Přeskočit na obsah
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP vzdálená správa MikroTik

Nakonfigurujte SSTP na MikroTik pro tunelování VPN provozu uvnitř HTTPS na portu 443 — projde přísnými firewally, CGNAT a firemními proxy.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) zabaluje PPP do TLS relace na TCP portu 443, takže tunel vypadá pro firewally, proxy a CGNAT vrstvy nerozeznatelně od normálního HTTPS provozu. RouterOS obsahuje kompletní SSTP server a klienta. Tato příručka popisuje minimální nastavení serveru pěti příkazy, odpovídající konfiguraci klienta na vzdáleném MikroTiku, NAT pro přístup k LAN hostům přes tunel a kontrolní seznam zabezpečení.

Jak funguje SSTP pro vzdálenou správu MikroTik?

SSTP je protokol, který tuneluje PPP uvnitř TLS/HTTPS relace na TCP portu 443. Z pohledu sítě je provoz nerozeznatelný od jakéhokoli jiného HTTPS spojení — proto SSTP prochází firemními proxy, captive portály, hotelovým Wi-Fi a CGNAT vrstvami, které blokují VPN založené na UDP. Klient otevře TLS k serveru na 443, server předloží svůj certifikát, vytvoří se PPP relace uvnitř TLS tunelu a provoz teče šifrovaný end-to-end.

Pro flotily MikroTik je SSTP správnou volbou, když je zákaznický web za něčím, co blokuje každý jiný VPN. Viz naši příručku WireGuard a příručku správy přes VPS.

Výhody a omezení

Silné stránky: funguje přes restriktivní firewally a proxy; používá port 443, téměř všeobecně otevřený; silné TLS šifrování v moderním RouterOS; nativní podpora ve Windows; flexibilní autentizace (uživatelské jméno/heslo, certifikáty nebo RADIUS).

Omezení: vyšší zátěž CPU než u odlehčených VPN kvůli režii TLS; propustnost obvykle nižší než WireGuard; vyžaduje platný SSL certifikát pro spolehlivé chování klienta. Udržujte RouterOS aktualizovaný a deaktivujte staré verze TLS.

Krok 1: Vytvořte nebo importujte TLS certifikát

Použijte Let’s Encrypt nebo komerční CA pro produkci. Vlastnoručně podepsaný funguje pro laboratorní testy, ale způsobuje varování klienta:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name musí odpovídat názvu hostitele, který klienti použijí pro připojení.

Krok 2: Vytvořte PPP profil

Profil definuje IP adresy serveru a klienta, které tunel použije:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Krok 3: Přidejte PPP secret

Secret je přihlašovací údaj na uživatele. Použijte dlouhá hesla nebo přejděte na certifikátovou autentizaci pro větší flotily:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Krok 4: Povolte SSTP server

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Router nyní naslouchá na portu 443 a přijímá SSTP spojení.

Krok 5: Nakonfigurujte SSTP klienta na vzdáleném MikroTiku

Na vzdáleném zařízení:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Očekávaný stav:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Řádek encoding zobrazuje vyjednanou šifru. Moderní verze RouterOS podporují silnější šifry — ověřte výchozí hodnoty vašeho vydání.

Přístup k internímu hostu přes tunel

Pro přístup k zařízení za vzdáleným MikroTikem (např. 192.168.88.100) použijte dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Přistupte k zařízení přes koncový bod SSTP tunelu plus mapovaný port:

https://vpn.yourdomain.com:8081

Provoz teče přes tunel ve stylu HTTPS a dosáhne interního hosta.

Doporučené postupy zabezpečení

  • Používejte platné, důvěryhodné TLS certifikáty z Let’s Encrypt nebo komerční CA.
  • Pro flotily preferujte certifikátovou nebo RADIUS autentizaci před sdílenými hesly.
  • Pokud je to možné, omezte povolené zdrojové IP na úrovni firewallu.
  • Udržujte RouterOS aktualizovaný kvůli moderním TLS knihovnám.
  • Deaktivujte staré verze SSL/TLS a slabé šifry.
  • Sledujte logy připojení a pravidelně rotujte přihlašovací údaje.

Viz naši příručku zabezpečení Winboxu a příručku zabezpečení device mode.

Alternativa: SSTP server na VPS

Hostujte SSTP hub na VPS místo MikroTiku, když chcete stabilní cloudovou agregaci. Windows Server má nativní podporu SSTP; SoftEther VPN na Linuxu je multi-protokolový a podporuje SSTP — funguje dobře jako protokolový most.

SSTP versus jiné VPN možnosti

ŘešeníPortBezpečnostKompatibilitaVýkonNejlepší pro
SSTPTCP 443Vysoká (TLS)MikroTik, WindowsStředníSítě s přísnými firewally
OpenVPNUDP 1194Vysoká (TLS)ŠirokáStředníStarší a smíšené flotily
WireGuardUDP 51820Velmi vysokáModerní zařízeníVysokýModerní sítě, vysoký výkon
Tailscale / ZeroTierdynamickýVelmi vysokáMulti-platformaVysokýRychlý mesh přístup, týmy

Kdy zvolit SSTP

Zvolte SSTP, když VPN musí projít firemními proxy nebo přísným NAT, když záleží na integraci s Windows klientem, nebo když je port 443 jediný spolehlivě otevřený odchozí port. Pokud je důležitější surová rychlost, WireGuard je lepší volba — viz náš WireGuard tutoriál.

Další krok

SSTP je správná pragmatická volba pro těžko dostupné sítě — využívá HTTPS, aby zůstal připojen tam, kde jiné VPN selhávají, a několik příkazů RouterOS nastaví spolehlivý vzdálený přístup.

Pokud konfigurace certifikátů a tunelů pro každé zařízení působí jako rutinní práce ve flotile, NATCloud od MKController nabízí centralizovaný vzdálený přístup a monitoring bez správy PKI na zařízení.

Začněte bezplatnou zkušební verzi MKController