Styring af din Mikrotik med SSTP

Resumé
SSTP tunneler VPN-trafik inden i HTTPS (port 443), hvilket gør fjernadgang til MikroTik mulig selv bag strenge firewalls og proxies. Denne guide viser opsætning af RouterOS server og klient, NAT-eksempler, sikkerhedstips og hvornår SSTP er det rette valg.

Fjernstyring af MikroTik med SSTP

SSTP (Secure Socket Tunneling Protocol) skjuler en VPN inde i HTTPS.

Det fungerer over port 443 og blandes med almindelig webtrafik.

Det gør det ideelt, når netværk blokerer traditionelle VPN-porte.

Dette indlæg giver en kort, praktisk SSTP-opskrift til MikroTik RouterOS.

Hvad er SSTP?

SSTP tunneler PPP (Point-to-Point Protocol) inden i en TLS/HTTPS-session.

Det bruger TLS til kryptering og godkendelse.

Fra netværkets synspunkt er SSTP næsten umuligt at skelne fra normal HTTPS.

Derfor passerer det nemt gennem virksomhedes proxies og CGNAT.

Sådan fungerer SSTP — hurtig flow

1. Klienten åbner en TLS (HTTPS) forbindelse til serveren på port 443.
2. Serveren bekræfter sit TLS-certifikat.
3. En PPP-session etableres inden i TLS-tunnelen.
4. Trafikken krypteres ende-til-ende (AES-256 når det er konfigureret).

Simpelt. Pålideligt. Svært at blokere.

Bemærk: Fordi SSTP bruger HTTPS, vil mange restriktive netværk tillade det, mens de blokerer andre VPN’er.

Fordele og begrænsninger

Fordele

• Virker næsten overalt — inklusiv firewalls og proxies.
• Bruger port 443 (HTTPS), som normalt er åben.
• Stærk TLS-kryptering (med moderne RouterOS/TLS indstillinger).
• Indbygget support i Windows og RouterOS.
• Fleksibel autentifikation: brugernavn/adgangskode, certifikater eller RADIUS.

Begrænsninger

• Højere CPU-forbrug end letvægts-VPN’er (TLS-overhead).
• Ydeevnen er som regel lavere end WireGuard.
• Kræver et gyldigt SSL-certifikat for bedste resultater.

Advarsel: Ældre TLS/SSL-versioner er usikre. Hold RouterOS opdateret og deaktiver gamle TLS/SSL.

Server: Konfigurer SSTP på en MikroTik

Nedenfor er de minimale RouterOS-kommandoer til at oprette en SSTP-server.

1. Opret eller importer et certifikat

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Opret en PPP-profil

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Tilføj en bruger (hemmelighed)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Aktiver SSTP-serveren

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Nu lytter routeren på port 443 og accepterer SSTP-forbindelser.

Tip: Brug et certifikat fra Let’s Encrypt eller din egen CA — selvsignerede certifikater fungerer til laboratorietests, men giver klientadvarsler.

Klient: Konfigurer SSTP på en fjern-MikroTik

På den fjernede enhed, tilføj en SSTP-klient for at forbinde tilbage til hubben.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Forventet statusoutput:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Bemærk: Encoding-linjen viser den forhandlede kryptering. Moderne RouterOS-versioner understøtter stærkere krypteringer — tjek dine release notes.

Få adgang til en intern vært gennem tunnelen

Hvis du skal nå en enhed bag den fjernede MikroTik (f.eks. 192.168.88.100), brug dst-nat og port mapping.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Fra hubben eller en klient, tilgå enheden via SSTP tunnelens slutpunkt og den mappede port:

https://vpn.yourdomain.com:8081

Trafikken går gennem HTTPS-tunnelen og når den interne vært.

Sikkerhed og bedste praksis

• Brug gyldige, betroede TLS-certifikater.
• Foretræk certifikat- eller RADIUS-autentifikation frem for almindelige adgangskoder.
• Begræns tilladte kilde-IP’er, når muligt.
• Hold RouterOS opdateret for moderne TLS-implementeringer.
• Deaktiver gamle SSL/TLS-versioner og svage krypteringer.
• Overvåg forbindelseslogs og skift legitimationsoplysninger regelmæssigt.

Tip: For mange enheder er certifikatbaseret autentifikation nemmere at håndtere og mere sikkert end delte adgangskoder.

Alternativ: SSTP-server på en VPS

Du kan hoste en SSTP-hub på en VPS i stedet for en MikroTik.

Valgmuligheder:

• Windows Server (indbygget SSTP-support).
• SoftEther VPN (multi-protokol, understøtter SSTP på Linux).

SoftEther er praktisk som protokolbro. Det giver MikroTik og Windows-klienter mulighed for at kommunikere med samme hub uden offentlige IP’er på hvert sted.

Hurtig sammenligning

Hvornår vælge SSTP

Vælg SSTP når du har brug for en VPN, der:

• Skal fungere gennem virksomhedsproxies eller streng NAT.
• Skal integreres nemt med Windows-klienter.
• Skal bruge port 443 for at undgå portblokering.

Hvis du prioriterer rå hastighed og lavt CPU-forbrug, bør du overveje WireGuard i stedet.

Hvor MKController hjælper: Hvis certifikat- og tunnelopsætning føles som besværligt arbejde, tilbyder MKController’s NATCloud centraliseret fjernadgang og overvågning — ingen manuel PKI pr. enhed og nem onboarding.

Konklusion

SSTP er et praktisk valg til sværttilgængelige netværk.

Det bruger HTTPS til at holde forbindelsen, hvor andre VPN’er fejler.

Med få RouterOS-kommandoer kan du opsætte pålidelig fjernadgang til filialer, servere og bruger-enheder.

Om MKController

Vi håber, at ovenstående insights har hjulpet dig med at navigere bedre i dit MikroTik- og Internet-univers! 🚀
Uanset om du finjusterer konfigurationer eller blot prøver at skabe orden i netværkskaos, er MKController her for at gøre dit liv lettere.

Med centraliseret cloudstyring, automatiske sikkerhedsopdateringer og et dashboard, som alle kan håndtere, har vi, hvad der skal til for at optimere din drift.

👉 Start din gratis 3-dages prøveperiode nu på mkcontroller.com — og oplev hvad ubesværet netværkskontrol virkelig betyder.