routeros安裝教程（RouterOS搭建一臺SSTPServer用於遠程辦公）

2023-05-25 09:56:23 3

2020新冠疫情期間，很多單位提倡在家soho辦公，這時候有一臺ssl v*n伺服器就顯得尤為重要。下面步驟可以搭建一臺低成本的RouterOS的ssl伺服器。

一、基礎知識

SSL 安全協議最初是由美國網景公司設計開發的，全稱為：安全套接層協議 (Secure Sockets Layer) ，它指定了在應用程式協議 ( 如 HTTP 、 Telnet 、FTP) 和 TCP/IP 之間提供數據安全性分層的機制，它是在傳輸通信協議上實現的一種安全協議，採用公開密鑰技術，它為TCP/IP 連接提供數據加密、伺服器認證、消息完整性以及可選的客戶機認證。

SSTP可以認為是微軟版的SSL v*n協議，微軟自2008伺服器開始支持SSTP，不過微軟系統在實現上配置相當複雜。RouterOS上可以簡單配置實現SSTP的伺服器，配合微軟的客戶端，搭建一個較為完美的ssl系統。

SSTP系統需要用到伺服器證書，微軟的客戶端需要用到信任的授權單位的證書，所以一般企業就用自籤名證書來實現。

二、搭建環境

1、RouterOS V6.46 （一片網卡，內外網都在上面）

2、客戶端：windows 10 專業版

3、域名：xu.com (根據單位不同可替換)

4、ca證書名稱：ca.xu.com

5、伺服器證書名稱：server.xu.com

三、配置步驟

1、 ip pool等SSTP伺服器設置

在RouterOS上，需要先設置SSTP伺服器相關內容，主要步驟有設置pool池，設置profile文件，設置撥號用戶名，最後設置伺服器並關聯相關參數。

/ip pool addname=「sstp-v*n-pool」 ranges=172.30.0.2-172.30.0.254

/ppp profile addname=「sstp-v*n-profile」 use-encryption=yes local-address=172.30.0.1dns-server=8.8.8.8remote-address=sstp-v*n-pool

/ppp secret addname=sstpuser1 profile=sstp-v*n-profile password=sstpuser1 service=sstp

/interfacesstp-server server set enabled=yes default-profile=sstp-v*n-profileauthentication=mschap2

/interfacesstp-server server set enabled=yes default-profile=sstp-v*n-profile authentication=mschap2certificate=server.xu.com force-aes=yes pfs=yes

2、配置證書系統並導出CA證書

以下步驟同樣是在RouterOS上做：

第一步先建立證書模板。

/certificate

addname=ca-template common-name=ca.xu.comdays-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign

addname=server-template common-name=*.xu.com days-valid=3650key-size=2048 key-usage=digital-signature,key-encipherment,tls-server

第二步進行籤名，ca做自己籤名。

/certificate

sign ca-templatename=ca.xu.com

sign server-templatename=server.xu.com ca=ca.xu.com

第三步導出ca證書（用export），再下載到本地，這些步驟可通過webcfg的菜單界面來做比較方便。

第四部，在客戶端計算機上導入打本地計算機中。

步驟：是找到該證書文件、右鍵、導入證書。

注意證書存儲位置一定要導入到「本地計算機」的「受信任的根證書頒發機構」中。

3、在PC客戶端導入CA證書。

在win10的客戶端上，在網絡的v*n一欄中，添加v*n連接，如下圖所示：

連接名稱可以任意寫一個容易記住的名字，但是伺服器名稱或地址必須要寫域名，本文是server.xu.com。因為是測試環境，我需要修改我的etc/hosts文件，正式環境可不用修改。Hosts文件添加一行：

192.168.12.251 server.xu.com

如果是大規模部署，可手工方式建立sstp v*n的連結文件，直接在客戶機器上運行以下命令：（在powershell以管理員命令方式運行）

PS> powershell.exe -c 『Add-v*nConnection -name 「SSTP-v*n連接」 -ServerAddress「server.xu.com」 -TunnelType Sstp -auth MSChapv2 -RememberCredential-PassThru』

4、測試。

在windows10機器上，找到「Sstp-v*n連接」，撥號，輸入用戶名和密碼（我用的用戶名和密碼都是sstpuser1），測試，正常。

總體來說比較簡單，是一臺比較有用的SSL設備，適合小微企業使用。RouterOS路由器的基礎設置本文並沒有寫出來。最主要有設置有內外網ip，nat轉換使之能上網，如果實際使用還需要做一些安全設置，如更改admin密碼，關閉不常用的埠等。還需要申請域名和公網地址，祝順利。

常見錯誤：

SSL握手失敗時，您將看到以下證書錯誤之一：（綜合了網上的一些信息和我自己總結的一些錯誤）

證書尚未生效：證書日期晚於當前時間；證書已過期：證書的到期日期在當前時間之前；invalid證書用途：提供的證書不能用於指定目的；self在鏈中簽名的證書：可以使用不受信任的證書建立證書鏈，但是在本地找不到根可以在本地獲取頒發者證書：CA證書不在本地導入；server的IP位址與證書不匹配：啟用了伺服器地址驗證，但是證書中提供的地址與伺服器的地址不匹配；證書的cn名與傳遞的值不匹配：這是在伺服器上選用了CA的驗證，正確的應該選用server的驗證。域名變了也是這個錯誤。接收到的消息異常，或格式不準確：這是因為在伺服器上未啟動證書認證。（在SSTP Server的設置上可修改。）證書對於請求用法無效：有證書，但是在PC機器上把正確的ca證書禁用了。證書對於請求用法無效：證書導入了，查看證書屬性，發現證書目的是給客戶端身份驗證使用的。改為給伺服器身份驗證使用。處理證書鏈，但是在不受信任提供程序信任的根證書中終止：證書沒有正確導入，原因是沒有導入正確的證書到「本地計算機」的受信任根頒發機構的目錄中。或者原因是證書正確，導入到了「當前用戶」的受信任根頒發機構目錄。伺服器地址錯誤也是這個提示。不能建立到遠程計算機的連接，你可能需要更改此連接的網絡設置：在SSTP伺服器設置中，勾選了PFS。不是有連接錯誤提示，但是有時也能連接上來。MRRU設置了也會有這個提示。由於目標伺服器積極拒絕，無法連接：伺服器上SSTP伺服器沒有起作用，需要enable。能建立到遠程計算機的連接，因此用於此連接的埠已關閉：是認證方法不對，改為machapV2。此句柄相關聯的操作鎖定現在與其他句柄相關聯：是SSTP伺服器設置中勾選了「verify ClientCertificate」。,