Az SSTP (Secure Socket Tunneling Protocol) egy Microsoft \u00e1ltal kifejlesztett SSL alap\u00fa VPN, amely felv\u00e1ltani hivatott az eddigi implement\u00e1ci\u00f3kat a megn\u00f6velt biztons\u00e1ggal, kompatibilit\u00e1ssal \u00e9s teljes\u00edtm\u00e9nnyel.<\/p>\n\n\n\n
Milyen oper\u00e1ci\u00f3s rendszerrel lehet haszn\u00e1lni?<\/strong> Mit jelent a megn\u00f6velt biztons\u00e1g?<\/strong> Mit jelent a megn\u00f6velt kompatibilit\u00e1s?<\/strong> Mit jelent a megn\u00f6velt teljes\u00edtm\u00e9ny?<\/strong> 1., Certificate megkre\u00e1l\u00e1sa.<\/strong> Itt \u00e9n az egyszer\u0171s\u00e9g (\u00e9s persze k\u00f6lts\u00e9ghat\u00e9konys\u00e1g szempontj\u00e1b\u00f3l) egy self-signedet fogok haszn\u00e1lni; technikailag ez is ugyanolyan t\u00f6k\u00e9letes. Ha az anyagiak engedik, akkor hivatalos tan\u00fas\u00edtv\u00e1ny kibocs\u00e1t\u00f3t\u00f3l is v\u00e1s\u00e1rolhatunk). Itt sz\u00fcks\u00e9g lesz egy sz\u00e1m\u00edt\u00f3g\u00e9pre, lehet\u0151leg Linux OS-sel, \u00e9s install\u00e1lt OpenSSL csomaggal.<\/p>\n\n\n\n # openssl genrsa 2048 > router_priv.pem (ez lesz a priv\u00e1t kulcsunk, 2048bit-es)<\/em> 2., Az elk\u00e9sz\u00fclt certificate import\u00e1l\u00e1sa a Mikrotikben<\/strong><\/p>\n\n\n\n # certificate import file-name=router_pub.pem Hasonl\u00f3t kell l\u00e1tnunk az import\u00e1l\u00e1s ellen\u0151rz\u00e9sekor.<\/p>\n\n\n\n 3., Hozzunk l\u00e9tre egy PPP profile-t, k\u00fcl\u00f6n az SSTP VPN serverhez.<\/strong><\/p>\n\n\n\n # ppp profile add change-tcp-mss=yes name=sstp use-compression=yes use-encryption=yes use-vj-compression=yes<\/p>\n\n\n\n 4., Hozzunk l\u00e9tre egy accountot, amivel majd a kliens csatlakozni tud<\/strong> (itt ez egy helyi user, de ha van a h\u00e1l\u00f3zaton RADIUS szerver, onnan is authentik\u00e1lni)<\/p>\n\n\n\n # ppp secret add local-address=192.168.1.1 name=testuser password=testpassword profile=sstp remote-address=192.168.1.245 service=sstp<\/p>\n\n\n\n Ezt az utols\u00f3 parancsot n\u00e9zz\u00fck meg alaposabban. L\u00e9trehoz teh\u00e1t egy \u2018testuser\u2019 nev\u0171 usert, a megfelel\u0151 jelsz\u00f3val. A ppp profil, amelyet haszn\u00e1l, az el\u0151bbiekben l\u00e9trehozott \u2018sstp\u2019 nev\u0171 lesz. A local-address a 192.168.1.1, mely a router local LAN fel\u00e9 n\u00e9z\u0151 interface, a remote-address pedig az az IP c\u00edm, amelyet a sikeresen becsatlakozott kliens kap meg. A l\u00e9trehozott user csakis az sstp service-n valid, teh\u00e1t pl. ssh logink\u00e9nt nem fogadja el a router.<\/p>\n\n\n\n 5., A local LAN interfacen enged\u00e9lyezz\u00fck a proxy-arp-t.<\/strong> Mivel a tunnel nem Layer2 szinten m\u0171k\u00f6dik, \u00edgy a becsatlakozott kliens MAC-addresse nyilv\u00e1nval\u00f3an nem fog \u201c\u00e1tj\u00f6nni\u201d a bels\u0151 h\u00e1l\u00f3zat g\u00e9pei sz\u00e1m\u00e1ra. MAC-address n\u00e9lk\u00fcl azonban nincs kommunik\u00e1ci\u00f3 sem, teh\u00e1t erre sz\u00fcks\u00e9g van. Ezt a szerepet fogja a local LAN interface ell\u00e1tni azzal, hogy proxyzza a saj\u00e1t MAC address\u00e9t a kliensek \u00e9s bels\u0151 h\u00e1l\u00f3zati node-k k\u00f6z\u00f6tt.<\/p>\n\n\n\n # interface bridge set bridge-local arp=proxy-arp (itt a bridge-local a bels\u0151 h\u00e1l\u00f3zat fel\u00e9 n\u00e9z\u0151 interface)<\/em><\/p>\n\n\n\n 6., Hozzuk l\u00e9tre az SSTP server virtu\u00e1lis interface-t.<\/strong><\/p>\n\n\n\n # interface sstp-server add comment=\u201dSSTP VPN\u201d name=sstp-in1 user=\u201d\u201d<\/p>\n\n\n\n 7., Az SSTP server enged\u00e9lyez\u00e9se \u00e9s be\u00e1ll\u00edt\u00e1sa<\/strong><\/p>\n\n\n\n # interface sstp-server server set authentication=mschap2 certificate=cert_6 enabled=yes<\/p>\n\n\n\n Az autentik\u00e1ci\u00f3 mschapv2-n t\u00f6rt\u00e9nik, \u00e9s a szerver certificate a cert_6 lesz, amit beimport\u00e1ltunk.<\/p>\n\n\n\n 8., Ha eddig nem tett\u00fck volna meg, a t\u0171zfalon a 443-as portot ki kell nyitnunk a routeren<\/strong>, hogy az SSTP szerver fogadhassa a k\u00e9r\u00e9seket.<\/p>\n\n\n\n # ip firewall filter add chain=input protocol=tcp dst-port=443 action=accept<\/p>\n\n\n\n A szerveroldali konfigur\u00e1ci\u00f3 a Routerboardon elk\u00e9sz\u00fclt.<\/p>\n\n\n\n 1., Navig\u00e1ljunk a \u2018Control panel\u2019 -> \u2018Network and Sharing Center\u2019<\/strong> men\u00fcj\u00e9be, majd pedig kattintsunk a \u2018Setup a new connection or network\u2019 lehet\u0151s\u00e9gre.<\/p>\n\n\n\n 2., V\u00e1lasszunk a \u2018Connect to a workplace\u2019<\/strong> lehet\u0151s\u00e9get.<\/p>\n\n\n\n 3., VPN connection<\/strong> l\u00e9trehoz\u00e1sa<\/p>\n\n\n\n 4., T\u00f6lts\u00fck ki a mez\u0151ket<\/strong> az al\u00e1bbi k\u00e9pen l\u00e1that\u00f3 m\u00f3don.<\/p>\n\n\n\n 5., Felhaszn\u00e1l\u00f3n\u00e9v \u00e9s jelsz\u00f3<\/strong> a csatlakoz\u00e1shoz<\/p>\n\n\n\n 6., A VPN kapcsolat k\u00e9sz, de m\u00e9g nem teljesen!<\/strong><\/p>\n\n\n\n 7., Z\u00e1rjuk be az ablakot, majd \u00fajb\u00f3l navig\u00e1ljuk a \u2018Control panel\u2019 -> \u2018Network and Sharing Center\u2019 men\u00fcbe.<\/strong> Bal oldalt a \u2018Change adapter settings men\u00fcpontot v\u00e1lasszuk ki. Valami hasonl\u00f3t fogunk l\u00e1tni (a kitakart r\u00e9szek n\u00e9lk\u00fcl, term\u00e9szetesen):<\/p>\n\n\n\n 8., A l\u00e9trehozott VPN kapcsolat<\/strong>on jobb eg\u00e9rgomb, majd pedig \u2018Properties\u2019 f\u00fcl.<\/p>\n\n\n\n 9., A \u2018Security\u2019 f\u00fcl\u00f6n<\/strong> a VPN t\u00edpust \u00e1ll\u00edtsuk SSTP-re (en\u00e9lk\u00fcl is m\u0171k\u00f6dni fog, de j\u00f3val t\u00f6bb id\u0151, mert el\u0151sz\u00f6r PPTP, majd L2TP\/IPSec-kel pr\u00f3b\u00e1lkozik, \u00e9s csak utolj\u00e1ra SSTP-vel). Majd ugorjuk a \u2018Network\u2019 f\u00fclre.<\/p>\n\n\n\n IPv6-ra nincs sz\u00fcks\u00e9g, az IPv4-es be\u00e1ll\u00edt\u00e1sokn\u00e1l az IP c\u00edm \u00e9s minden egy\u00e9b automatikus.<\/p>\n\n\n\n 10., Az \u2018Advanced\u2019 f\u00fcl<\/strong> alatt a k\u00f6vetkez\u0151 pip\u00e1t vegy\u00fck ki:<\/p>\n\n\n\n A \u2018Use default gateway on remote network\u2019-re nincs sz\u00fcks\u00e9g\u00fcnk, hacsak nem akarunk minden forgalmunkat a tunnelbe ir\u00e1ny\u00edtani. Mi ezt nem szeretn\u00e9nk, csak a t\u00e1voli h\u00e1l\u00f3zatot el\u00e9rni, az egy\u00e9bk\u00e9nt m\u0171k\u00f6d\u0151 internetforgalom pedig menjen a saj\u00e1t default gateway-e fel\u00e9<\/p>\n\n\n\n Tulajdonk\u00e9ppen k\u00e9szen is vagyunk!<\/p>\n\n\n\n 11., Opcion\u00e1lis!!<\/strong> Ha a certificate-t nem v\u00e1s\u00e1roltunk, hanem self-signed, akkor a k\u00f6vetkez\u0151 dolgot kell m\u00e9g megtenn\u00fcnk:<\/p>\n\n\n\n a., Start Menu ->Run -> mmc (Enter) Ez az a bizonyos l\u00e9p\u00e9s, amellyel a Windows sz\u00e1m\u00e1ra \u201ctessz\u00fck hivataloss\u00e1\u201d a certificate-t.<\/p>\n\n\n\n K\u00e9szen vagyunk!<\/p>\n\n\n\n Jobb eg\u00e9r gomb a l\u00e9trehozott VPN kapcsolaton, majd \u2018Connect\u2019. Ha mindent j\u00f3l csin\u00e1ltunk, a titkos\u00edtott tunnel fel\u00e9p\u00fcl, \u00e9s nek\u00fcnk tudnunk kell pingelni a bels\u0151 h\u00e1l\u00f3zati node-okat.<\/p>\n\n\n\n Ez a t\u00edpus\u00fa VPN nagyon leegyszer\u0171s\u00edtette azt a probl\u00e9m\u00e1t, amelyet a kliens t\u0171zfal \u00e9s\/vagy proxy szerver m\u00f6g\u00f6tt val\u00f3 elhelyezked\u00e9se vet f\u00f6l. Mivel csak a 443-as c\u00e9lportot sz\u00fcks\u00e9ges a kliensnek el\u00e9rni, ez a legt\u00f6bb h\u00e1l\u00f3zaton nem akad\u00e1ly, a proxyk is \u00e1ltal\u00e1ban \u00e1tengedik. T\u00e9ny \u00e9s val\u00f3: minderre k\u00e9pes az OpenVPN is. \u00c1m annak a kliensoldali konfigur\u00e1ci\u00f3ja bonyolultabb, \u00e9s r\u00e1ad\u00e1sul k\u00fcl\u00f6n kell beszerezn\u00fcnk, m\u00edg ez a kliens a Windowsban integr\u00e1lva van. Nagyfok\u00fa biztons\u00e1ga, j\u00f3 \u00e1tviteli k\u00e9pess\u00e9ge, k\u00f6nny\u0171 konfigur\u00e1lhat\u00f3s\u00e1ga pedig \u00f6tv\u00f6zi azt, amit \u00e9n egy j\u00f3 VPN megold\u00e1st\u00f3l elv\u00e1rok.<\/p>\n\n\n\n Mind Windows nem-szerver verzi\u00f3kra, mind Linux-ra, tov\u00e1bb\u00e1 Solaris-ra, FreeBSD-re \u00e9s MAC OS X-re el\u00e9rhet\u0151 a szerver alkalmaz\u00e1sa:<\/p>\n\n\n\n http:\/\/www.softether-download.com\/en.aspx?product=softether<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Ez a bejegyz\u00e9s nem utols\u00f3sorban Misi cimbor\u00e1mnak sz\u00f3l, aki tudom\u00e1som szerint egy ideje m\u00e1r keresg\u00e9l olyan VPN megold\u00e1st, ami b\u00e1rhonnan, t\u0171zfal, proxy m\u00f6g\u00fcl m\u0171k\u00f6dik, kell\u0151k\u00e9ppen biztons\u00e1gos, \u00e9s lehet\u0151s\u00e9g szerint nem kell hozz\u00e1 3rd party klienst telep\u00edteni. Az SSTP, hasonlatosan az OpenVPN-hez, nem ig\u00e9nyli az ilyen-olyan kimen\u0151 portok nyit\u00e1s\u00e1t, el\u00e9g neki egy standard 443-as port, ezen … „SSTP VPN szerver Mikrotik Routerboardon”<\/span> b\u0151vebben<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-306","post","type-post","status-publish","format-standard","hentry","category-blogpost"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/posts\/306","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=306"}],"version-history":[{"count":1,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/posts\/306\/revisions"}],"predecessor-version":[{"id":307,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=\/wp\/v2\/posts\/306\/revisions\/307"}],"wp:attachment":[{"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.opencomp.hu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Windows Vista SP1 \u00e9s az ut\u00e1na megjelent PC \u00e9s szerver Windows kiad\u00e1sok be\u00e9p\u00edtve tartalmazz\u00e1k. E mellett Linux alatt (pl. SoftEther, ez open-source) \u00e9s Mikrotik routereken fut.<\/p>\n\n\n\n
Az SSTP SSL (v3.0) k\u00f3dol\u00e1ssal csatlakozik, ami a mai k\u00f3dol\u00e1sok k\u00f6z\u00f6tt a legt\u00f6bbet haszn\u00e1lt \u00e9s legbiztons\u00e1gosabbnak tekintett k\u00e9szlet. Megold\u00e1sra ker\u00fcltek a PPTP\/L2TP biztons\u00e1gi hib\u00e1i. Hasonl\u00f3 SSL megold\u00e1st haszn\u00e1l az OpenVPN.<\/p>\n\n\n\n
Az SSTP 443\/HTTPS porton kommunik\u00e1l, \u00edgy gond \u00e9s egy\u00e9b be\u00e1ll\u00edt\u00e1s n\u00e9lk\u00fcl haszn\u00e1lhat\u00f3 szinte minden t\u0171zfal \u00e9s NAT megold\u00e1s m\u00f6g\u00f6tt. Az OpenVPN-hez hasonl\u00f3 m\u00f3don proxyn kereszt\u00fcl is tud kommunik\u00e1lni, de csak authentik\u00e1ci\u00f3 n\u00e9lk\u00fclin. Mivel a klienst be\u00e9p\u00edtve tartalmazza Windows Vista SP1-t\u0151l az \u00f6sszes M$ op. system, \u00edgy nem kell telep\u00edteni semmi kliensoldalon ezen a platformon, \u00e9s nagyon egyszer\u0171 a kliensbe\u00e1ll\u00edt\u00e1s is.<\/p>\n\n\n\n
Mivel a Windows kernel szinten be\u00e9p\u00edtve tartalmazza az SSTP VPN-t, \u00edgy nincs az OpenVPN-hez hasonl\u00f3 userspace overhead, ez\u00e9rt jobb eredm\u00e9nyek v\u00e1rhat\u00f3ak sebess\u00e9gben.<\/p>\n\n\n\nTopol\u00f3gia<\/h2>\n\n\n\n
![\"1_remote1\"](\"http:\/\/blog.xorp.hu\/wp-content\/uploads\/2014\/01\/1_remote1.jpg\")
<\/a><\/figure><\/div>\n\n\n\nMegval\u00f3s\u00edt\u00e1s<\/h2>\n\n\n\n
Szerveroldali l\u00e9p\u00e9sek (konfigur\u00e1ci\u00f3 a Routerboardon)<\/h3>\n\n\n\n
# openssl req -x509 -days 999 -new -key router_priv.pem -out router_pub.pem (ez fogja gener\u00e1lni a self-signed certificatet. Itt fogunk kapni p\u00e1r k\u00e9rd\u00e9st, ezek k\u00f6z\u00fcl az egyetlen ami nagyon fontos a CN (Common Name). Ennek meg kell egyeznie azzal az FQDN domainn\u00e9vvel, amire majd a k\u00e9s\u0151bbiekben, mint SSTP szerver n\u00e9vre hivatkozunk)<\/em>
# openssl pkcs12 -export -in router_pub.pem -inkey router_priv.pem -out router_pfx.pfx (ez konvert\u00e1l nek\u00fcnk egy .pfx kimenetet a certificateb\u00f3l (Personal Information Exchange), melyet majd, mint root CA-t kell import\u00e1lnunk kliens oldalon (mivel nincs hivatalos kibocs\u00e1t\u00f3, elhitetj\u00fck a windowssal, hogy mi vagyunk az)<\/em><\/p>\n\n\n\n
# certificate import file-name=router_priv.pem<\/p>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\nKliensoldali l\u00e9p\u00e9sek (konfigur\u00e1ci\u00f3 Windows 7-en jelen esetben)<\/h3>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n
b., File menu -> Add\/remove snap-in -> Certificates (Add)
c., V\u00e1lasszuk a \u2018Computer accountot\u2019 -> Next -> Local computer (Finish)(OK)
d., Certificates (Local computer) -> Trusted root certification authorities -> Jobb eg\u00e9r
e., All tasks -> Import (cert-k kitall\u00f3z\u00e1sa: router_pub.pem \u00e9s router_pfx.pfx: itt, ha adtunk, akkor adjuk meg a passphrase-t)
f., Import, majd minden \u2018Close\u2019<\/p>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n\u00d6sszegz\u00e9s<\/h2>\n\n\n\n