SSTP VPN: усё, што вы хацелі б ведаць

Частка 1: Што такое SSTP VPN?

Secure Socket Tunneling Protocol - гэта шырока выкарыстоўваецца пратакол тунэлявання, які можна выкарыстоўваць для стварэння ўласнай VPN. Тэхналогія была распрацавана Microsoft і можа быць разгорнута з дапамогай маршрутызатара па вашаму выбару, напрыклад, Mikrotik SSTP VPN.

• • Ён выкарыстоўвае порт 443, які таксама выкарыстоўваецца для злучэння SSL. Такім чынам, ён можа вырашыць праблемы брандмаўэра NAT, якія часам узнікаюць у OpenVPN.
• • SSTP VPN выкарыстоўвае спецыяльны сертыфікат аўтэнтыфікацыі і 2048-бітнае шыфраванне, што робіць яго адным з самых бяспечных пратаколаў.
• • Ён можа лёгка абыйсці брандмаўэры і забяспечыць падтрымку Perfect Forward Secrecy (PFS).
• • Замест IPSec ён падтрымлівае перадачу SSL. Гэта дазволіла роўмінг замест простай перадачы даных ад кропкі да кропкі.
• • Адзіным недахопам SSTP VPN з'яўляецца тое, што ён не забяспечвае падтрымку мабільных прылад, такіх як Android і iPhone.

У SSTP VPN Ubuntu для Windows порт 443 выкарыстоўваецца, калі аўтэнтыфікацыя адбываецца на канцы кліента. Пасля атрымання сертыфіката сервера злучэнне ўсталёўваецца. Затым ад кліента перадаюцца пакеты HTTPS і SSTP, што прыводзіць да ўзгаднення PPP. Пасля таго, як IP-інтэрфейс прызначаны, сервер і кліент могуць бесперашкодна перадаваць пакеты даных.

Частка 2: Як наладзіць VPN з дапамогай SSTP?

Налада SSTP VPN Ubuntu або Windows трохі адрозніваецца ад L2TP або PPTP. Нягледзячы на ​​тое, што тэхналогія з'яўляецца роднай для Windows, вам трэба будзе наладзіць Mikrotik SSTP VPN. Вы таксама можаце выкарыстоўваць любы іншы маршрутызатар. Аднак у гэтым уроку мы разгледзелі наладу SSTP VPN Mikrotik на Windows 10. Працэс даволі падобны для іншых версій Windows і SSTP VPN Ubuntu.

Крок 1: Атрыманне сертыфіката для аўтэнтыфікацыі кліента

Як вы ведаеце, каб наладзіць Mikrotik SSTP VPN, нам трэба стварыць спецыяльныя сертыфікаты. Для гэтага перайдзіце ў раздзел Сістэма > Сертыфікаты і выберыце стварыць новы сертыфікат. Тут вы можаце падаць імя DNS для налады SSTP VPN. Акрамя таго, тэрмін прыдатнасці павінен быць сапраўдны на працягу наступных 365 дзён. Памер ключа павінен быць 2048 біт.

Пасля гэтага перайдзіце на ўкладку "Выкарыстанне ключа" і ўключыце толькі знак crl і сертыфікат ключа. варыянты знакаў.

Захавайце змены, націснуўшы на кнопку «Ужыць». Гэта таксама дазволіць вам стварыць сертыфікат сервера для SSTP VPN Mikrotik.

Крок 2: Стварыце сертыфікат сервера

Такім жа чынам вам трэба стварыць сертыфікат і для сервера. Дайце яму адпаведнае імя і задайце памер ключа 2048. Працягласць можа быць ад 0 да 3650.

Цяпер перайдзіце на ўкладку «Выкарыстанне ключа» і пераканайцеся, што ні адзін з параметраў не ўключаны.

Проста націсніце на кнопку «Ужыць» і выйдзіце з акна.

Крок 3: Падпішыце сертыфікат

Каб працягнуць, вы павінны падпісаць свой сертыфікат самастойна. Проста адкрыйце сертыфікат і націсніце на опцыю «Падпісаць». Увядзіце імя DNS або статычны IP-адрас і выберыце самападпісанне сертыфіката.

Пасля падпісання вы не зможаце ўносіць змены ў сертыфікат.

Крок 4: Падпішыце сертыфікат сервера

Такім жа чынам вы можаце падпісаць сертыфікат сервера. Магчыма, вам спатрэбіцца дадатковы прыватны ключ, каб зрабіць яго больш бяспечным.

Крок 5: Уключыце сервер

Цяпер вам трэба ўключыць сервер SSTP VPN і стварыць сакрэт. Проста перайдзіце да параметраў PPP і ўключыце сервер SSTP. Аўтэнтыфікацыя павінна быць толькі «mschap2». Акрамя таго, адключыце опцыю пацверджання сертыфіката кліента перад захаваннем гэтых змен.

Акрамя таго, стварыце новы сакрэт PPP. Увядзіце імя карыстальніка, пароль і лакальны адрас вашага маршрутызатара Mikrotik. Таксама тут можна паказаць IP-адрас выдаленага кліента.

Крок 6: Экспарт сертыфіката

Цяпер нам трэба экспартаваць сертыфікат аўтэнтыфікацыі кліента. Папярэдне пераканайцеся, што порт 443 адкрыты.

Проста запусціце інтэрфейс вашага маршрутызатара яшчэ раз. Выберыце сертыфікат ЦС і націсніце на кнопку «Экспарт». Усталюйце моцную фразу для экспарту.

Выдатна! Мы амаль на месцы. Перайдзіце ў інтэрфейс маршрутызатара і скапіруйце і ўстаўце сертыфікат ЦС на дыск Windows.

Пасля гэтага вы можаце запусціць майстар імпарту новага сертыфіката. Выберыце лакальную машыну ў якасці крыніцы.

Адсюль вы можаце праглядзець створаны вамі сертыфікат. Вы таксама можаце запусціць «certlm.msc» і ўсталяваць адтуль свой сертыфікат.

Крок 7: Стварыце SSTP VPN

У рэшце рэшт, вы можаце перайсці ў Панэль кіравання> Сетка і налады і выбраць стварэнне новага VPN. Увядзіце імя сервера і пераканайцеся, што тып VPN пазначаны як SSTP.

Пасля таго, як SSTP VPN створаны, вы можаце перайсці да інтэрфейсу Mikrotik. Адсюль вы можаце праглядзець дададзены Mikrotik SSTP VPN. Цяпер вы можаце падключыцца да гэтага SSTP VPN Mikrotik у любы час.

Частка 3: SSTP супраць PPTP

Як вы ведаеце, SSTP моцна адрозніваецца ад PPTP. Напрыклад, PPTP даступны практычна для ўсіх вядучых платформаў (уключаючы Android і iOS). З іншага боку, SSTP з'яўляецца роднай для Windows.

PPTP таксама з'яўляецца больш хуткім пратаколам тунэлявання ў параўнанні з SSTP. Аднак SSTP - больш бяспечны варыянт. Паколькі ён заснаваны на порце, які ніколі не блакуецца брандмаўэрамі, ён можа лёгка абыйсці бяспеку NAT і брандмаўэры. Тое ж самае нельга прымяніць да PPTP.

Калі вы шукаеце пратакол VPN для вашых асабістых патрэб, то вы можаце выкарыстоўваць PPTP. Гэта можа быць не такім бяспечным, як SSTP, але яго даволі проста наладзіць. Ёсць таксама бясплатна даступныя серверы PPTP VPN.

Частка 4: SSTP супраць OpenVPN

У той час як SSTP і PPTP вельмі розныя, OpenVPN і SSTP маюць шмат падабенства. Асноўнае адрозненне заключаецца ў тым, што SSTP належыць Microsoft і ў асноўным працуе ў сістэмах Windows. З іншага боку, OpenVPN з'яўляецца тэхналогіяй з адкрытым зыходным кодам і працуе амаль на ўсіх асноўных платформах (уключаючы настольныя і мабільныя сістэмы).

SSTP можа абыйсці ўсе віды брандмаўэраў, уключаючы тыя, якія блакуюць OpenVPN. Вы можаце лёгка наладзіць службу OpenVPN, ужыўшы шыфраванне па вашаму выбару. І OpenVPN, і SSTP даволі бяспечныя. Тым не менш, вы можаце наладзіць OpenVPN у адпаведнасці са зменамі ў вашай сеткі, што не можа быць лёгка дасягнута ў SSTP.

Акрамя таго, OpenVPN можа тунэляваць UDP і сеткі. Каб наладзіць OpenVPN, вам спатрэбіцца праграмнае забеспячэнне іншых вытворцаў, а наладзіць SSTP VPN на Windows прасцей.