد vpn در میکروتیک چیست؟

سرویس VPN در اصل شبکه مجازی خصوصی ای است که از آن برای برقراری یک ارتباط امن استفاده می شود. در این شبکه لازم است به اینترنت دسترسی داشت. می توان با استفاده از سرویس وی پی ان، شبکه های داخلی و ارتباط خارجی بین شعب یک شرکت را از راه دور کنترل نمود. حال این سوال مطرح می شود که چگونه می توان در sstp میکروتیک اقدام به فعال سازی سرور VPN نمود؟ برای این کار باید ابتدا نرم افزار Winbox(برای آموزش کار با میکروتیک از طریق نرم افزار winbox میتوانید اینجاکلیک کنید) را نصب کرده و از منوی اصلی آن گزینه PPP را انتخاب کرد. با باز شدن این صفحه لازم است بر روی گزینه PPTP Server کلیک نمود.

در صفحه ای که پیش روی شما باز می شود، لازم است گزینه Enabled را انتخاب نمایید. برای این که بتوانید از سیستم VPN استفاده کنید، لازم است تنظیمات آن را به درستی بر روی سرور انجام دهید. بدون تردید استفاده از این سیستم بر روی پروتکل SSTP در میکروتیک می تواند قابلیت های مطلوبی به همراه داشته باشد.

 مهمترین کاربرد استفاده از سیستم وی پی ان بر روی پروتکل SSTP در میکروتیک، پیکربندی آن است. همانطور که می دانیم، بیشتر سیستم عامل ها قادر هستند از قابلیت PPTP Client پشتیبانی کنند. این سیستم ها دیگر نیازی به استفاده از نرم افزار جانبی دیگر نخواهند داشت. پس زمانی که بر روی این پروتکل سیستم وی پی ان نصب می شود، می توان خارج از سازمان نیز به شبکه داخلی سازمان دسترسی داشت. 

از این رو استفاده از سیستم وی پی ان بر روی پروتکل SSTP در میکروتیک بسیار مهم و کاربردی است. بهتر است با دقت این سیستم را بر روی پروتکل نصب کنید. 

پروتکل sstp 

پروتکل sstp چیست و چه کاربردی دارد؟

به طور کلی می توانیم پروتکل sstp را یک پروتکل استاندارد شبکه خصوصی مجازی به شمار آوریم. سیستم هایی که از این پروتکل استفاده می کنند، می توانند از رمزنگاری در انتقال دادها استفاده کنند. البته این رمزنگاری به نوعی در داخل تونل انجام شده و قادر است امنیت داده ها را به خوبی تامین کند.  پروتکل SSTP در میکروتیک مخفف Secure Socket Tunneling Protocol است. 

این پروتکل برای تونلینگ مناسب است. اما باید بگوییم برای کانکشن های VPN بهتر است از پروتکل SSL استفاده شود. این پروتکل برای رمزنگاری انتخاب بهتری خواهد بود. اما لازم است در مورد پروتکل SSTP در میکروتیک نیز به این مسئله اشاره کنیم، که این پروتکل از سیستم عامل های مناسبی پشتیبانی می کند. از این رو نسبت به Open VPN قابلیت پشتیبانی بهتری نیز دارد. با کانفیگ sstp و استفاده از رمزگذاری AES، شما قادر خواهید بود یک کانکشن قوی داشته باشید. از این کانکشن نیز برای برقراری ارتباط و ارسال و دریافت داده استفاده نمایید.

پس باید بگوییم کاربرد عالی و مزایای قابل تامل استفاده از پروتکل SSTP در میکروتیک، منجر شده است تا بیشتر افراد ترجیح دهند از این پروتکل استفاده کنند. یکی از مهمترین مزایایی که می توانیم برای این پروتکل بیان کنیم، امنیت بسیار عالی آن است. از سوی دیگر می تواند به راحتی با دیگر محصولات مایکروسافت هماهنگ شود. 

نکته مهم دیگر در مورد استفاده از این پروتک، قابلیت عبور از تمامی فایروال ها بدون بروز هیچگونه مشکلی است. در حالی که می دانیم معمولا سرویس NAT در فایروال ها همیشه مشکل ساز است. اما زمانی که از این پروتکل امنیتی استفاده می شود، دیگر هیچ مشکلی بر روی سیستم بروز نمی نماید. 

راه اندازی sstp server در میکروتیک

آموزش راه اندازی server SSTP در میکروتیک

افراد بسیاری  هستند که معمولا تمایلی به استفاده از این سیستم ندارند. زیرا آنها تصور می کنند که به دلیل کارکردن این سیستم تنها بر روی سیستم عامل های خانواده مایکروسافت، به نوعی انحصاری است. از سوی دیگر چون این پروتکل با توجه به Open Source کارکرد ندارد، این امکان را که بتوان در خصوص آسیب پذیری های درون آن صحبت کرد را ناممکن می کند. 

البته دلیل دیگری که کاربران تمایلی به استفاده از این سرور ندارند نیز، پیچیدگی های پیاده سازی و استفاده از این سرور است. در اصل راه اندازی sstp vpn کمی دشوار بوده و باید با حساسیت بالایی انجام شود. در غیر این صورت نمی توان از پروتکل امنیتی SSTP در میکروتیک به خوبی در سیستم استفاده کرد و از مزایای آن بهره مند شد. 

متاسفانه در نسخه های قبلی میکروتیک، امکان ایجاد گواهی CA برای کانفیگ نمودن پروتکل sstp  و سین کردن توسط خود این سرور وجود نداشت. از این رو کاربران باید به صورت جداگانه اقدام به ایجاد گواهی CA می نمودند. سپس در یک سرور لینوکسی، با یک سرویس OpenSSL اقدام به ایجاد Cert می نمودند. 

ساخت گواهی CA در میکروتیک

اما نسخه جدیدی که وارد بازار شده است، بسیاری از مشکلات نسخه های قدیمی را ندارد. به همین دلیل می توان با استفاده از قابلیت Self-Sign این نسخه، به راحتی Cert را ایجاد کرد. اما به چه صورت؟ آیا می دانید باید چگونه Cert  را ایجاد کنید؟ با ما همراه شوید تا به صورت گام به گام تمامی مراحل راه اندازی سرور SSTP در میکروتیک را بررسی کنیم:

1. در گام اول لازم است که در روتر میکروتیک، به منوی System>Certificate وارد شوید. در این منو با کلیک کردن بر روی گزینه + با برخی پارامترها مواجه خواهید شد. لازم است تمامی این پارامترها را به دقت تکمیل نمایید. 
2. در گام دوم شما باید وارد تب Key Usage شوید. در این تب نیز شما می توانید پارامترهای بسیاری را مشاهده کنید. از میان این پارامترها باید تیک برخی را زده و سپس وارد مرحله بعدی شوید. 
3. در گام سوم شما باید CA را ذخیره سازی نمایید. پس از آن مجددا باید برای ایجاد یک CA جدید، وارد سرور شوید. این نکته را در نظر داشته باشید که در قسمت Common Name حتما لازم است آدرس دامنه و IP سرور را وارد کنید. به خاطر داشته باشید که برای ایجاد گواهی CA دوم، لازم است تمامی پارامترها را در قسمت Key Usage غیر فعال نمایید. 
4. در گام چهارم باید بعد از طی کردن مرحله سوم، بر روی CA اول که نام آن را Local گذاشته اید، کلیک کنید. سپس گزینه Sign را انتخاب نمایید. 
5. در گام پنجم راه اندازی پروتکل SSTP در میکروتیک، شما باید در قسمت CAHost CRL مجددا آدرس سرور مورد نظر خود( سرور اول) را وارد نمایید. 
6. در گام ششم شما باید وارد قسمت Certificate شوید. حتما باید توجه داشته باشید که در این قسمت باید در کنار Cert Local، گزینه KAT درج شده باشد.
7. در گام هفتم شما باید بر روی گزینه  Server Cert کلیک نمایید؛ تا عملیات Sign به درستی انجام شود. حال می توانید در قسمت گواهی CA، گزینه Local را انتخاب نموده و بر Sign کلیک نمایید. بعد از این گزینه باید در کنار Cert Server، گزینه KI را مشاهده نمایید. 
8. در گام هشتم راه اندازی پروتکل SSTP در میکروتیک، شما دیگر Cert مورد نظر خود را ایجاد کرده اید. حال باید اقدام به ایجاد پروفایل VPN نموده و سرور SSTP را فعال کنید. 

گواهی CA

لازم است از این مرحله به بعد، شما حتما از طریق Cert Local، اقدام به تهیه Export برای اتصال کاربران نمایید. سپس در سیستم Client آن را Import نمایید. 

در مرحله انتهایی شما فایل ها را از میکروتیک دریافت می کنید. باید آنها را در ویندوز خود Import کنید. سپس با شناسه و رمزی که از قبل در روتر تعریف نموده اید، با استفاده از پروتکل SSTP در میکروتیک به سرور متصل شوید. 

ایجاد ورودی های Static DNS در سرور SSTP در میکروتیک

از آنجایی که ممکن است این قسمت برای بیشتر محیط های شبکه ضروری نباشد، باید آن را اختیاری بیان کنیم. یعنی هر کسی که علاقه مند باشد می تواند ورودی های Static DNS را در سرور sstp راه اندازی کند. بهتر است این نکته را بدانید که SiteX یک شبکه معمولی به شمار نمی رود. از این رو ممکن است شامل یک سرور معتبر و اختصاصی DNS و یک کنترل کننده دامنه داشته باشد. 

از آنجایی که SiteX به ClientX متصل می گردد، تنها یک MikroTik با workgroup/non-domain قادر است وسیله ای مناسب برای حل Local DNS/host names به شمار رود. پس لازم است شما برای راه اندازی این سرور چند تغییر ایجاد کنید. پس از آن قادر خواهید بود از آن برای کار در ClientX استفاده کنید. 

برای این کار بهتر است از پسوند DNS برای ورودی های Static DNS استفاده کنید؛ تا برای میزبان های MikroTik بتوانید از این سرور استفاده کنید. 

ساخت گواهی سرور

برای راه اندازی سرور sstp به چه گواهینامه هایی نیاز است؟

همانطور که در متن نیز به آن اشاره نمودیم، برای راه اندازی SSTP در میکروتیک شما به گواهی نیاز خواهید داشت. این گواهینامه ها در دو نوع CA و Server امضا می شوند. از میان این دو گواهینامه، گواهی CA قابلیت نصب بر روی ویندوز را دارد. از این رو زمانی که ویندوز به سرور و sstp متصل می شود، می تواند اعتبار سرور را طبق این گواهینامه بررسی نماید. پس از آن از این سرور مطمئن برای رمزنگاری ارتباط استفاده نماید.

البته در برخی موارد کاربران می توانند اقدام به استفاده از گواهی معتبر نمایند؛ تا دیگر نیازی به گواهی CA در ویندوز نداشته باشند. اما بهتر آن است که از این دو گواهی استفاده شود. در مطلب در مورد نحوه ساخت گواهی CA اشاره نمودیم. اما برای ساخت گواهی Server چه باید کرد؟ 

برای ساخت این گواهی در راه اندازی SSTP در میکروتیک لازم است مجددا وارد منوی System>Certificate شوید. سپس + را بزنید و Name و Common Name را در سرور وارد کنید. شما پس از این کار در بخش زبانه Key Usage با سه گزینه مواجه می شوید که باید هر سه آنها را تیک بزنید. 

حال باید گواهی را sign کنید. اما به خاطر داشته باشید که این بار فقط باید CA را انتخاب کنید. در نهایت که استارت نمودید، زمانی که مراحل به اتمام رسید و شما پس از اوکی پنجره را بستید، لازم است وارد لیست گواهی ها شوید. سپس روی گواهی Server کلیک نمایید و تیک trusted را فعال کنید و اوکی بزنید. حال شما می توانید در لیست certificate های خود، هر دو گواهی را مشاهده کنید.