[SSTP 介绍] Secure Socket Tunneling Protocol (SSTP)方式是基于 SSL3.0 通

shytheleo

SSTP 介绍

Secure Socket Tunneling Protocol (SSTP)方式是基于 SSL3.0 通道传输 PPP 隧道，使用 TCP 端口 443的 SSL 允许 SSTP 通过所有防火墙和代理服务器

新的 SSTP 协议的支持，并没有完全否决 PPTP 及 L2TP 在微软产品所组成的解决方案中的作用，当企业使用基 于 PPTP 和 L2TP 的 VPN 解决方案时，这种协议仍是被常用来解决或是提升企业网络安全性。但两者的数据包 通过防火墙、NAT、WEB PROXY 时却都有可能发生一些连线方面的问题。

PPTP 数据包通过防火墙时，防火墙需被设定成同时充许 TCP 连接以及 GRE 封装的数据通过，但大部分 ISP 都会阻止这种封包，从而造成连线的问题;而当你的机器位于 NAT 之后，NAT 亦必需被设定成能转发 GRE 协议 封装的数据包。否则就会造成只能建立 PPTP 的 TCP 连接，而无法接收 GRE 协议封装的数据包;WEB PROXY 是不支持 PPTP 协议的。

L2TP OVER IPSEC 的情况和此类似，需要在防火墙上充许 IKE 数据和 ESP 封装的数据同时通过，否则也会 出现连接问题。且 WEB PROXY 也是不支持 L2TP OVER IPSEC 协议。

因此 SSTP 在透传方面由于前两种 VPN，新的 VPN 隧道工作在 SSL3.0 通道，因此可以绕过任何的过滤器和代 理，因为 SSTP 工作在 TCP 的 443 端口，任何过滤器都会看作正常的传输并通过。

SSTP 客户端

操作路径： /interface sstp-client

add-default-route (yes | no; 默认: no)是否添加 SSTP 远程地址的默认路由

authentication (mschap2 | mschap1 | chap | pap; 默认: mschap2, mschap1, chap, pap)启用验证方试

certificate (字符 | none; 默认: none) 证书

comment (字符; 默认: “” )注释

connect-to (IPort; 默认: 0.0.0.0:443)远端 SSTP 服务器地址

dial-on-demand (yes | no; 默认: no)根据需求拨号

disabled (yes | no; 默认: yes)是否禁用该接口，默认是被禁用

keepalive-timeout (整型 | 禁用; 默认: 60)

max-mru (整型; 默认: 1500)最大接收单位

max-mtu (整型; 默认: 1500)最大传输单位

mrru (disabled | 整型; 默认: disabled)在连接被认可的最大数据包长度。如果一个数据大于隧道的 MTU 值， 将会被拆分多个数据包，允许最大长度的 IP 或者以太网数据包发送到隧道

name (字符; 默认: )说明接口名称

password (字符; 默认: "")用于验证的密码

profile (name; Default: default-encryption)被使用的 PPP profile

proxy (IPort; 默认: 0.0.0.0:443)HTTP 代理服务的地址和端口

user (字符; 默认: “”)用于验证的账号名

这个事例示范如何设置 SSTP 客户端，连接服务器 10.1.101.1，用户名“sstp-test”，密码“123”


[RouterOS@ROSABC] /interface sstp-client>add user=sstp-test password=123 \
\... connect-to=10.1.101.1 disabled=no
[RouterOS@ROSABC] /interface sstp-client> print Flags: X - disabled, R - running
0 R name="sstp-out1" max-mtu=1500 max-mru=1500 mrru=disabled connect-to=10.1.101.1:443 user="sstp-test" password="123" proxy=0.0.0.0:443 profile=default
certificate=none keepalive-timeout=60 add-default-route=no dial-on-demand=no
authentication=pap,chap,mschap1,mschap2

SSTP 服务器



操作路径: /interface sstp-server

这路径显示接口为每个已连接的 SSTP 客户端 ，创建一个接口是为建立到指定服务器的每条隧道，这里在 PPTP服务器的配置有两种类型

-- 静态接口是如果需要一个固定参照详细接口名（如防火墙规则或者其他任何规则）被管理而创建一个特 别用户接口

-- 动态接口是，无论任何时候当一个用户连接，且用户名没有匹配任何静态接口（或者这个用户账号已经登录，同时不能有 2 个独立相同的隧道出现），这时接口将会被自动添加到列表.

当一个用户连接动态接口会出现，用户退出或断开后会消失，因此如果你要为用户提供固定的规则，需要创建一 个静态接口，否则建立动态配置.

注: 在两个状态的 PPP 用户必须配置正确，静态接口不能替代 PPP 基本配置参数和规则.

服务器配置



操作路径: /interface sstp-server server

authentication (pap | chap | mschap1 | mschap2; 默认: pap,chap,mschap1,mschap2) 服务器将使用的验 证模式

certificate (名称; 默认: none)SSTP 将使用的证书的名称。必须使用证书，否则 SSTP 服务器将不能运行

default-profile (名称; 默认: default)选择 Profile 规则

enabled (yes | no; 默认: no)定义是否启用 SSTP 服务

keepalive-timeout (整型 | disabled; 默认: 60)定义路由发送 Keepalive 数据包时钟周期（以秒为单位）， 如果没有数据，并且没有在指定的时钟周期回应，这些没有回应的用户将会被注销

max-mru (整型; 默认: 1500)最大接收单位，

max-mtu (整型; 默认: 1500)最大传输单位

mrru (禁用 | 整型; 默认: disabled)在连接被认可的最大数据包长度。如果一个数据大于隧道的 MTU 值，将会 被拆分多个数据包，允许最大长度的 IP 或者以太网数据包发送到隧道

require-client-certificate (yes | no; 默认: no) 如果设置为 yes，这时服务器将检查客户端的证书是否属 于与服务器的证书同一证书链

启用 SSTP 服务器你需要导入证书，之后你可以配置服务器


[RouterOS@ROSABC] /interface sstp-server server> set certificate=server
[RouterOS@ROSABC] /interface sstp-server server> set enabled=yes
[RouterOS@ROSABC] /interface sstp-server server> print
enabled: yes port: 443
max-mtu: 1500 max-mru: 1500
mrru: disabled keepalive-timeout: 60
default-profile: default certificate: server
require-client-certificate: no
authentication: pap,chap,mschap1,mschap2
[RouterOS@ROSABC] /interface sstp-server server>

Monitor 命令能查看在客户端和服务器的隧道运行状态：


[admin@dzeltenais_burkaans] /interface sstp-server> monitor 0 status: "connected"
uptime: 17m47s idle-time: 17m47s
user: "sstp-test"
caller-id: "10.1.101.18:43886" mtu: 1500

只读属性

status ()当前 SSTP 状态，值显示为“connected”表明隧道连接已经建立

uptime (时间)从隧道建立开始经过的时间

idle-time (时间)在隧道上最后一次活动经过的时间

user (字符)隧道建立的用户名称

mtu (整型)使用的 MTU

caller-id (IP:ID)连接者的身份，一般以 IP 地址显示

yujieli

急需硬盘安装ros，大容量