Gestiona tu MikroTik con SSTP de forma segura

Resumen
SSTP encapsula el tráfico VPN dentro de HTTPS (puerto 443), permitiendo acceso remoto a MikroTik incluso detrás de firewalls y proxies estrictos. Esta guía muestra cómo configurar servidor y cliente RouterOS, ejemplos de NAT, consejos de seguridad y cuándo SSTP es la mejor opción.

Gestión remota de MikroTik con SSTP

SSTP (Secure Socket Tunneling Protocol) oculta una VPN dentro de HTTPS.

Funciona sobre el puerto 443 y se mezcla con el tráfico web normal.

Esto lo hace ideal cuando las redes bloquean puertos VPN tradicionales.

Este artículo ofrece una receta práctica y breve para SSTP en MikroTik RouterOS.

¿Qué es SSTP?

SSTP encapsula PPP (Protocolo Punto a Punto) dentro de una sesión TLS/HTTPS.

Usa TLS para cifrado y autenticación.

Desde la red, SSTP es casi indistinguible del HTTPS normal.

Por ello, atraviesa proxys corporativos y CGNAT con facilidad.

Cómo funciona SSTP — flujo rápido

1. El cliente abre una conexión TLS (HTTPS) al servidor en el puerto 443.
2. El servidor presenta su certificado TLS.
3. Se establece sesión PPP dentro del túnel TLS.
4. El tráfico está cifrado de extremo a extremo (AES-256 cuando se configura).

Simple. Fiable. Difícil de bloquear.

Nota: Como SSTP usa HTTPS, muchas redes restrictivas lo permiten mientras bloquean otras VPN.

Ventajas y limitaciones

Ventajas

• Funciona casi en cualquier lugar, incluyendo firewalls y proxies.
• Usa puerto 443 (HTTPS), que suele estar abierto.
• Fuerte cifrado TLS (con configuraciones actuales de RouterOS/TLS).
• Soporte nativo en Windows y RouterOS.
• Autenticación flexible: usuario/clave, certificados o RADIUS.

Limitaciones

• Mayor uso de CPU comparado con VPNs ligeras (sobrecarga TLS).
• Normalmente rinde menos que WireGuard.
• Requiere certificado SSL válido para mejor rendimiento.

Advertencia: Versiones antiguas de TLS/SSL son inseguras. Mantén RouterOS actualizado y deshabilita TLS/SSL legados.

Servidor: Configurar SSTP en un MikroTik

A continuación, los comandos mínimos en RouterOS para crear un servidor SSTP.

1. Crear o importar un certificado

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Crear un perfil PPP

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Agregar un usuario (secreto)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Habilitar el servidor SSTP

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Ahora el router escucha en el puerto 443 y acepta conexiones SSTP.

Consejo: Usa un certificado de Let’s Encrypt o tu CA — los certificados auto-firmados solo para pruebas, causan advertencias en clientes.

Cliente: Configurar SSTP en un MikroTik remoto

En el equipo remoto, agrega un cliente SSTP para conectar al hub.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Salida de estado esperada:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Nota: La línea de codificación muestra el cifrado negociado. Las versiones modernas de RouterOS soportan cifrados más fuertes — revisa las notas de tu versión.

Acceder a un host interno a través del túnel

Si necesitas alcanzar un dispositivo detrás del MikroTik remoto (ejemplo 192.168.88.100), usa dst-nat y mapeo de puertos.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Desde el hub o cliente, accede al dispositivo vía el endpoint SSTP y puerto mapeado:

https://vpn.yourdomain.com:8081

El tráfico pasa a través del túnel HTTPS y llega al host interno.

Seguridad y buenas prácticas

• Usa certificados TLS válidos y confiables.
• Prefiere autenticación con certificados o RADIUS en vez de solo usuario/clave.
• Restringe IPs origen permitidas siempre que sea posible.
• Mantén RouterOS actualizado para TLS moderno.
• Deshabilita versiones SSL/TLS antiguas y cifrados débiles.
• Monitorea logs de conexión y rota credenciales periódicamente.

Consejo: En muchos dispositivos, la autenticación por certificado es más segura y manejable que contraseñas compartidas.

Alternativa: Servidor SSTP en un VPS

Puedes hospedar un hub SSTP en un VPS en vez de en MikroTik.

Opciones:

• Windows Server (soporte SSTP nativo).
• SoftEther VPN (multi-protocolo, soporta SSTP en Linux).

SoftEther es útil como puente de protocolos. Permite que MikroTiks y clientes Windows se comuniquen con el mismo hub sin IPs públicas en cada sitio.

Comparativa rápida

Cuándo elegir SSTP

Elige SSTP si necesitas una VPN que:

• Funcione a través de proxies corporativos o NAT estricto.
• Se integre fácilmente con clientes Windows.
• Use el puerto 443 para evitar bloqueos de puertos.

Si valoras velocidad y bajo consumo de CPU, WireGuard es mejor opción.

Donde MKController ayuda: Si configurar certificados y túneles es complejo, NATCloud de MKController ofrece acceso remoto centralizado y monitoreo — sin PKI manual por dispositivo y con incorporación simplificada.

Conclusión

SSTP es una opción práctica para redes difíciles de alcanzar.

Aprovecha HTTPS para mantener la conexión donde otras VPN fallan.

Con pocos comandos RouterOS puedes lograr acceso remoto confiable a sucursales, servidores y usuarios.

Sobre MKController

¡Esperamos que esta guía te haya ayudado a manejar mejor tu MikroTik y el universo Internet! 🚀
Ya sea ajustando configuraciones o buscando poner orden al caos de la red, MKController está aquí para facilitarte la vida.

Con gestión en la nube centralizada, actualizaciones automáticas de seguridad y un panel intuitivo, tenemos lo necesario para optimizar tu operación.

👉 Comienza tu prueba gratis de 3 días ahora en mkcontroller.com — y descubre qué es el control de red sin esfuerzo.