Mohammadreza Soleimani 525 روز پیش verl
بازدید 14310 بدون دیدگاه

راه اندازی SSTP Site to Site VPN در میکروتیک

راه اندازی SSTP Site to Site VPN در میکروتیک، در این مقاله قصد داریم به راه اندازی Secure Socket Tunneling Protocol (SSTP) در میکروتیک بپردازیم. در ابتدا نگاهی اجمالی به پروتکل SSTP، مزایا و معایب آن خواهیم داشت.

 

راه اندازی SSTP Site to Site VPN در میکروتیک

فهرست مطالب

  1. SSTP چیست
  2. مزایای SSTP VPN
  3. معایب SSTP VPN
  4. پیاده سازی

 

 

SSTP چیست

SSTP مخفف عبارت Secure Socket Tunneling Protocol می باشد. این پروتکل توسط شرکت Microsoft ایجاد و در ویندوز ویستا معرفی گردید. SSTP یک پروتکل VPN امن محسوب می گردد. SSTP همانند L2TP یک پروتکل Tunneling می باشد که به کمک آن می توان یک سایت را به سایت دیگر متصل نمود. یکی از قابلیت های مهم SSTP استفاده از پورت 443 TCP میباشد. این پروتکل HTTPS محسوب می شود و به همین دلیل Block شدن آن تقریبا امکان پذیر نمی باشد چرا که SSTP از پورت HTTPS استفاده می نماید و این پورت در اکثر مواقع در فایروال ها قابل دسترس می باشد. همچنین این قابلیت در روتربرد های میکروتیک وجود دارد که هم از طریق Site to Site و هم Client to Site اتصال SSTP ایجاد نماید.

 

مزایای SSTP VPN

  • رمزنگاری که در SSTP ارائه می گردد بسیار پیشرفته و امنیت در این پروتکل بالا می باشد.
  • راه اندازی و پیاده سازی SSTP VPN به سادگی انجام می گیرد.
  • به دلیل بهره گیری SSTP از پروتکل TCP و پورت 443 محدود کردن این اتصال بسیار سخت و غیر ممکن می باشد چرا که از پورت مربوط به HTTPS استفاده می نماید.
  • اتصال در SSTP VPN بسیار پایدار می باشد.

 

معایب SSTP VPN
  • پلتفرم های کمی از پروتکل SSTP پشتیبانی می نمایند و محدود به ویندوز و اندروید و برخی پلتفرم های محدود می باشد.
  • احتمال به وجود آمدن مشکل TCP Meltdown به دلیل وجود 3way handshake در TCP در این پروتکل وجود دارد.

 

 

پیاده سازی SSTP Site to Site VPN در میکروتیک

جهت پیاده سازی SSTP Site to Site VPN در میکروتیک توپولوژی زیر مفروض می باشد:

توپولوژی

 

در این سناریو از دو روتر به عنوان شعبه اول ( HQ ) و شعبه دوم ( Branch ) استفاده می نماییم. پس از پیاده سازی دسترسی PC در شعبه اول به  PC موجود در شعبه 2 امکان پذیر خواهد بود و این صحت فرایند انجام شده را تایید خواهد نمود.

همانطور که مشاهده می نمایید برای شکل گیری VPN نیاز به اینترنت می باشد. همچنین دو شعبه در شبکه های مجزا از یکدیگر ( 192.168.1.0 و  172.16.1.0 ) قرار دارند. در این سناریو روتر HQ را به عنوان SSTP Server و روتر Branch را به عنوان SSTP Client در نظر می گیریم و به همین واسطه بین روتر های HQ و Branch یک تونل ( Tunnel ) شکل می گیرد. تمام داده هایی که بین PC1 و PC2 تبادل خواهند شد از این Tunnel عبور خواهند نمود. همچنین اطلاعات درون Tunnel رمزنگاری و Encrypt خواهند شد. باید در نظر داشت اگر مراحل پیاده سازی به درستی انجام پذیرد دو کامپیوتر در دو سایت ( شعبه ) مختلف قادر به برقراری ارتباط خواهند بود.

نکته: در این سناریو به دلیل اینکه یک محیط شبیه سازی شده است آدرس IP Public در دسترس نبود لذا بین روتر HQ و Branch از آدرس  (192.168.12.0/24) استفاده گردید ولی در محیط واقعی در اینترفیس های متصل به اینترنت می بایست آدرس public IP قرار گیرد. در این سناریو فرض بر این است که آدرس های شبکه  192.168.12.0 آدرس Public می باشند.

در این سناریو آدرس دهی اینترفیس ها از قبل انجام گرفته و صرفا مراحل مورد نیاز جهت پیاده سازی SSTP Site to Site VPN ارائه خواهد گردید. چنانچه نیاز به یادگیری نحوه قرار دادن آدرس IP روی روتربرد های میکروتیک دارید، مقاله ( تنظیم آدرس IP روی میکروتیک )  به شما در انجام این فرایند کمک خواهد نمود.

مراحل پیاده سازی SSTP بسیار مشابه با L2TP می باشد با این تفاوت که در SSTP گزینه IPsec نخواهیم داشت. هدف از برقراری SSTP Site to Site VPN در این سناریو برقراری ارتباط از کامپیوتر موجود در  شعبه Branch به سمت کامپیوتر شعبه HQ می باشد. در مرحله اول می بایست ارتباط بین شعبه HQ و Branch را بررسی نماییم. این ارتباط در محیط واقعی یک ارتباط با آدرس Public IP می باشد که ما در این سناریو از آدرس IP در رنج شبکه 192.168.12.0 استفاده نمودیم . جهت بررسی یک پینگ از سمت Branch به سمت HQ ارسال می نماییم.

تست پینگ

 

همانطور که مشاهده می نمایید ارتباط بین روتر های HQ و Branch از طریق اینترنت برقرار می باشد. در مرحله بعدی می بایست در روتر شعبه اصلی ( HQ ) SSTP را فعال نماییم. از منوی نرم افرار Winbox بر روی PPP کلیک نموده و بر روی گزینه SSTP Server کلیک می کنیم. در پنجره باز شده گزینه Enable را فعال نموده و در قسمت Default Profile را بر روی Default-encryption قرار می دهیم. چنانچه قصد استفاده از پروفایل ایجاد شده را دارید نیز می توانید به جای گزینه Default-encryption آن را انتخاب نمایید. همانطور که در این پنجره مشاهده می نمایید پورت پیش فرض نیز 443 می باشد. اگر از Certificate خاصی استفاده می نمایید می توانید آن را انتخاب نمایید که در این سناریو از Certificate استفاده نخواهیم نمود.

فعالسازی SSTP

 

در مرحله بعدی می بایست یک نام کاربری و رمز عبور جهت اتصال SSTP Client در HQ ایجاد نماییم. به همین منظور می بایست در منوی PPP بر روی تب Secret کلیک نموده و سپس برای اضافه نمودن نام کاربری و رمز عبور روی + کلیک نماییم. در پنجره باز شده در قسمت Name نام کاربری و در قسمت Password رمز عبور وارد می گردد. همچنین Service را بر روی گزینه SSTP قرار می دهیم. در قسمت Profile گزینه Default-encryption را نیز انتخاب می نماییم. چنانچه پروفایل دیگری ایجاد نموده باشیم در این قسمت قابل انتخاب خواهد بود. در قسمت Local Address یک آدرس IP برای اینترفیس مربوط به Tunnel در مبدا و مقصد قرار می دهیم. این آدرس هر آدرس Private می تواند باشد که به اینترفیس های Tunnel در مبدا و مقصد اعمال خواهد گردید. در این سناریو از آدرس 10.10.10.1 در مبدا و از 10.10.10.2 در مقصد ( Remote Address ) استفاده خواهیم نمود.

نام کاربری و رمزعبور

 

در این مرحله تنظیمات در شعبه اصلی ( HQ ) به پایان رسیده و اکنون تنظیمات مربوط به شعبه Branch انجام خواهد پذیرفت. در روتر Branch بر روی PPP کلیک نموده و در تب اینترفیس گزینه + را انتخاب می نماییم. در زیر منوی باز شده SSTP Client را انتخاب و در تب Dial Out در قسمت Connect to می بایست آدرس Public IP روتر HQ را وارد نماییم. در این سناریو از آدرس 192.168.12.1 استفاده نموده ایم. در قسمت Username نام کاربری و در قسمت Password رمز عبور را وارد و بر روی OK کلیک می نماییم.

برقراری اتصال

 

پس از انجام مراحل فوق در پنجره PPP مشاهده می کنیم که ارتباط برقرار گردیده و حرف R در کنار اتصال بیان گر این برقراری ارتباط می باشد.

اتصال

 

همچنین جهت بررسی اتصال در شعبه HQ نیز می توان بر روی تب Active Connection کلیک نماییم و چنانچه اتصالی برقرار باشد در این قسمت قابل مشاهده می باشد.

ارتباطات فعال

 

در این مرحله ارتباطات SSTP برقرار گردیده اما باید دقت داشت که کماکان ارتباطات بین شبکه های 192.168.1.0 و 172.16.1.0 و همچنین ارتباط بین کامپیوتر های دو شعبه وجود ندارد چرا که هیچ اطلاعاتی روی روتر HQ در مورد شبکه 172.16.1.0 وجود ندارد همچنین در روتر Branch نیز اطلاعاتی در مورد شبکه  192.168.1.0 وجود ندارد. برای رفع این مشکل باید روی هر دو روتر برد یک Static Route  ایجاد نماییم. برای انجام این کار در روتر HQ در متوی نرم افزار Winbox گزینه IP و از زیر منوی باز شده گزینه Route را انتخاب می نماییم. با کلیک بر روی +  می توان یک Route به جدول مسیریابی به صورت دستی اضافه نمود. در پنجره باز شده در قسمت Dst.Address آدرس شبکه 172.16.1.0/24 را قرار می دهیم و در قسمت Gateway آدرس IP مربوط به SSTP Tunnel شعبه Branch را وارد می نماییم که در اینجا 10.10.10.2 می باشد.

روت HQ

 

همچنین در روتر Branch نیز باید یک Static Route به سمت شبکه 192.168.1.0/24 تنظیم نماییم. جهت انجام این کار در روتر  Branch در متوی نرم افزار Winbox گزینه IP و از زیر متوی باز شده گزینه Route  را انتخاب می نماییم. با کلیک بر روی +  می توان یک Route به جدول مسیریابی به صورت دستی اضافه نمود. در پنجره باز شده در قسمت Dst.Address آدرس شبکه 192.168.1.0/4 را قرار می دهیم و در قسمت Gateway آدرس IP مربوط به SSTP Tunnel  شعبه HQ را وارد می نماییم که در اینجا 10.10.10.1 می باشد.

روت Branch

 

پس از انجام تنظیمات فوق پیاده سازی SSTP Site to Site VPN انجام گرفته و کامپیوتر های شعبه Branch قادر به دسترسی به کامپیوتر ها و تجهیزات شبکه HQ را خواهند بود.

 

 

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare