Gestiona el teu Mikrotik amb SSTP

Resum
SSTP encapsula trànsit VPN dins d’HTTPS (port 443), permetent accés remot a MikroTik fins i tot darrere de tallafocs i proxies estrictes. Aquesta guia mostra configuració del servidor i client RouterOS, exemples NAT, consells de seguretat i quan SSTP és la millor opció.

Gestió remota de MikroTik amb SSTP

SSTP (Secure Socket Tunneling Protocol) amaga una VPN dins d’HTTPS.

Funciona pel port 443 i es confon amb el trànsit web habitual.

Això el fa ideal quan les xarxes bloquegen ports VPN tradicionals.

Aquest post ofereix una recepta pràctica i concisa d’SSTP per MikroTik RouterOS.

Què és SSTP?

SSTP encapsula PPP (Point-to-Point Protocol) dins d’una sessió TLS/HTTPS.

Utilitza TLS per xifrat i autenticació.

Des del punt de vista de la xarxa, SSTP és gairebé indistinguible d’un HTTPS normal.

Per això travessa fàcilment proxies corporatius i CGNAT.

Com funciona SSTP — flux ràpid

1. El client obre una connexió TLS (HTTPS) al servidor pel port 443.
2. El servidor verifica el seu certificat TLS.
3. S’estableix una sessió PPP dins del túnel TLS.
4. El trànsit queda xifrat de punta a punta (AES-256 si està configurat).

Simple. Fiable. Difícil de bloquejar.

Nota: Com que SSTP fa servir HTTPS, moltes xarxes restrictives el deixaran passar mentre bloquegen altres VPNs.

Avantatges i limitacions

Avantatges

• Funciona gairebé a tot arreu — incloent tallafocs i proxies.
• Utilitza el port 443 (HTTPS), normalment obert.
• Xifrat TLS potent (amb versions modernes de RouterOS/TLS).
• Suport nadiu a Windows i RouterOS.
• Autenticació flexible: usuari/password, certificats o RADIUS.

Limitacions

• Major ús de CPU que VPNs lleugers (sobrecàrrega TLS).
• El rendiment normalment és inferior a WireGuard.
• Cal un certificat SSL vàlid per millors resultats.

Avís: Les versions antigues de TLS/SSL no són segures. Mantingues RouterOS actualitzat i desactiva TLS/SSL heretat.

Servidor: Configura SSTP en un MikroTik

A continuació tens els comandos mínims per crear un servidor SSTP a RouterOS.

1. Crea o importa un certificat

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Crea un perfil PPP

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Afegeix un usuari (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Activa el servidor SSTP

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Ara el router escolta pel port 443 i accepta connexions SSTP.

Consell: Utilitza un certificat de Let’s Encrypt o de la teva CA — els certificats auto-signats serveixen per proves però generen advertències al client.

Client: Configura SSTP en un MikroTik remot

Al dispositiu remot, afegeix un client SSTP per connectar-se al hub.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Sortida esperada de l’estat:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Nota: La línia d’encoding mostra el xifrat negociat. Les versions modernes de RouterOS donen suport a xifrats més forts — comprova les notes de la teva versió.

Accedeix a un host intern a través del túnel

Si necessites accedir a un dispositiu darrere del MikroTik remot (per exemple 192.168.88.100), utilitza dst-nat i mapeig de ports.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Des del hub o un client, accedeix al dispositiu passant pel punt final del túnel SSTP i el port mapejat:

https://vpn.yourdomain.com:8081

El trànsit flueix a través del túnel HTTPS i arriba a l’host intern.

Seguretat i bones pràctiques

• Utilitza certificats TLS vàlids i de confiança.
• Prioritza autenticació per certificat o RADIUS en lloc de contrasenyes planes.
• Restringeix adreces IP d’origen quan sigui possible.
• Mantingues RouterOS actualitzat per disposar de protocols TLS moderns.
• Desactiva versions antigues de SSL/TLS i xifrats febles.
• Controla els registres de connexió i rota credencials periòdicament.

Consell: Per a molts dispositius, l’autenticació amb certificat és més fàcil de gestionar i més segura que les contrasenyes compartides.

Alternativa: servidor SSTP en un VPS

Pots allotjar un hub SSTP en un VPS en lloc d’un MikroTik.

Opcions:

• Windows Server (suport SSTP nadiu).
• SoftEther VPN (multi-protocol, suporta SSTP en Linux).

SoftEther és útil com a pont de protocols. Permet que MikroTiks i clients Windows es connectin al mateix hub sense IP pública a cada lloc.

Comparativa ràpida

Quan triar SSTP

Escull SSTP quan necessitis una VPN que:

• Funcioni a través de proxies corporatius o NAT estrictes.
• S’integri fàcil amb clients Windows.
• Hagi d’usar port 443 per evitar bloquejos.

Si valores la velocitat i menor ús CPU, WireGuard és millor opció.

On ajuda MKController: Si la configuració de certificats i túnels et sembla pesada, NATCloud de MKController ofereix accés remot centralitzat i supervisió — sense gestió manual PKI per dispositiu i onboarding més simple.

Conclusió

SSTP és una opció pragmàtica per xarxes difícils d’accedir.

Aprofita HTTPS per mantenir connexió on altres VPN fallen.

Amb uns pocs comandos RouterOS pots establir accés remot fiable per sucursals, servidors i usuaris.

Sobre MKController

Esperem que els coneixements exposats t’hagin ajudat a manejar millor el teu univers MikroTik i Internet! 🚀
Sigui que ajustis configuracions o simplement ordenis el caos de la xarxa, MKController t’ofereix una vida més fàcil.

Amb gestió al núvol centralitzada, actualitzacions automàtiques de seguretat i una consola fàcil de dominar, tenim tot el necessari per millorar la teva operativa.

👉 Comença ara la teva prova gratuïta de 3 dies a mkcontroller.com — i descobreix com es controla una xarxa sense esforç.