Gå til indhold
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP fjernstyring af MikroTik

Konfigurer SSTP på MikroTik for at tunnelere VPN-trafik inde i HTTPS på port 443 — passerer strenge firewalls, CGNAT og virksomhedsproxyer.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) pakker PPP ind i en TLS-session på TCP-port 443, så tunnelen ser ud til at være den samme som normal HTTPS-trafik for firewalls, proxyer og CGNAT-lag. RouterOS leveres med en komplet SSTP-server og -klient. Denne guide gennemgår den minimale fem-kommando-serveropsætning, den tilsvarende klientkonfiguration på en fjern MikroTik, NAT for at nå LAN-værter via tunnelen og sikkerhedstjeklisten.

Hvordan virker SSTP til MikroTik-fjernstyring?

SSTP er en protokol, der tunnelerer PPP inde i en TLS/HTTPS-session på TCP-port 443. Fra netværkets perspektiv kan trafikken ikke skelnes fra enhver anden HTTPS-forbindelse — hvilket er præcis grunden til, at SSTP passerer gennem virksomhedsproxyer, captive portaler, hotel-Wi-Fi og CGNAT-lag, der blokerer UDP-baserede VPN’er. Klienten åbner TLS til serveren på 443, serveren præsenterer sit certifikat, der etableres en PPP-session inde i TLS-tunnelen, og trafikken flyder krypteret end-to-end.

For MikroTik-flåder er SSTP det rigtige valg, når kundestedet sidder bag noget, der blokerer alle andre VPN’er. Se vores WireGuard-guide og VPS-baserede styringsguide.

Fordele og begrænsninger

Styrker: virker gennem restriktive firewalls og proxyer; bruger port 443, der næsten altid er åben; stærk TLS-kryptering i moderne RouterOS; native understøttelse i Windows; fleksibel godkendelse (brugernavn/adgangskode, certifikater eller RADIUS).

Begrænsninger: højere CPU-forbrug end lette VPN’er pga. TLS-overhead; gennemstrømning typisk lavere end WireGuard; kræver gyldigt SSL-certifikat for pålidelig klientadfærd. Hold RouterOS opdateret og deaktiver gamle TLS-versioner.

Trin 1: Opret eller importer TLS-certifikatet

Brug Let’s Encrypt eller en kommerciel CA til produktion. Selv-signeret virker til lab-tests, men giver klientadvarsler:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name skal matche det værtsnavn, klienter vil bruge til at oprette forbindelse.

Trin 2: Opret en PPP-profil

Profilen definerer server- og klientside-IP’erne, som tunnelen vil bruge:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Trin 3: Tilføj en PPP-secret

Secret er pr.-bruger-legitimationsoplysningen. Brug lange adgangskoder eller migrer til certifikatgodkendelse for større flåder:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Trin 4: Aktiver SSTP-serveren

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Routeren lytter nu på port 443 og accepterer SSTP-forbindelser.

Trin 5: Konfigurer SSTP-klienten på den fjerne MikroTik

På den fjerne enhed:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Forventet status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

encoding-linjen viser den forhandlede chiffer. Moderne RouterOS-versioner understøtter stærkere chiffer — verificér din udgaves standarder.

Nå en intern vært gennem tunnelen

For at nå en enhed bag den fjerne MikroTik (f.eks. 192.168.88.100), brug dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Adgang til enheden via SSTP-tunnelens slutpunkt plus den mappede port:

https://vpn.yourdomain.com:8081

Trafikken flyder gennem den HTTPS-stil tunnel og når den interne vært.

Bedste sikkerhedspraksis

  • Brug gyldige, betroede TLS-certifikater fra Let’s Encrypt eller en kommerciel CA.
  • Foretræk certifikat- eller RADIUS-godkendelse frem for delte adgangskoder for flåder.
  • Begræns tilladte kilde-IP’er på firewall-niveau, hvor det er muligt.
  • Hold RouterOS opdateret for moderne TLS-stakke.
  • Deaktiver gamle SSL/TLS-versioner og svage chiffer.
  • Overvåg forbindelseslogs og roter legitimationsoplysninger periodisk.

Se vores Winbox-sikkerhedsguide og device mode sikkerhedsguide.

Alternativ: SSTP-server på en VPS

Hostsæt SSTP-hubben på en VPS i stedet for en MikroTik, når du vil have stabil aggregering i skyen. Windows Server har native SSTP-understøttelse; SoftEther VPN på Linux er multi-protokol og understøtter SSTP — fungerer godt som protokol-bro.

SSTP vs. andre VPN-muligheder

LøsningPortSikkerhedKompatibilitetYdelseBedst til
SSTPTCP 443Høj (TLS)MikroTik, WindowsMiddelNetværk med strenge firewalls
OpenVPNUDP 1194Høj (TLS)BredMiddelÆldre og blandede flåder
WireGuardUDP 51820Meget højModerne enhederHøjModerne netværk, høj ydelse
Tailscale / ZeroTierdynamiskMeget højMulti-platformHøjHurtig mesh-adgang, teams

Hvornår skal du vælge SSTP

Vælg SSTP, når VPN skal krydse virksomhedsproxyer eller streng NAT, når Windows-klientintegration betyder noget, eller når port 443 er den eneste pålideligt åbne udgående port. Hvis rå hastighed er vigtigere, er WireGuard det bedre standardvalg — se vores WireGuard-tutorial.

Næste skridt

SSTP er det rigtige pragmatiske valg for svært tilgængelige netværk — det bruger HTTPS til at forblive forbundet, hvor andre VPN’er fejler, og få RouterOS-kommandoer opsætter pålidelig fjernadgang.

Hvis konfiguration af certifikater og tunneler pr. enhed føles som travlt arbejde i flådeomfang, tilbyder MKControllers NATCloud centraliseret fjernadgang og overvågning uden PKI-administration pr. enhed.

Start din gratis MKController-prøveperiode