Remote Access
SSTP MikroTikin etähallinta
Määritä SSTP MikroTikissä tunneloimaan VPN-liikenne HTTPS:n sisällä portissa 443 — läpäisee tiukat palomuurit, CGNAT:n ja yritysproxyt.
Summary SSTP (Secure Socket Tunneling Protocol) kääri PPP TLS-istunnon sisään TCP-portissa 443, jolloin tunneli näyttää palomuureille, proxyille ja CGNAT-kerroksille erottamattomalta tavallisesta HTTPS-liikenteestä. RouterOS sisältää täydellisen SSTP-palvelimen ja -asiakkaan. Tämä opas kattaa minimaalisen viiden komennon palvelinasetukset, vastaavan asiakaskonfiguraation etäisellä MikroTikillä, NAT:n LAN-isäntien tavoittamiseksi sekä turvallisuustarkistuslistan.
Miten SSTP toimii MikroTikin etähallinnassa?
SSTP on protokolla, joka tunneloi PPP:n TLS/HTTPS-istunnon sisään TCP-portissa 443. Verkon näkökulmasta liikenne on erottamatonta mistä tahansa muusta HTTPS-yhteydestä — juuri siksi SSTP läpäisee yritysproxyt, captive-portaalit, hotelli-WiFin ja CGNAT-kerrokset, jotka estävät UDP-pohjaiset VPN:t. Asiakas avaa TLS:n palvelimelle portissa 443, palvelin esittää varmenteensa, PPP-istunto perustetaan TLS-tunnelin sisään ja liikenne virtaa salattuna päästä päähän.
MikroTik-laivastoille SSTP on oikea valinta, kun asiakaspaikka sijaitsee jonkin sellaisen takana, joka estää kaiken muun VPN:n. Katso WireGuard-oppaamme ja VPS-pohjainen hallintaopas.
Edut ja rajoitukset
Vahvuudet: toimii rajoittavien palomuurien ja proxyjen läpi; käyttää porttia 443, lähes yleisesti auki; vahva TLS-salaus modernissa RouterOS:ssä; natiivituki Windowsissa; joustava todennus (käyttäjätunnus/salasana, varmenteet tai RADIUS).
Rajoitukset: suurempi CPU-kuorma kuin kevyillä VPN:illä TLS-yleiskustannusten vuoksi; läpäisykyky tyypillisesti pienempi kuin WireGuardilla; tarvitsee voimassaolevan SSL-varmenteen luotettavalle asiakaskäytökselle. Pidä RouterOS päivitettynä ja poista käytöstä vanhat TLS-versiot.
Vaihe 1: Luo tai tuo TLS-varmenne
Käytä Let’s Encryptiä tai kaupallista CA:ta tuotannossa. Itse allekirjoitettu toimii laboratoriotesteihin, mutta aiheuttaa asiakasvaroituksia:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yescommon-name täytyy täsmätä isäntänimeen, jota asiakkaat käyttävät yhteyden muodostamiseen.
Vaihe 2: Luo PPP-profiili
Profiili määrittää palvelin- ja asiakaspuolen IP:t, joita tunneli käyttää:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2Vaihe 3: Lisää PPP-secret
Secret on käyttäjäkohtainen tunniste. Käytä pitkiä salasanoja tai siirry varmennepohjaiseen todennukseen suuremmille laivastoille:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstpVaihe 4: Ota SSTP-palvelin käyttöön
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileReititin kuuntelee nyt porttia 443 ja hyväksyy SSTP-yhteyksiä.
Vaihe 5: Määritä SSTP-asiakas etäisellä MikroTikillä
Etälaitteessa:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printOdotettu tila:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1encoding-rivi näyttää neuvotellun salausalgoritmin. Modernit RouterOS-versiot tukevat vahvempia algoritmeja — tarkista julkaisusi oletukset.
Sisäisen isännän tavoittaminen tunnelin kautta
Laitteen tavoittamiseksi etäisen MikroTikin takana (esim. 192.168.88.100) käytä dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80Käytä laitetta SSTP-tunnelin päätepisteen ja kuvatun portin kautta:
https://vpn.yourdomain.com:8081Liikenne virtaa HTTPS-tyylisen tunnelin läpi ja saavuttaa sisäisen isännän.
Tietoturvan parhaat käytännöt
- Käytä voimassaolevia, luotettuja TLS-varmenteita Let’s Encryptiltä tai kaupalliselta CA:lta.
- Suosi varmenne- tai RADIUS-todennusta jaettujen salasanojen sijaan laivastoille.
- Rajoita sallittuja lähde-IP:itä palomuuritasolla mahdollisuuksien mukaan.
- Pidä RouterOS päivitettynä moderneja TLS-pinoja varten.
- Poista käytöstä vanhat SSL/TLS-versiot ja heikot salausalgoritmit.
- Seuraa yhteyslogeja ja vaihda tunnisteita säännöllisesti.
Katso Winbox-tietoturvaopas ja device mode -tietoturvaopas.
Vaihtoehto: SSTP-palvelin VPS:llä
Hostaa SSTP-keskus VPS:llä MikroTikin sijaan, kun haluat vakaan pilvipuolisen aggregaation. Windows Serverissä on natiivi SSTP-tuki; SoftEther VPN Linuxissa on multi-protokolla ja tukee SSTP:tä — toimii hyvin protokollasiltana.
SSTP vs. muut VPN-vaihtoehdot
| Ratkaisu | Portti | Turvallisuus | Yhteensopivuus | Suorituskyky | Paras |
|---|---|---|---|---|---|
| SSTP | TCP 443 | Korkea (TLS) | MikroTik, Windows | Keskitaso | Verkot tiukoilla palomuureilla |
| OpenVPN | UDP 1194 | Korkea (TLS) | Laaja | Keskitaso | Vanhat ja sekoitetut laivastot |
| WireGuard | UDP 51820 | Erittäin korkea | Modernit laitteet | Korkea | Modernit verkot, korkea teho |
| Tailscale / ZeroTier | dynaaminen | Erittäin korkea | Moniportainen | Korkea | Nopea mesh-pääsy, tiimit |
Milloin valita SSTP
Valitse SSTP, kun VPN:n täytyy ohittaa yritysproxyt tai tiukka NAT, kun Windows-asiakasintegraatio on tärkeää tai kun portti 443 on ainoa luotettavasti auki oleva lähtevä portti. Jos raaka nopeus on tärkeämpää, WireGuard on parempi oletus — katso WireGuard-tutoriaali.
Seuraava askel
SSTP on oikea pragmaattinen valinta vaikeasti tavoitettaville verkoille — se hyödyntää HTTPS:ää pysyäkseen yhteydessä siellä, missä muut VPN:t epäonnistuvat, ja muutama RouterOS-komento asettaa luotettavan etäkäytön.
Jos varmenteiden ja laitekohtaisten tunneleiden määrittäminen tuntuu kiireiseltä työltä laivaston mittakaavassa, MKControllerin NATCloud tarjoaa keskitettyä etäkäyttöä ja seurantaa ilman laitekohtaista PKI-hallintaa.