Aller au contenu
Blog

Gérer votre MikroTik avec SSTP sécurisé

Résumé
SSTP encapsule le trafic VPN dans HTTPS (port 443), rendant l’accès distant à MikroTik possible même derrière des pare-feux stricts et proxies. Ce guide présente la configuration serveur et client RouterOS, des exemples NAT, conseils de sécurité et cas d’usage SSTP.

Gestion distante de MikroTik avec SSTP

SSTP (Secure Socket Tunneling Protocol) intègre un VPN à l’intérieur du HTTPS.

Il utilise le port 443 et se confond avec le trafic web classique.

Cela le rend idéal lorsque les réseaux bloquent les ports VPN traditionnels.

Ce guide fournit une recette SSTP succincte et pratique pour MikroTik RouterOS.

Qu’est-ce que SSTP ?

SSTP encapsule le PPP (Point-to-Point Protocol) dans une session TLS/HTTPS.

La transmission est sécurisée par TLS pour chiffrement et authentification.

Du point de vue réseau, SSTP est quasi indiscernable d’un HTTPS classique.

C’est pourquoi il traverse aisément proxies d’entreprise et CGNAT.

Fonctionnement de SSTP — flux rapide

  1. Le client ouvre une connexion TLS (HTTPS) au serveur sur le port 443.
  2. Le serveur présente son certificat TLS.
  3. Une session PPP s’établit à l’intérieur du tunnel TLS.
  4. Le trafic est chiffré de bout en bout (AES-256 si configuré).

Simple. Fiable. Difficile à bloquer.

Note : Étant basé sur HTTPS, SSTP est souvent autorisé dans les réseaux restrictifs où d’autres VPN sont bloqués.

Avantages et limites

Avantages

  • Fonctionne presque partout — y compris derrière pare-feux et proxies.
  • Utilise le port 443 (HTTPS), généralement ouvert.
  • Chiffrement TLS puissant (avec RouterOS/TLS récents).
  • Support natif sur Windows et RouterOS.
  • Authentification flexible : utilisateur/mot de passe, certificats ou RADIUS.

Limites

  • Utilisation CPU plus élevée que les VPN légers (surcharge TLS).
  • Performances souvent inférieures à WireGuard.
  • Nécessite un certificat SSL valide pour de meilleurs résultats.

Attention : Les versions TLS/SSL anciennes sont vulnérables. Maintenez RouterOS à jour et désactivez les protocoles legacy.

Serveur : Configuration SSTP sur MikroTik

Voici les commandes minimales RouterOS pour créer un serveur SSTP.

  1. Créez ou importez un certificat
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. Créez un profil PPP
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. Ajoutez un utilisateur (secret)
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. Activez le serveur SSTP
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Le routeur écoute maintenant sur le port 443 et accepte les connexions SSTP.

Astuce : Utilisez un certificat Let’s Encrypt ou de votre CA — les certificats auto-signés conviennent pour tests mais génèrent des alertes clients.

Client : Configuration SSTP sur MikroTik distant

Sur l’appareil distant, ajoutez un client SSTP pour se connecter au hub.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Statut attendu :

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Note : La ligne encoding indique le chiffrement négocié. Les versions récentes de RouterOS supportent des chiffrements plus forts — vérifiez les notes de version.

Accéder à un hôte interne via le tunnel

Pour atteindre une machine derrière le MikroTik distant (ex. 192.168.88.100), utilisez dst-nat et redirection de port.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Depuis le hub ou un client, accédez à l’hôte via le point d’entrée SSTP et le port redirigé :

https://vpn.yourdomain.com:8081

Le trafic passe par le tunnel HTTPS et atteint l’hôte interne.

Sécurité et bonnes pratiques

  • Utilisez des certificats TLS valides et de confiance.
  • Privilégiez l’authentification par certificat ou RADIUS plutôt que mot de passe simple.
  • Restreignez les IP sources autorisées si possible.
  • Maintenez RouterOS à jour pour bénéficier des dernières versions TLS.
  • Désactivez les protocoles SSL/TLS obsolètes et chiffrements faibles.
  • Surveillez les journaux de connexion et changez régulièrement les identifiants.

Astuce : Sur de nombreux appareils, l’authentification par certificat est plus simple à gérer et plus sûre qu’un mot de passe partagé.

Alternative : serveur SSTP sur VPS

Vous pouvez héberger un hub SSTP sur un VPS au lieu d’un MikroTik.

Options :

  • Windows Server (support SSTP natif).
  • SoftEther VPN (multi-protocoles, SSTP disponible sous Linux).

SoftEther fait office de pont protocolaire pratique. Il permet aux MikroTik et clients Windows de se connecter au même hub sans IP publique sur chaque site.

Comparaison rapide

SolutionPortSécuritéCompatibilitéPerformanceIdéal pour
SSTP443Élevée (TLS)MikroTik, WindowsMoyenneRéseaux avec pare-feux stricts
OpenVPN1194/UDPÉlevée (TLS)LargeMoyenneFlottes anciennes/mixte
WireGuard51820/UDPTrès élevéeAppareils modernesÉlevéeRéseaux modernes, haute perf.
Tailscale/ZeroTierdynamiqueTrès élevéeMulti-plateformeÉlevéeAccès mesh rapide, équipes

Quand choisir SSTP

Choisissez SSTP si vous cherchez un VPN qui :

  • Doit fonctionner derrière proxies d’entreprise ou NAT strict.
  • Doit s’intégrer facilement aux clients Windows.
  • Doit utiliser le port 443 pour contourner les blocages.

Si vous privilégiez vitesse brute et faible charge CPU, préférez WireGuard.

Comment MKController aide : Si la configuration des certificats et tunnels vous semble fastidieuse, NATCloud de MKController offre un accès distant centralisé et une supervision — sans PKI manuelle par appareil et une intégration simplifiée.

Conclusion

SSTP est un choix pragmatique pour les réseaux difficiles d’accès.

Il utilise HTTPS pour rester connecté là où d’autres VPN échouent.

Avec quelques commandes RouterOS, vous déployez un accès distant fiable pour sites, serveurs et utilisateurs.

À propos de MKController

Nous espérons que ces informations vous ont aidé à mieux maîtriser votre univers MikroTik et Internet ! 🚀
Que vous peaufiniez vos configurations ou cherchiez simplement à dompter le chaos réseau, MKController simplifie votre vie.

Avec une gestion cloud centralisée, des mises à jour de sécurité automatiques, et un tableau de bord accessible à tous, nous avons tout pour améliorer votre exploitation.

👉 Essayez 3 jours gratuits maintenant sur mkcontroller.com — et découvrez le vrai contrôle réseau sans effort.