找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 77885|回复: 23

[vpn] 终于搞定了ROS的SSTP,附个简单的教程

  [复制链接]
发表于 2012-9-13 15:13:46 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
本帖最后由 hgptop 于 2012-9-13 16:23 编辑

1、创建地址池 ip--pool
2、创建拨号模板,ppp---profiles
3、创建防火墙伪装,ip--firewall--nat
4、申请证书,这个是重点,别看网上哪些什么用IIS或者centos之类的生成证书,那些用不成,sstp的证书必须是经过全球根信任的证书才行,否则windows连的时候会提示CN证书不受根信任而断开连接!这个是SSTP区别于OVPN的地方。全球唯一免费并且受到根信任的证书的办法机构是www.startssl.com,咱们得找这个网站申请才行。申请教程网上有了网址为:http://www.chinaz.com/free/2010/1111/142581.shtml 大家可以根据这个教程申请一个证书。
申请的时候需要注意的是保存一个key,并且这个key的密码也要记住,因为这个密码很重要,并且这个key也是就出现这一次,不保存好以后证书就不能用了。
另外这个证书只能颁发给某一个域名的二级域名,比如申请的域名是abc.com那么这个证书不是颁发给abc.com的而是他的二级域名,比如:sstp.abc.com。这个二级域名要提前解析好,以后也会有用。
申请完证书就是导入了,导入也不能按照ovpn的证书导入,这个必须要在ros的命令行下面导入的,因为到winbox界面导入不会提示你要输入key的密码,而在命令行就会出现。
导入的教程是ROS官方给出的,大家不要奢望ros的什么中文教程会给出这个说明,没有的,中文教程有写将的太笼统了。
官方的sstp证书导入教程(只贴出重要部分,其他的一会大家自己去网页上看):
Now its time to configure certificates for SSTP server. You can use StartSSL to get free browser-approved SSL certificates. You will need 4 files:
•ca.pem (StartSSL Root CA) – you get this one at StartSSL
•sub.class1.server.ca.pem (Class 1 Server SubCA) – you get this one at StartSSL
•your.mikrotik.pem (public certificate)
•your.mikrotik.key (private key)

You have to import these files by copying them to your MikroTik device (either via WinBox drag & drop into “Files” window or via FTP) and then doing something like:
/certificate import file-name=ca.pem
/certificate import file-name=sub.class1.server.ca.pem
/certificate import file-name=your.mikrotik.pem
/certificate import file-name=your.mikrotik.key
Except for your.mikrotik.key, you just hit ENTER when you are asked about the “passphrase”. For your.mikrotik.key, you must enter your private key password, if the key is encrypted. If it is not, you can just hit ENTER as well.

Now you can just do some configuration on this certificates you just imported:
/certificate set cert1 name="StartSSL CA"
/certificate set cert2 name="StartSSL Class 1 Server SubCA"
/certificate set cert3 ca=no
/certificate set cert3 name="your.mikrotik"
Now you can configure the SSTP server interface:
/interface sstp-server server set authentication=mschap1,mschap2 \
certificate=your.mikrotik default-profile=sstp enabled=yes
If you are unable to use port 443 for SSTP, you can use “port=” option in the command above to define the listening port. Don’t forget to open this port on the firewall (on the INPUT chain) if you are blocking ports by default.

这个教程详细地址是:http://nejc.skoberne.net/2011/03 ... bs-2008-nps-radius/ 大家可以翻翻看看,E文不好的可以借助谷歌网页翻译。
导入证书之后如果证书管理界面出现了KR那就说明已经导入成功并且可以正常使用了,如果导入不成功就没有KR。出现了KR就可以下一步了。
5、ppp---sstp  选择启用,证书选择那里选择刚导入的证书名字.
6、创建sstp账户,拨号,ok!
注意,客户端拨号的时候服务器那里必须要填写拥有证书的那个二级域名,输ip地址是不行的!
附图片两张:
234.jpg
123.jpg

补充内容 (2012-9-14 08:57):
不清楚的大家可以问,我有时间就回复。水平不高,但有啥说啥。

评分

参与人数 2铜板 +42 收起 理由
YAWPYNG + 30 很给力!
心想事成 + 12 很给力!

查看全部评分

routeros
发表于 2012-9-13 15:42:35 | 显示全部楼层
怎么也透露点信息啊····无图无真相!~~
routeros
回复

使用道具 举报

 楼主| 发表于 2012-9-13 16:30:37 | 显示全部楼层
不知道设置回复可见  也不知道设置只显示一部分,全部放开吧!
routeros
回复

使用道具 举报

发表于 2012-9-13 18:26:21 | 显示全部楼层
学习了,我不懂得太多。
routeros
回复

使用道具 举报

发表于 2012-9-13 21:02:14 | 显示全部楼层
感谢楼主....................!好人有好报。
routeros
回复

使用道具 举报

发表于 2012-9-18 01:16:26 | 显示全部楼层
好好学习 天天向上
routeros
回复

使用道具 举报

发表于 2012-9-19 09:03:31 | 显示全部楼层
好好学习 天天向上
routeros
回复

使用道具 举报

发表于 2012-9-25 16:19:08 | 显示全部楼层
房猪,弄点备注啊。
routeros
回复

使用道具 举报

发表于 2012-9-26 18:25:05 | 显示全部楼层
受益了!多谢!
routeros
回复

使用道具 举报

发表于 2013-1-10 18:11:47 | 显示全部楼层
楼主这个很好呀
说用WINDOWS做的证书不行,那是因为,客户必须先要信任AC,才会信任这个AC发的证书,所以WINDOWS做出来的证书必须先要在客户端上面安装证书链,之后就可以了。
routeros
回复

使用道具 举报

发表于 2013-1-10 22:38:29 | 显示全部楼层
顶个帖子,学习一下!
routeros
回复

使用道具 举报

 楼主| 发表于 2013-1-16 16:29:04 | 显示全部楼层

嗯   不是想着让用户安装证书太麻烦么
routeros
回复

使用道具 举报

发表于 2013-5-18 18:34:06 | 显示全部楼层
SSTP和ovpn就区别在证书申请上?
routeros
回复

使用道具 举报

发表于 2014-11-8 16:57:22 | 显示全部楼层
要固定IP才好申请吧?能不能用动态域名去申请?
routeros
回复

使用道具 举报

发表于 2014-11-16 01:10:28 | 显示全部楼层
好好学习 天天向上
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-22 11:27 , Processed in 0.101950 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表