MikroTiki haldamine SSTP-ga

Kokkuvõte
SSTP suunab VPN-liikluse HTTPS-i (port 443) sees, võimaldades MikroTikile ligipääsu ka rangete tulemüüride ja proksi taga. Juhend näitab RouterOS serveri ja kliendi seadistust, NAT-i näiteid, turvanõuandeid ja SSTP kasutuse eeliseid.

MikroTiki kaugjuhtimine SSTP-ga

SSTP (Secure Socket Tunneling Protocol) peidab VPN-i HTTPS-i sisse.

See töötab pordil 443 ja sulandub tavalise veebiliiklusega.

See teeb selle ideaalseks, kui võrgud blokeerivad traditsioonilisi VPN-inporte.

See artikkel annab kompaktse ja praktilise SSTP juhise MikroTik RouterOS-ile.

Mis on SSTP?

SSTP tunnelib PPP (Point-to-Point Protocol) TLS/HTTPS seansi sees.

See kasutab TLS-i krüpteerimiseks ja autentimiseks.

Võrgu vaatenurgast on SSTP peaaegu eristamatu tavalise HTTPS-ilt.

Seetõttu läbib see probleemideta korporatiivseid proksi ja CGNAT-e.

Kuidas SSTP töötab — kiire voog

1. Klient avab TLS (HTTPS) ühenduse serveriga pordil 443.
2. Server esitab oma TLS-sertifikaadi.
3. TLS-tunneli sees luuakse PPP seanss.
4. Liiklus krüpteeritakse otsast lõpuni (AES-256, kui konfigureeritud).

Lihtne. Usaldusväärne. Raskesti blokeeritav.

Märkus: Kuna SSTP kasutab HTTPS-i, lubavad paljud piiravad võrgud seda, blokeerides muud VPN-id.

Eelised ja piirangud

Eelised

• Töötab peaaegu kõikjal — ka tulemüüride ja prokside taga.
• Kasutab tavaliselt avatud porti 443 (HTTPS).
• Tugev TLS-krüpteerimine (uuemate RouterOS/TLS seadistustega).
• Sisseehitatud tugi Windowsis ja RouterOS-is.
• Paindlik autentimine: kasutajanimi/parool, sertifikaadid või RADIUS.

Piirangud

• Suurem CPU kasutus kui kergetel VPN-il (TLS-i lisakoormus).
• Tavaliselt madalam jõudlus kui WireGuard.
• Parimate tulemuste jaoks nõuab kehtivat SSL-sertifikaati.

Hoiatus: Vana TLS/SSL versioonid on ebaturvalised. Hoidke RouterOS uuendatud ja keelake vananenud TLS/SSL.

Server: SSTP seadistamine MikroTikil

Allpool on minimaalne RouterOS käskude komplekt SSTP serveri loomiseks.

1. Loo või impordi sertifikaat

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Loo PPP profiil

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Lisa kasutaja (salajane)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Luba SSTP server

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Nüüd kuulab ruuter pordil 443 ja aktsepteerib SSTP ühendusi.

Nipp: Kasuta Let’s Encrypt või oma CA sertifikaati — iseallkirjastatud sertifikaadid sobivad laborikatseteks, kuid tekitavad kliendi hoiatuse.

Klient: SSTP seadistamine kaugses MikroTikis

Lisas kaugsesse seadmesse SSTP kliendi, et ühendada peakontoriga.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Oodatud staatus:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Märkus: Rea “encoding” väärtus näitab kokku lepitud krüptovõtit. Uuemad RouterOS versioonid toetavad tugevamaid võtmeid — kontrolli oma versiooni märkmeid.

Juurdepääs sisemisele seadmele tunneli kaudu

Kui vajad ühendust seadmega kaug-MikroTiki taga (näiteks 192.168.88.100), kasuta dst-nat ja pordisuunamist.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Peakontorist või kliendist ühendu seadmega SSTP tunneli lõpp-punkti ja suunatud pordi kaudu:

https://vpn.yourdomain.com:8081

Liiklus kulgeb HTTPS tunneli kaudu ja jõuab sisevõrgu seadmeni.

Turvalisus ja parimad tavad

• Kasuta kehtivaid ja usaldusväärseid TLS-sertifikaate.
• Eelista sertifikaadi- või RADIUS autentimist lihtsate paroolide asemel.
• Piira allikaks lubatud IP aadresse võimalusel.
• Hoia RouterOS uuendatud, et saada kaasaegsed TLS-kihid.
• Keela vanad SSL/TLS versioonid ja nõrgad krüptod.
• Jälgi ühenduste logisid ja vaheta paroole regulaarselt.

Nipp: Paljude seadmete puhul on sertifikaadipõhine autentimine lihtsam ja turvalisem kui jagatud paroolid.

Alternatiiv: SSTP server VPS-il

Vähemalt SSTP keskuse võid hostida ka VPS-il MikroTiki asemel.

Valikud:

• Windows Server (sisseehitatud SSTP tugi).
• SoftEther VPN (mitmeprotokolliline, toetab SSTP Linuxis).

SoftEther on mugav protokolli sild — lubab MikroTikidel ja Windows klientidel sama keskusega töötada ilma iga asukoha avaliku IP-ta.

Kiire võrdlus

Millal valida SSTP

Vali SSTP, kui vajad VPN-i, mis:

• Töötaks korporatiivsete prokside või range NAT-i taga.
• Lihtsalt integreeruks Windows klientidega.
• Kasutaks porti 443, et vältida pordiblokeeringuid.

Kui hindad kiirust ja väikest CPU-koormust, mõtle WireGuardi peale.

Kuidas MKController aitab: Kui sertifikaatide ja tunnelite seadistamine tundub aeganõudev, pakub MKController NATCloud tsentraliseeritud kaugjuurdepääsu ja jälgimist — null käsitsi PKI igal seadmel ja lihtsam liitumine.

Kokkuvõte

SSTP on praktiline valik keeruliselt ligipääsetavates võrkudes.

See kasutab HTTPS-i, et võimaldada ühendust kohtades, kus teised VPN-id läbi ei lähe.

Mõne RouterOS käsuga saad luua usaldusväärse kaugjuurdepääsu filiaalidele, serveritele ja kasutajaseadmetele.

MKControllerist

Loodame, et ülaltoodud teadmised aitasid sul MikroTik ja internetimaailmas paremini orienteeruda! 🚀
Olgu tegemist konfiguratsioonide täpsustamisega või ülevaate loomisega võrgulõksudest, MKController on siin, et elu lihtsamaks teha.

Tsentraliseeritud pilvehaldus, automatiseeritud turvauuendused ning dashboard, mida igaüks valdab — meil on vahendid, et sinu haldus oleks sujuv.

👉 Alusta tasuta 3-päevast prooviperioodi aadressil mkcontroller.com — ja vaata, mis on vaevatu võrguhaldus päriselt.