Bestuur jou MikroTik met SSTP vir Betroubare Toegang

Opsomming
SSTP poorte VPN-verkeer in HTTPS (poort 443), wat afstandtoegang tot MikroTik moontlik maak selfs agter streng firewall- en proksidienste. Hierdie gids wys RouterOS-bediener en kliënt opstelling, NAT voorbeelde, sekuriteitwenke en wanneer SSTP die regte keuse is.

Afstandbestuur van MikroTik met SSTP

SSTP (Secure Socket Tunneling Protocol) verberg ’n VPN binne HTTPS.

Dit werk oor poort 443 en meng in met gewone webverkeer.

Dit maak dit ideaal as netwerke tradisionele VPN-poorte blokkeer.

Hierdie pos bied ’n bondige, praktiese SSTP-resep vir MikroTik RouterOS.

Wat is SSTP?

SSTP poorteer PPP (Point-to-Point Protocol) binne ’n TLS/HTTPS sessie.

Dit gebruik TLS vir enkripsie en verifikasie.

Van die netwerk se oogpunt is SSTP byna ononderskeibaar van normale HTTPS.

Daarom gaan dit vlot deur korporatiewe proksidienste en CGNAT.

Hoe SSTP werk — vinnige vloei

1. Kliënt open ’n TLS (HTTPS) verbinding na die bediener op poort 443.
2. Bediener bewys sy TLS-sertifikaat.
3. ’n PPP-sessie word binne die TLS-tonnel gevestig.
4. Verkeer word end-tot-end versleuteld (AES-256 as dit opgestel is).

Eenvoudig. Betroubaar. Moeilik om te blokkeer.

Nota: Omdat SSTP HTTPS gebruik, laat baie streng netwerke dit toe terwyl ander VPNs geblokkeer word.

Voordele en beperkings

Voordele

• Werk byna oral — selfs agter firewalls en proksis.
• Gebruik poort 443 (HTTPS) wat gewoonlik oop is.
• Sterk TLS-enkripsie (met moderne RouterOS/TLS opsies).
• Ingeboude ondersteuning in Windows en RouterOS.
• Buigsame verifikasie: gebruikersnaam/wagwoord, sertifikate, of RADIUS.

Beperkings

• Hoër CPU-gebruik as ligte VPNs (TLS-koste).
• Werkverrigting is gewoonlik laer as WireGuard.
• ’n Geldige SSL-sertifikaat word benodig vir beste resultate.

Waarskuwing: Ouer TLS/SSL weergawes is onseker. Hou RouterOS opgedateer en skakel oud-TLS/SSL af.

Bediener: Stel SSTP op ’n MikroTik in

Hieronder is die minimale RouterOS opdragte om ’n SSTP-bediener te skep.

1. Skep of voer ’n sertifikaat in

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Skep ’n PPP-profiel

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Voeg ’n gebruiker (geheim) by

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Skakel die SSTP-bediener aan

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Nou luister die roeteerder op poort 443 en aanvaar SSTP-verbindinge.

Wenk: Gebruik ’n sertifikaat van Let’s Encrypt of jou CA — selfondertekende sertifikate werk vir laboratoriumtoetse maar veroorsaak kliëntwaarskuwings.

Kliënt: Stel SSTP op ’n afstand MikroTik in

Op die afstandstoestel voeg ’n SSTP-kliënt by om terug te koppel na die sentrum.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Verwagte statusuitset:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Nota: Die enkodering reël wys die onderhandelde enkripsiesleutel. Moderne RouterOS weergawes ondersteun sterker sleutels — verifieer jou vrystellingsnotas.

Toegang tot ’n interne gasheer deur die tonnel

As jy ’n toestel agter die afstand MikroTik wil bereik (bv. 192.168.88.100), gebruik dst-nat en poortmap.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Vanaf die sentrum of ’n kliënt, bereik die toestel via die SSTP-tonnel eindpunt en gemapte poort:

https://vpn.yourdomain.com:8081

Verkeer vloei deur die HTTPS-tonnel en bereik die interne gasheer.

Sekuriteit en beste praktyke

• Gebruik geldige, betroubare TLS-sertifikate.
• Verkies sertifikaat- of RADIUS-verifikasie bo gewone wagwoorde.
• Beperk toegelate bron-IP’s waar moontlik.
• Hou RouterOS op datum vir moderne TLS-stakke.
• Skakel ou SSL/TLS weergawes en swak enkripsies uit.
• Monitor verbindingslogboeke en wissel gereeld geloofsbriewe.

Wenk: Vir baie toestelle is sertifikaatverifikasie makliker en veiliger as gesamentlike wagwoorde.

Alternatief: SSTP-bediener op ’n VPS

Jy kan ’n SSTP-hoof op ’n VPS aanbied in plaas van ’n MikroTik.

Opsies:

• Windows Server (inhoudelike SSTP ondersteuning).
• SoftEther VPN (veelprotokol, ondersteun SSTP op Linux).

SoftEther is handig as ’n protokolbrug. Dit laat MikroTiks en Windows-kliënte met dieselfde hoof koppel sonder publiek IP-adresse op elke terrein.

Vinnige vergelyking

Wanneer om SSTP te kies

Kies SSTP as jy ’n VPN nodig het wat:

• Moet werk deur korporatiewe proksis of streng NAT.
• Maklik met Windows-kliënte moet integreer.
• Poort 443 moet gebruik om poortblokkasie te vermy.

As spoed en minimale CPU-gebruik belangrik is, oorweeg eerder WireGuard.

Waar MKController help: As sertifikate en tonnels konfigureer te veel werk is, bied MKController se NATCloud gesentraliseerde afstandtoegang en monitering — geen manuele PKI per toestel nie en eenvoudiger aanmelding.

Gevolgtrekking

SSTP is ’n praktiese keuse vir moeilik bereikbare netwerke.

Dit gebruik HTTPS om verbind te bly waar ander VPNs faal.

Met ’n paar RouterOS-opdragte kan jy betroubare afstandtoegang vir takke, bedieners en gebruikers-toestelle opstel.

Oor MKController

Ons hoop die insigte hierbo het jou gehelp om jou MikroTik en internetwêreld beter te verstaan! 🚀
Of jy nou konfigurasies verfyn of net orde probeer bring in netwerkchaos, MKController maak jou lewe makliker.

Met gesentraliseerde wolkbestuur, outomatiese sekuriteitsopdaterings en ’n dashboard wat enigiemand kan bestuur, het ons wat dit vat om jou werking op te gradeer.

👉 Begin jou gratis 3-dae proefperiode nou by mkcontroller.com — en beleef watter maklike netwerkbeheer regtig beteken.