Remote Access
SSTP لإدارة MikroTik عن بُعد
اضبط SSTP على MikroTik لتمرير حركة VPN داخل HTTPS على المنفذ 443 — يعبر الجدران النارية الصارمة وCGNAT والوكلاء.
Summary يغلّف SSTP (Secure Socket Tunneling Protocol) بروتوكول PPP داخل جلسة TLS على المنفذ TCP 443، ما يجعل النفق يبدو غير قابل للتمييز عن أي اتصال HTTPS عادي بالنسبة للجدران النارية والوكلاء وطبقات CGNAT. يوفر RouterOS خادم وعميل SSTP كاملين. يشرح هذا الدليل الحد الأدنى لإعداد الخادم بخمسة أوامر، وتكوين العميل المطابق على MikroTik بعيد، وNAT للوصول إلى مضيفات LAN عبر النفق، وقائمة فحص الأمان لإبقاء النشر آمنًا.
كيف يعمل SSTP لإدارة MikroTik عن بُعد؟
SSTP هو بروتوكول يغلّف PPP داخل جلسة TLS/HTTPS على المنفذ TCP 443. من منظور الشبكة، حركة المرور لا يمكن تمييزها عن أي اتصال HTTPS آخر — وهذا بالضبط سبب عبور SSTP للوكلاء المؤسسيين وCGNAT التي تحجب VPN القائمة على UDP. يفتح العميل TLS إلى الخادم على 443، ويقدم الخادم شهادته، ثم تُنشأ جلسة PPP داخل نفق TLS، وتتدفق حركة المرور مشفرة من طرف إلى طرف.
بالنسبة لأساطيل MikroTik، SSTP هو الخيار الصحيح عندما يقع موقع العميل خلف شيء يحجب كل VPN آخر. راجع دليل WireGuard للإدارة عن بُعد ودليل الإدارة عبر VPS.
المزايا والقيود
نقاط القوة: يعمل عبر الجدران النارية والوكلاء المقيدة؛ يستخدم المنفذ 443 المفتوح عالميًا تقريبًا؛ تشفير TLS قوي على RouterOS الحديث؛ دعم أصلي على Windows؛ مصادقة مرنة (اسم مستخدم/كلمة مرور أو شهادات أو RADIUS).
القيود: استهلاك CPU أعلى من VPN خفيفة بسبب عبء TLS؛ الإنتاجية عادة أقل من WireGuard؛ يتطلب شهادة SSL صالحة لسلوك عميل موثوق. حافظ على تحديث RouterOS وعطّل إصدارات TLS القديمة.
الخطوة 1: إنشاء أو استيراد شهادة TLS
استخدم Let’s Encrypt أو CA تجارية في الإنتاج. الشهادة الموقعة ذاتيًا تعمل للاختبار لكنها تسبب تحذيرات للعميل:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yesيجب أن يتطابق common-name مع اسم المضيف الذي سيستخدمه العملاء للاتصال.
الخطوة 2: إنشاء ملف تعريف PPP
يحدد الملف الشخصي عناوين IP لجانبي الخادم والعميل التي سيستخدمها النفق:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2الخطوة 3: إضافة سر PPP
السر هو بيانات الاعتماد لكل مستخدم. استخدم كلمات مرور طويلة أو انتقل إلى مصادقة الشهادات للأساطيل الأكبر:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstpالخطوة 4: تمكين خادم SSTP
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileيستمع الموجه الآن على المنفذ 443 ويقبل اتصالات SSTP.
الخطوة 5: تكوين عميل SSTP على MikroTik البعيد
على الجهاز البعيد:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printالحالة المتوقعة:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1يعرض سطر التشفير الخوارزمية المتفاوض عليها. تدعم إصدارات RouterOS الحديثة خوارزميات أقوى — تحقق من إعدادات إصدارك الافتراضية.
الوصول إلى مضيف داخلي عبر النفق
للوصول إلى جهاز خلف MikroTik البعيد (مثل 192.168.88.100)، استخدم dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80اوصل إلى الجهاز عبر نقطة نهاية نفق SSTP بالإضافة إلى المنفذ المخطط:
https://vpn.yourdomain.com:8081تتدفق حركة المرور عبر النفق بأسلوب HTTPS وتصل إلى المضيف الداخلي.
أفضل ممارسات الأمان
- استخدم شهادات TLS صالحة وموثوقة من Let’s Encrypt أو CA تجارية.
- فضّل مصادقة الشهادات أو RADIUS على كلمات المرور المشتركة للأساطيل.
- قيّد عناوين IP المصدر المسموح بها على مستوى جدار الحماية عند الإمكان.
- حافظ على تحديث RouterOS لدعم TLS الحديث.
- عطّل إصدارات SSL/TLS القديمة والخوارزميات الضعيفة.
- راقب سجلات الاتصال وقم بتدوير بيانات الاعتماد دوريًا.
راجع دليل أمان Winbox ودليل أمان وضع الجهاز لسياق أوسع.
البديل: خادم SSTP على VPS
استضف محور SSTP على VPS بدلاً من MikroTik عندما تريد تجميعًا سحابيًا مستقرًا. يدعم Windows Server بروتوكول SSTP أصليًا؛ SoftEther VPN على Linux متعدد البروتوكولات ويدعم SSTP — يعمل بشكل جيد كجسر بروتوكولات.
SSTP مقابل خيارات VPN الأخرى
| الحل | المنفذ | الأمان | التوافق | الأداء | الأنسب لـ |
|---|---|---|---|---|---|
| SSTP | TCP 443 | عالٍ (TLS) | MikroTik, Windows | متوسط | شبكات بجدران نارية صارمة |
| OpenVPN | UDP 1194 | عالٍ (TLS) | واسع | متوسط | أساطيل قديمة ومختلطة |
| WireGuard | UDP 51820 | عالٍ جدًا | أجهزة حديثة | عالٍ | شبكات حديثة وأداء عالٍ |
| Tailscale / ZeroTier | ديناميكي | عالٍ جدًا | متعدد المنصات | عالٍ | وصول mesh سريع وفرق |
متى تختار SSTP
اختر SSTP عندما يجب على VPN عبور الوكلاء المؤسسيين أو NAT الصارم، أو عندما يهم تكامل عميل Windows، أو عندما يكون المنفذ 443 هو الوحيد المفتوح للخروج. إذا كانت السرعة المطلقة أهم، WireGuard هو الافتراضي الأفضل — انظر دليل WireGuard.
الخطوة التالية
SSTP هو الخيار العملي الصحيح للشبكات صعبة الوصول — يستخدم HTTPS للبقاء متصلًا حيث تفشل VPN أخرى، وبضع أوامر RouterOS تنشئ وصولاً عن بُعد موثوقًا للفروع والخوادم.
إذا بدا تكوين الشهادات والأنفاق لكل جهاز عملاً مرهقًا على نطاق الأسطول، يوفر NATCloud من MKController وصولاً عن بُعد مركزيًا ومراقبة بدون إدارة PKI لكل جهاز.