Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP-afstandsbestuur vir MikroTik

Stel SSTP op MikroTik op om VPN-verkeer binne HTTPS op poort 443 te tonneer — slaag deur streng vuurmure, CGNAT en korporatiewe proxies.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) verpak PPP binne ‘n TLS-sessie op TCP-poort 443, sodat die tonnel ononderskeibaar lyk van gewone HTTPS-verkeer vir vuurmure, proxies en CGNAT-lae. RouterOS lewer ‘n volledige SSTP-bediener en -kliënt. Hierdie gids dek die minimum vyf-opdrag-bedieneropstelling, die ooreenstemmende kliëntkonfigurasie op ‘n afgeleë MikroTik, NAT vir toegang tot LAN-gashere oor die tonnel, en die sekuriteitskontrolelys wat die ontplooiing veilig hou.

Hoe werk SSTP vir MikroTik-afstandsbestuur?

SSTP is ‘n protokol wat PPP binne ‘n TLS/HTTPS-sessie op TCP-poort 443 tonneer. Vanuit die netwerk se oogpunt is die verkeer ononderskeibaar van enige ander HTTPS-verbinding — wat presies is waarom SSTP deur korporatiewe proxies, hotel-Wi-Fi en CGNAT-lae beweeg wat UDP-gebaseerde VPN’s blokkeer. Die kliënt open TLS na die bediener op 443, die bediener bied sy TLS-sertifikaat aan, ‘n PPP-sessie word binne die TLS-tonnel gevestig, en verkeer vloei end-tot-end geënkripteer.

Vir MikroTik-vlote is SSTP die regte keuse wanneer die kliëntwerf agter iets sit wat elke ander VPN blokkeer. Sien ons WireGuard-afstandsbestuurgids en die VPS-gebaseerde bestuursgids vir breër konteks.

Voordele en beperkings

Sterk punte: werk deur beperkende vuurmure en proxies; gebruik poort 443, wat byna oral oop is; sterk TLS-enkripsie op moderne RouterOS; inheemse ondersteuning op Windows; buigsame verifikasie (gebruikersnaam/wagwoord, sertifikate of RADIUS).

Beperkings: hoër SVE-las as ligte VPN’s weens TLS-bokoste; deurset gewoonlik laer as WireGuard; benodig ‘n geldige SSL-sertifikaat vir betroubare kliëntgedrag. Hou RouterOS opgedateer en deaktiveer ouer TLS-weergawes.

Stap 1: Skep of voer die TLS-sertifikaat in

Gebruik Let’s Encrypt of ‘n kommersiële CA vir produksie. Self-onderteken werk vir laboratoriumtoetse maar veroorsaak kliëntwaarskuwings:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

Die common-name moet ooreenstem met die gasheernaam wat kliënte sal gebruik om te koppel.

Stap 2: Skep ‘n PPP-profiel

Die profiel definieer die bediener- en kliëntkant-IP’s wat die tonnel sal gebruik:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Stap 3: Voeg ‘n PPP-geheim by

Die geheim is die per-gebruiker-geloofsbrief. Gebruik lang wagwoorde of migreer na sertifikaatverifikasie vir groter vlote:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Stap 4: Aktiveer die SSTP-bediener

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Die roeteerder luister nou op poort 443 en aanvaar SSTP-verbindings.

Stap 5: Konfigureer die SSTP-kliënt op die afgeleë MikroTik

Op die afgeleë toestel:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Verwagte status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Die enkoderingslyn wys die onderhandelde syfer. Moderne RouterOS-weergawes ondersteun sterker syfers — verifieer jou vrystelling se verstekwaardes.

Bereik ‘n interne gasheer oor die tonnel

Om ‘n toestel agter die afgeleë MikroTik te bereik (bv. 192.168.88.100), gebruik dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Kry toegang tot die toestel via die SSTP-tonnelpunt plus die gekarteerde poort:

https://vpn.yourdomain.com:8081

Verkeer vloei deur die HTTPS-styl-tonnel en bereik die interne gasheer.

Beste sekuriteitspraktyke

  • Gebruik geldige, vertroude TLS-sertifikate van Let’s Encrypt of ‘n kommersiële CA.
  • Verkies sertifikaat- of RADIUS-verifikasie bo gedeelde wagwoorde vir vlote.
  • Beperk toegelate bron-IP’s by die vuurmuurlaag waar moontlik.
  • Hou RouterOS opgedateer vir moderne TLS-stapels en syferondersteuning.
  • Deaktiveer ou SSL/TLS-weergawes en swak syfers.
  • Monitor verbindingslogs en roteer geloofsbriewe periodiek.

Sien ons Winbox-sekuriteitsgids en toestelmodus-sekuriteitsgids vir breër konteks.

Alternatief: SSTP-bediener op ‘n VPS

Hospiteer die SSTP-spil op ‘n VPS in plaas van ‘n MikroTik wanneer jy stabiele wolk-kant-samevoeging wil hê. Windows Server het inheemse SSTP-ondersteuning; SoftEther VPN op Linux is multi-protokol en ondersteun SSTP plus verskeie ander — dit werk goed as ‘n protokol-brug.

SSTP teenoor ander VPN-opsies

OplossingPoortSekuriteitVersoenbaarheidWerkverrigtingBeste vir
SSTPTCP 443Hoog (TLS)MikroTik, WindowsMediumNetwerke met streng vuurmure
OpenVPNUDP 1194Hoog (TLS)WydMediumVerouderde en gemengde vlote
WireGuardUDP 51820Baie hoogModerne toestelleHoogModerne netwerke, hoë spoed
Tailscale / ZeroTierdinamiesBaie hoogMulti-platformHoogVinnige mesh-toegang, spanne

Wanneer om SSTP te kies

Kies SSTP wanneer die VPN korporatiewe proxies of streng NAT moet kruis, wanneer Windows-kliëntintegrasie saak maak, of wanneer poort 443 die enigste uitgaande poort is wat betroubaar oop is. Sien ons WireGuard-tutoriaal as rou spoed belangriker is.

Neem die volgende stap

SSTP is die regte pragmatiese keuse vir moeilik bereikbare netwerke — dit gebruik HTTPS om gekoppel te bly waar ander VPN’s misluk, en ‘n paar RouterOS-opdragte stel betroubare afstandstoegang op vir takke, bedieners en velde-toestelle.

As sertifikate en per-toestel-tonnels soos besige werk voel op vlootskaal, bied MKController se NATCloud gesentraliseerde afstandstoegang en monitering sonder per-toestel PKI-bestuur.

Begin jou gratis MKController-proeflopie