Skip to content
Blog

Управление на MikroTik чрез SSTP

Резюме
SSTP тунелира VPN трафика вътре в HTTPS (порт 443), което позволява отдалечен достъп до MikroTik дори зад строги защитни стени и проксита. Това ръководство покрива настройка на RouterOS сървър и клиент, примери за NAT, съвети за сигурност и кога SSTP е правилният избор.

Отдалечено управление на MikroTik чрез SSTP

SSTP (Secure Socket Tunneling Protocol) скрива VPN в HTTPS.

Той работи през порт 443 и се слива с нормалния уеб трафик.

Това го прави идеален за мрежи, които блокират традиционните VPN портове.

Тази статия предоставя кратка и практична рецепта за SSTP в MikroTik RouterOS.

Какво е SSTP?

SSTP тунелира PPP (Point-to-Point Protocol) вътре в TLS/HTTPS сесия.

Използва TLS за криптиране и удостоверяване.

От мрежова гледна точка, SSTP е почти неразличим от обикновения HTTPS.

Затова преминава през корпоративни прокси и CGNAT без проблем.

Как работи SSTP — кратък поток

  1. Клиентът отваря TLS (HTTPS) връзка към сървъра на порт 443.
  2. Сървърът доказва своя TLS сертификат.
  3. PPP сесия се установява вътре в TLS тунела.
  4. Трафикът е криптиран от край до край (AES-256 при конфигурация).

Просто. Надеждно. Трудно за блокиране.

Забележка: Тъй като SSTP използва HTTPS, много рестриктивни мрежи ще го позволят, блокирайки други VPN.

Предимства и ограничения

Предимства

  • Работи почти навсякъде — включително зад защитни стени и проксита.
  • Използва порт 443 (HTTPS), който обикновено е отворен.
  • Силно TLS криптиране (с модерни RouterOS/TLS настройки).
  • Възможност за вградена поддръжка в Windows и RouterOS.
  • Гъвкаво удостоверяване: потребител/парола, сертификати или RADIUS.

Ограничения

  • По-висока консумация на CPU в сравнение с леки VPN (TLS overhead).
  • Обикновено по-ниска производителност от WireGuard.
  • Изисква валиден SSL сертификат за оптимални резултати.

Предупреждение: По-старите версии TLS/SSL са несигурни. Поддържайте RouterOS актуален и изключете остарелите TLS/SSL версии.

Сървър: Конфигуриране на SSTP на MikroTik

По-долу са минималните RouterOS команди за създаване на SSTP сървър.

  1. Създайте или импортирайте сертификат
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. Създайте PPP профил
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. Добавете потребител (тайна)
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. Активирайте SSTP сървъра
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Сега рутерът слуша на порт 443 и приема SSTP връзки.

Съвет: Използвайте сертификат от Let’s Encrypt или ваш CA — самоподписаните сертификати са подходящи за лабораторни тестове, но водят до предупреждения при клиента.

Клиент: Конфигуриране на SSTP на отдалечен MikroTik

На отдалечения устройство добавете SSTP клиент за връзка към хъба.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Очакван статус:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Забележка: Редът encoding показва избрания криптографски протокол. Модерните версии на RouterOS поддържат по-силни шифри — проверете вашите бележки към версията.

Достъп до вътрешен хост през тунела

Ако трябва да достъпите устройство зад отдалечен MikroTik (примерно 192.168.88.100), използвайте dst-nat и пренасочване на портове.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

От хъба или клиент, достъпете устройството през SSTP тунелния крайна точка и пренасочения порт:

https://vpn.yourdomain.com:8081

Трафикът минава през HTTPS тунела и стига до вътрешния хост.

Сигурност и добри практики

  • Използвайте валидни, доверени TLS сертификати.
  • Предпочитайте удостоверяване чрез сертификат или RADIUS пред обикновени пароли.
  • Ограничете разрешените изходящи IP адреси, ако е възможно.
  • Поддържайте RouterOS актуален за използване на модерни TLS стекове.
  • Изключете остарели SSL/TLS версии и слаби шифри.
  • Следете логовете на връзките и регулярно сменяйте данните за достъп.

Съвет: За много устройства удостоверяването чрез сертификат е по-управляемо и по-сигурно от споделени пароли.

Алтернатива: SSTP сървър на VPS

Можете да хоствате SSTP хъб на VPS вместо на MikroTik.

Възможности:

  • Windows Server (вградена поддръжка за SSTP).
  • SoftEther VPN (мултипротоколен, поддържа SSTP на Linux).

SoftEther е полезен като протоколен мост. Позволява MikroTik и Windows клиенти да комуникират с един и същи хъб без общо публично IP на всяко място.

Бързо сравнение

РешениеПортСигурностСъвместимостПроизводителностИдеално за
SSTP443Висока (TLS)MikroTik, WindowsСреднаМрежи със строги защитни стени
OpenVPN1194/UDPВисока (TLS)ШирокаСреднаНаследствени/смесени среди
WireGuard51820/UDPМного високаМодерни устройстваВисокаМодерни мрежи, висока производителност
Tailscale/ZeroTierдинамиченМного високаМултиплатформениВисокаБърз mesh достъп, екипи

Кога да изберете SSTP

Изберете SSTP, когато ви трябва VPN, който:

  • Трябва да работи през корпоративни проксита или стриктен NAT.
  • Иска лесна интеграция с Windows клиенти.
  • Изисква порт 443, за да избегне блокиране на портове.

Ако цените максимална скорост и ниско натоварване на CPU, обмислете WireGuard.

Къде MKController помага: Ако конфигурирането на сертификати и тунели ви затруднява, MKController с NATCloud предлага централизирано отдалечено управление и мониторинг — без ръчна PKI за всяко устройство и по-лесно въвеждане.

Заключение

SSTP е прагматичен избор за трудно достъпни мрежи.

Той използва HTTPS, за да остане свързан там, където други VPN не успяват.

С няколко RouterOS команди можете да осигурите надежден отдалечен достъп до клонове, сървъри и потребителски устройства.

За MKController

Надяваме се горната информация да ви помогна да навигирате по-добре в MikroTik и интернет! 🚀
Дали оптимизирате конфигурации или просто се опитвате да внесете ред в мрежовия хаос, MKController е тук, за да улесни живота ви.

С централизирано облачно управление, автоматични ъпдейти за сигурност и табло, подходящо за всички, имаме всичко необходимо, за да модернизирате своята мрежа.

👉 Започнете безплатен 3-дневен пробен период сега на mkcontroller.com — и вижте как изглежда истинският лесен контрол върху мрежата.