Remote Access
SSTP отдалечено управление на MikroTik
Конфигурирайте SSTP на MikroTik, за да тунелирате VPN трафик в HTTPS на порт 443 — преминава през строги защитни стени, CGNAT и корпоративни прокси сървъри.
Summary SSTP (Secure Socket Tunneling Protocol) обвива PPP в TLS сесия на TCP порт 443, което прави тунела неотличим от обикновен HTTPS трафик за защитни стени, проксита и CGNAT слоеве. RouterOS включва пълен SSTP сървър и клиент. Това ръководство описва минималната настройка на сървъра с пет команди, съответната клиентска конфигурация, NAT за достъп до LAN хостове през тунела и контролния списък за сигурност.
Как работи SSTP за отдалечено управление на MikroTik?
SSTP е протокол, който тунелира PPP в TLS/HTTPS сесия на TCP порт 443. От гледна точка на мрежата трафикът е неразличим от всяка друга HTTPS връзка — точно затова SSTP преминава през корпоративни прокси, captive портали, хотелски Wi-Fi и CGNAT слоеве, които блокират UDP базирани VPN. Клиентът отваря TLS към сървъра на 443, сървърът представя сертификата си, установява се PPP сесия в TLS тунела и трафикът тече криптиран от край до край.
За MikroTik флоти SSTP е правилният избор, когато клиентският обект е зад нещо, което блокира всеки друг VPN. Вижте нашето WireGuard ръководство и ръководството за управление чрез VPS.
Предимства и ограничения
Силни страни: работи през ограничителни защитни стени и прокси; използва порт 443, почти универсално отворен; силно TLS криптиране в модерен RouterOS; нативна поддръжка на Windows; гъвкаво удостоверяване (потребителско име/парола, сертификати или RADIUS).
Ограничения: по-високо натоварване на CPU поради TLS overhead; пропускателната способност обикновено по-ниска от WireGuard; нужен е валиден SSL сертификат за надеждно клиентско поведение. Поддържайте RouterOS актуален и деактивирайте стари TLS версии.
Стъпка 1: Създайте или импортирайте TLS сертификат
Използвайте Let’s Encrypt или комерсиална CA за продукция. Самоподписан работи за лабораторни тестове, но причинява предупреждения:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yescommon-name трябва да съответства на името на хоста, което клиентите ще използват за свързване.
Стъпка 2: Създайте PPP профил
Профилът определя IP адресите от страна на сървъра и клиента, които тунелът ще използва:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2Стъпка 3: Добавете PPP secret
Secret е удостоверение за всеки потребител. Използвайте дълги пароли или преминете към сертификатно удостоверяване за по-големи флоти:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstpСтъпка 4: Активирайте SSTP сървъра
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileРутерът сега слуша на порт 443 и приема SSTP връзки.
Стъпка 5: Конфигурирайте SSTP клиента на отдалечения MikroTik
На отдалеченото устройство:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printОчакван статус:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1Редът encoding показва договорения шифър. Модерните версии на RouterOS поддържат по-силни шифри — проверете настройките по подразбиране на вашия релийз.
Достъп до вътрешен хост през тунела
За достъп до устройство зад отдалечения MikroTik (напр. 192.168.88.100) използвайте dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80Достъп до устройството чрез крайната точка на SSTP тунела плюс мапнатия порт:
https://vpn.yourdomain.com:8081Трафикът тече през тунел в стил HTTPS и достига вътрешния хост.
Най-добри практики за сигурност
- Използвайте валидни, доверени TLS сертификати от Let’s Encrypt или комерсиална CA.
- Предпочитайте сертификатно или RADIUS удостоверяване пред споделени пароли за флоти.
- Ограничете разрешените IP адреси източници на ниво защитна стена, когато е възможно.
- Поддържайте RouterOS актуален за модерни TLS стекове.
- Деактивирайте стари SSL/TLS версии и слаби шифри.
- Наблюдавайте логовете на връзките и периодично ротирайте удостоверенията.
Вижте Winbox ръководство за сигурност и ръководството за сигурност на device mode.
Алтернатива: SSTP сървър на VPS
Хоствайте SSTP хъба на VPS вместо на MikroTik, когато искате стабилно облачно агрегиране. Windows Server има нативна SSTP поддръжка; SoftEther VPN на Linux е мулти-протоколен и поддържа SSTP — работи добре като протоколен мост.
SSTP срещу други VPN опции
| Решение | Порт | Сигурност | Съвместимост | Производителност | Най-добро за |
|---|---|---|---|---|---|
| SSTP | TCP 443 | Висока (TLS) | MikroTik, Windows | Средна | Мрежи със строги защитни стени |
| OpenVPN | UDP 1194 | Висока (TLS) | Широка | Средна | Стари и смесени флоти |
| WireGuard | UDP 51820 | Много висока | Модерни устройства | Висока | Модерни мрежи, висока скорост |
| Tailscale / ZeroTier | динамичен | Много висока | Мулти-платформа | Висока | Бърз mesh достъп, екипи |
Кога да изберете SSTP
Изберете SSTP, когато VPN трябва да премине корпоративни прокси или строг NAT, когато Windows клиентска интеграция е важна, или когато порт 443 е единственият надеждно отворен изходящ порт. Ако сурова скорост има значение, WireGuard е по-добрият избор — вижте нашето WireGuard ръководство.
Следваща стъпка
SSTP е правилният прагматичен избор за труднодостъпни мрежи — използва HTTPS, за да остане свързан там, където други VPN се провалят, и няколко RouterOS команди настройват надежден отдалечен достъп.
Ако конфигурирането на сертификати и тунели за всяко устройство изглежда като рутинна работа в мащаб на флот, NATCloud на MKController предлага централизиран отдалечен достъп и мониторинг без PKI управление на всяко устройство.