Zum Inhalt springen
Blog

Verwaltung Ihres Mikrotik mit SSTP effektiv nutzen

Zusammenfassung
SSTP tunnelt VPN-Verkehr innerhalb von HTTPS (Port 443), was den Fernzugriff auf MikroTik selbst hinter strengen Firewalls oder Proxys ermöglicht. Diese Anleitung zeigt Server- und Client-Setup in RouterOS, NAT-Beispiele, Sicherheitstipps und wann SSTP die beste Wahl ist.

Fernverwaltung von MikroTik mit SSTP

SSTP (Secure Socket Tunneling Protocol) verbirgt ein VPN innerhalb von HTTPS.

Es läuft über Port 443 und fügt sich nahtlos in Webverkehr ein.

Damit ist es ideal, wenn Netzwerke herkömmliche VPN-Ports blockieren.

Dieser Beitrag bietet ein kompaktes, praxisnahes SSTP-Rezept für MikroTik RouterOS.

Was ist SSTP?

SSTP tunnelt PPP (Point-to-Point Protocol) innerhalb einer TLS/HTTPS-Sitzung.

Es verwendet TLS zur Verschlüsselung und Authentifizierung.

Aus Netzwerksicht ist SSTP kaum von normalem HTTPS zu unterscheiden.

Deshalb passiert es problemlos Firmenproxies und CGNAT.

Wie SSTP funktioniert — kurze Ablauflogik

  1. Der Client öffnet eine TLS (HTTPS) Verbindung zum Server auf Port 443.
  2. Der Server bestätigt sein TLS-Zertifikat.
  3. Eine PPP-Sitzung wird innerhalb des TLS-Tunnels aufgebaut.
  4. Datenverkehr wird Ende-zu-Ende verschlüsselt (AES-256 bei richtiger Konfiguration).

Einfach. Zuverlässig. Schwer zu blockieren.

Hinweis: Da SSTP HTTPS verwendet, erlauben viele restriktive Netzwerke diese Verbindung, während andere VPNs blockiert werden.

Vorteile und Einschränkungen

Vorteile

  • Funktioniert nahezu überall — inkl. Firewalls und Proxies.
  • Nutzt Port 443 (HTTPS), der meist offen ist.
  • Starke TLS-Verschlüsselung (bei modernen RouterOS/TLS-Einstellungen).
  • Native Unterstützung in Windows und RouterOS.
  • Flexible Authentifizierung: Nutzer/Passwort, Zertifikate oder RADIUS.

Einschränkungen

  • Höherer CPU-Verbrauch als leichte VPNs (TLS-Overhead).
  • Performance meist geringer als bei WireGuard.
  • Für beste Ergebnisse ist ein gültiges SSL-Zertifikat erforderlich.

Warnung: Ältere TLS/SSL-Versionen sind unsicher. Halten Sie RouterOS aktuell und deaktivieren Sie alte TLS/SSL-Protokolle.

Server: SSTP auf MikroTik konfigurieren

Nachfolgend die minimalen RouterOS-Befehle, um einen SSTP-Server einzurichten.

  1. Zertifikat erstellen oder importieren
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. PPP-Profil erstellen
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. Benutzer (Secret) hinzufügen
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. SSTP-Server aktivieren
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Jetzt lauscht der Router auf Port 443 und akzeptiert SSTP-Verbindungen.

Tipp: Verwenden Sie ein Zertifikat von Let’s Encrypt oder Ihrer CA — selbstsignierte Zertifikate sind für Tests geeignet, führen aber zu Client-Warnungen.

Client: SSTP auf entferntem MikroTik konfigurieren

Auf dem entfernten Gerät fügen Sie einen SSTP-Client hinzu, der sich mit dem Hub verbindet.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Erwartete Statusanzeige:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Hinweis: Die Zeile „encoding“ zeigt den ausgehandelten Verschlüsselungsalgorithmus. Moderne RouterOS-Versionen nutzen stärkere Cipher — prüfen Sie Ihre Release-Notes.

Zugriff auf internen Host durch den Tunnel

Wenn Sie ein Gerät hinter dem entfernten MikroTik erreichen wollen (z. B. 192.168.88.100), verwenden Sie dst-nat und Portweiterleitung.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Vom Hub oder Client aus können Sie das Gerät über den SSTP-Tunnel-Endpunkt und den weitergeleiteten Port erreichen:

https://vpn.yourdomain.com:8081

Der Datenverkehr wird durch den HTTPS-Tunnel geleitet und erreicht den internen Host.

Sicherheit und bewährte Methoden

  • Verwenden Sie gültige, vertrauenswürdige TLS-Zertifikate.
  • Bevorzugen Sie Zertifikats- oder RADIUS-Authentifizierung gegenüber einfachen Passwörtern.
  • Beschränken Sie erlaubte Quell-IP-Adressen, wenn möglich.
  • Halten Sie RouterOS aktuell für moderne TLS-Stacks.
  • Deaktivieren Sie alte SSL/TLS-Versionen und schwache Cipher.
  • Überwachen Sie Verbindungsprotokolle und wechseln Sie Zugangsdaten regelmäßig.

Tipp: Für viele Geräte ist die Authentifizierung per Zertifikat sicherer und leichter zu verwalten als geteilte Passwörter.

Alternative: SSTP-Server auf einem VPS

Sie können einen SSTP-Hub auch auf einem VPS statt auf MikroTik betreiben.

Optionen:

  • Windows Server (native SSTP-Unterstützung).
  • SoftEther VPN (Multi-Protokoll, unterstützt SSTP auf Linux).

SoftEther ist praktisch als Protokoll-Bridge. So können MikroTik und Windows-Clients denselben Hub nutzen, auch ohne öffentliche IPs an jedem Standort.

Kurzer Vergleich

LösungPortSicherheitKompatibilitätLeistungIdeal für
SSTP443Hoch (TLS)MikroTik, WindowsMittelNetzwerke mit strengen Firewalls
OpenVPN1194/UDPHoch (TLS)Weit verbreitetMittelLegacy- oder gemischte Umgebungen
WireGuard51820/UDPSehr hochModerne GeräteHochModerne Netzwerke, hohe Performance
Tailscale/ZeroTierdynamischSehr hochPlattformübergreifendHochSchneller Mesh-Zugang, Teams

Wann SSTP wählen?

Wählen Sie SSTP, wenn Sie ein VPN brauchen, das:

  • Durch Firmenproxies oder strenges NAT funktionieren muss.
  • Sich leicht in Windows-Clients integrieren lässt.
  • Port 443 nutzen soll, um Portblockaden zu umgehen.

Wenn Geschwindigkeit und niedrige CPU-Last wichtig sind, bevorzugen Sie WireGuard.

Wie MKController hilft: Wenn Zertifikats- und Tunnelkonfiguration lästig sind, bietet MKController’s NATCloud zentralisierten Fernzugriff und Monitoring – ohne manuelles PKI pro Gerät und mit vereinfachtem Onboarding.

Fazit

SSTP ist eine pragmatische Lösung für schwer erreichbare Netzwerke.

Es nutzt HTTPS, um zuverlässig verbunden zu bleiben, wo andere VPNs scheitern.

Mit wenigen RouterOS-Befehlen richten Sie verlässlichen Fernzugriff für Zweigstellen, Server und Nutzergeräte ein.

Über MKController

Wir hoffen, die oben genannten Einblicke helfen Ihnen, Ihr MikroTik- und Internet-Universum besser zu navigieren! 🚀
Ob Feintuning oder Ordnung im Netzwerkchaos, MKController macht Ihr Leben einfacher.

Mit zentralisierter Cloud-Verwaltung, automatischen Sicherheitsupdates und einem Dashboard, das jeder beherrscht, bieten wir das, was Ihr Betrieb braucht.

👉 Starten Sie jetzt Ihre kostenlose 3-Tage-Testversion auf mkcontroller.com — und erleben Sie mühelose Netzwerkkontrolle.