基于Windows server 2008 R2 R2和Windows7的企业环境的SSTP(或SSL) ***构建(一)

最新推荐文章于 2024-01-16 14:04:03 发布
最新推荐文章于 2024-01-16 14:04:03 发布
阅读量329 收藏 1
点赞数
文章标签: 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34239592/article/details/85030134
版权

前言:在20089月份,我写了和本篇同样的文章,那时的环境是基于windows server 2008windows 7 with sp1的。今次,在windows server 2008 r2windows 7的环境中重现企业sstp ***的建置过程。

此篇文章由小弟---华北电力大学的在校生刘勇完成。

一、新的协议SSTP的支持及介绍
windows server 2008 R2的已经发布金日,相信新的企业功能和特性让IT PRO们兴奋不已,在新的功能中,SSTP协议的支持让通过WINDOWS SERVER 2008 R2 R2进行SSL-***访问得到了增加,配合windows 7终端系统,企业使用sstp ***更加获利于微软提供的远程安全访问解决方案。
SSTP是微软提供的新一代的虚拟专用网(***)技术,它的全称是安全套接层隧道协议(Secure Socket Tunneling Protocol;sstp),和PPTP L2TP OVER IPsec一样,也是微软所提供的***技术。在拥有最大弹性发挥的同时,又确保信息安全达到了一定程度。
目前,支持SSTP的技术可以在如下系统中实现:Windows XP Sp3(偶在生产环境中并没有去验证)、Windows Windows 7 Sp1、windows 7、Windows server 2008 R2、windows server 2008 R2。在Windows Server 2008仅支持客户端与服务器之间的SSTP ***,并不支持站点到站点间的SSTP ***。但笔者仍不确认在windows server 2008 R2中是否支持。

通使用此项新技术,可以使防火墙管理员能更容易的配置策略使SSTP流量通过其防火墙。它提供了一种机制,将PPP数据包封装在HTTPS的SSL通讯中,从而使PPP支持更加安全身份验方法,如EAP-TLS等。


二、PPTP及L2TP OVER IPSEC在使用过程中的不足
新的SSTP协议的支持,并没有完全否决PPTP及L2TP OVER IPSEC在微软产品所组成的解决方案中的作用,当企业使用基于WINDOWS 平台的***解决方案时,这种协议仍是被常用来解决或是提升企业网络安全性。但两者的数据包通过防火墙、NAT、WEB PROXY时却都有可能发生一些连线方面的问题。
PPTP数据包通过防火墙时,防火墙需被设定成同时充许TCP连接以及GRE封装的数据通过,但大部分ISP都会阻止这种封包,从而造成连线的问题;而当你的机器位于NAT之后,NAT亦必需被设定成能转发GRE协议封装的数据包。否则就会造成只能建立PPTP的TCP连接,而无法接收GRE协议封装的数据包;WEB PROXY是不支持PPTP 协议的。
L2TP OVER IPSEC的情况和此类似,需要在防火墙上充许IKE 数据和ESP封装的数据同时通过,否则也会出现连接问题。且WEB PROXY也是不支持L2TP OVER IPSEC协议的。


三、SSTP的执行过程
上面简要介绍了SSTP协议的优势以及PPTP等之前两种协议的不足,下面就来说下XP WITH SP3 或是WINDOWS 7 WITH SP1、Windows 7等客户端是如何连接到WINDOWS SERVER 2008 R2 SSL(SSTP)***服务器的:
1、SSTP ***客户端以随机的TCP端口建立TCP连接至SSTP ***服务器(常常是SSTP *** 网关服务器)上的TCP 443端口。
2、SSTP ***客户端发送一个SSL “Client-Hello”消息给SSTP ***服务器,表明想与此建立一个SSL会话。
3、SSTP ***服务器发送“其机器证书”至SSTP ***客户端。
4、SSTP ***客户端验证机器证书,决定SSL会话的加密方法,并产生一个以SSTP ***服务器公钥加密的SSL会话密钥,然后发送给SSTP ***服务器。
5、SSTP ***服务器使用此机器证书私钥来解密收到的加密的SSL会话,之后两者之间所有的通讯都以协商的加密方法和SSL 会话密钥进行加密。
6、SSTP ***客户端发送一个基于SSL的HTTP(HTTPS)请求至SSTP ***服务器。
7、SSTP ***客户端与SSTP ***服务器协商SSTP隧道。
8、SSTP ***客户端与SSTP ***服务器协商包含“使用PPP验证方法验(或EAP验证方法)证使用者证书以及进行IPV4或IPV6通讯”的PPP连接。
9、SSTP ***客户端开始发送基于PPP连接的IPV4或IPV6通讯流量(数据)。
 

四、SSTP ***服务器环境搭建及说明
测试环境较为简单,三台机器完成全部操作,其中两台是WINDOWS SERVER 2008企业版,一台是带有SP1的WINDOWS 7。注意,这其中会涉及到公有DNS解析问题,在本试验中,以HOSTS文件中写入相关信息代替。

image

网络拓朴及详细说明如下:
1、图中WIN2K8 DC是一台windows server 2008 R2 R2域制器,名为win2k8dc.contoso.com。
充当DC、CA(企业根)、FILE SERVER角色。
IP Add:59.65.232.199/24
Gw:59.65.232.254
DNS:202.106.0.20
2、图中RRAS是一台windows server 2008 R2服务器,域成员,充当RRAS 、IIS服务器。两块网卡。
NEI 网卡IP Add:59.65.232.199/24
DNS:202.106.0.20
WAI网卡IP Add:192.168.2.1/24
DNS:202.106.0.20(真实环境中这块网卡是有网关和公有DNS的)
3、图中WINDOWS 7是一台带有SP1的WINDOWS 7手提电脑,位于INTERNET上的任一位置。
IP Add:59.65.232.253/24
整个网络拓朴中的机器角色是通过HYPER-V上安装虚拟机器完成。实际生产环境中请按角色归位。
整个实验执行流程如下:
A、在WIN2K8 DC升级域控,安装CA角色(企业根)
B、在RRAS这台机器上安装RRAS(***,NAT)、IIS角色,并能发布位于DC上的CA URL。同时为本机申请证书。
C、在WINDOWS 7机器上,建立SSL ***连线至***服务器。(在此机器上写HOSTS文件相关DNS域名解析结果)

在进行之前,需要强调两个问题,这两个问题是在配置和利用证书方面经常会产生的,提前告示大家在后续文章阅读时要注意:

1、 将不正确的RRAS计算机证书绑定至侦听器。

(在将RRAS角色添加到***服务器之前,必须添加RRAS计算机证书,这样子SSTP才可以正确的用。否则,就会将错误的证书绑定到该协议。详细请见下章中的三、四部分)

2、 证书撤销站点对于***客户端不可用。

(证书撤销列表必须可用于 Internet上的客户端。)

 

weixin_34239592
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows Server 2008 部署SSTP远程访问指南
07-07
Server 2008 部署SSTP远程访问指南
SoftEther 服务器端-linux 客户端安装包-windows
04-04
SoftEther(means Software Ethernet) 是一个开源跨平台多协议的软件,是世界上最强大、易用的多协议软件之一。可以运行在Windows、Linux、Mac、FreeBSD和Solaris上。支持SSL-HTTPS及6种主流协议(Openxxx、IPsec、L2...
windows server 2012 远程VPN访问配置
gsl371的专栏
02-09 4933
4. 因为外网客户端在新建SSTP之前,必须要能够利用HTTP通信协议到ca服务器下载证书吊销列表(CRL),否则SSTP 连接会失败,然而此时外网客户端无法连接到内部网络企业根ca,解决此问题的方法是在vpn接入服务器中启用NAT,然后通过端口影射实现外网客户端访问内部企业根ca网站,这样外网客户端就可以从企业根ca网站下载证书吊销列表。记住,一定要选择,证书颁发机构web注册,否则在申请证书的时候会出现问题,然后下一步,等待安装完成。查看nat服务器上使用的端口是443,sstp使用443端口。
vpn-SSTP连接步骤
ij2155的博客
01-16 3150
在“运行“中输入 MMC 打开控制台,打开后 按crtl+M组合键打开添加删除管理单元,在左侧列表中打开 “证书” 项,让后选择“计算机账户” 下一步,“本地计算机” 点 “完成”, 然后控制台上出现 “证书”项,在其树状目录找到 “信任的根证书...”右击 ,“导入” 选择你的证书。win7 或以下系统没有 证书管理机构,用下面方法彻底可以解决 证书不认问题。VPN SSTP可以连接了。
Windows Server 2016搭建SSTP
Java学不会的博客
09-25 3000
文章目录1、拓扑图2、任务描述3、DC配置4、VPNS配置 1、拓扑图 2、任务描述 DC部署域控制器 DC部署证书颁发机构 DC创建vpn连接用户 VPNS1搭建虚拟专用网路 3、DC配置 安装域控制器:Install-WindowsFeature ad-domain-services -IncludeAllSubFeature -IncludeManagementTools 部署域控:Install-ADDSForest 安装证书服务 配置证书 打开“证书颁发机构”管理器,右键“属
配置Windows Server 2008 SSTP ×××
weixin_34290000的博客
07-05 321
SSTP是微软所提供的一种加密的×××传输协议,其全称为“安全套接字隧道协议”,客户端使用SSL与服务器建立连接,在本文章中,我将介绍如何在一台Windows Server 2008 Standard服务器上配置基于SSTP的×××。由于自己的实验环境限制,我不得不使用微软TechNet提供的虚拟实验室完成此次实验,下面把实验的步骤分享给大家 实验环境(3台虚拟机) ...
深信服SSTP复习汇总.pdf
最新发布
04-25
深信服SSTP复习汇总.pdf
关于PPTP协议、L2TP协议和SSTP协议的介绍
10-01
主要介绍了关于PPTP协议、L2TP协议和SSTP协议的介绍,需要的朋友可以参考下
松下PLC基于SSTP工序步进指令写的并行运行程序
05-12
【标题】中的“松下PLC基于SSTP工序步进指令写的并行运行程序”指的是一项使用松下PLC(可编程逻辑控制...7. 源代码实例:提供的文件“松下PLC基于SSTP写的并行运行程序实例.fp”是学习和实践SSTP编程的一个具体示例。
人人网android平台开发SDK
10-12
封装了社交网络平台人人网第二版开发API
广播接收者实现IP拨号
weixin_34123613的博客
09-07 161
广播接收者实现IP拨号   效果图: 实现的功能就是自动监听我们要拨打的号码,在我们拨打的号码前加上179521     分析: 1、敲个类来继承广播接收者 并且将从打电话应用位置获取的号码加上179521,并将修改后的号码返回给打电话APP   2、指定广播接收者监听的对象  这个就是指定我们的广播接收者监听电话应用,NEW_OUTGOING_CALL就...
关于ros里ppp拨号隧道比如pptp,l2tp,sstp等等,造成多条路由,ospf的时候需要汇总为一条宣告的解决方案...
weixin_30627341的博客
02-20 784
官方解决方案: https://wiki.mikrotik.com/wiki/OSPF_and_PPPoE_Setup 实际解决步骤: So to get rid of /32 routes* on pppoe server add new area (for example "ppp")* Add pppoe network to be in that area* set up...
基于 Windows 7 的或基于 Windows Server 2008 R2 的计算机上的...
weixin_34119545的博客
03-20 141
2019独角兽企业重金招聘Python工程师标准>>> ...
iOS--常见的几种数据存储方式
热门推荐
baojie1022的专栏
05-07 20万+
1、iOS应用数据存储的常用方式 XML属性列表(plist)归档Preference(偏好设置)NSKeyedArchiver归档(NSCoding)SQLite3 Core Data 2、应用沙盒 每个iOS应用都有自己的应用沙盒(应用沙盒就是文件系统目录),与其他文件系统隔离。应用必须待在自己的沙盒里,其他应用不能访问该沙盒 应用沙盒的文件系统目录,如下图所示(假设应用的名称叫La
android开发 实现sstp vpn
05-14
实现 SSTP VPN 可以使用 Android 中的 VPNService 类。以下是实现步骤: 1. 首先,需要在 AndroidManifest.xml 文件中声明 VPNService 的服务。 ``` <service android:name=".SstpVpnService" android:permission="android.permission.BIND_VPN_SERVICE" android:exported="false"> </service> ``` 2. 创建 SstpVpnService 类并继承 VPNService 类,实现必要的方法。 ``` public class SstpVpnService extends VpnService { // 实现必要的方法 } ``` 3. 在 onCreate() 方法中,创建一个 Builder 对象并设置 VPN 的配置。 ``` @Override public void onCreate() { super.onCreate(); Builder builder = new Builder(); builder.setSession("SSTP VPN"); builder.setMtu(1400); builder.addAddress("10.0.0.2", 24); builder.addRoute("0.0.0.0", 0); builder.addDnsServer("8.8.8.8"); builder.setBlocking(true); builder.setUnderlyingNetworks(null); builder.setConfigureIntent(null); try { mInterface = builder.establish(); } catch (Exception e) { e.printStackTrace(); } } ``` 4. 实现 onRevoke() 方法,在 VPN 被撤销时进行清理工作。 ``` @Override public void onRevoke() { super.onRevoke(); if (mInterface != null) { try { mInterface.close(); } catch (IOException e) { e.printStackTrace(); } } } ``` 5. 在 onStartCommand() 方法中,启动 VPN。 ``` @Override public int onStartCommand(Intent intent, int flags, int startId) { return START_STICKY; } ``` 6. 最后,在应用程序中启动 SSTP VPN 服务。 ``` Intent vpnIntent = VpnService.prepare(this); if (vpnIntent != null) { startActivityForResult(vpnIntent, VPN_REQUEST_CODE); } else { startVpnService(); } ``` 这样,就可以在 Android 应用程序中实现 SSTP VPN 服务。需要注意的是,SSTP VPN 协议是基于 SSL/TLS 的,需要使用 SSL/TLS 协议进行加密。在实现过程中,需要配置 SSL/TLS 相关的参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值