MikroTikin hallinta SSTP:n avulla

Yhteenveto
SSTP kuljettaa VPN-liikennettä HTTPS:n (portti 443) sisällä, mahdollistaen MikroTikin etäkäytön tiukkojenkin palomuurien ja proxyjen takaa. Opas näyttää RouterOS-palvelimen ja asiakkaan asetukset, NAT-esimerkit, turvallisuusvinkit ja milloin SSTP on paras valinta.

MikroTikin etähallinta SSTP:llä

SSTP (Secure Socket Tunneling Protocol) kätkee VPN:n HTTPS:n sisään.

Se toimii portissa 443 ja sulautuu tavalliseen verkkoliikenteeseen.

Tästä syystä se sopii, kun verkot estävät perinteisiä VPN-portteja.

Tämä ohje tarjoaa tiiviin, käytännönläheisen SSTP-reseptin MikroTik RouterOS:lle.

Mikä on SSTP?

SSTP kuljettaa PPP:tä (Point-to-Point Protocol) TLS/HTTPS-istunnon sisällä.

Se käyttää TLS:ää salaukseen ja todennukseen.

Verkon näkökulmasta SSTP on lähes erotettavissa normaalista HTTPS:stä.

Siksi se läpäisee yritysten proxyt ja CGNAT:n helposti.

Kuinka SSTP toimii — lyhyt kuvaus

1. Asiakas avaa TLS (HTTPS) -yhteyden palvelimelle portissa 443.
2. Palvelin todentaa TLS-sertifikaattinsa.
3. PPP-istunto muodostetaan TLS-tunnelin sisällä.
4. Liikenne salataan päästä päähän (AES-256, jos konfiguroitu).

Yksinkertaista. Luotettavaa. Vaikea estää.

Huom: Koska SSTP käyttää HTTPS:ää, monet rajoittavat verkot sallivat sitä mutta estävät muita VPN:ejä.

Edut ja rajoitukset

Edut

• Toimii lähes missä tahansa — myös palomuurien ja proxyjen takana.
• Käyttää porttia 443 (HTTPS), joka on yleensä avoin.
• Vahva TLS-salaus (nykyisillä RouterOS/TLS-asetuksilla).
• Natiivituki Windowsissa ja RouterOS:ssa.
• Monipuolinen todennus: käyttäjätunnus/salasana, sertifikaatit tai RADIUS.

Rajoitukset

• Suurempi suorittimen kuormitus kuin kevyemmillä VPN:illä (TLS:n yläkulku).
• Suorituskyky yleensä huonompi kuin WireGuardilla.
• Parhaisiin tuloksiin tarvitaan voimassa oleva SSL-sertifikaatti.

Varoitus: Vanhemmat TLS/SSL-versiot eivät ole turvattuja. Pidä RouterOS ajan tasalla ja poista käytöstä vanhat TLS/SSL:t.

Palvelin: SSTP:n konfigurointi MikroTikissä

Alla minimaalit RouterOS-komennot SSTP-palvelimen luomiseen.

1. Luo tai tuo sertifikaatti

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Luo PPP-profiili

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Lisää käyttäjä (salaisuus)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Ota SSTP-palvelin käyttöön

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Nyt reititin kuuntelee portissa 443 ja hyväksyy SSTP-yhteydet.

Vinkki: Käytä Let’s Encryptin tai oman CA:n sertifikaattia — itse allekirjoitetut sertit soveltuvat vain labratesteihin ja aiheuttavat asiakasvaroituksia.

Asiakas: SSTP:n määritys etä-MikroTikissä

Etälaitteessa lisää SSTP-asiakas, joka yhdistää keskukseen.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Odotettu tilaviestintä:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Huom: Encoding-rivillä näkyy sovittu salausmenetelmä. Nykyiset RouterOS-versiot tukevat vahvempia salauksia — tarkista julkaisutiedot.

Sisäisen isännän käyttö tunnelin yli

Jos tarvitset pääsyn laitteen taakse etä-MikroTikissä (esim. 192.168.88.100), käytä dst-nat ja porttiohjaus.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Keskukselta tai asiakkaalta voit käyttää laitetta SSTP-tunnelipisteen ja ohjatun portin kautta:

https://vpn.yourdomain.com:8081

Liikenne kulkee HTTPS-tunnelin läpi ja saavuttaa sisäisen isännän.

Turvallisuus ja parhaat käytännöt

• Käytä voimassa olevia, luotettuja TLS-sertifikaatteja.
• Suosi sertifikaatti- tai RADIUS-todennusta tavallisten salasanojen sijaan.
• Rajoita mahdollisuuksien mukaan sallitut lähde-IP:t.
• Pidä RouterOS ajan tasalla nykyaikaisten TLS-pinojen saamiseksi.
• Poista käytöstä vanhat SSL/TLS-versiot ja heikot salaukset.
• Valvo yhteyslokeja ja vaihda tunnuksia säännöllisesti.

Vinkki: Monet laitteet hyötyvät sertifikaattipohjaisesta todennuksesta, joka on hallittavampaa ja turvallisempaa kuin jaetut salasanat.

Vaihtoehto: SSTP-palvelin VPS:llä

Voit isännöidä SSTP-keskusta VPS:llä MikroTikin sijaan.

Vaihtoehdot:

• Windows Server (natiivituki SSTP:lle).
• SoftEther VPN (moniprotokollainen, tukee SSTP:tä Linuxissa).

SoftEther toimii kätevästi protokollasilta, joka yhdistää MikroTikit ja Windows-asiakkaat samaan keskukseen ilman julkisia IP-osoitteita jokaisessa toimipisteessä.

Pikavertailu

Milloin valita SSTP

Valitse SSTP, kun tarvitset VPN:n, joka:

• Toimii yritysproxien tai tiukkojen NAT:ien takana.
• Integroituu helposti Windows-asiakkaisiin.
• Menee portin 443 kautta porttien estojen välttämiseksi.

Jos haluat nopeutta ja matalaa CPU-kuormitusta, harkitse WireGuardia.

Missä MKController auttaa: Jos sertifikaattien ja tunnelien konfigurointi tuntuu työläältä, MKControllerin NATCloud tarjoaa keskitetyn etäkäytön ja valvonnan – ilman manuaalista PKI:tä per laite ja helpomman käyttöönoton.

Yhteenveto

SSTP on käytännöllinen ratkaisu verkkoihin, jotka ovat vaikeasti saavutettavissa.

Se hyödyntää HTTPS:ää yhteyden säilyttämiseksi, kun muut VPN:t pettävät.

Muutamalla RouterOS-komennolla voit pystyttää luotettavan etäyhteyden toimipisteisiin, palvelimiin ja käyttäjälaitteisiin.

Tietoa MKControlleristä

Toivottavasti nämä vinkit auttoivat sinua hallitsemaan MikroTik- ja Internet-ympäristöäsi paremmin! 🚀
Olitpa hienosäätämässä asetuksia tai tuomassa järjestystä verkon sekasortoon, MKController tekee elämästäsi helpompaa.

Keskitetyn pilvihallinnan, automaattisten tietoturvapäivitysten ja helppokäyttöisen hallintapaneelin avulla nostamme toimintasi uudelle tasolle.

👉 Aloita ilmainen 3 päivän kokeilu osoitteessa mkcontroller.com — ja näe, mitä vaivaton verkkovalvonta todella on.