Remote Access
Gestión remota de MikroTik con SSTP
Configura SSTP en MikroTik para tunelizar tráfico VPN dentro de HTTPS en el puerto 443 — atraviesa firewalls estrictos, CGNAT y proxies corporativos.
Summary SSTP (Secure Socket Tunneling Protocol) envuelve PPP dentro de una sesión TLS en el puerto TCP 443, haciendo que el túnel sea indistinguible del tráfico HTTPS normal para firewalls, proxies y capas CGNAT. RouterOS incluye un servidor y cliente SSTP completos. Esta guía recorre la configuración mínima del servidor con cinco comandos, la configuración del cliente en un MikroTik remoto, NAT para alcanzar hosts LAN y la lista de verificación de seguridad.
¿Cómo funciona SSTP para la gestión remota de MikroTik?
SSTP es un protocolo que tuneliza PPP dentro de una sesión TLS/HTTPS en el puerto TCP 443. Desde la perspectiva de la red, el tráfico es indistinguible de cualquier otra conexión HTTPS — y por eso SSTP atraviesa proxies corporativos, portales cautivos, Wi-Fi de hoteles y capas CGNAT que bloquean VPN basadas en UDP. El cliente abre TLS al servidor en el 443, el servidor presenta su certificado, se establece una sesión PPP dentro del túnel TLS y el tráfico fluye cifrado de extremo a extremo.
Para flotas MikroTik, SSTP es la opción correcta cuando el sitio del cliente está detrás de algo que bloquea cualquier otro VPN. Vea nuestra guía de WireGuard y la guía de gestión vía VPS.
Ventajas y limitaciones
Fortalezas: funciona a través de firewalls y proxies restrictivos; usa el puerto 443, casi universalmente abierto; cifrado TLS fuerte en RouterOS moderno; soporte nativo en Windows; autenticación flexible (usuario/contraseña, certificados o RADIUS).
Limitaciones: mayor consumo de CPU que VPN ligeros por el overhead de TLS; rendimiento típicamente menor que WireGuard; requiere un certificado SSL válido para comportamiento confiable del cliente. Mantenga RouterOS actualizado y desactive versiones antiguas de TLS.
Paso 1: Crear o importar el certificado TLS
Use Let’s Encrypt o una CA comercial para producción. Autofirmado funciona para pruebas de laboratorio pero causa advertencias del cliente:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yesEl common-name debe coincidir con el nombre de host que los clientes usarán para conectarse.
Paso 2: Crear un perfil PPP
El perfil define las IPs del lado del servidor y del cliente que usará el túnel:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2Paso 3: Agregar un secret PPP
El secret es la credencial por usuario. Use contraseñas largas o migre a autenticación por certificado para flotas más grandes:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstpPaso 4: Habilitar el servidor SSTP
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileEl router ahora escucha en el puerto 443 y acepta conexiones SSTP.
Paso 5: Configurar el cliente SSTP en el MikroTik remoto
En el dispositivo remoto:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printEstado esperado:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1La línea encoding muestra el cifrado negociado. Las versiones modernas de RouterOS soportan cifrados más fuertes — verifique los valores predeterminados de su release.
Alcanzar un host interno a través del túnel
Para alcanzar un dispositivo detrás del MikroTik remoto (p. ej., 192.168.88.100), use dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80Acceda al dispositivo a través del endpoint del túnel SSTP más el puerto mapeado:
https://vpn.yourdomain.com:8081El tráfico fluye por el túnel estilo HTTPS y llega al host interno.
Mejores prácticas de seguridad
- Use certificados TLS válidos y confiables de Let’s Encrypt o una CA comercial.
- Prefiera autenticación por certificado o RADIUS sobre contraseñas compartidas para flotas.
- Restrinja las IPs origen permitidas a nivel de firewall cuando sea posible.
- Mantenga RouterOS actualizado para pilas TLS modernas.
- Desactive versiones antiguas de SSL/TLS y cifrados débiles.
- Monitoree los logs de conexión y rote credenciales periódicamente.
Vea nuestra guía de seguridad de Winbox y la guía de seguridad de device mode.
Alternativa: servidor SSTP en un VPS
Aloje el hub SSTP en un VPS en lugar de un MikroTik cuando desee agregación estable del lado de la nube. Windows Server tiene soporte nativo para SSTP; SoftEther VPN en Linux es multi-protocolo y soporta SSTP — funciona bien como puente de protocolos.
SSTP frente a otras opciones VPN
| Solución | Puerto | Seguridad | Compatibilidad | Rendimiento | Mejor para |
|---|---|---|---|---|---|
| SSTP | TCP 443 | Alta (TLS) | MikroTik, Windows | Medio | Redes con firewalls estrictos |
| OpenVPN | UDP 1194 | Alta (TLS) | Amplia | Medio | Flotas antiguas y mixtas |
| WireGuard | UDP 51820 | Muy alta | Dispositivos modernos | Alto | Redes modernas, alto rendimiento |
| Tailscale / ZeroTier | dinámico | Muy alta | Multi-plataforma | Alto | Acceso mesh rápido, equipos |
Cuándo elegir SSTP
Elija SSTP cuando el VPN debe atravesar proxies corporativos o NAT estricto, cuando importa la integración con cliente Windows, o cuando el puerto 443 es el único puerto saliente confiablemente abierto. Si la velocidad bruta importa más, WireGuard es la mejor opción por defecto — vea nuestro tutorial de WireGuard.
Siguiente paso
SSTP es la opción pragmática correcta para redes difíciles de alcanzar — aprovecha HTTPS para permanecer conectado donde otros VPN fallan, y unos pocos comandos de RouterOS configuran acceso remoto confiable.
Si configurar certificados y túneles por dispositivo se siente como trabajo rutinario a escala de flota, NATCloud de MKController ofrece acceso remoto centralizado y monitoreo sin gestión PKI por dispositivo.