Správa MikroTiku pomocí SSTP tunelu

Shrnutí
SSTP tuneluje VPN provoz uvnitř HTTPS (port 443), což umožňuje vzdálený přístup k MikroTiku i za přísnými firewally a proxy. Tento průvodce ukazuje nastavení serveru a klienta v RouterOS, příklady NAT, bezpečnostní tipy a kdy je SSTP nejlepší volba.

Vzdálená správa MikroTiku přes SSTP

SSTP (Secure Socket Tunneling Protocol) skrývá VPN uvnitř HTTPS.

Funguje přes port 443 a splývá s běžným webovým provozem.

To ho činí ideálním, když sítě blokují tradiční VPN porty.

Tento článek nabízí stručný, praktický návod na SSTP pro MikroTik RouterOS.

Co je SSTP?

SSTP tuneluje PPP (Point-to-Point Protocol) uvnitř TLS/HTTPS relace.

Používá TLS k šifrování a autentizaci.

Z pohledu sítě je SSTP téměř nerozeznatelný od běžného HTTPS.

Proto proplouvá firemními proxy a CGNAT.

Jak SSTP funguje – rychlý přehled

1. Klient otevře TLS (HTTPS) spojení se serverem na portu 443.
2. Server předloží svůj TLS certifikát.
3. V rámci TLS tunelu se vytvoří PPP relace.
4. Provoz je šifrován end-to-end (AES-256 při správném nastavení).

Jednoduché. Spolehlivé. Těžko zablokovatelné.

Poznámka: Protože SSTP používá HTTPS, mnoho restriktivních sítí ho povolí, zatímco jiné VPN zablokují.

Výhody a omezení

Výhody

• Funguje téměř všude — včetně firewallů a proxy.
• Používá port 443 (HTTPS), který je obvykle otevřený.
• Silné TLS šifrování (při použití moderních RouterOS/TLS nastavení).
• Nativní podpora ve Windows a RouterOS.
• Flexibilní autentizace: uživatel/heslo, certifikáty nebo RADIUS.

Omezení

• Vyšší zátěž CPU než u lehkých VPN (režie TLS).
• Výkon obvykle nižší než u WireGuard.
• Pro nejlepší funkčnost je potřeba platný SSL certifikát.

Varování: Starší verze TLS/SSL jsou nezabezpečené. Udržujte RouterOS aktualizovaný a vypněte zastaralé verze TLS/SSL.

Server: Nastavení SSTP na MikroTiku

Následující minimální příkazy v RouterOS vytvoří SSTP server.

1. Vytvořte nebo naimportujte certifikát

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Vytvořte PPP profil

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Přidejte uživatele (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Povolte SSTP server

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Router nyní naslouchá na portu 443 a přijímá SSTP připojení.

Tip: Použijte certifikát od Let’s Encrypt nebo vaší CA — samopodepsané certifikáty jsou vhodné jen pro testy a klienti na ně upozorní.

Klient: Nastavení SSTP na vzdáleném MikroTiku

Na vzdáleném zařízení přidejte SSTP klienta pro připojení zpět do centrály.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Očekávaný stav:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Poznámka: Řádek encoding ukazuje dohodnutý šifrovací algoritmus. Moderní verze RouterOS podporují silnější šifry – zkontrolujte poznámky k vydání.

Přístup k internímu zařízení přes tunel

Pokud potřebujete přistupovat k zařízení za vzdáleným MikroTikem (např. 192.168.88.100), použijte dst-nat a přesměrování portu.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Z centrály či klienta přistupujte k zařízení přes SSTP tunel na namapovaném portu:

https://vpn.yourdomain.com:8081

Provoz prochází přes HTTPS tunel a dosáhne interního hosta.

Bezpečnost a doporučené postupy

• Používejte platné, důvěryhodné TLS certifikáty.
• Upřednostňujte autentizaci pomocí certifikátů nebo RADIUS před hesly.
• Omezte povolené zdrojové IP adresy, pokud je to možné.
• Udržujte RouterOS aktualizovaný kvůli moderním TLS knihovnám.
• Vypněte staré verze SSL/TLS a slabé šifry.
• Sledujte logy připojení a pravidelně měňte přihlašovací údaje.

Tip: Pro většinu zařízení je správa autentizace přes certifikáty přehlednější a bezpečnější než sdílená hesla.

Alternativa: SSTP server na VPS

Místo MikroTiku můžete SSTP server provozovat i na VPS.

Možnosti:

• Windows Server (nativní podpora SSTP).
• SoftEther VPN (multi-protokolová, podporuje SSTP na Linuxu).

SoftEther je praktický jako protokolová brána. Umožňuje MikroTikům a Windows klientům připojit se ke stejnému hubu bez veřejných IP na každé lokalitě.

Rychlé srovnání

Kdy zvolit SSTP

Vyberte SSTP, pokud potřebujete VPN, která:

• Funguje za firemními proxy nebo přísným NAT.
• Snadno se integruje s Windows klienty.
• Musí používat port 443 kvůli blokaci portů.

Pokud preferujete nejvyšší rychlost a nízkou zátěž CPU, zvažte WireGuard.

Kde pomáhá MKController: Pokud je nastavování certifikátů a tunelů pro vás zbytečná zátěž, MKController NATCloud nabízí centralizovaný vzdálený přístup a monitoring — bez manuální správy PKI na každém zařízení a jednodušší onboarding.

Závěr

SSTP je praktická volba pro sítě, které jsou těžko dostupné.

Využívá HTTPS, aby zůstalo spojení tam, kde ostatní VPN selhávají.

S pár příkazy v RouterOS můžete nastavit spolehlivý vzdálený přístup k pobočkám, serverům a uživatelským zařízením.

O MKController

Doufáme, že vám výše uvedené informace pomohly lépe se orientovat ve světě MikroTiku a Internetu! 🚀
Ať už dolaďujete konfigurace, nebo chcete udělat pořádek v síťovém chaosu, MKController vám usnadní práci.

Díky centralizované cloud správě, automatickým bezpečnostním aktualizacím a ovládacímu panelu, který zvládne každý, máme to, co vaše provozovna potřebuje.

👉 Vyzkoušejte bezplatnou 3denní zkušební verzi nyní na mkcontroller.com — a uvidíte, co znamená snadná správa sítě.