SSTP-Fernverwaltung für MikroTik

Summary SSTP (Secure Socket Tunneling Protocol) verpackt PPP in eine TLS-Sitzung auf TCP-Port 443, sodass der Tunnel für Firewalls, Proxies und CGNAT-Schichten nicht von normalem HTTPS-Verkehr zu unterscheiden ist. RouterOS liefert einen vollständigen SSTP-Server und -Client. Diese Anleitung beschreibt die minimale Fünf-Befehl-Servereinrichtung, die passende Client-Konfiguration auf einem entfernten MikroTik, NAT für den Zugriff auf LAN-Hosts und die Sicherheits-Checkliste.

Wie funktioniert SSTP für die MikroTik-Fernverwaltung?

SSTP ist ein Protokoll, das PPP innerhalb einer TLS/HTTPS-Sitzung auf TCP-Port 443 tunnelt. Aus Sicht des Netzwerks ist der Verkehr nicht von jeder anderen HTTPS-Verbindung zu unterscheiden — genau deshalb durchquert SSTP Unternehmens-Proxies, Captive Portals, Hotel-WLAN und CGNAT-Schichten, die UDP-basierte VPNs blockieren. Der Client öffnet TLS zum Server auf 443, der Server präsentiert sein Zertifikat, eine PPP-Sitzung wird innerhalb des TLS-Tunnels aufgebaut, und der Verkehr fließt Ende-zu-Ende verschlüsselt.

Für MikroTik-Flotten ist SSTP die richtige Wahl, wenn der Kundenstandort hinter etwas sitzt, das jedes andere VPN blockiert. Siehe unseren WireGuard-Leitfaden und den VPS-basierten Verwaltungsleitfaden.

Vorteile und Einschränkungen

Stärken: funktioniert durch restriktive Firewalls und Proxies; nutzt Port 443, der nahezu universell offen ist; starke TLS-Verschlüsselung in modernem RouterOS; native Unterstützung in Windows; flexible Authentifizierung (Benutzername/Passwort, Zertifikate oder RADIUS).

Einschränkungen: höhere CPU-Last als leichte VPNs aufgrund des TLS-Overheads; Durchsatz typischerweise niedriger als WireGuard; benötigt ein gültiges SSL-Zertifikat für zuverlässiges Client-Verhalten. Halten Sie RouterOS aktuell und deaktivieren Sie alte TLS-Versionen.

Schritt 1: TLS-Zertifikat erstellen oder importieren

Verwenden Sie für die Produktion Let’s Encrypt oder eine kommerzielle CA. Selbstsigniert funktioniert für Labortests, verursacht jedoch Client-Warnungen:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

Der common-name muss mit dem Hostnamen übereinstimmen, den Clients für die Verbindung verwenden.

Schritt 2: PPP-Profil erstellen

Das Profil definiert die server- und clientseitigen IPs, die der Tunnel verwenden wird:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Schritt 3: PPP-Secret hinzufügen

Das Secret ist die Pro-Benutzer-Anmeldeinformation. Verwenden Sie lange Passwörter oder migrieren Sie für größere Flotten zur Zertifikatsauthentifizierung:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Schritt 4: SSTP-Server aktivieren

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Der Router lauscht nun auf Port 443 und akzeptiert SSTP-Verbindungen.

Schritt 5: SSTP-Client auf dem entfernten MikroTik konfigurieren

Auf dem entfernten Gerät:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Erwarteter Status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Die encoding-Zeile zeigt die ausgehandelte Chiffre. Moderne RouterOS-Versionen unterstützen stärkere Chiffren — überprüfen Sie die Standardwerte Ihrer Version.

Internen Host über den Tunnel erreichen

Um ein Gerät hinter dem entfernten MikroTik (z. B. 192.168.88.100) zu erreichen, verwenden Sie dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Greifen Sie über den SSTP-Tunnel-Endpunkt plus den zugeordneten Port auf das Gerät zu:

https://vpn.yourdomain.com:8081

Der Verkehr fließt durch den HTTPS-Stil-Tunnel und erreicht den internen Host.

Best Practices für die Sicherheit

• Verwenden Sie gültige, vertrauenswürdige TLS-Zertifikate von Let’s Encrypt oder einer kommerziellen CA.
• Bevorzugen Sie für Flotten die Zertifikats- oder RADIUS-Authentifizierung gegenüber geteilten Passwörtern.
• Beschränken Sie zulässige Quell-IPs auf Firewall-Ebene, wenn möglich.
• Halten Sie RouterOS für moderne TLS-Stacks aktuell.
• Deaktivieren Sie alte SSL/TLS-Versionen und schwache Chiffren.
• Überwachen Sie Verbindungsprotokolle und rotieren Sie Anmeldeinformationen regelmäßig.

Siehe unseren Winbox-Sicherheitsleitfaden und den Device-Mode-Sicherheitsleitfaden.

Alternative: SSTP-Server auf einem VPS

Hosten Sie den SSTP-Hub auf einem VPS anstelle eines MikroTik, wenn Sie stabile cloudseitige Aggregation wünschen. Windows Server hat native SSTP-Unterstützung; SoftEther VPN auf Linux ist multi-protokollfähig und unterstützt SSTP — funktioniert gut als Protokoll-Brücke.

SSTP versus andere VPN-Optionen

Wann SSTP wählen

Wählen Sie SSTP, wenn das VPN Unternehmens-Proxies oder strenges NAT durchqueren muss, wenn die Windows-Client-Integration wichtig ist oder wenn Port 443 der einzige zuverlässig offene ausgehende Port ist. Wenn rohe Geschwindigkeit wichtiger ist, ist WireGuard die bessere Standardwahl — siehe unser WireGuard-Tutorial.

Nächster Schritt

SSTP ist die richtige pragmatische Wahl für schwer erreichbare Netzwerke — es nutzt HTTPS, um verbunden zu bleiben, wo andere VPNs versagen, und wenige RouterOS-Befehle richten zuverlässigen Fernzugriff ein.

Wenn die Konfiguration von Zertifikaten und Tunneln pro Gerät in Flottengröße als Beschäftigung wirkt, bietet MKControllers NATCloud zentralisierten Fernzugriff und Überwachung ohne PKI-Verwaltung pro Gerät.

Starten Sie Ihre kostenlose MKController-Testversion