پیکربندی سرور SSTP VPN با ویندوز ۱۰

پیکربندی سرور SSTP VPN با ویندوز 10 در میکروتیک

در قسمت قبل در رابطه با پیکربندی سرور SSTP VPN با هم صحبت کردیم و به توضیح مختصری در رابطه با پروتکل SSTP و VPN پرداختیم. حالا در این مطلب قصد داریم چگونگی پیکربندی سرور SSTP VPN را با ویندوز 10 به شما آموزش دهیم پس تا پایان این مقاله با ما همراه باشید.

حتما بخوانید >> پیکربندی سرور SSTP VPN در میکروتیک

پروتکل SSTP چیست

همانطور که در مقاله پیشین توضیح دادیم این پروتکل قادر است تا PPP را از طریق کانال TLS که بر روی پورت TCP 443 است منتقل کند. بنابراین SSTP VPN عملا قادر می‌شود از تمامی سرورهای پراکسی و فایروال ها عبور کند. با این تفسیر هیچ شانسی برای سرقت اطلاعات توسط هکر های ناشی باقی نمی‌ماند و داده ها با امنیت بالاتری در شبکه های عمومی تبادل می‌شوند.

دو روش برای اعمال SSTP Server در میکروتیک وجود دارد که در زیر برایتان شرح دادیم:

اتصال از ایستگاه کاری راه دور / Client:

در این روش نرم افزار سرویس گیرنده SSTP VPN می‌تواند هر زمان که نیاز باشد با سرور SSTP VPN میکروتیک از طریق تونل امن VPN ارتباط برقرار کند. همچنین قادر است به شبکه خصوصی از راه دور نیز دسترسی پیدا کند به طوری که انگار مستقیما به آن شبکه خصوصی از راه دور متصل است.

Site to Site SSTP VPN:

این روش با نام VPN نیز بین روتر ها شناخته می‌شود. در این روش، یک روتر پشتیبانی شده از سرویس گیرنده SSTP همیشه یک تونل VPN SSTP را با سرور MikroTik SSTP VPN ایجاد می‌کند. بنابراین، شبکه های خصوصی این دو روتر می‌توانند با یکدیگر ارتباط برقرار کنند مانند اینکه مستقیماً به یک روتر متصل هستند.

چگونه اتصال SSTP را ایجاد کنیم

برای ایجاد یک تونل SSTP VPN در سراسر شبکه عمومی ، مکانیسم‌های زیر رخ می‌دهد:

SSTP چگونه کار می‌کند؟

اتصال TCP از سمت سرویس گیرنده SSTP به سرور SSTP در پورت TCP 443 برقرار می‌شود. بعد از تایید گواهی سرور توسط SSL، اگر گواهی معتبر باشد اتصال برقرار شده در غیر این صورت اتصال رد می‌شود.
کلاینت بسته‌های کنترلی SSTP را در HTTPS session ارسال می‌کند که ماشین حالت SSTP را در هر دو طرف ایجاد می‌کند.
اعتبار نام کاربری و رمز عبور PPP از طریق SSTP بررسی می‌شود. کلاینت به سرور احراز هویت کرده و آدرس های IP را به رابط SSTP Client متصل می‌کند.
SSTP tunnel اکنون ایجاد شده و آماده سازی بسته‌ها می‌تواند آغاز شود.

نمودار شبکه 

حالا برای پیکربندی یک تانل سرور/کلاینت SSTP VPN بین روتر های میکروتیک و کلاینت SSTP ویندوز 10، نمودار شبکه زیر را دنبال می‌کنیم.

نمودار SSTP کلاینت-سرور

در این نمودار شبکه، رابط ether1 روتر میکروتیک به شبکه عمومی با آدرس IP 117.58.247.198/30 و رابط ether2 به شبکه LAN با آدرس IP 10.10.11.0/24 متصل شده است.

ما سرور SSTP را در روتر میکروتیک روی پورت TCP 443 پیکربندی می‌کنیم. بنابراین، Windows 10 SSTP Client می‌تواند به‌ سرور SSTP متصل شود و همچنین به منابع شبکه راه دور دسترسی داشته باشد، مثل اینکه دستگاه واقعا به شبکه راه دور متصل باشد.

پیکربندی سرور SSTP VPN و کلاینت SSTP

اکنون پیکربندی SSTP Server و Client را شروع می کنیم. پیکربندی کامل SSTP را می توان به دو بخش تقسیم کرد.

قسمت 1: پیکربندی سرور SSTP در روتر میکروتیک
قسمت 2: SSTP پیکربندی کلاینت SSTP در ویندوز 10

قسمت اول: پیکربندی سرور SSTP در روتر میکروتیک

طبق نمودار شبکه ای که قرار است اجرا کنیم ، روتر میکروتیک همان سرور SSTP VPN ما است. بنابر این ما سرور SSTP VPN را در روتر میکروتیک فعال و پیکربندی می‌کنیم. فرض بر این است که شبکه‌های WAN و LAN میکروتیک پیکربندی شده اند و بدون مشکل کار می‌کنند.

پیکربندی کامل سرور SSTP میکروتیک را می‌توان به سه مرحله زیر تقسیم کرد:

• مرحله 1: ایجاد گواهی TLS برای سرور SSTP
• مرحله 2: فعال کردن و پیکربندی سرور SSTP
• مرحله 3: ایجاد کاربران SSTP

مرحله 1 : ایجاد گواهی نامه TLS برای سرور SSTP

پیکربندی سرور SSTP به گواهی TLS نیاز دارد. زیرا SSTP VPN از گواهی TLS برای برقراری یک ارتباط امن استفاده می‌کند. RouterOS v6 میکروتیک توانایی ایجاد، ذخیره و مدیریت گواهی‌ها را در فروشگاه تایید می‌کند. بنابراین، ما گواهینامه سرور SSTP مورد نیاز را در RouterOS میکروتیک ایجاد خواهیم کرد.

سرور SSTP به دو نوع گواهی نیاز دارد:

1. گواهی CA (مرجع صدور گواهینامه)
2. گواهی سرور

ایجاد گواهی CA

سیستم عامل میکروتیک یک گواهینامه خود امضا ارائه می‌دهد. این گواهی خود امضا باید دارای گواهی CA برای امضای گواهی سرور باشد.گواهی نامه CA نیز باید در دستگاه‌های SSTP Clinet نصب شود، در غیر این صورت گواهی سرور قابل تایید نمی‌باشد.

مراحل زیر نحوه ایجاد گواهی CA در سیستم عامل روتر میکروتیک را نشان می‌دهد:

1. از Winbox، به آیتم منوی System > Certificates بروید و روی برگه Certificates بزنید و سپس بر روی علامت (+) کلیک کنید. پنجره Certificate جدید ظاهر می‌شود.
2. نام گواهی CA خود را در قسمت Name input قرار دهید.
3. آدرس IP WAN (به عنوان مثال: 117.58.247.198) روتر میکروتیک را در قسمت Common Name قرار دهید.
4. برخی از فیلدهای اختیاری را در تب General پیدا خواهید کرد. در صورت تمایل می‌توانید آنها را پر کنید. همه فیلدها خود تعریف می‌شوند.
5. روی تب Key cert کلیک کنید و تیک همه چک باکس‌ها به جز crl و key cert را بردارید.
6. در این مرحله روی دکمه Apply و سپس Sign کلیک کنید. اکنون پنجره Sign ظاهر می‌شود.
7. الگوی گواهی CA ایجاد شده شما در منوی کشویی گواهی ظاهر می‌شود.
8. آدرس IP WAN روتر میکروتیک (به عنوان مثال: 117.58.247.198) را در قسمت ورودی میزبان CA CRL قرار دهید.
9. حالا بر روی دکمه Sign کلیک کنید تا گواهی امضا شده شما در عرض چند ثانیه ایجاد شود.
10. روی دکمه OK کلیک کنید تا پنجره New Certificate بسته شود.
11. اگر گواهینامه CA ایجاد شده پرچم T را نشان نمی‌داد، روی گواهینامه CA خود دوبار کلیک کنید و روی چک باکس Trusted واقع در پایین تب General کلیک کنید و سپس دکمه Apply و بعد OK را بزنید.

ایجاد گواهی سرور

پس از ایجاد گواهی CA، اکنون می‌خواهیم یک گواهی سرور ایجاد کنیم که توسط CA امضا شود. این گواهی توسط سرور SSTP استفاده خواهد شد.

مراحل زیر نحوه ایجاد گواهی سرور در سیستم عامل میکروتیک را نشان می‌دهد:

1. در Winbox روی آیتم PPP menu کلیک کنید و سپس روی تب Interface بزنید.
2. روی دکمه SSTP Server کلیک کنید تا پنجره SSTP Server ظاهر شود.
3. برای فعال کردن SSTP Server بر روی گزینه Enabled کلیک کنید.
4. مطمئن شوید که TCP Port 443 در فیلد ورودی پورت قرار داده شده است.
5. از قسمت Authentication، تیک همه چک باکس‌ها به جز چک باکس mschap2 را بردارید.
6. از منوی کشویی Certificate، گواهی سرور را که قبلا ایجاد کرده بودیم انتخاب کنید.
7. از منوی کشویی نسخه TLS، گزینه only-1.2 را انتخاب کنید. نسخه TLS نیز می‌تواند انتخاب شود.
8. حالا روی کادرهای Force AES و PFS کلیک کنید.
9. حالا روی دکمه Apply و OK کلیک کنید.

فعال کردن سرور SSTP در روتر میکروتیک

سرور SSTP اکنون در روتر میکروتیک در حال اجرا است. از آنجایی که  SSTP VPN میکروتیک محدود به استفاده از نام کاربری و رمز عبور برای اتصال موفق VPN است، اکنون کاربران PPP ایجاد خواهیم کرد که می‌توانند به SSTP Server میکروتیک متصل شوند و اطلاعات IP را دریافت کنند.

مرحله 2 : ایجاد کاربران SSTP

SSTP میکروتیک از نام کاربری و رمز عبور برای تأیید اعتبار اتصال قانونی استفاده می‌کند. بنابراین، ما باید نام کاربری و رمز عبور ایجاد کنیم تا به هر کاربری اجازه دهیم. پیکربندی کامل کاربر برای سرور SSTP را می‌توان به سه بخش زیر تقسیم کرد:

1. پیکربندی IP Pool
2. پیکربندی User Profile
3. پیکربندی SSTP User

پیکربندی IP Pool

معمولا چندین کاربر می‌توانند به سرور SSTP متصل شوند. بنابراین، همیشه بهتر است یک IP Pool ایجاد کنید که از آنجا کاربر متصل آدرس IP را دریافت کند.

مراحل زیر نحوه ایجاد IP Pool در روتر میکروتیک را نشان می‌دهد.

1. از Winbox، به IP >>Pool menu بروید تا پنجره IP Pool را مشاهده کنید.
2. روی دکمه (+) کلیک کنید تا پنجره IP Pool جدید باز شود.
3. یک نام معنا دار مانند vpn_pool در فیلد Name قرار دهید.
4. محدوده‌های IP مورد نظر (به عنوان مثال: 192.168.2.2-192.168.2.254) را در فیلد Addresses قرار دهید. مطمئن شوید که از VPN Gateway IP (192.168.2.1) در این محدوده استفاده نکنید.
5. در آخر روی دکمه Apply و OK کلیک کنید.

• از منوی Winbox، به آیتم PPP menu بروید و روی تب Profile کلیک کنید و سپس روی دکمه (+) بزنید.
• یک نام معنادار مثل vpn_profile در فیلد Name قرار دهید.
• آدرس VPN Gateway (به عنوان مثال: 192.168.2.1) را در قسمت ورودی Local Address قرار دهید.
• IP Pool یا همان (vpn_pool) ایجاد شده را از منوی کشویی Remote Address انتخاب کنید.
• در نهایت بر روی دکمه Apply و بعد OK کلیک کنید.

پیکربندی کاربر SSTP

پس از ایجاد user profile، اکنون کاربرانی ایجاد خواهیم کرد که به سرور SSTP متصل خواهند شد.

مراحل زیر نحوه ایجاد کاربران SSTP در  RouterOS میکروتیک را نشان می‌دهد:

1. از پنجره PPP، روی تب Secrets کلیک کنید و سپس روی (+) کلیک کنید. پنجره جدید PPP Secret ظاهر می‌شود.
2. نام کاربری (به عنوان مثال: sayeed) را در قسمت ورودی Name و رمز عبور را در فیلد ورودی password قرار دهید.
3. SSTP را از منوی کشویی Service انتخاب کنید.
4. نمایه ایجاد شده را از منوی کشویی نمایه انتخاب کنید.
5. روی دکمه Apply و OK کلیک کنید.

حالا ما یک کاربر برای سرور SSTP ایجاد کرده‌ایم. شما می‌توانید به طور مشابه کاربران بیشتری را مطابق نیازتان ایجاد کنید.

در قسمت دوم قصد داریم SSTP Client را در سیستم عامل ویندوز 10 پیکربندی کنیم.

قسمت دوم : پیکربندی SSTP Client در ویندوز 10

پس از پیکربندی سرور SSTP در روتر میکروتیک ، اکنون SSTP Client را در سیستم عامل ویندوز 10 پیکربندی می‌کنیم. پیکربندی SSTP Client در ویندوز 10 را می‌توان به دو مرحله زیر تقسیم کرد.

1. نصب گواهی CA در ویندوز 10
2. پیکربندی SSTP Client در ویندوز 10

نصب گواهی CA در ویندوز 10

گواهی CA صادر شده باید در مراجع اصلی صدور گواهی مورد اعتماد در ویندوز نصب شود. در غیر این صورت SSTP Client نمی‌تواند گواهی SSTP سرور را تأیید کند.

رای نصب CA Certificate در ویندوز 10 ، مراحل زیر را انجام دهید.

• روی Exported CA Certificate کلیک راست کنید و گزینه Install Certificate را انتخاب کنید.

• اکنون پنجره Certificate Import Wizard را پیدا خواهید کرد و از شما درخواست می‌کند تا محل فروشگاه گواهی را انتخاب کنید. از Location panel، دکمه رادیویی Local Machine را انتخاب کرده و سپس روی دکمه Next کلیک کنید.

پنجره بعدی از شما می‌خواهد تا یک فروشگاه خاص را انتخاب کنید. CA صادر شده باید در فروشگاه Trusted Root Certification Authorities قرار گیرد. بنابراین، بر روی Place all Certificate در دکمه رادیویی فروشگاه زیر کلیک کنید و سپس بر روی دکمه Browse بزنید و Trusted Root Certificate Authorities را انتخاب کنید و در اخر بر روی دکمه Next کلیک کنید.

در مرحله بعدی Certificate Import Wizard خلاصه ای را نشان داده و از شما می‌خواهد که روی دکمه Finish کلیک کنید. بعد از زدن دکمه Finish پیام موفقیت آمیز بودن ورود گواهی را دریافت خواهید کرد.

امیدواریم مقاله پیکربندی سرور SSTP VPN با ویندوز 10 برای شما مفید بوده باشد. برای خواندن مطالب بیشتر در رابطه با کانفیگ میکروتیک با ما همراه باشید.