SSTP 介绍

来自深圳捷联讯通科技有限公司
跳转至: 导航搜索
Secure Socket Tunneling Protocol (SSTP)方式是基于 SSL3.0 通道传输 PPP 隧道,使用 TCP 端口 443 的 SSL 允许 SSTP 通过所有防火墙和代理服务器。
新的 SSTP 协议的支持,并没有完全否决 PPTP 及 L2TP 在微软产品所组成的解决方案中的作用,当企业使用基于 PPTP 和 L2TP 的 VPN 解决方案时,这种协议仍
是被常用来解决或是提升企业网络安全性。但两者的数据包通过防火墙、NAT、WEB PROXY 时却都有可能发生一些连线方面的问题。
PPTP 数据包通过防火墙时,防火墙需被设定成同时充许 TCP 连接以及 GRE 封装的数据通过,但大部分 ISP都会阻止这种封包,从而造成连线的问题;而当你的机器
位于 NAT 之后,NAT 亦必需被设定成能转发 GRE 协议封装的数据包。否则就会造成只能建立 PPTP 的 TCP 连接,而无法接收 GRE 协议封装的数据包;WEB PROXY是不支持
PPTP 协议的。
L2TP OVER IPSEC 的情况和此类似,需要在防火墙上充许 IKE 数据和 ESP 封装的数据同时通过,否则也会出现连接问题。且 WEB PROXY 也是不支持 L2TP OVER IPSEC 协议。
因此 SSTP 在透传方面由于前两种 VPN,新的 VPN 隧道工作在 SSL3.0 通道,因此可以绕过任何的过滤器和代理,因为 SSTP 工作在 TCP 的 443 端口,任何过滤器都会
看作正常的传输并通过。

SSTP 客户端

操作路径: /interface sstp-client
♦ add-default-route (yes | no; 默认: no)是否添加 SSTP 远程地址的默认路由
♦ authentication (mschap2 | mschap1 | chap | pap; 默认: mschap2, mschap1, chap, pap)启用验证方试
♦ certificate ( 字符 | none; 默认: none) 证书
♦ comment ( 字符 ; 默认: "" )注释
♦ connect-to (IP:Port; 默认: 0.0.0.0:443)远端 SSTP 服务器地址
♦ dial-on-demand (yes | no; 默认: no)根据需求拨号
♦ disabled (yes | no; 默认: yes)是否禁用该接口,默认是被禁用
♦ keepalive-timeout (整型 | 禁用 ; 默认: 60)
♦ max-mru ( 整型 ; 默认: 1500)最大接收单位
♦ max-mtu (整型; 默认: 1500)最大传输单位
♦ mrru (disabled | 整型 ; 默认: disabled)在连接被认可的最大数据包长度。如果一个数据大于隧道的 MTU 值,将会被拆分多个数据包,允许最大长度的 IP
或者以太网数据包发送到隧道
♦ name ( 字符 ; 默认: )说明接口名称
♦ password (字符; 默认: "")用于验证的密码
♦ profile (name; Default: default-encryption)被使用的 PPP profile
♦ proxy (IP:Port; 默认: 0.0.0.0:443)HTTP 代理服务的地址和端口
♦ user (字符; 默认: "")用于验证的账号名
这个事例示范如何设置 SSTP 客户端,连接服务器 10.1.101.1,用户名"sstp-test",密码"123"
26-10.png
26-11.png

SSTP 服务器

操作路径: /interface sstp-server
这路径显示接口为每个已连接的 SSTP 客户端 ,创建一个接口是为建立到指定服务器的每条隧道,这里在 PPTP服务器的配置有两种类型动态和静态接口,这点和之前
OVPN 提到两种类型情况一样请参见 25.2 章节。

服务器配置

操作路径: /interface sstp-server server
♣ authentication (pap | chap | mschap1 | mschap2; 默认: pap,chap,mschap1,mschap2) 服务器将使用的验证模式
♣ certificate ( 名称 ; 默认: none)SSTP 将使用的证书的名称。必须使用证书,否则 SSTP 服务器将不能运行
♣ default-profile ( 名称 ; 默认: default)选择 Profile 规则
♣ enabled (yes | no; 默认: no)定义是否启用 SSTP 服务
♣ keepalive-timeout (整型 | disabled; 默认: 60)定义路由发送 Keepalive 数据包时钟周期(以秒为单位),如果没有数据,并且没有在指定的时钟周期回应,
这些没有回应的用户将会被注销
♣ max-mru ( 整型 ; 默认: 1500)最大接收单位,
♣ max-mtu ( 整型 ; 默认: 1500)最大传输单位
♣ mrru ( 禁用 | 整型 ; 默认: disabled)在连接被认可的最大数据包长度。如果一个数据大于隧道的 MTU 值,将会被拆分多个数据包,允许最大长度的 IP 或者
以太网数据包发送到隧道
♣ require-client-certificate(yes| no; 默认: no)如果设置为 yes,这时服务器将检查客户端的证书是否属于与服务器的证书同一证书链
启用 SSTP 服务器可以选择不启用证书或启用证书,根据情况而定,下面是导入证书对 SSTP 服务器配置
26-12.png
Monitor 命令能查看在客户端和服务器的隧道运行状态:
26-13.png

只读属性

♥ status ()当前 SSTP 状态,值显示为"connected"表明隧道连接已经建立
♥ uptime ( 时间 )从隧道建立开始经过的时间
♥ idle-time ( 时间 )在隧道上最后一次活动经过的时间
♥ user ( 字符 )隧道建立的用户名称
♥ mtu ( 整型 )使用的 MTU
♥ caller-id (IP:ID)连接者的身份,一般以 IP 地址显示
作者:余松

上一页 下一页