Saltar al contingut
MKController Blog
InstagramYouTubeFacebook

Remote Access

Gestió remota de MikroTik amb SSTP

Configura SSTP a MikroTik per tunelitzar trànsit VPN dins HTTPS al port 443 — passa per tallafocs estrictes, CGNAT i proxies corporatius.

MKController5 min read

Summary SSTP (Secure Socket Tunneling Protocol) embolica PPP dins una sessió TLS al port TCP 443, fent que el túnel sembli indistingible del trànsit HTTPS normal per a tallafocs, proxies i capes CGNAT. RouterOS inclou un servidor i client SSTP complets. Aquesta guia descriu la configuració mínima del servidor amb cinc ordres, la configuració del client en un MikroTik remot, NAT per arribar als hosts LAN i la llista de verificació de seguretat.

Com funciona SSTP per a la gestió remota de MikroTik?

SSTP és un protocol que tunelitza PPP dins una sessió TLS/HTTPS al port TCP 443. Des de la perspectiva de la xarxa, el trànsit és indistingible de qualsevol altra connexió HTTPS — i per això SSTP passa per proxies corporatius, portals captius, Wi-Fi d’hotels i capes CGNAT que bloquegen VPN basades en UDP. El client obre TLS al servidor al 443, el servidor presenta el seu certificat, s’estableix una sessió PPP dins el túnel TLS, i el trànsit flueix xifrat d’extrem a extrem.

Per a flotes MikroTik, SSTP és l’opció correcta quan el lloc del client està darrere de quelcom que bloqueja tots els altres VPN. Vegeu la nostra guia de WireGuard i la guia de gestió per VPS.

Avantatges i limitacions

Punts forts: funciona a través de tallafocs i proxies restrictius; utilitza el port 443, gairebé universalment obert; xifrat TLS fort en RouterOS modern; suport natiu a Windows; autenticació flexible (usuari/contrasenya, certificats o RADIUS).

Limitacions: més CPU que VPN lleugers a causa de l’overhead TLS; rendiment generalment menor que WireGuard; necessita un certificat SSL vàlid per a comportament fiable del client. Mantingueu RouterOS actualitzat i desactiveu versions antigues de TLS.

Pas 1: Crear o importar el certificat TLS

Utilitzeu Let’s Encrypt o una CA comercial per a producció. L’autoignat funciona per a proves de laboratori però causa advertències al client:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

El common-name ha de coincidir amb el nom d’amfitrió que els clients utilitzaran per connectar-se.

Pas 2: Crear un perfil PPP

El perfil defineix les IPs del servidor i del client que utilitzarà el túnel:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Pas 3: Afegir un secret PPP

El secret és la credencial per usuari. Utilitzeu contrasenyes llargues o migreu a autenticació per certificat per a flotes més grans:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Pas 4: Habilitar el servidor SSTP

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

El router ara escolta al port 443 i accepta connexions SSTP.

Pas 5: Configurar el client SSTP al MikroTik remot

Al dispositiu remot:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Estat esperat:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

La línia encoding mostra el xifrat negociat. Les versions modernes de RouterOS suporten xifratges més forts — verifiqueu els valors per defecte del vostre release.

Arribar a un host intern a través del túnel

Per arribar a un dispositiu darrere del MikroTik remot (p. ex., 192.168.88.100), utilitzeu dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Accediu al dispositiu via el punt final del túnel SSTP més el port mapat:

https://vpn.yourdomain.com:8081

El trànsit flueix pel túnel d’estil HTTPS i arriba a l’host intern.

Bones pràctiques de seguretat

  • Utilitzeu certificats TLS vàlids i de confiança de Let’s Encrypt o una CA comercial.
  • Preferiu autenticació per certificat o RADIUS sobre contrasenyes compartides per a flotes.
  • Restringiu les IPs origen permeses al tallafoc quan sigui possible.
  • Mantingueu RouterOS actualitzat per a pilars TLS moderns.
  • Desactiveu versions antigues de SSL/TLS i xifrats febles.
  • Monitoritzeu els logs de connexió i roteu credencials periòdicament.

Vegeu la guia de seguretat de Winbox i la guia de seguretat de device mode.

Alternativa: servidor SSTP en un VPS

Allotgeu el hub SSTP en un VPS en lloc d’un MikroTik quan vulgueu agregació estable al núvol. Windows Server té suport natiu per SSTP; SoftEther VPN a Linux és multi-protocol i suporta SSTP — funciona bé com a pont de protocols.

SSTP enfront d’altres opcions VPN

SolucióPortSeguretatCompatibilitatRendimentMillor per a
SSTPTCP 443Alta (TLS)MikroTik, WindowsMitjàXarxes amb tallafocs estrictes
OpenVPNUDP 1194Alta (TLS)ÀmpliaMitjàFlotes antigues i mixtes
WireGuardUDP 51820Molt altaDispositius modernsAltXarxes modernes, alt rendiment
Tailscale / ZeroTierdinàmicMolt altaMulti-plataformaAltAccés mesh ràpid, equips

Quan triar SSTP

Trieu SSTP quan el VPN ha de travessar proxies corporatius o NAT estricte, quan importa la integració amb client Windows, o quan el port 443 és l’únic port sortint obert. Si la velocitat bruta és més important, WireGuard és la millor opció — vegeu el nostre tutorial de WireGuard.

Següent pas

SSTP és l’opció pragmàtica correcta per a xarxes difícils d’arribar — utilitza HTTPS per mantenir-se connectat on altres VPN fallen, i unes poques ordres de RouterOS configuren accés remot fiable.

Si configurar certificats i túnels per dispositiu sembla feina rutinària a escala de flota, NATCloud de MKController ofereix accés remot centralitzat i monitorització sense gestió PKI per dispositiu.

Comença el teu període de prova gratuït amb MKController