Gestion à distance MikroTik avec SSTP

Summary SSTP (Secure Socket Tunneling Protocol) encapsule PPP dans une session TLS sur le port TCP 443, rendant le tunnel indiscernable du trafic HTTPS normal pour les pare-feux, proxies et couches CGNAT. RouterOS embarque un serveur et client SSTP complets. Ce guide couvre la configuration serveur minimale en cinq commandes, la configuration client correspondante sur un MikroTik distant, le NAT pour atteindre les hôtes LAN et la check-list de sécurité.

Comment SSTP fonctionne-t-il pour la gestion à distance MikroTik ?

SSTP est un protocole qui tunnelise PPP dans une session TLS/HTTPS sur le port TCP 443. Du point de vue du réseau, le trafic est indiscernable de toute autre connexion HTTPS — c’est précisément pourquoi SSTP traverse les proxies d’entreprise, les portails captifs, le Wi-Fi des hôtels et les couches CGNAT qui bloquent les VPN basés sur UDP. Le client ouvre TLS vers le serveur sur le 443, le serveur présente son certificat, une session PPP s’établit dans le tunnel TLS et le trafic circule chiffré de bout en bout.

Pour les flottes MikroTik, SSTP est le bon choix quand le site client se trouve derrière quelque chose qui bloque tous les autres VPN. Voir notre guide WireGuard et le guide de gestion via VPS.

Avantages et limitations

Forces : fonctionne à travers pare-feux et proxies restrictifs ; utilise le port 443, presque universellement ouvert ; fort chiffrement TLS sur RouterOS moderne ; support natif sous Windows ; authentification flexible (nom d’utilisateur/mot de passe, certificats ou RADIUS).

Limitations : charge CPU plus élevée que les VPN légers à cause du surcoût TLS ; débit généralement inférieur à WireGuard ; nécessite un certificat SSL valide pour un comportement client fiable. Gardez RouterOS à jour et désactivez les anciennes versions TLS.

Étape 1 : Créer ou importer le certificat TLS

Utilisez Let’s Encrypt ou une CA commerciale en production. L’auto-signé fonctionne pour les tests en laboratoire mais provoque des avertissements client :

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

Le common-name doit correspondre au nom d’hôte que les clients utiliseront pour se connecter.

Étape 2 : Créer un profil PPP

Le profil définit les IPs côté serveur et côté client que le tunnel utilisera :

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Étape 3 : Ajouter un secret PPP

Le secret est l’identifiant par utilisateur. Utilisez des mots de passe longs ou migrez vers l’authentification par certificat pour les flottes plus grandes :

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Étape 4 : Activer le serveur SSTP

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Le routeur écoute désormais sur le port 443 et accepte les connexions SSTP.

Étape 5 : Configurer le client SSTP sur le MikroTik distant

Sur l’appareil distant :

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Statut attendu :

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

La ligne encoding montre le chiffrement négocié. Les versions modernes de RouterOS prennent en charge des chiffrements plus forts — vérifiez les valeurs par défaut de votre version.

Atteindre un hôte interne via le tunnel

Pour atteindre un appareil derrière le MikroTik distant (par ex. 192.168.88.100), utilisez dst-nat :

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Accédez à l’appareil via le point de terminaison du tunnel SSTP plus le port mappé :

https://vpn.yourdomain.com:8081

Le trafic passe par le tunnel de style HTTPS et atteint l’hôte interne.

Bonnes pratiques de sécurité

• Utilisez des certificats TLS valides et de confiance de Let’s Encrypt ou d’une CA commerciale.
• Préférez l’authentification par certificat ou RADIUS aux mots de passe partagés pour les flottes.
• Restreignez les IPs source autorisées au niveau du pare-feu lorsque c’est possible.
• Gardez RouterOS à jour pour les piles TLS modernes.
• Désactivez les anciennes versions SSL/TLS et les chiffrements faibles.
• Surveillez les journaux de connexion et faites tourner les identifiants périodiquement.

Voir notre guide sécurité Winbox et le guide sécurité device mode.

Alternative : serveur SSTP sur un VPS

Hébergez le hub SSTP sur un VPS plutôt que sur un MikroTik lorsque vous voulez une agrégation cloud stable. Windows Server prend en charge SSTP en natif ; SoftEther VPN sous Linux est multi-protocole et supporte SSTP — fonctionne bien comme pont de protocoles.

SSTP versus autres options VPN

Quand choisir SSTP

Choisissez SSTP quand le VPN doit traverser des proxies d’entreprise ou un NAT strict, quand l’intégration client Windows compte, ou quand le port 443 est le seul port sortant fiablement ouvert. Si la vitesse brute compte davantage, WireGuard est le meilleur choix par défaut — voir notre tutoriel WireGuard.

Prochaine étape

SSTP est le bon choix pragmatique pour les réseaux difficiles d’accès — il exploite HTTPS pour rester connecté là où d’autres VPN échouent, et quelques commandes RouterOS suffisent à mettre en place un accès distant fiable.

Si configurer certificats et tunnels par appareil semble être du travail répétitif à l’échelle de la flotte, NATCloud de MKController offre un accès distant centralisé et un monitoring sans gestion PKI par appareil.

Commencez votre essai gratuit MKController