با سلام خدمتون دوستان عزیز… در ادامه پست گذشته که در مورد راه اندازی VPN L2TP بود،
لینکش رو اینجا میزارم ،
امروز قصد دارم نصب و راه اندازی VPN SSTP رو با شما به اشتراک بزارم.
SSTP یا secure socket tunneling protocol یکی از پروتکل های VPN است که امن است، در کنار پروتکل SSL برای رمزگذاری، برای کانکشنهای VPN بسیار مناسب است،
SSTP توسط مایکروسافت معرفی شده است و معمولا در ویندوز استفاده می شود اما در برخی از توزیع های لینوکس و روتر ها نیز پشتیبانی می شود.
با توجه به اینکه پروتکل SSTP از پورت شناخته شده ۴۴۳ که پورت مورد استفاده در https هم هست استفاده می کند ، تقریبا در اکثر فایروال های دنیا این پورت براحتی و بدون دردسر قابل عبور است
شکل کلی سناریو :
ما برای راه اندازی VPN SSTP نیاز به یک CA و یک RRAS داریم.
CA بهتر است که جوین دومین باشد.
RRAS هم بهتر است که جوین باشد، چون اگر جوین باشد میتوانیم از یوزر های داخل دومین استفاده کنیم.
نصب سرور CA :
از داخل server manager روی Add role and feature کیلک میکنیم
سپس role Active Directory Certificate Service را تیک میزنیم
در قسمت role service تیک گزینه های Certificate Authority و Web Enrollment را میزنیم.
و در پایان install را میزنیم
بعد از اینکه نصب به پایان رسید گزینه configure Active Directory …. را میزنیم
گزینه های مربوطه را مطابق با شکل زیر انتخاب میکنیم و next میکنیم
یک نام به CA میدهیم.
و در نهایت configure را میزنیم :
حالا کنسول CA را باز میکنیم
روی certificate template راست کلیک و manage را میزنیم
در اینجا باید یک template بسازیم
روی IP sec راست کلیک و گزینه duplicated Template را میزنیم
در سربرگ nameدر قسمت Templateیک اسم برای generalکه میخواهیم بسازیم انتخاب میکنیم
در قسمت subject name گزینه supply in the Request را انتخاب میکنیم
و در نهایت در قسمت Extensions گزینه application policies را انتخاب و سپس گزینه Edit را میزنیم
سپس add را میزنیم و گزینه server Authentication را میزنیم
و در آخر ok میکنیم
حالا روی certificate Template گزینه NEW را میزنم و template که درست کردیم را به لیست اضافه میکنیم.
همانطور که میبینید template ما به لیست اضافه شد
حالا باید بریم روی سرور RRAS و قبل از اینکه RRAS را نصب کنیم باید درخواست Certificates بدهیم
برای این کار کنسول MMC را باز میکنیم و Certificate را انتخاب میکنیم (مطابق تصاویر زیر)
حالا درخواست Certificate میدهیم :
در این صفحه template مورد نظر را انتخاب میکنیم و روی گزینه more information … کلیک میکنیم
نکته : اگر template مورد نظر یافت نشد سیستم را یکبار Restart میکنیم.
در اینجا در قسمت subject مقدار type را روی common name و یک اسم برای certificate خودمان در نظر میگیریم. و درپایان add را میزنیم و ok میکنیم و روی گزینه Enroll کلیک میکنیم.
بعد از گرفتن Certificate میریم Role Remote Access را نصب میکنیم.
بعد از نصب RRAS ، کنسول را باز میکنیم
روی سرور راست کلیک و گزینه configure …. را میزنیم :
گزینه Custom configuration را انتخاب میکنیم:
سپس گزینه VPN access را تیک میزنیم
سپس روی سرور راست کلیک و properties را میزنیم :
در سربرگ Security در قسمت SSL Certificate Binding اون Certificate که گرفتیم را اینجا انتخاب میکنیم :
سپس در سربرگ IPv4 یک رنج انتخاب میکنیم که کسی که VPN زد و اومد تو شبکه داخلی ما از اون رنج IP بگیره.
حالا باید بریم روی DC و اون یوزری که میخواهیم VPN بزند را بهش دسترسی میدهیم
وارد کنسول AD UC میشویم، روی یوزر راست کلیک و properties را میزنیم و در تب Dial-in ، گزینه Allow را انتخاب میکنیم.
در اینجا به یوزر Behnam دسترسی دادیم.
حالا میریم روی سیستم کلاینت
در اینجا باید روی سیستم کلاینت CA که در شبکه داخلی ما راه اندازی کردیم باید عضو گروه Trusted Root در سیستم کاربر باشد، وگرنه نمیتونیمVPN بزنیم.
برای این کار ما میتوانیم از طریق Certificate Authority Web Enrollment از طریق وب در دنیای بیرون به کاربر اجازه بدیم که CA را دانلود کند یا میتوانیم از روش های دیگری مانند: ایمیل کردن و… استفاده کنیم.
چون در اینجا ما در محیط Pilot هستیم، از CA یک Export تهیه میکنیم و در کلاینت Import میکنیم.
برای این کار میریم روی سرور CA و کنسول را باز میکنیم :
حالا میریم روی سیستم کلاینت و از طریق MMC کنسول Certificate را باز میکنیم و در قسمت Trusted Root این Certificate را Import میکنیم.
نکته : ما برای وصل شدن به سرور SSTP باید با نام کامل یا اصطلاحا FQDN متصل شویم، برای این کار باید یک دامنه به نام common name که در Certificate ساختیم باید به این نام خریداری کنیم و در دنیای اینترنت publish کنیم که بتوانیم بهش وصل بشیم، ما در اینجا در حالت pilot هستیم برای حل این مشکل میریم در فایل host در ویندوز به صورت دستی این عمل را انجام میدهیم.
به آدرس زیر میرویم :
Windows > system32 > driver > etc
به یوزر روی فایل Host را دسترسی میدهیم تا بتواند این فایل را تغییر دهد.
HOST را با notepad باز میکنیم و IP و common name را وارد میکنیم و save میکنیم.
نکته : وقتی ما یک Ca داریم که certificate ارائه میدهد، certificate تا یک مدت اعتبار دارد، یک وقت است که تشخیص میدهیم که که دیگه اون certificate دیگه معتبر نیست، میخواهم revoked کنم.
جایی که توی CA ، certificate های revoked شده نگهداری میشود به اونجا میگن CDP
و به اون certificate هایی که توی اونجا قرار میگیرن توی این قرار میگیرن به اسم CRL .
CDP لیست های CRL داخلش است.
سیستم ها وقتی میخوان از certificate استفاده کنند باید دسترسی به CRL داشته باشید، اگر دسترسی به CRL را نداشته باشند، نمیتوانند بفهمند که اون CA مجاز است یا مجاز نیست.
برای همین ما میریم تو Registry ویندوز یک تغییری ایجاد میکنیم که این سیستم CRL یا همون Certificate Revocation List رو چک نکنه.
به مسیر زیر میرویم :
HKEY_LOCAL_MACHINE \ System \ CurrentContolSet \ Service \SstpSvc \Parameters
در اینجا راست کلیک و مطابق شکل انجام میدهیم :
نام فایل را : NoCertRevocationCheck میگذاریم و مقدار را ۱ میگذاریم.
حالا در قسمت VPN یک connection برای آن میسازیم:
VPN provider: در اینجا پیش فرض همان windows (built-in)را انتخاب میکنیم.
Connection name : یک نام برای connection انتخاب میکنیم.
Server name or address: در اینجا باید نام سرور VPN را میزنیم (باید به صورت FQDN باشد)
VPN type : باید نوع پروتکل VPN را انتخاب کنیم.
و در آخر احراز هویت بر اساس یوزر و پسورد را انتخاب میکنیم.
در اینجا مشاهده میکنیم که ارتباط ما برقرا شد.
در پایان دو تا نکته رو بگم که اگر به ارور های زیر برخورد کردید :
ارور اول :
The Revocation Function was unable to check revocation because the revocation server was offline
این ارور برای همون CRL است که باید بریم در ریجستری و اون تغییراتی که در بالا گفتم رو انجام بدیم تا سیستم دیگه CRL رو چک نکنه.
ارور دوم :
The certificate’s CN name dose not match the passed value
این ارور برای وقتی هستش که ما در هنگام ساخت VPN connection در قسمت server name or address ، آی پی اون VPN سرور رو وارد کردیم که باید در اینجا نام کامل به صورت FQDN وارد شود.
یا ممکن است نام FQDN را به صورت اشتباه تایپ کرده باشیم.
امیدوارم که لذت برده باشید…
هر گونه انتشار بدون نام نویسنده دارای اشکال اخلاقی است.
