Skip to content
Blog

Διαχείριση Mikrotik με SSTP

Περίληψη
Το SSTP τούνελ VPN κίνηση μέσα σε HTTPS (θύρα 443), επιτρέποντας απομακρυσμένη πρόσβαση σε MikroTik ακόμα και πίσω από αυστηρά firewalls και proxies. Αυτός ο οδηγός δείχνει ρύθμιση server και client, παραδείγματα NAT, συμβουλές ασφαλείας και πότε το SSTP είναι η κατάλληλη επιλογή.

Απομακρυσμένη Διαχείριση MikroTik με SSTP

Το SSTP (Secure Socket Tunneling Protocol) κρύβει ένα VPN μέσα σε HTTPS.

Λειτουργεί στη θύρα 443 και συγχωνεύεται με την κανονική κίνηση web.

Αυτό το καθιστά ιδανικό όταν τα δίκτυα μπλοκάρουν τις παραδοσιακές θύρες VPN.

Αυτό το άρθρο προσφέρει μια συνοπτική, πρακτική συνταγή για SSTP στο MikroTik RouterOS.

Τι είναι το SSTP;

Το SSTP τούνελ το PPP (Point-to-Point Protocol) μέσα σε μια συνεδρία TLS/HTTPS.

Χρησιμοποιεί TLS για κρυπτογράφηση και πιστοποίηση.

Από την πλευρά του δικτύου, το SSTP είναι σχεδόν αδιάκριτο από το απλό HTTPS.

Γι’ αυτό περνάει με άνεση μέσα από εταιρικούς proxies και CGNAT.

Πώς λειτουργεί το SSTP — σύντομη ροή

  1. Ο πελάτης ανοίγει σύνδεση TLS (HTTPS) στον server στη θύρα 443.
  2. Ο server αποδεικνύει το πιστοποιητικό TLS του.
  3. Μια συνεδρία PPP δημιουργείται μέσα στο τούνελ TLS.
  4. Η κίνηση κρυπτογραφείται από άκρο σε άκρο (AES-256 όταν είναι ρυθμισμένο).

Απλό. Αξιόπιστο. Δύσκολο να μπλοκαριστεί.

Σημείωση: Επειδή το SSTP χρησιμοποιεί HTTPS, πολλά περιοριστικά δίκτυα το επιτρέπουν ενώ μπλοκάρουν άλλα VPN.

Πλεονεκτήματα και περιορισμοί

Πλεονεκτήματα

  • Λειτουργεί σχεδόν παντού — ακόμα και πίσω από firewalls και proxies.
  • Χρησιμοποιεί θύρα 443 (HTTPS), που συνήθως είναι ανοιχτή.
  • Ισχυρή κρυπτογράφηση TLS (με σύγχρονα RouterOS/TLS setups).
  • Ενσωματωμένη υποστήριξη σε Windows και RouterOS.
  • Ευέλικτη πιστοποίηση: username/password, πιστοποιητικά ή RADIUS.

Περιορισμοί

  • Μεγαλύτερη χρήση CPU από ελαφριά VPN (λόγω overhead TLS).
  • Συνήθως χαμηλότερη απόδοση από WireGuard.
  • Απαιτεί έγκυρο SSL πιστοποιητικό για καλύτερα αποτελέσματα.

Προειδοποίηση: Παλαιότερες εκδόσεις TLS/SSL είναι ανασφαλείς. Κρατάτε RouterOS ενημερωμένο και απενεργοποιήστε παλιές εκδόσεις.

Server: Ρύθμιση SSTP στο MikroTik

Παρακάτω οι ελάχιστες εντολές RouterOS για δημιουργία SSTP server.

  1. Δημιουργήστε ή εισάγετε ένα πιστοποιητικό
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. Δημιουργήστε προφίλ PPP
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. Προσθέστε χρήστη (secret)
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. Ενεργοποιήστε τον SSTP server
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Τώρα ο router ακούει στη θύρα 443 και δέχεται SSTP συνδέσεις.

Συμβουλή: Χρησιμοποιήστε πιστοποιητικό από Let’s Encrypt ή CA — self-signed είναι κατάλληλα μόνο για δοκιμές και προκαλούν προειδοποιήσεις client.

Client: Ρύθμιση SSTP σε απομακρυσμένο MikroTik

Στη συσκευή client προσθέστε SSTP πελάτη για σύνδεση στο hub.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Αναμενόμενη έξοδος κατάστασης:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Σημείωση: Η γραμμή encoding δείχνει τον συμφωνημένο κώδικα. Νεότερες εκδόσεις RouterOS υποστηρίζουν ισχυρότερους κώδικες — ελέγξτε τις σημειώσεις έκδοσης.

Πρόσβαση σε εσωτερικό host μέσω τούνελ

Για να φτάσετε συσκευή πίσω από το απομακρυσμένο MikroTik (π.χ. 192.168.88.100), χρησιμοποιήστε dst-nat και port mapping.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Από το hub ή client, προσπελάστε τη συσκευή μέσω SSTP τούνελ στη θύρα που έγινε mapping:

https://vpn.yourdomain.com:8081

Η κίνηση περνάει μέσω τούνελ HTTPS και φτάνει στην εσωτερική συσκευή.

Ασφάλεια και βέλτιστες πρακτικές

  • Χρησιμοποιήστε έγκυρα, αξιόπιστα TLS πιστοποιητικά.
  • Προτιμήστε πιστοποίηση με πιστοποιητικό ή RADIUS αντί για απλά passwords.
  • Περιορίστε τις επιτρεπτές IP πηγές όπου είναι δυνατόν.
  • Κρατάτε RouterOS ενημερωμένο με σύγχρονα TLS stacks.
  • Απενεργοποιήστε παλιές SSL/TLS εκδόσεις και αδύναμους κώδικες.
  • Παρακολουθείτε logs συνδέσεων και αλλάζετε credentials περιοδικά.

Συμβουλή: Η πιστοποίηση με πιστοποιητικό είναι πιο διαχειρίσιμη και ασφαλής από κοινόχρηστους κωδικούς.

Εναλλακτική: SSTP server σε VPS

Μπορείτε να τρέξετε SSTP hub σε VPS αντί για MikroTik.

Επιλογές:

  • Windows Server (έχει native υποστήριξη SSTP).
  • SoftEther VPN (πολυπρωτοκολλικό, υποστηρίζει SSTP σε Linux).

Το SoftEther είναι χρήσιμο ως γέφυρα πρωτοκόλλου, επιτρέποντας σε MikroTik και Windows clients να συνδεθούν στο ίδιο hub χωρίς δημόσια IP σε κάθε τοποθεσία.

Γρήγορη σύγκριση

ΛύσηΘύραΑσφάλειαΣυμβατότηταΑπόδοσηΚατάλληλο για
SSTP443Υψηλή (TLS)MikroTik, WindowsΜέτριαΔίκτυα με αυστηρά firewalls
OpenVPN1194/UDPΥψηλή (TLS)Ευρύ φάσμαΜέτριαΠαλιές ή μικτές υποδομές
WireGuard51820/UDPΠολύ υψηλήΣύγχρονες συσκευέςΥψηλήΣύγχρονα δίκτυα, υψηλή απόδοση
Tailscale/ZeroTierδυναμικήΠολύ υψηλήΠλατφόρμες κοινέςΥψηλήΓρήγορη mesh πρόσβαση, ομάδες

Πότε να επιλέξετε SSTP

Επιλέξτε SSTP αν χρειάζεστε VPN που:

  • Πρέπει να δουλεύει μέσω εταιρικών proxies ή αυστηρού NAT.
  • Να ενσωματώνεται εύκολα με Windows clients.
  • Να χρησιμοποιεί θύρα 443 για αποφυγή μπλοκαρίσματος.

Αν προτιμάτε ταχύτητα και χαμηλή κατανάλωση CPU, προτιμήστε WireGuard.

Πώς βοηθά το MKController: Αν η ρύθμιση πιστοποιητικών και τούνελ είναι κόπος, το MKController NATCloud προσφέρει κεντρική απομακρυσμένη πρόσβαση και παρακολούθηση — καθόλου χειροκίνητο PKI ανά συσκευή και εύκολη ένταξη.

Συμπέρασμα

Το SSTP είναι μια πρακτική επιλογή για δίκτυα δύσκολα στην πρόσβαση.

Εκμεταλλεύεται το HTTPS για σταθερή σύνδεση όπου άλλα VPN αποτυγχάνουν.

Με λίγες εντολές RouterOS μπορείτε να ρυθμίσετε αξιόπιστη απομακρυσμένη πρόσβαση για υποκαταστήματα, servers και χρήστες.

Σχετικά με το MKController

Ελπίζουμε οι παραπάνω πληροφορίες να σας βοήθησαν να κατανοήσετε καλύτερα το MikroTik και τον κόσμο του Internet! 🚀
Είτε ρυθμίζετε παραμέτρους, είτε προσπαθείτε να φέρετε τάξη στο χάος του δικτύου, το MKController είναι εδώ για να απλοποιήσει τη ζωή σας.

Με κεντρική διαχείριση cloud, αυτόματες ενημερώσεις ασφαλείας και πίνακα ελέγχου που μπορεί ο καθένας να χειριστεί, διαθέτουμε τα εργαλεία για να αναβαθμίσετε την λειτουργία σας.

👉 Ξεκινήστε δοκιμή 3 ημερών δωρεάν τώρα στο mkcontroller.com — και δείτε πώς είναι ο πραγματικός έλεγχος δικτύων χωρίς κόπο.