SSTP απομακρυσμένη διαχείριση MikroTik

Summary Το SSTP (Secure Socket Tunneling Protocol) τυλίγει το PPP μέσα σε μια συνεδρία TLS στη θύρα TCP 443, κάνοντας το τούνελ μη διακριτό από κανονική κίνηση HTTPS για τείχη προστασίας, proxy και επίπεδα CGNAT. Το RouterOS περιλαμβάνει πλήρη server και client SSTP. Αυτός ο οδηγός περιγράφει την ελάχιστη ρύθμιση server με πέντε εντολές, τη ρύθμιση client σε απομακρυσμένο MikroTik, NAT για πρόσβαση σε LAN hosts και τη λίστα ελέγχου ασφαλείας.

Πώς λειτουργεί το SSTP για απομακρυσμένη διαχείριση MikroTik;

Το SSTP είναι ένα πρωτόκολλο που γεφυρώνει το PPP μέσα σε μια συνεδρία TLS/HTTPS στη θύρα TCP 443. Από την οπτική του δικτύου, η κίνηση είναι αδιάκριτη από οποιαδήποτε άλλη σύνδεση HTTPS — γι’ αυτό ακριβώς το SSTP περνά μέσα από εταιρικά proxy, captive portals, ξενοδοχειακά Wi-Fi και επίπεδα CGNAT που μπλοκάρουν VPN βασισμένα σε UDP. Ο client ανοίγει TLS προς τον server στη 443, ο server παρουσιάζει το πιστοποιητικό του, εγκαθίσταται μια συνεδρία PPP μέσα στο τούνελ TLS και η κίνηση ρέει κρυπτογραφημένη από άκρο σε άκρο.

Για στόλους MikroTik, το SSTP είναι η σωστή επιλογή όταν ο χώρος του πελάτη βρίσκεται πίσω από κάτι που μπλοκάρει κάθε άλλο VPN. Δείτε τον οδηγό WireGuard και τον οδηγό διαχείρισης μέσω VPS.

Πλεονεκτήματα και περιορισμοί

Πλεονεκτήματα: λειτουργεί μέσω περιοριστικών τειχών και proxy· χρησιμοποιεί τη θύρα 443, σχεδόν παγκοσμίως ανοιχτή· ισχυρή κρυπτογράφηση TLS σε σύγχρονο RouterOS· εγγενής υποστήριξη στα Windows· ευέλικτη ταυτοποίηση (όνομα χρήστη/κωδικός, πιστοποιητικά ή RADIUS).

Περιορισμοί: υψηλότερο CPU από ελαφριά VPN λόγω του overhead TLS· ρυθμαπόδοση συνήθως χαμηλότερη από WireGuard· απαιτεί έγκυρο πιστοποιητικό SSL για αξιόπιστη συμπεριφορά client. Διατηρείτε το RouterOS ενημερωμένο και απενεργοποιήστε παλιές εκδόσεις TLS.

Βήμα 1: Δημιουργήστε ή εισάγετε το πιστοποιητικό TLS

Χρησιμοποιήστε Let’s Encrypt ή εμπορική CA για παραγωγή. Αυτο-υπογεγραμμένο λειτουργεί για δοκιμές εργαστηρίου, αλλά προκαλεί προειδοποιήσεις client:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

Το common-name πρέπει να ταιριάζει με το όνομα του host που θα χρησιμοποιήσουν οι clients για σύνδεση.

Βήμα 2: Δημιουργήστε προφίλ PPP

Το προφίλ ορίζει τις IP πλευράς server και client που θα χρησιμοποιήσει το τούνελ:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Βήμα 3: Προσθέστε ένα PPP secret

Το secret είναι το διαπιστευτήριο ανά χρήστη. Χρησιμοποιήστε μακριούς κωδικούς ή μεταφερθείτε σε ταυτοποίηση πιστοποιητικού για μεγαλύτερους στόλους:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Βήμα 4: Ενεργοποιήστε τον SSTP server

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Ο router τώρα ακούει στη θύρα 443 και δέχεται συνδέσεις SSTP.

Βήμα 5: Ρυθμίστε τον SSTP client στο απομακρυσμένο MikroTik

Στην απομακρυσμένη συσκευή:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Αναμενόμενη κατάσταση:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Η γραμμή encoding δείχνει τον διαπραγματευμένο cipher. Σύγχρονες εκδόσεις RouterOS υποστηρίζουν ισχυρότερους ciphers — επαληθεύστε τις προεπιλογές της έκδοσής σας.

Πρόσβαση σε εσωτερικό host μέσω του τούνελ

Για πρόσβαση σε συσκευή πίσω από το απομακρυσμένο MikroTik (π.χ. 192.168.88.100), χρησιμοποιήστε dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Προσπελάστε τη συσκευή μέσω του endpoint του τούνελ SSTP συν τη χαρτογραφημένη θύρα:

https://vpn.yourdomain.com:8081

Η κίνηση ρέει μέσω του τούνελ τύπου HTTPS και φτάνει στον εσωτερικό host.

Βέλτιστες πρακτικές ασφαλείας

• Χρησιμοποιήστε έγκυρα, αξιόπιστα πιστοποιητικά TLS από Let’s Encrypt ή εμπορική CA.
• Προτιμήστε ταυτοποίηση με πιστοποιητικό ή RADIUS αντί κοινών κωδικών για στόλους.
• Περιορίστε τις επιτρεπτές IP προέλευσης στο επίπεδο τείχους όπου είναι δυνατό.
• Διατηρείτε το RouterOS ενημερωμένο για σύγχρονα TLS stacks.
• Απενεργοποιήστε παλιές εκδόσεις SSL/TLS και αδύναμους ciphers.
• Παρακολουθήστε αρχεία καταγραφής συνδέσεων και εναλλάσσετε διαπιστευτήρια περιοδικά.

Δείτε τον οδηγό ασφαλείας Winbox και τον οδηγό ασφαλείας device mode.

Εναλλακτική: SSTP server σε VPS

Φιλοξενήστε τον hub SSTP σε VPS αντί για MikroTik όταν θέλετε σταθερή cloud-side συσσώρευση. Ο Windows Server έχει εγγενή υποστήριξη SSTP· το SoftEther VPN σε Linux είναι πολυ-πρωτοκόλλου και υποστηρίζει SSTP — λειτουργεί καλά ως γέφυρα πρωτοκόλλων.

SSTP έναντι άλλων επιλογών VPN

Πότε να επιλέξετε SSTP

Επιλέξτε SSTP όταν το VPN πρέπει να διασχίσει εταιρικά proxy ή αυστηρό NAT, όταν η ενσωμάτωση client Windows έχει σημασία ή όταν η θύρα 443 είναι η μόνη αξιόπιστα ανοιχτή εξερχόμενη θύρα. Αν η ωμή ταχύτητα έχει μεγαλύτερη σημασία, το WireGuard είναι καλύτερη προεπιλογή — δείτε το WireGuard tutorial.

Επόμενο βήμα

Το SSTP είναι η σωστή πραγματιστική επιλογή για δίκτυα δύσκολης πρόσβασης — αξιοποιεί HTTPS για να παραμείνει συνδεδεμένο όπου άλλα VPN αποτυγχάνουν, και λίγες εντολές RouterOS ρυθμίζουν αξιόπιστη απομακρυσμένη πρόσβαση.

Αν η ρύθμιση πιστοποιητικών και τούνελ ανά συσκευή φαίνεται φόρτος εργασίας σε κλίμακα στόλου, το NATCloud της MKController προσφέρει κεντρική απομακρυσμένη πρόσβαση και παρακολούθηση χωρίς διαχείριση PKI ανά συσκευή.

Ξεκινήστε τη δωρεάν δοκιμή MKController