דלגו לתוכן
MKController Blog
InstagramYouTubeFacebook

Remote Access

ניהול מרחוק של MikroTik עם SSTP

הגדירו SSTP ב-MikroTik כדי לתעל תעבורת VPN בתוך HTTPS ביציאה 443 — עובר דרך חומות אש מחמירות, CGNAT ופרוקסי תאגידי.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) עוטף את PPP בתוך הפעלת TLS ביציאת TCP 443, מה שגורם למנהרה להיראות זהה לתעבורת HTTPS רגילה עבור חומות אש, פרוקסים ושכבות CGNAT. RouterOS כולל שרת ולקוח SSTP מלאים. מדריך זה סוקר את הגדרת השרת המינימלית בחמש פקודות, את התצורה התואמת של הלקוח על MikroTik מרוחק, NAT לגישה למארחי LAN ורשימת בדיקת אבטחה.

איך SSTP פועל לניהול מרחוק של MikroTik?

SSTP הוא פרוטוקול שמתעל PPP בתוך הפעלת TLS/HTTPS ביציאת TCP 443. מנקודת מבט הרשת, התעבורה לא ניתנת להבחנה מכל חיבור HTTPS אחר — בדיוק לכן SSTP חוצה פרוקסי תאגידי, פורטלי captive, Wi-Fi מלונאי ושכבות CGNAT שחוסמות VPN מבוסס UDP. הלקוח פותח TLS לשרת ב-443, השרת מציג את האישור שלו, הפעלת PPP מוקמת בתוך מנהרת TLS והתעבורה זורמת מוצפנת מקצה לקצה.

עבור ציי MikroTik, SSTP הוא הבחירה הנכונה כאשר אתר הלקוח יושב מאחורי משהו שחוסם כל VPN אחר. ראו את מדריך WireGuard ואת מדריך הניהול דרך VPS.

יתרונות ומגבלות

יתרונות: עובד דרך חומות אש ופרוקסים מגבילים; משתמש ביציאה 443, פתוחה כמעט בכל מקום; הצפנת TLS חזקה ב-RouterOS מודרני; תמיכה מובנית ב-Windows; אימות גמיש (שם משתמש/סיסמה, אישורים או RADIUS).

מגבלות: עומס CPU גבוה יותר מ-VPN קלים בגלל תקורת TLS; תפוקה בדרך כלל נמוכה מ-WireGuard; דורש אישור SSL חוקי להתנהגות לקוח אמינה. שמרו את RouterOS מעודכן והשביתו גרסאות TLS ישנות.

שלב 1: צרו או יבאו את אישור TLS

השתמשו ב-Let’s Encrypt או ב-CA מסחרי לייצור. אישור עצמי עובד לבדיקות מעבדה אך גורם לאזהרות לקוח:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

ה-common-name חייב להתאים לשם המארח שהלקוחות ישתמשו בו להתחברות.

שלב 2: צרו פרופיל PPP

הפרופיל מגדיר את ה-IP בצד השרת והלקוח שהמנהרה תשתמש בהם:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

שלב 3: הוסיפו PPP secret

ה-secret הוא האישור לכל משתמש. השתמשו בסיסמאות ארוכות או עברו לאימות אישורים לציים גדולים יותר:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

שלב 4: הפעילו את שרת SSTP

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

הנתב מאזין כעת ביציאה 443 ומקבל חיבורי SSTP.

שלב 5: הגדירו לקוח SSTP על MikroTik המרוחק

במכשיר המרוחק:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

מצב צפוי:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

שורת encoding מציגה את הצופן שהוסכם. גרסאות RouterOS מודרניות תומכות בצפנים חזקים יותר — אמתו את ברירות המחדל של הגרסה שלכם.

הגעה למארח פנימי דרך המנהרה

כדי להגיע למכשיר מאחורי MikroTik המרוחק (למשל 192.168.88.100), השתמשו ב-dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

גישה למכשיר דרך נקודת הקצה של מנהרת SSTP בתוספת היציאה הממופה:

https://vpn.yourdomain.com:8081

התעבורה זורמת דרך מנהרה בסגנון HTTPS ומגיעה למארח הפנימי.

שיטות אבטחה מומלצות

  • השתמשו באישורי TLS חוקיים ומהימנים מ-Let’s Encrypt או מ-CA מסחרי.
  • העדיפו אימות אישורים או RADIUS על פני סיסמאות משותפות עבור ציים.
  • הגבילו כתובות IP מקור מותרות בשכבת חומת האש כשאפשר.
  • שמרו את RouterOS מעודכן עבור ערימות TLS מודרניות.
  • השביתו גרסאות SSL/TLS ישנות וצפנים חלשים.
  • עקבו אחר יומני חיבור והחליפו אישורים מעת לעת.

ראו את מדריך אבטחת Winbox ואת מדריך אבטחת device mode.

חלופה: שרת SSTP על VPS

אכסנו את רכזת SSTP על VPS במקום על MikroTik כשרוצים איגום ענן יציב. ל-Windows Server יש תמיכה מובנית ב-SSTP; SoftEther VPN על Linux הוא רב-פרוטוקול ותומך ב-SSTP — עובד היטב כגשר פרוטוקולים.

SSTP מול אפשרויות VPN אחרות

פתרוןיציאהאבטחהתאימותביצועיםהכי טוב עבור
SSTPTCP 443גבוהה (TLS)MikroTik, Windowsבינונירשתות עם חומות אש מחמירות
OpenVPNUDP 1194גבוהה (TLS)רחבהבינוניציים ישנים ומעורבים
WireGuardUDP 51820גבוהה מאודמכשירים מודרנייםגבוההרשתות מודרניות, ביצועים גבוהים
Tailscale / ZeroTierדינמיתגבוהה מאודרב-פלטפורמהגבוההגישת mesh מהירה, צוותים

מתי לבחור SSTP

בחרו SSTP כאשר VPN חייב לחצות פרוקסי תאגידי או NAT מחמיר, כאשר אינטגרציה עם לקוח Windows חשובה, או כאשר יציאה 443 היא היחידה הפתוחה ליציאה באופן אמין. אם מהירות גולמית חשובה יותר, WireGuard היא ברירת המחדל הטובה יותר — ראו את מדריך WireGuard.

הצעד הבא

SSTP הוא הבחירה הפרגמטית הנכונה לרשתות שקשה להגיע אליהן — הוא ממנף HTTPS כדי להישאר מחובר במקום שבו VPN אחרים נכשלים, ומעט פקודות RouterOS מגדירות גישה מרחוק אמינה.

אם הגדרת אישורים ומנהרות לכל מכשיר מרגישה כעבודה שגרתית בהיקף של צי, NATCloud של MKController מציע גישה מרחוק מרוכזת וניטור ללא ניהול PKI לכל מכשיר.

התחילו את התקופת הניסיון החינמית של MKController