PPTP adalah terowongan yang aman untuk mengangkut lalu lintas IP
menggunakan PPP. PPTP merangkum PPP di garis virtual yang berjalan di
atas IP. PPTP menggabungkan PPP dan MPPE (Microsoft Point to Point
Encryption) untuk membuat link terenkripsi. Tujuan dari protokol ini
adalah untuk membuat koneksi yang aman dikelola dengan baik antara
router serta antara router dan klien PPTP (klien tersedia untuk dan /
atau termasuk dalam hampir semua OS termasuk Windows).
Multilink PPP (MP) didukung dalam rangka memberikan MRRU (kemampuan
untuk mengirimkan paket berukuran penuh 1500 dan lebih besar) dan
menjembatani lebih PPP link (menggunakan Jembatan Control Protocol (BCP)
yang memungkinkan pengiriman frame Ethernet baku lebih PPP link) . Cara
ini adalah mungkin untuk setup menjembatani tanpa EoIP. Jembatan harus
baik memiliki alamat MAC administratif mengatur atau antarmuka Ethernet
seperti di dalamnya, seperti PPP link tidak memiliki alamat MAC.
PPTP termasuk PPP otentikasi dan akuntansi untuk setiap koneksi PPTP.
Otentikasi dan akuntansi dari setiap koneksi penuh dapat dilakukan
melalui klien RADIUS atau lokal.
MPPE 40bit RC4 dan MPPE 128bit RC4 enkripsi yang didukung.
Lalu lintas PPTP menggunakan port TCP 1723 dan protokol IP GRE (Generic
Routing Encapsulation, IP protokol ID 47), seperti yang diberikan oleh
Internet Assigned Numbers Authority (IANA). PPTP dapat digunakan dengan
sebagian besar firewall dan router dengan memungkinkan lalu lintas
ditakdirkan untuk port TCP 1723 dan protocol 47 lalu lintas yang akan
disalurkan melalui firewall atau router.
Koneksi PPTP mungkin terbatas atau tidak mungkin untuk setup meskipun
koneksi / NAT IP menyamar. Silakan lihat link Microsoft dan RFC
tercantum di bawah untuk informasi lebih lanjut.
PPTP Client
Properties
Property
|
Description
|
add-default-route (yes | no; Default: no)
|
Apakah untuk menambahkan PPTP alamat remote sebagai rute default.
|
allow (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap)
|
Diizinkan metode otentikasi.
|
connect-to (IP; Default: )
|
Alamat remote server PPTP
|
default-route-distance (byte [0..255]; Default: 1)
|
set nilai jarak diterapkan untuk auto menciptakan standar rute, jika add-default-rute juga dipilih
|
dial-on-demand (yes | no; Default: no)
|
menghubungkan ke server PPTP hanya ketika lalu lintas keluar dihasilkan.
Jika dipilih, maka rute dengan alamat gateway dari 10.112.112.0/24
jaringan akan ditambahkan sementara koneksi tidak didirikan.
|
disabled (yes | no; Default: yes)
|
Apakah antarmuka dinonaktifkan atau tidak. Secara default dinonaktifkan
|
keepalive-timeout (integer; Default: 60)
|
Set batas waktu keepalive dalam hitungan detik.
|
max-mru (integer; Default: 1460)
|
Maksimum Menerima Satuan. Max ukuran yang antarmuka PPTP akan dapat menerima tanpa fragmentasi paket paket.
|
max-mtu (integer; Default: 1460)
|
Maximum Transmission Unit. Max ukuran yang antarmuka PPTP akan dapat mengirim tanpa fragmentasi paket paket.
|
mrru (disabled | integer; Default: disabled)
|
Ukuran paket maksimum yang dapat diterima pada link. Jika paket lebih
besar dari terowongan MTU, itu akan dipecah menjadi beberapa paket,
memungkinkan ukuran IP penuh atau Ethernet paket yang akan dikirim
melalui terowongan. Selengkapnya >>
|
name (string; Default: )
|
Nama deskriptif antarmuka.
|
password (string; Default: "")
|
Sandi yang digunakan untuk otentikasi.
|
profile (name; Default: default-encryption)
|
Profil PPP digunakan.
|
user (string; Default: )
|
Nama pengguna digunakan untuk otentikasi.
|
contoh cepat
Contoh ini menunjukkan bagaimana untuk mengatur klien PPTP dengan username "pptp-hm", password "123" dan server 10.1.101.100
/interface pptp-client add name=pptp-hm user=pptp-hm password=123 connect-to=10.1.101.100 disabled=no
/interface pptp-client print detail
Flags: X - disabled, R - running
0 name="pptp-hm" max-mtu=1460 max-mru=1460 mrru=disabled
connect-to=10.1.101.100 user="pptp-hm" password="123"
profile=default-encryption add-default-route=no dial-on-demand=no
allow=pap,chap,mschap1,mschap2
PPTP Server
Sub-menu ini menunjukkan antarmuka untuk setiap klien PPTP terhubung.
Sebuah antarmuka diciptakan untuk setiap terowongan dibentuk untuk
server yang diberikan. Ada dua jenis interface di konfigurasi server
PPTP
- Antarmuka statis ditambahkan administratif jika ada kebutuhan untuk referensi nama interface tertentu (dalam aturan firewall atau tempat lain) diciptakan untuk pengguna tertentu.
- Interface dinamis ditambahkan ke daftar ini secara otomatis setiap kali pengguna terhubung dan username yang tidak cocok dengan entri statis yang ada (atau dalam kasus entri aktif sudah, karena tidak mungkin ada dua antarmuka terowongan terpisah direferensikan oleh nama yang sama).
Interface dinamis muncul ketika pengguna menghubungkan dan menghilang
setelah terputus pengguna, sehingga tidak mungkin untuk referensi
terowongan dibuat untuk itu digunakan dalam konfigurasi router
(misalnya, dalam firewall), jadi jika Anda perlu aturan gigih untuk user
tersebut, membuat statis entri untuk dia / dia. Jika tidak aman untuk
menggunakan konfigurasi dinamis.
Properties
Property
|
Description
|
authentication (pap | chap | mschap1 | mschap2; Default:mschap1,mschap2)
|
Metode otentikasi server akan menerima.
|
default-profile (name; Default: default-encryption)
|
Standar PPP Profil untuk menggunakan
|
enabled (yes | no; Default: no)
|
Mendefinisikan apakah server PPTP diaktifkan atau tidak.
|
keepalive-timeout (time; Default: 30)
|
Jika server selama periode keepalive tidak menerima paket apapun, itu
akan mengirim paket keepalive setiap detik lima kali. Jika server tidak
menerima respon dari klien, kemudian melepaskan setelah 5 detik. Log
akan menampilkan 5x "LCP terjawab echo reply" pesan dan kemudian
melepaskan.
|
max-mru (integer; Default: 1460)
|
Maksimum Menerima Satuan. Max ukuran yang antarmuka PPTP akan dapat menerima tanpa fragmentasi paket paket.
|
max-mtu (integer; Default: 1460)
|
Maximum Transmission Unit. Max ukuran yang antarmuka PPTP akan dapat mengirim tanpa fragmentasi paket paket.
|
mrru (disabled | integer; Default: disabled)
|
Ukuran paket maksimum yang dapat diterima pada link. Jika paket lebih
besar dari terowongan MTU, itu akan dipecah menjadi beberapa paket,
memungkinkan ukuran IP penuh atau Ethernet paket yang akan dikirim
melalui terowongan. Selengkapnya
|
Untuk mengaktifkan Server PPTP:
/interface pptp-server server set enabled=yes
/interface pptp-server server print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2,mschap1
keepalive-timeout: 30
default-profile: default
Monitoring
Perintah monitor dapat digunakan untuk memantau status dari terowongan pada kedua klien dan server.
/interface pptp-client monitor 0
status: "connected"
uptime: 7h24m18s
idle-time: 6h21m4s
encoding: "MPPE128 stateless"
mtu: 1460
mru: 1460
Read-only properties
Property
|
Description
|
status ()
|
Status PPTP saat. Nilai selain "terhubung" menunjukkan bahwa ada beberapa masalah membangun terowongan.
|
uptime (time)
|
Waktu berlalu sejak terowongan didirikan.
|
idle-time (time)
|
Waktu berlalu sejak aktivitas terakhir di terowongan.
|
encoding ()
|
Metode enkripsi yang digunakan
|
mtu (integer)
|
Negosiasi dan digunakan MTU
|
mru (integer)
|
Negosiasi dan digunakan MRU
|
Application Examples
Menghubungkan remote Client
Contoh berikut menunjukkan bagaimana untuk menghubungkan komputer ke
jaringan kantor remote melalui sebuah terowongan PPTP dienkripsi
memberikan komputer yang alamat IP dari jaringan yang sama bahwa kantor
jauh memiliki (tanpa perlu menjembatani lebih EoIP terowongan).
Pertimbangkan setup berikut:
Router kantor terhubung ke internet melalui ether1. Workstation yang
terhubung ke ether2. Laptop terhubung ke internet dan dapat mencapai IP
publik Kantor router (dalam contoh kita adalah 192.168.80.1 itu).
Langkah pertama adalah membuat user
/ppp secret add name=Laptop service=pptp password=123 local-address=10.1.101.1 \
remote-address=10.1.101.100
/ppp secret print detail
Flags: X - disabled
0 name="Laptop" service=pptp caller-id="" password="123" profile=default
local-address=10.1.101.1 remote-address=10.1.101.100 routes==""
Perhatikan bahwa PPTP alamat lokal adalah sama dengan alamat router pada
interface lokal dan alamat remote dari kelas yang sama dengan jaringan
lokal (10.1.101.0/24).
Langkah selanjutnya adalah untuk memungkinkan server PPTP dan klien PPTP pada laptop.
/interface pptp-server server set enabled=yes
/interface pptp-server server print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
default-profile: default
Klien PPTP dari laptop harus terhubung ke router IP publik yang pada contoh kita adalah 192.168.80.1.
(Konsultasikan manual masing tentang bagaimana mengatur klien PPTP dengan perangkat lunak sistem operasi yang Anda gunakan).
Pada titik ini (ketika klien PPTP berhasil tersambung) jika Anda mencoba
untuk melakukan ping setiap workstation membentuk laptop, ping akan
waktu karena Laptop tidak mampu untuk mendapatkan APP dari workstation.
Solusinya adalah dengan mengatur proxy-arp pada interface lokal.
/interface ethernet set Office arp=proxy-arp
/interface ethernet print
Flags: X - disabled, R - running
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:30:4F:0B:7B:C1 enabled
1 R ether2 1500 00:30:4F:06:62:12 proxy-arp
Setelah proxy arp diaktifkan, klien remote berhasil dapat mencapai semua workstation dalam jaringan lokal di belakang router.
Situs-situs PPTP
Berikut ini adalah contoh dari menghubungkan dua Intranet menggunakan terowongan PPTP melalui Internet.
Pertimbangkan setup berikut:
Kantor dan Rumah router yang terhubung ke internet melalui ether1,
workstation dan laptop yang terhubung ke ether2. Kedua jaringan lokal
yang disalurkan melalui klien PPTP, sehingga mereka tidak dalam domain
broadcast yang sama. Jika kedua jaringan harus dalam domain broadcast
yang sama maka Anda perlu menggunakan BCP dan menjembatani terowongan
PPTP dengan antarmuka lokal.
Langkah pertama adalah membuat user
/ppp secret add name=Home service=pptp password=123 local-address=172.16.1.1 \
remote-address=172.16.1.2 routes="10.1.202.0/24 172.16.1.2 1"
/ppp secret print detailFlags: X - disabled0 name="Home" service=pptp caller-id="" password="123" profile=defaultlocal-address=172.16.1.1 remote-address=172.16.1.2 routes=="10.1.202.0/24 172.16.1.2 1"
Perhatikan bahwa kita menyiapkan server PPTP PPP secret di mana rute
yang ditambahkan secara otomatis setiap kali menghubungkan klien. Jika
opsi ini tidak diatur, maka Anda akan perlu menambahkan static routing
pada server untuk rute lalu lintas antara dua lokasi melalui terowongan
PPTP. (Lihat PPP Pengguna Database untuk info lebih lanjut tentang
variabel-rute).
Langkah selanjutnya adalah untuk memungkinkan server PPTP pada router kantor dan mengkonfigurasi klien PPTP pada router Home.
/interface pptp-server server set enabled=yes
/interface pptp-server server> print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
default-profile: default
/interface pptp-client add user=Home password=123 connect-to=192.168.80.1 disabled=no
/interface pptp-client print
Flags: X - disabled, R - running
0 name="pptp-out1" max-mtu=1460 max-mru=1460 mrru=disabled
connect-to=192.168.80.1 user="Home"
password="123" profile=default-encryption add-default-route=no dial-on-demand=no
allow=pap,chap,mschap1,mschap2
Sekarang kita perlu menambahkan rute untuk mencapai jaringan lokal di belakang router Depan
/ip route add dst-address=10.1.101.0/24 gateway=pptp-out1
Sekarang setelah terowongan didirikan dan rute yang ditetapkan, Anda harus dapat ping jaringan remote.
Manual:Interface/SSTP
Mengamankan Socket Tunneling Protocol (SSTP) mengangkut sebuah
terowongan PPP melalui TLS 1.0 channel. Penggunaan TLS melalui TCP port
443 memungkinkan SSTP melewati hampir semua firewall dan proxy server.
SSTP mekanisme koneksi
- Koneksi TCP didirikan dari client ke server (secara default pada port 443);
- SSL memvalidasi sertifikat server. Jika sertifikat koneksi yang valid didirikan dinyatakan koneksi dirobohkan. (Tapi lihat catatan di bawah)
- Client mengirimkan SSTP paket kontrol dalam sesi HTTPS yang menetapkan mesin negara SSTP di kedua sisi.
- PPP negosiasi lebih SSTP. Klien mengotentikasi ke server dan mengikat alamat IP untuk antarmuka SSTP
- SSTP tunnel sekarang didirikan dan enkapsulasi paket dapat dimulai.
Saat ini, SSTP klien ada di Windows Vista, Windows 7, Windows 8, Linux dan RouterOS.
Sertifikat
Untuk mendirikan sebuah terowongan SSTP aman, sertifikat diperlukan. Di
server, otentikasi dilakukan hanya dengan username dan password, tetapi
pada klien - server dikonfirmasi menggunakan sertifikat server. Hal ini
juga digunakan oleh klien untuk cryptographically mengikat SSL dan
otentikasi PPP, yang berarti - klien mengirimkan nilai khusus melalui
koneksi SSTP ke server, nilai ini berasal dari data kunci yang
dihasilkan selama PPP otentikasi dan sertifikat server, ini memungkinkan
server untuk memeriksa apakah kedua saluran yang aman.
Jika SSTP klien PC Windows maka satu-satunya cara untuk membuat sebuah
terowongan SSTP aman ketika menggunakan sertifikat yang ditandatangani
sendiri adalah dengan mengimpor "server" sertifikat pada server SSTP dan
pada Windows PC menambahkan sertifikat CA root terpercaya.
Konfigurasi yang sama pada RouterOS klien akan mengimpor sertifikat CA
dan memungkinkan memverifikasi-server-sertifikat pilihan. Dalam skenario
ini Man-in-the-Tengah serangan tidak mungkin.
Antara dua router Mikrotik juga memungkinkan untuk mendirikan sebuah
terowongan aman dengan tidak menggunakan sertifikat sama sekali. Dalam
hal ini data yang akan melalui SSTP tunnel menggunakan anonim DH dan
Man-in-the-Tengah serangan yang mudah dicapai. Skenario ini tidak
kompatibel dengan Windows klien.
Hal ini juga memungkinkan untuk membuat terowongan SSTP aman dengan
menambahkan otorisasi tambahan sertifikat klien. Persyaratan konfigurasi
adalah:
- sertifikat pada server dan client
- Pilihan verifikasi diaktifkan pada server dan client
Skenario ini juga tidak mungkin dengan klien Windows, karena tidak ada cara untuk mengatur sertifikat klien pada Windows.
Pesan kesalahan sertifikat
Ketika ssl jabat tangan gagal, Anda akan melihat salah satu kesalahan sertifikat berikut:
- Sertifikat belum valid - notBefore tanggal sertifikat setelah waktu saat ini.
- sertifikat telah kedaluwarsa - sertifikat notAfter tanggal kadaluwarsa adalah sebelum waktu saat ini.
- Tujuan sertifikat tidak valid - sertifikat yang disediakan tidak dapat digunakan untuk tujuan tertentu.
- sertifikat yang ditandatangani sendiri dalam rantai - rantai sertifikat dapat dibangun dengan menggunakan sertifikat tidak dipercaya tapi akar tidak dapat ditemukan secara lokal.
- mampu untuk mendapatkan sertifikat penerbit lokal - CA sertifikat tidak diimpor secara lokal.
- alamat IP server tidak cocok dengan sertifikat - alamat server verifikasi diaktifkan, namun alamat yang disediakan dalam sertifikat tidak sesuai dengan alamat server.
Verifikasi hostname
SSTP Client
Sub-menu:
/interface sstp-client
Property
|
Description
|
add-default-route (yes | no; Default: no)
|
Apakah untuk menambahkan SSTP alamat remote sebagai rute default.
|
authentication (mschap2 | mschap1 | chap | pap; Default: mschap2, mschap1, chap, pap)
|
Diizinkan metode otentikasi.
|
certificate (string | none; Default: none)
| |
comment (string; Default: )
|
Nama deskriptif item
|
connect-to (IP:Port; Default: 0.0.0.0:443)
|
Terpencil alamat dan port server SSTP.
|
default-route-distance (byte [0..255]; Default: 1)
|
set nilai jarak diterapkan untuk auto menciptakan standar rute, jika add-default-rute juga dipilih
|
dial-on-demand (yes | no; Default: no)
|
menghubungkan ke AC hanya bila lalu lintas keluar dihasilkan. Jika
dipilih, maka rute dengan alamat gateway dari 10.112.112.0/24 jaringan
akan ditambahkan sementara koneksi tidak didirikan.
|
disabled (yes | no; Default: yes)
|
Apakah antarmuka dinonaktifkan atau tidak. Secara default dinonaktifkan.
|
http-proxy (IP:Port; Default: 0.0.0.0:443)
|
Alamat dan port server HTTP proxy.
|
keepalive-timeout (integer | disabled; Default: 60)
|
Set batas waktu keepalive dalam hitungan detik.
|
max-mru (integer; Default: 1500)
|
Maksimum Menerima Satuan. Max ukuran yang antarmuka SSTP akan dapat menerima tanpa fragmentasi paket paket.
|
max-mtu (integer; Default: 1500)
|
Maximum Transmission Unit. Max ukuran yang antarmuka SSTP akan dapat mengirim tanpa fragmentasi paket paket.
|
mrru (disabled | integer; Default: disabled)
|
Ukuran paket maksimum yang dapat diterima pada link. Jika paket lebih
besar dari terowongan MTU, itu akan dipecah menjadi beberapa paket,
memungkinkan ukuran IP penuh atau Ethernet paket yang akan dikirim
melalui terowongan.
|
name (string; Default: )
|
Nama deskriptif antarmuka.
|
password (string; Default: "")
|
Sandi yang digunakan untuk otentikasi.
|
pfs (yes | no; Default: no)
|
Memungkinkan "Sempurna Teruskan Kerahasiaan" yang akan memastikan bahwa
kunci enkripsi pribadi yang dihasilkan untuk setiap sesi. Harus
diaktifkan pada kedua server dan klien untuk bekerja.
|
profile (name; Default: default-encryption)
|
Profil PPP digunakan.
|
user (string; Default: )
|
Nama pengguna digunakan untuk otentikasi.
|
verify-server-certificate (yes | no; Default: no)
|
Jika diatur ke ya, maka cek client apakah sertifikat milik rantai
sertifikat sama dengan sertifikat server. Untuk membuatnya bekerja
sertifikat CA harus diimpor.
|
verify-server-address-from-certificate (yes | no; Default: yes)
|
Jika diatur ke ya, alamat IP server akan dibandingkan dengan satu set dalam sertifikat.
|
contoh cepat
Contoh ini menunjukkan bagaimana untuk mengatur SSTP client dengan nama
pengguna "SSTP-test", password "123" dan server 10.1.101.1
/interface sstp-client add user=sstp-test password=123 connect-to=10.1.101.1 disabled=no
/interface sstp-client print
Flags: X - disabled, R - running
0 R name="sstp-out1" max-mtu=1500 max-mru=1500 mrru=disabled connect-to=10.1.101.1:443
http-proxy=0.0.0.0:443 certificate=none verify-server-certificate=no
verify-server-address-from-certificate=yes user="sstp-test" password="123"
profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no
authentication=pap,chap,mschap1,mschap2
SSTP Server
Sub-menu:
/interface sstp-server
Sub-menu ini menunjukkan antarmuka untuk setiap klien SSTP terhubung.
Sebuah antarmuka diciptakan untuk setiap terowongan dibentuk untuk
server yang diberikan. Ada dua jenis interface dalam konfigurasi SSTP
server
- Antarmuka statis ditambahkan administratif jika ada kebutuhan untuk referensi nama interface tertentu (dalam aturan firewall atau tempat lain) diciptakan untuk pengguna tertentu.
- Interface dinamis ditambahkan ke daftar ini secara otomatis setiap kali pengguna terhubung dan username yang tidak cocok dengan entri statis yang ada (atau dalam kasus entri aktif sudah, karena tidak mungkin ada dua antarmuka terowongan terpisah direferensikan oleh nama yang sama).
Interface dinamis muncul ketika pengguna menghubungkan dan menghilang
setelah terputus pengguna, sehingga tidak mungkin untuk referensi
terowongan dibuat untuk itu digunakan dalam konfigurasi router
(misalnya, dalam firewall), jadi jika Anda memerlukan aturan gigih untuk
user tersebut, membuat entri statis untuk dia / dia. Jika tidak aman
untuk menggunakan konfigurasi dinamis.
Server configuration
Sub-menu:
/interface sstp-server server
Properties:
Property
|
Description
|
authentication (pap | chap | mschap1 | mschap2; Default:pap,chap,mschap1,mschap2)
|
Metode otentikasi server akan menerima.
|
certificate (name | none; Default: none)
|
Nama sertifikat server SSTP akan menggunakan.
|
default-profile (name; Default: default)
| |
enabled (yes | no; Default: no)
|
Mendefinisikan apakah server SSTP diaktifkan atau tidak.
|
force-aes (yes | no; Default: no)
|
Enkripsi AES kekuatan. Jika klien jendela aktif (hanya mendukung RC4) akan dapat terhubung.
|
keepalive-timeout (integer | disabled; Default: 60)
|
Jika server selama periode keepalive tidak menerima paket apapun, itu
akan mengirim paket keepalive setiap detik lima kali. Jika server tidak
menerima respon dari klien, kemudian melepaskan setelah 5 detik. Log
akan menampilkan 5x "LCP terjawab echo reply" pesan dan kemudian
melepaskan.
|
max-mru (integer; Default: 1500)
|
Maksimum Menerima Satuan. Max ukuran yang antarmuka SSTP akan dapat menerima tanpa fragmentasi paket paket.
|
max-mtu (integer; Default: 1500)
|
Maximum Transmission Unit. Max ukuran yang antarmuka SSTP akan dapat mengirim tanpa fragmentasi paket paket.
|
mrru (disabled | integer; Default: disabled)
|
Ukuran paket maksimum yang dapat diterima pada link. Jika paket lebih
besar dari terowongan MTU, itu akan dipecah menjadi beberapa paket,
memungkinkan ukuran IP penuh atau Ethernet paket yang akan dikirim
melalui terowongan. Selengkapnya >>
|
pfs (yes | no; Default: no)
|
Memungkinkan "Sempurna Teruskan Kerahasiaan" yang akan memastikan bahwa
kunci enkripsi pribadi yang dihasilkan untuk setiap sesi. Harus
diaktifkan pada kedua server dan klien untuk bekerja.
|
port (integer; Default: 443)
|
Port untuk layanan SSTP untuk mendengarkan pada.
|
verify-client-certificate (yes | no; Default: no)
|
Jika diatur ke ya, maka server mengecek apakah sertifikat klien milik rantai sertifikat yang sama.
|
/interface sstp-server server set certificate=server
/interface sstp-server server set enabled=yes
/interface sstp-server server print
enabled: no
port: 443
max-mtu: 1500
max-mru: 1500
mrru: disabled
keepalive-timeout: 60
default-profile: default
authentication: pap,chap,mschap1,mschap2
certificate: none
verify-client-certificate: no
force-aes: no
Monitoring
Monitor command can be used to monitor status of the tunnel on both client and server.
/interface sstp-server monitor 0
status: "connected"
uptime: 17m47s
idle-time: 17m47s
user: "sstp-test"
caller-id: "10.1.101.18:43886"
mtu: 1500
Read-only properties
Property
|
Description
|
status ()
|
Status SSTP saat. Nilai selain "terhubung" menunjukkan bahwa ada beberapa masalah membangun terowongan.
|
uptime (time)
|
Waktu berlalu sejak terowongan didirikan.
|
idle-time (time)
|
Waktu berlalu sejak aktivitas terakhir di terowongan.
|
user (string)
|
Nama pengguna digunakan untuk membangun terowongan.
|
mtu (integer)
|
Negosiasi dan digunakan MTU
|
caller-id (IP:ID)
|
Application Examples
Menghubungkan remote Client
Contoh berikut menunjukkan bagaimana untuk menghubungkan komputer ke
jaringan kantor remote melalui SSTP aman dienkripsi terowongan
memberikan komputer yang alamat IP dari jaringan yang sama dengan kantor
jauh memiliki (tanpa perlu menjembatani lebih EoIP terowongan)
Pertimbangkan setup berikut:
Router kantor terhubung ke internet melalui ether1. Workstation yang
terhubung ke ether2. Laptop terhubung ke internet dan dapat mencapai IP
publik Kantor router (dalam contoh kita adalah 192.168.80.1 itu).
Sebelum Anda mulai untuk mengkonfigurasi SSTP Anda perlu membuat sertifikat server dan impor ke router (petunjuk di sini).
Sekarang saatnya untuk membuat user:
/ppp secret add name=Laptop service=sstp password=123 local-address=10.1.101.1 \
remote-address=10.1.101.100
/ppp secret print detail
Flags: X - disabled
0 name="Laptop" service=sstp caller-id="" password="123" profile=default
local-address=10.1.101.1 remote-address=10.1.101.100 routes==""
Perhatikan bahwa SSTP alamat lokal adalah sama dengan alamat router pada
interface lokal dan alamat remote dari kelas yang sama dengan jaringan
lokal (10.1.101.0/24).
Langkah selanjutnya adalah untuk memungkinkan server yang SSTP dan SSTP client pada laptop:
/interface sstp-server server set certificate=server
/interface sstp-server server set enabled=yes
/interface sstp-server server set authentication=mschap2
/interface sstp-server server print
enabled: yes
port: 443
max-mtu: 1500
max-mru: 1500
mrru: disabled
keepalive-timeout: 60
default-profile: default
certificate: server
verify-client-certificate: no
authentication: mschap2
Perhatikan otentikasi yang diatur untuk MSCHAP. Ini adalah
satu-satunya pilihan otentikasi yang berlaku untuk mendirikan sebuah
terowongan aman.
Klien SSTP dari laptop harus terhubung ke router IP publik yang pada contoh kita adalah 192.168.80.1.
Silakan, konsultasikan manual masing tentang bagaimana mengatur klien
SSTP dengan software yang Anda gunakan. Jika Anda mengatur SSTP client
pada Windows dan sertifikat yang ditandatangani sendiri yang digunakan,
maka sertifikat CA harus ditambahkan ke akar terpercaya.
Untuk memverifikasi apakah SSTP client terhubung
/interface sstp-server print
Flags: X - disabled, D - dynamic, R - running
# NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING
0 DR
/interface sstp-server monitor 0
status: "connected"
uptime: 1h45s
idle-time: 1h45s
user: "Laptop"
caller-id: "192.168.99.1:43886"
mtu: 1500
Pada titik ini (saat SSTP client berhasil tersambung) jika Anda mencoba
untuk melakukan ping setiap workstation dari laptop, ping akan waktu,
karena Laptop tidak mampu untuk mendapatkan APP dari workstation. Solusi
adalah untuk mengatur proxy-arp pada antarmuka lokal
/interface ethernet set ether2 arp=proxy-arp
/interface ethernet print
Flags: X - disabled, R - running
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:30:4F:0B:7B:C1 enabled
1 R ether2 1500 00:30:4F:06:62:12 proxy-arp
Setelah proxy arp diaktifkan klien berhasil dapat mencapai semua workstation dalam jaringan lokal di belakang router.
Situs-situs SSTP
Berikut ini adalah contoh dari menghubungkan dua Intranet menggunakan terowongan SSTP melalui Internet.
Pertimbangkan setup berikut:
Kantor dan Rumah router yang terhubung ke internet melalui ether1,
workstation dan laptop yang terhubung ke ether2. Dalam contoh ini kedua
jaringan lokal yang disalurkan melalui SSTP client, sehingga mereka
tidak dalam domain broadcast yang sama. Untuk mengatasi masalah ini
karena dengan terowongan ppp lainnya, SSTP juga mendukung BCP yang
memungkinkan untuk menjembatani SSTP tunnel dengan antarmuka lokal.
Langkah pertama adalah membuat user:
/ppp secret add name=Home service=sstp password=123 local-address=172.16.1.1 \
remote-address=172.16.1.2 routes="10.1.202.0/24 172.16.1.2 1"
/ppp secret print detail
Flags: X - disabled
0 name="Home" service=sstp caller-id="" password="123" profile=defaultlocal-address=172.16.1.1 remote-address=172.16.1.2 routes=="10.1.202.0/24 172.16.1.2 1"
Perhatikan bahwa kita setup SSTP menambahkan rute kapanpun klien
terhubung. Jika opsi ini tidak diatur, maka Anda akan membutuhkan
konfigurasi static routing pada server untuk rute lalu lintas antara
situs melalui terowongan SSTP.
Sekarang kita perlu meng-upload dan impor CA dan server / klien
sertifikat. Dengan asumsi bahwa file sudah diupload digunakan perintah
berikut:
/certificate import file-name=ca.crt
passphrase:
/certificate import file-name=server.crt
passphrase: ****
/certificate import file-name=server.key
passphrase: ****
Mengedit nama untuk sesuatu yang lebih bermakna:
/certificate set 0 name=CA
/certificate set 1 name=server
/certificate print
Flags: K - decrypted-private-key, Q - private-key, R - rsa, D - dsa
0 D name="CA" subject=C=LV,ST=RI,L=Riga,O=MT,CN=MT CA,emailAddress=xx@mt.lv
issuer=C=LV,ST=RI,L=Riga,O=MT,CN=MT CA,emailAddress=xx@mt.lv
serial-number="DF626FA846090BCC" email=xx@mt.lv invalid-before=jun/25/2008 07:23:50
invalid-after=jun/23/2018 07:23:50 ca=yes
1 KR name="server" subject=C=LV,ST=RI,L=Riga,O=MT,CN=server,emailAddress=xx@mt.lv
issuer=C=LV,ST=RI,L=Riga,O=MT,CN=MT CA,emailAddress=xx@mt.lv serial-number="01"
email=xx@mt.lv invalid-before=jun/25/2008 07:24:33 invalid-after=jun/23/2018 07:24:33
ca=yes
Lakukan hal yang sama pada sisi klien, tapi bukannya sertifikat sertifikat impor klien server ini.
Langkah berikutnya adalah untuk memungkinkan SSTP server pada router kantor:
/interface sstp-server server set certificate=server
/interface sstp-server server set enabled=yes
/interface sstp-server server set verify-client-certificate=yes
/interface sstp-server server print
enabled: yes
port: 443
max-mtu: 1500
max-mru: 1500
mrru: disabled
keepalive-timeout: 60
default-profile: default
certificate: server
verify-client-certificate: yes
authentication: pap,chap,mschap1,mschap2
Sekarang mengkonfigurasi SSTP client pada router Depan:
/interface sstp-client add user=Home password=123 connect-to=192.168.80.1 disabled=no \
certificate=client verify-server-certificate=yes
/interface sstp-client print
Flags: X - disabled, R - running
0 R name="sstp-out1" max-mtu=1500 max-mru=1500 mrru=disabled connect-to=192.168.80.1:443
user="Home" password="123" proxy=0.0.0.0:443 profile=default certificate=client
keepalive-timeout=60 add-default-route=no dial-on-demand=no
authentication=pap,chap,mschap1,mschap2 verify-server-certificate=yes
Sekarang kita perlu menambahkan rute statis di Depan router untuk mencapai jaringan lokal di belakang router kantor:
/ip route add dst-address=10.1.101.0/24 gateway=sstp-out1
Setelah terowongan didirikan Anda harus dapat ping jaringan remote.
Troubleshooting
Setelah Windows 7 Upgrade SSTP tidak dapat terhubung (jendela error 631)?
MS patch KB2585542 perubahan cipher RC4 untuk yang tidak didukung pada
RouterOS. Mulai dari RouterOS v5.13 RC4 adalah cipher disukai dan AES
akan digunakan hanya jika rekan tidak mengiklankan RC4.
Saya mendapatkan error berikut ketika mencoba untuk menghubungkan
Windows 7 klien. Kesalahan 0x80070320 The oplock yang dikaitkan dengan
pegangan ini sekarang dikaitkan dengan pegangan yang berbeda.
Menonaktifkan opsi memverifikasi-client-sertifikat pada server.
Saya mendapatkan berikut "negosiasi Enkripsi ditolak" kesalahan.
Pilihan penggunaan-enkripsi menonaktifkan dalam profil ppp
0 komentar:
Posting Komentar