דלגו לתוכן
Blog

ניהול MikroTik שלך עם SSTP

סיכום
SSTP ממקסם תנועה של VPN בתוך HTTPS (פורט 443), מה שמאפשר גישה מרחוק ל-MikroTik גם מאחורי חומות אש ופרוקסים קשוחים. מדריך זה מציג התקנת שרת ולקוח ב-RouterOS, דוגמאות NAT, טיפים לאבטחה ומתי לשרש SSTP.

ניהול MikroTik מרחוק עם SSTP

SSTP (פרוטוקול Secure Socket Tunneling) מחבב VPN בתוך HTTPS.

הוא פועל על פורט 443 ומתמזג עם תעבורת רשת רגילה.

זה הופך אותו לאידיאלי ברשתות שחוסמות פורטים סטנדרטיים של VPN.

מאמר זה נותן מתכון ידני ותכליתי ל-SSTP ב-MikroTik RouterOS.

מהו SSTP?

SSTP מנהל מנהרת PPP (פרוטוקול נקודה לנקודה) בתוך מושב TLS/HTTPS.

הוא משתמש ב-TLS להצפנה ואימות.

מנקודת המבט של הרשת, SSTP כמעט בלתי מובחן מ-HTTPS רגיל.

לכן הוא עובר חומות אש ארגוניות ו-CGNAT ללא בעיות.

איך SSTP עובד — זרימה מהירה

  1. הלקוח פותח חיבור TLS (HTTPS) אל השרת על פורט 443.
  2. השרת מציג את תעודת TLS שלו.
  3. מושב PPP מוקם בתוך מנהרת TLS.
  4. הנתונים מוצפנים בקצה-לקצה (AES-256 כשמאופשר).

פשוט. אמין. קשה לחסימה.

הערה: מכיוון ש-SSTP משתמש ב-HTTPS, רשתות רבות יאפשרו זאת גם כשהן חוסמות VPNs אחרים.

יתרונות וחסרונות

יתרונות

  • עובד כמעט בכל מקום — כולל חומות אש ופרוקסים.
  • משתמש בפורט 443 (HTTPS) שבדרך כלל פתוח.
  • הצפנת TLS חזקה (כשמשתמשים ב-RouterOS/TLS מודרניים).
  • תמיכה מקומית ב-Windows ו-RouterOS.
  • אימות גמיש: שם משתמש/סיסמה, תעודות או RADIUS.

חסרונות

  • שימוש גבוה יותר ב-CPU בהשוואה ל-VPN קלים (עומס TLS).
  • ביצועים לרוב נמוכים מ-WireGuard.
  • דורש תעודת SSL תקינה לתוצאות הטובות ביותר.

אזהרה: גרסאות TLS/SSL ישנות אינן מאובטחות. שמור על RouterOS מעודכן וכבה TLS/SSL מיושן.

שרת: הגדר SSTP ב-MikroTik

להלן הפקודות המינימליות ל-RouterOS ליצירת שרת SSTP.

  1. צור או ייבא תעודה
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. צור פרופיל PPP
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. הוסף משתמש (secret)
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. הפעל את שרת SSTP
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

כעת הנתב מאזין על פורט 443 ומקבל חיבורים SSTP.

טיפ: השתמש בתעודה מ-Let’s Encrypt או CA שלך — תעודות חתומות עצמית מתאימות לבדיקה בלב אך גורמות לאזהרות בלקוח.

לקוח: הגדר SSTP ב-MikroTik מרוחק

בהתקן המרוחק, הוסף לקוח SSTP שיתקשר עם המרכז.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

פלט סטטוס צפוי:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

הערה: שורת ההצפנה מציגה את הצופן שהוסכם. גרסאות RouterOS מודרניות תומכות בצפנים חזקים יותר — בדוק את שחרורי הגרסה שלך.

גש למחשב פנימי דרך המנהרה

אם דרוש גישה למכשיר מאחורי MikroTik המרוחק (לדוגמה 192.168.88.100), השתמש ב-dst-nat ומיפוי פורטים.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

מהמרכז או מהלקוח, היכנס למכשיר דרך נקודת הקצה של מנהרת SSTP ופורט מפותח:

https://vpn.yourdomain.com:8081

התנועה זורמת דרך מנהרת HTTPS ומגיעה למחשב הפנימי.

אבטחה והמלצות

  • השתמש בתעודות TLS תקינות ומהימנות.
  • העדף אימות בתעודה או RADIUS במקום סיסמאות פשוטות.
  • הגבל כתובות IP מקוריות לפי צורך.
  • שמור על RouterOS מעודכן עם ערכות TLS מודרניות.
  • השבת גרסאות SSL/TLS ישנות וצפנים חלשים.
  • פקח על יומני חיבור וסובב סיסמאות תכופות.

טיפ: בעבור רבים מההתקנים, אימות בתעודה נוח יותר ובטוח יותר מאשר סיסמאות משותפות.

אלטרנטיבה: שרת SSTP על VPS

ניתן להקים מרכז SSTP על VPS במקום MikroTik.

אפשרויות:

  • Windows Server (תמיכה מקורית ב-SSTP).
  • SoftEther VPN (רב-פרוטוקולי, תומך SSTP בלינוקס).

SoftEther שימושי כשגשר פרוטוקולים, מאפשר למכשירי MikroTik ו-Windows לדבר עם אותו מרכז בלי צורך בכתובות IP ציבוריות באתרים.

השוואה מהירה

פתרוןפורטאבטחהתאימותביצועיםאידיאלי עבור
SSTP443גבוה (TLS)MikroTik, Windowsבינונירשתות עם חומות אש קשות
OpenVPN1194/UDPגבוה (TLS)רחבבינוניציוד ישן/מעורב
WireGuard51820/UDPגבוה מאודהתקנים מודרנייםגבוהרשתות מודרניות, ביצועים גבוהים
Tailscale/ZeroTierדינמיגבוה מאודרב-פלטפורמיגבוהגישה מהירה לצוותים ומשערים

מתי לבחור SSTP

בחר SSTP כאשר דרוש VPN ש:

  • חייב לפעול דרך פרוקסי ארגוני או NAT יציב.
  • צריך אינטגרציה נוחה עם לקוחות Windows.
  • משתמש בפורט 443 כדי לעקוף חסימות פורט.

אם חשוב לך מהירות גולמית ושימוש מינימלי במשאבים, שווה לשקול WireGuard.

איך MKController עוזר: אם הגדרת תעודות ומנהרות נראית מסורבלת, NATCloud של MKController מציע גישה מרוכזת וניטור מרחוק — ללא צורך ב-PKI ידני לכל מכשיר והפעלה פשוטה.

סיכום

SSTP הוא פתרון פרקטי לרשתות שקשה להגיע אליהן.

הוא משתמש ב-HTTPS כדי להישאר מחובר כאשר VPNים אחרים נכשלו.

עם כמה פקודות RouterOS אפשר ליצור גישה מרחוק אמינה לסניפים, שרתים והתקני משתמש.

על MKController

מקווים שהתובנות כאן סייעו לכם לנווט טוב יותר בעולם MikroTik והאינטרנט שלכם! 🚀
בין אם מכווננים הגדרות או סתם מנסים להביא סדר לטירוף הרשת, MKController כאן כדי לפשט את החיים.

עם ניהול ענן מרכזי, עדכוני אבטחה אוטומטיים ולוח בקרה שכל אחד יכול לשלוט בו, יש לנו את הכלים לשדרג את התפעול שלכם.

👉 התחילו ניסיון חינמי ל-3 ימים עכשיו ב-mkcontroller.com — ותראו איך ניהול הרשת הופך פשוט.