Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP MikroTiku kaughaldus

Seadistage SSTP MikroTikus, et tunneldada VPN-liiklust HTTPS-i sees pordil 443 — läbib rangeid tulemüüre, CGNAT-i ja ettevõtte proksisid.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) mähib PPP TLS-seansi sisse TCP-pordil 443, muutes tunneli tulemüüride, proksite ja CGNAT-kihtide jaoks tavalisest HTTPS-liiklusest eristamatuks. RouterOS sisaldab täielikku SSTP-serverit ja -klienti. See juhend hõlmab minimaalset viiekäsulist serveri seadistust, vastavat kliendi konfiguratsiooni kaug-MikroTikus, NAT-i LAN-i hostide tabamiseks ning turbe kontrollnimekirja.

Kuidas SSTP MikroTiku kaughaldust toimib?

SSTP on protokoll, mis tunneldab PPP TLS/HTTPS-seansi sees TCP-pordil 443. Võrgu vaatenurgast on liiklus eristamatu igast teisest HTTPS-ühendusest — just seetõttu läbib SSTP ettevõtte proksid, captive portaalid, hotelli Wi-Fi ja CGNAT-kihid, mis blokeerivad UDP-põhised VPN-id. Klient avab TLS-i serverile pordil 443, server esitab oma sertifikaadi, TLS-tunneli sees luuakse PPP-seanss ja liiklus voolab krüpteeritult otsast otsani.

MikroTiku flottide jaoks on SSTP õige valik, kui klienditasandi sait asub millegi taga, mis blokeerib kõik muud VPN-id. Vt meie WireGuardi juhendit ja VPS-põhise halduse juhendit.

Eelised ja piirangud

Tugevad küljed: töötab piirangutega tulemüüride ja proksite kaudu; kasutab porti 443, mis on peaaegu üleüldiselt avatud; tugev TLS-krüpteerimine moodsas RouterOS-is; natiivne tugi Windowsis; paindlik autentimine (kasutajanimi/parool, sertifikaadid või RADIUS).

Piirangud: suurem CPU-koormus kui kerged VPN-id TLS-i lisakulu tõttu; läbilaskvus tavaliselt madalam kui WireGuardil; vajab usaldusväärseks kliendi käitumiseks kehtivat SSL-sertifikaati. Hoidke RouterOS uuendatud ja keelake vanad TLS-versioonid.

Samm 1: Looge või importige TLS-sertifikaat

Kasutage produktsioonis Let’s Encryptit või kommertslikku CA-d. Iseennast allkirjastatud sobib labori testideks, kuid põhjustab kliendi hoiatusi:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name peab vastama hostinimele, mida kliendid ühendamiseks kasutavad.

Samm 2: Looge PPP-profiil

Profiil defineerib serveri- ja kliendipoolsed IP-d, mida tunnel kasutab:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Samm 3: Lisage PPP-secret

Secret on kasutajapõhine mandaat. Kasutage pikki paroole või migreeruge suuremate flottide jaoks sertifikaadipõhisele autentimisele:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Samm 4: Lubage SSTP-server

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Ruuter kuulab nüüd pordil 443 ja võtab vastu SSTP-ühendusi.

Samm 5: Seadistage SSTP-klient kaug-MikroTikus

Kaugseadmes:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Oodatav olek:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

encoding rida näitab kokku lepitud šifrit. Moodsad RouterOS-i versioonid toetavad tugevamaid šifreid — kontrollige oma väljalaske vaikeväärtusi.

Sisemise hosti tabamine tunneli kaudu

Seadme tabamiseks kaug-MikroTiku taga (nt 192.168.88.100) kasutage dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Juurdepääs seadmele SSTP-tunneli lõpp-punkti ja kaardistatud pordi kaudu:

https://vpn.yourdomain.com:8081

Liiklus voolab HTTPS-stiilis tunneli kaudu ja jõuab sisemise hostini.

Turbe parimad tavad

  • Kasutage Let’s Encryptilt või kommertslikult CA-lt kehtivaid, usaldatud TLS-sertifikaate.
  • Eelistage flottide puhul sertifikaadi- või RADIUS-autentimist jagatud paroolide asemel.
  • Piirake võimaluse korral tulemüüri kihil lubatud lähte-IP-sid.
  • Hoidke RouterOS moodsate TLS-virnade jaoks uuendatud.
  • Keelake vanad SSL/TLS-versioonid ja nõrgad šifrid.
  • Jälgige ühenduslogisid ja vahetage mandaate perioodiliselt.

Vt meie Winboxi turvajuhendit ja device mode’i turvajuhendit.

Alternatiiv: SSTP-server VPS-il

Majutage SSTP-keskust VPS-il MikroTiku asemel, kui soovite stabiilset pilvepoolset koondamist. Windows Serveril on SSTP natiivne tugi; SoftEther VPN Linuxil on mitme protokolliga ja toetab SSTP-d — töötab hästi protokollisillana.

SSTP versus muud VPN-valikud

LahendusPortTurvalisusÜhilduvusJõudlusParim
SSTPTCP 443Kõrge (TLS)MikroTik, WindowsKeskmineRangete tulemüüridega võrgud
OpenVPNUDP 1194Kõrge (TLS)LaiKeskmineVanemad ja segafloodid
WireGuardUDP 51820Väga kõrgeMoodsad seadmedKõrgeMoodsad võrgud, kõrge jõudlus
Tailscale / ZeroTierdünaamilineVäga kõrgeMultiplatvormilineKõrgeKiire mesh-juurdepääs, meeskonnad

Millal valida SSTP

Valige SSTP, kui VPN peab läbima ettevõtte prokse või ranget NAT-i, kui Windowsi kliendi integratsioon on oluline või kui port 443 on ainus usaldusväärselt avatud väljuv port. Kui toorest kiirusest on rohkem kasu, on WireGuard parem vaikevalik — vt meie WireGuardi juhendit.

Järgmine samm

SSTP on raskesti ligipääsetavate võrkude jaoks õige pragmaatiline valik — see kasutab HTTPS-i, et jääda ühendatuks seal, kus teised VPN-id ebaõnnestuvad, ja mõned RouterOS-i käsud seadistavad usaldusväärse kaugjuurdepääsu.

Kui sertifikaatide ja seadmepõhiste tunnelite seadistamine tundub flotti mastaabis tüütu töö, pakub MKControlleri NATCloud tsentraalset kaugjuurdepääsu ja seiret ilma seadmepõhise PKI haldamiseta.

Alustage oma tasuta MKControlleri proovi