Thiết lập VPN MikroTik Site to Site SSTP với RouterOS Client

Công nghệ VPN ( V irtual P rivate N etwork) cung cấp một đường hầm an toàn và được mã hóa trên một mạng công cộng. Vì vậy, người dùng mạng riêng có thể gửi và nhận dữ liệu tới bất kỳ mạng riêng từ xa nào thông qua đường hầm VPN như thể thiết bị mạng của họ được kết nối trực tiếp với mạng riêng đó.

Giao thức đường hầm ổ cắm an toàn (SSTP) vận chuyển đường hầm PPP qua kênh TLS. SSTP sử dụng kênh TLS qua cổng TCP 443. Vì vậy, SSTP VPN hầu như có thể đi qua tất cả các tường lửa và máy chủ proxy. Do sử dụng kênh TLS, dữ liệu được mã hóa sẽ chuyển qua Đường hầm SSTP. Vì vậy, không có cơ hội để kẻ tấn công trung gian đánh cắp dữ liệu và dữ liệu có thể gửi và nhận qua mạng công cộng một cách an toàn. MikroTik SSTP Server có thể được áp dụng theo hai phương pháp.

• Kết nối từ máy trạm/máy khách từ xa: Theo phương pháp này, phần mềm máy khách SSTP VPN có thể giao tiếp với Máy chủ VPN MikroTik SSTP qua đường hầm VPN an toàn bất cứ khi nào được yêu cầu và có thể truy cập mạng riêng từ xa như thể nó được kết nối trực tiếp với mạng riêng từ xa đó.
• Site to Site SSTP VPN: Phương pháp này còn được gọi là VPN giữa các bộ định tuyến. Trong phương pháp này, bộ định tuyến hỗ trợ máy khách SSTP luôn thiết lập đường hầm VPN SSTP với Máy chủ VPN MikroTik SSTP. Vì vậy, các mạng riêng của hai bộ định tuyến này có thể giao tiếp với nhau như thể chúng được kết nối trực tiếp với cùng một bộ định tuyến.

Mục tiêu của bài viết này là tạo một đường hầm VPN giữa hai MikroTik RouterOS qua Đường hầm VPN SSTP an toàn trên mạng công cộng. Trong bài viết trước của tôi, tôi đã thảo luận về cách định cấu hình Máy chủ VPN MikroTik SSTP để kết nối Máy khách Windows 10 từ xa . Trong bài viết này, tôi sẽ thảo luận về cách tạo VPN SSTP site to site giữa hai MikroTik RouterOS .

Giản đồ hệ thống

Để định cấu hình Đường hầm VPN SSTP site to site giữa hai MikroTik RouterOS, chúng tôi đang thực hiện theo sơ đồ mạng như hình mạng bên dưới.

Trong sơ đồ mạng này, có hai Bộ định tuyến MikroTik (Bộ định tuyến văn phòng và Bộ định tuyến gia đình). Office Router có WAN IP 117.58.247.198/30 là IP public và LAN IP block 10.10.110/24. Bộ định tuyến gia đình có IP WAN 192.168.40.2/30 nằm trong mạng NAT. Vì vậy, Home Router không yêu cầu phải có IP công cộng. Nó cũng có Khối IP LAN 172.25.25.0/24.

Chúng tôi sẽ định cấu hình SSTP VPN trong Bộ định tuyến văn phòng và Máy khách SSTP trong Bộ định tuyến gia đình. Sau khi định cấu hình SSTP VPN, Cổng VPN trong Bộ định tuyến văn phòng sẽ là 192.168.2.1 và Bộ định tuyến gia đình sẽ nhận 192.168.2.10 và Đường hầm SSTP an toàn sẽ được thiết lập và Bộ định tuyến văn phòng và Bộ định tuyến gia đình có thể truy cập mạng khác qua Đường hầm SSTP này.

Thiết lập VPN MikroTik SSTP từ trang này sang trang khác

Bây giờ chúng ta sẽ bắt đầu cấu hình SSTP Server và SSTP Client giữa hai MikroTik RouterOS. Toàn bộ cấu hình SSTP có thể được chia thành hai phần.

• Phần 1: Cấu hình máy chủ SSTP trong Office RouterOS
• Phần 2: Cấu hình máy khách SSTP trong Home RouterOS

Phần 1: Cấu hình máy chủ SSTP trong Office RouterOS

Theo sơ đồ mạng, Bộ định tuyến Office là Máy chủ VPN SSTP của chúng tôi. Vì vậy, chúng tôi sẽ kích hoạt và định cấu hình Máy chủ VPN SSTP trong Office MikroTik RouterOS. Giả định rằng các mạng WAN và LAN của MikroTik đã được định cấu hình và đang hoạt động mà không gặp bất kỳ sự cố nào.

Hoàn thành cấu hình Máy chủ MikroTik SSTP trong Office RouterOS có thể được chia thành ba bước sau.

• Bước 1: Tạo Chứng chỉ TLS cho Máy chủ SSTP
• Bước 2: Kích hoạt và cấu hình máy chủ SSTP
• Bước 3: Tạo người dùng SSTP

Bước 1: Tạo Chứng chỉ TLS cho Máy chủ SSTP

Cấu hình Máy chủ SSTP yêu cầu chứng chỉ TLS vì SSTP VPN sử dụng chứng chỉ TLS để liên lạc an toàn. MikroTik RouterOS v6 cung cấp khả năng tạo, lưu trữ và quản lý chứng chỉ trong kho chứng chỉ. Vì vậy, chúng tôi sẽ tạo chứng chỉ Máy chủ SSTP cần thiết từ MikroTik RouterOS. Máy chủ SSTP yêu cầu hai loại chứng chỉ:

• CA (Certification Authority) Certificate and
• Server Certificate

• Click on PLUS SIGN (+) again. New Certificate window will appear.
• Put your server certificate name (for example: Server) in Name input field.
• Put the WAN IP Address (example: 117.58.247.198) of MikroTik Router in Common Name input field.
• If you have put any optional field in CA certificate, put them here also.
• Click on Key Usage tab and uncheck all checkboxes except digital signature, key encipherment and tls server checkboxes.
• Click on Apply button and then click on Sign button. Sign window will appear now.
• Your newly created Server certificate template will appear in certificate dropdown menu. Select newly created certificate template if it is not selected.
• Also select CA certificate from CA dropdown menu.
• Click on Sign button. Your Signed certificate will be created within few seconds.
• Click on OK button to close New Certificate window.
• If newly created server certificate does not show T flag or Trusted property shows no, double click on your server certificate and click on Trusted checkbox located at the bottom of General tab and then click on Apply and OK button.

Chúng tôi đã tạo thành công Chứng chỉ máy chủ và CA cần thiết. Sau khi tạo chứng chỉ CA và Server, Chứng chỉ sẽ có dạng như hình sau.

Bước 2: Cấu hình SSTP Server trong MikroTik Router

Sau khi tạo Chứng chỉ CA và Máy chủ, chúng tôi hiện đủ điều kiện để kích hoạt và định cấu hình Máy chủ SSTP trong Bộ định tuyến MikroTik. Các bước sau đây sẽ chỉ ra cách bật và định cấu hình Máy chủ SSTP trong Bộ định tuyến MikroTik.

• Click on PPP menu item from Winbox and then click on Interface tab.
• Click on SSTP Server button. SSTP Server window will appear.
• Click on Enabled checkbox to enable SSTP Server.
• Make sure TCP Port 443 is assigned in Port input field.
• From Authentication, uncheck all checkboxes except mschap2 checkbox.
• From Certificate dropdown menu, choose server certificate (Server) that we created before.
• From TLS Version drop down menu, choose only-1.2 option. TLS Version any can also be selected.
• Now click on Force AES and PFS checkboxes.
• Now click on Apply and OK button.

Máy chủ SSTP hiện đang chạy trong Bộ định tuyến MikroTik. Vì MikroTik SSTP VPN bị giới hạn sử dụng tên người dùng và mật khẩu để kết nối VPN thành công, bây giờ chúng tôi sẽ tạo người dùng PPP có thể kết nối với Máy chủ MikroTik SSTP và nhận thông tin IP.

Bước 3: Tạo người dùng SSTP

MikroTik SSTP sử dụng tên người dùng và mật khẩu để xác thực kết nối hợp pháp. Vì vậy, chúng tôi phải tạo tên người dùng và mật khẩu để cho phép bất kỳ người dùng nào. Các bước sau đây sẽ chỉ ra cách tạo người dùng SSTP trong MikroTik RouterOS.

• From PPP window, click on Secrets tab and then click on PLUS SIGN (+). New PPP Secret window will appear.
• Put username (For example: sayeed) in Name input field and put password in Password input field.
• Choose sstp from Service dropdown menu.
• Put VPN Gateway IP (192.168.2.1) in Local Address input field. This Gateway IP does not require assigning on any interface because virtual interface will be created where this Gateway IP will be assigned automatically.
• Put the IP address (192.168.2.10) that will be assigned in Home  Router in Remote Address input field. This address will be assigned automatically. So, no need to assign on any interface.
• Put static route (172.25.25.0/24 192.168.2.10 1) that will be assigned in Office Router so that Office Router can reach to Home Router network in Routes input field. If you don’t assign Routes here, you have to put Routes statically in routing table to reach Home Router network. Multiple routes can be added by comma separated.
• Click on Apply and OK button.

Nhiều người dùng có thể được tạo tương tự nếu bạn có nhiều Client RouterOS.

Cấu hình máy chủ SSTP và người dùng trong Bộ định tuyến Office đã hoàn tất. Bây giờ chúng ta sẽ cấu hình SSTP Client trong Home Router.

Phần 2: Cấu hình máy khách SSTP VPN RouterOS

Home Router sẽ hoạt động như một SSTP Client. Vì vậy, chúng tôi sẽ tạo ứng dụng khách SSTP trong Bộ định tuyến gia đình. Các bước sau đây sẽ chỉ ra cách định cấu hình Máy khách SSTP trong Bộ định tuyến gia đình.

• From Winbox, click on Interfaces menu item. Interfaces window will appear.
• Click on PLUS SIGN (+) drop down menu and click on SSTP Client option. New Interface window will appear.
• In General tab, you can put a meaningful name in Name input field. I am keeping the default one.
• Click on Dial Out tab and put Office Router WAN IP (117.58.247.198) in Connect To input field.
• By default port 443 will be assigned in Port input field. So, nothing to do here.
• Server certification verification is enabled by default in RouterOS SSTP Client. So, click on Verify Server Address from Certificate check box for hostname verification.
• Click on PFS (Perfect Forward Secrecy) checkbox that will make sure private encryption key is being generated for each session. As we have chosen PFS in SSTP Server Configuration, we have to enable PFS in SSTP Client Configuration also.
• Put username (sayeed) that you created in SSTP User in Name input field and put password in Password input field.
• Uncheck all checkboxes except mschap2 from Allow protocol panel.
• Click Apply and OK button.

Nếu mọi thứ đều ổn, Đường hầm SSTP sẽ được thiết lập và Home RouterOS sẽ có thể truy cập mạng Bộ định tuyến Office thành công. Bộ định tuyến Office cũng sẽ có thể truy cập mạng Bộ định tuyến gia đình vì một tuyến đường sẽ được thêm động vào bảng định tuyến của Bộ định tuyến Office. Bạn sẽ tìm thấy những người dùng được kết nối từ tab PPP > Active Connection. Bạn cũng sẽ thấy rằng một giao diện ảo đã được tạo động và địa chỉ IP được chỉ định của bạn đã được chỉ định tự động.