تخطَّ إلى المحتوى
Blog

إدارة MikroTik الخاص بك باستخدام SSTP

ملخص
يقوم SSTP بنقل حركة VPN داخل HTTPS (المنفذ 443)، مما يجعل الوصول عن بُعد إلى MikroTik ممكنًا حتى خلف جدران الحماية الصارمة والوكلاء. يعرض هذا الدليل إعداد خادم وعميل RouterOS، أمثلة NAT، نصائح أمان ومتى يكون SSTP الخيار المناسب.

إدارة MikroTik عن بُعد باستخدام SSTP

يقوم SSTP (بروتوكول نفق المقبس الآمن) بإخفاء VPN داخل HTTPS.

يعمل عبر المنفذ 443 ويندمج مع حركة الويب العادية.

هذا يجعله مثاليًا عندما تمنع الشبكات منافذ VPN التقليدية.

يقدم هذا المقال وصفة موجزة وعملية لـ SSTP على MikroTik RouterOS.

ما هو SSTP؟

ينقل SSTP PPP (بروتوكول نقطة إلى نقطة) داخل جلسة TLS/HTTPS.

يستخدم TLS للتشفير والمصادقة.

من وجهة نظر الشبكة، SSTP يكاد يكون غير مميز عن HTTPS العادي.

لهذا السبب يعبر من خلال الوكلاء والشبكات التي تستخدم CGNAT بسهولة.

كيف يعمل SSTP — تدفق سريع

  1. يفتح العميل اتصال TLS (HTTPS) بالخادم على المنفذ 443.
  2. يثبت الخادم شهادة TLS الخاصة به.
  3. تُؤسس جلسة PPP داخل نفق TLS.
  4. يتم تشفير البيانات من الطرف إلى الطرف (AES-256 عند التكوين).

بسيط. موثوق. يصعب حظره.

ملاحظة: نظرًا لأن SSTP يستخدم HTTPS، ستسمح به العديد من الشبكات المقيدة بينما تحظر VPNات أخرى.

المزايا والقيود

المزايا

  • يعمل تقريبًا في أي مكان — جدران الحماية والوكلاء مشمولون.
  • يستخدم المنفذ 443 (HTTPS) والذي يكون غالبًا مفتوحًا.
  • تشفير TLS قوي (عند استخدام إعدادات حديثة لRouterOS/TLS).
  • دعم أصلي في Windows وRouterOS.
  • مصادقة مرنة: اسم مستخدم/كلمة مرور، شهادات، أو RADIUS.

القيود

  • استخدام معالج أعلى من VPNات الخفيفة (عبء TLS).
  • الأداء عادة أقل من WireGuard.
  • يتطلب شهادة SSL صالحة لأفضل نتائج.

تحذير: إصدارات TLS/SSL القديمة غير آمنة. حافظ على تحديث RouterOS وقم بإيقاف تشغيل TLS/SSL القديم.

الخادم: تكوين SSTP على MikroTik

فيما يلي أوامر RouterOS الدنيا لإنشاء خادم SSTP.

  1. أنشئ أو استورد شهادة
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. أنشئ ملف تعريف PPP
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. أضف مستخدمًا (سر)
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. شغّل خادم SSTP
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

الآن يستمع الراوتر على المنفذ 443 ويقبل اتصالات SSTP.

نصيحة: استخدم شهادة من Let’s Encrypt أو جهة موثوقة — الشهادات الموقعة ذاتيًا تصلح للاختبارات المختبرية لكنها تسبب تحذيرات للعميل.

العميل: تكوين SSTP على MikroTik عن بُعد

على الجهاز البعيد، أضف عميل SSTP للاتصال بالمركز.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

الناتج المتوقع لحالة الاتصال:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

ملاحظة: يعرض شطر التشفير الخوارزمية المتفق عليها. تدعم إصدارات RouterOS الحديثة خوارزميات أقوى — تحقق من ملاحظات الإصدار الخاصة بك.

الوصول إلى مضيف داخلي عبر النفق

إذا كنت بحاجة للوصول إلى جهاز خلف MikroTik البعيد (مثل 192.168.88.100)، استخدم dst-nat وتعيين المنفذ.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

من المركز أو العميل، ادخل إلى الجهاز عبر نقطة نهاية نفق SSTP والمنفذ المعين:

https://vpn.yourdomain.com:8081

تمر البيانات عبر نفق HTTPS وتصل إلى المضيف الداخلي.

الأمان وأفضل الممارسات

  • استخدم شهادات TLS صالحة وموثوقة.
  • فضل المصادقة بواسطة الشهادة أو RADIUS على كلمات المرور البسيطة.
  • قيد عناوين IP المصدر المسموح بها عند الإمكان.
  • حافظ على تحديث RouterOS للحصول على تجميع TLS حديث.
  • قم بإيقاف تشغيل إصدارات SSL/TLS القديمة والتشفيرات الضعيفة.
  • راقب سجلات الاتصال ودوّر بيانات الاعتماد دوريًا.

نصيحة: للمعدات العديدة، المصادقة بواسطة الشهادة أكثر قابلية للإدارة وأمانًا من كلمات المرور المشتركة.

بديل: خادم SSTP على VPS

يمكنك استضافة مركز SSTP على VPS بدلاً من MikroTik.

الخيارات:

  • Windows Server (دعم SSTP أصلي).
  • SoftEther VPN (متعدد البروتوكولات، يدعم SSTP على Linux).

SoftEther مفيد كجسر بروتوكولات. يتيح لـ MikroTik وعمائل Windows التحدث إلى نفس المركز بدون عناوين IP عامة في كل موقع.

مقارنة سريعة

الحلالمنفذالأمانالتوافقالأداءمثالي لـ
SSTP443عالي (TLS)MikroTik، Windowsمتوسطالشبكات ذات جدران الحماية الصارمة
OpenVPN1194/UDPعالي (TLS)واسعمتوسطأساطيل قديمة/مختلطة
WireGuard51820/UDPعالي جدًاأجهزة حديثةعاليالشبكات الحديثة، أداء عالٍ
Tailscale/ZeroTierديناميكيعالي جدًامتعدد المنصاتعاليوصول شبكي سريع، فرق العمل

متى تختار SSTP

اختر SSTP عندما تحتاج VPN:

  • أن تعمل عبر الوكلاء المؤسسيين أو NAT الصارم.
  • أن تندمج بسهولة مع عملاء Windows.
  • أن تستخدم المنفذ 443 لتجنب الحجب.

إذا كنت تفضل السرعة الخام واستعمال أقل للمعالج، فكر في WireGuard بدلاً من ذلك.

أين يساعد MKController: إذا كان إعداد الشهادات والأنفاق يبدو عبءًا، يوفر NATCloud من MKController وصولًا مركزيًا ومراقبة — بدون الحاجة إلى PKI يدوي لكل جهاز وإعداد أبسط.

الخلاصة

SSTP خيار عملي للشبكات الصعبة الوصول.

يستفيد من HTTPS ليبقى متصلًا حيث تفشل VPNات أخرى.

ببضع أوامر RouterOS يمكنك إعداد وصول عن بُعد موثوق للفروع، الخوادم وأجهزة المستخدمين.

عن MKController

نأمل أن تساعدك الرؤى أعلاه في فهم عالم MikroTik والإنترنت بشكل أفضل! 🚀
سواء كنت تضبط الإعدادات بدقة أو تحاول فقط تنظيم فوضى الشبكة، MKController هنا لتسهيل حياتك.

مع إدارة مركزية سحابية، تحديثات أمان تلقائية، ولوحة تحكم يستطيع أي شخص إتقانها، لدينا ما يلزم للارتقاء بعملياتك.

👉 ابدأ تجربتك المجانية لمدة 3 أيام الآن على mkcontroller.com — واكتشف كيف يبدو التحكم السلس بالشبكة حقًا.