Upravljanje Mikrotikom putem SSTP

Sažetak
SSTP tunelira VPN promet unutar HTTPS-a (port 443), omogućujući daljinski pristup MikroTiku čak i iza strogi firewallova i proxyja. Ovaj vodič prikazuje konfiguraciju RouterOS poslužitelja i klijenta, primjere NAT-a, sigurnosne savjete i kad je SSTP pravi izbor.

Daljinsko upravljanje MikroTikom putem SSTP-a

SSTP (Secure Socket Tunneling Protocol) skriva VPN unutar HTTPS-a.

Radi preko porta 443 i stapa se s uobičajenim web prometom.

To ga čini idealnim kad mreže blokiraju uobičajene VPN portove.

Ovaj članak nudi sažet, praktičan recept za SSTP na MikroTik RouterOS-u.

Što je SSTP?

SSTP tunelira PPP (Point-to-Point Protocol) unutar TLS/HTTPS sesije.

Koristi TLS za enkripciju i autentikaciju.

Iz perspektive mreže, SSTP je gotovo neprimjetan i izgleda kao običan HTTPS.

Zato prolazi kroz korporativne proxyje i CGNAT.

Kako SSTP radi — brz tijek

1. Klijent otvara TLS (HTTPS) vezu s poslužiteljem na portu 443.
2. Poslužitelj potvrđuje svoj TLS certifikat.
3. PPP sesija se uspostavlja unutar TLS tunela.
4. Promet je end-to-end šifriran (AES-256 kad je podešeno).

Jednostavno. Pouzdano. Teško ga je blokirati.

Bilješka: Budući da SSTP koristi HTTPS, mnoge restriktivne mreže ga dopuste dok blokiraju druge VPN-ove.

Prednosti i ograničenja

Prednosti

• Radi gotovo bilo gdje — uključujući firewallove i proxyje.
• Koristi port 443 (HTTPS) koji je obično otvoren.
• Snažna TLS enkripcija (uz moderne RouterOS/TLS postavke).
• Izvorna podrška u Windowsima i RouterOS-u.
• Fleksibilna autentikacija: korisničko ime/lozinka, certifikati ili RADIUS.

Ograničenja

• Veća potrošnja CPU-a nego lagani VPN-ovi (zbog TLS režije).
• Performanse su obično slabije nego kod WireGuarda.
• Potreban valjani SSL certifikat za najbolje rezultate.

Upozorenje: Starije TLS/SSL verzije su nesigurne. Održavajte RouterOS ažurnim i onemogućite zastarjele TLS/SSL.

Poslužitelj: Konfiguracija SSTP na MikroTik-u

Ispod su minimalne RouterOS naredbe za postavljanje SSTP poslužitelja.

1. Kreirajte ili uvezite certifikat

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Kreirajte PPP profil

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Dodajte korisnika (tajnu)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Omogućite SSTP poslužitelj

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Router sada sluša na portu 443 i prihvaća SSTP veze.

Savjet: Koristite certifikat od Let’s Encrypt ili vašeg CA - samopotpisani certifikati vrijede za laboratorijske testove, ali uzrokuju upozorenja na klijentu.

Klijent: Konfiguracija SSTP na udaljenom MikroTiku

Na udaljenom uređaju dodajte SSTP klijenta za povezivanje s glavnim čvorištem.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Očekivani status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Napomena: Linija kodiranja prikazuje dogovoreni šifru. Moderni RouterOS podržavaju snažnije šifre — provjerite bilješke uz izdanje.

Pristup unutarnjem uređaju kroz tunel

Ako morate doći do uređaja iza udaljenog MikroTika (npr. 192.168.88.100), koristite dst-nat i mapiranje portova.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

S glavnog čvorišta ili klijenta pristupite uređaju preko SSTP tunel endpointa i mapiranog porta:

https://vpn.yourdomain.com:8081

Promet prolazi kroz HTTPS tunel i stiže do unutarnjeg hosta.

Sigurnost i najbolje prakse

• Koristite valjane, pouzdane TLS certifikate.
• Preferirajte autentikaciju certifikatom ili RADIUS-om umjesto običnih lozinki.
• Ograničite dopuštene izvore IP adresa gdje je moguće.
• Održavajte RouterOS ažurnim za moderne TLS protokole.
• Onemogućite stare SSL/TLS verzije i slabe šifre.
• Pratite logove veza i periodično mijenjajte pristupne podatke.

Savjet: Za mnoge uređaje, autentikacija certifikatom je lakša za upravljanje i sigurnija od zajedničkih lozinki.

Alternativa: SSTP server na VPS-u

SSTP čvorište možete postaviti i na VPS, umjesto na MikroTik.

Opcije:

• Windows Server (izvorna podrška za SSTP).
• SoftEther VPN (multi-protokol, podržava SSTP na Linuxu).

SoftEther je praktičan kao most između protokola. Omogućuje MikroTik i Windows klijentima da komuniciraju s istim čvorištem bez javnih IP adresa na svakoj lokaciji.

Brza usporedba

Kada odabrati SSTP

Odaberite SSTP kad vam treba VPN koji:

• Mora raditi kroz korporativne proxyje ili strogi NAT.
• Treba se jednostavno integrirati s Windows klijentima.
• Mora koristiti port 443 da izbjegne blokade porta.

Ako vam je bitna sirova brzina i minimalno korištenje CPU-a, razmotrite WireGuard.

Gdje MKController pomaže: Ako vam konfiguracija certifikata i tunela djeluje kao naporan posao, MKController-ova NATCloud nudi centralizirani daljinski pristup i nadzor — bez ručnog PKI-ja po uređaju i lakše uključivanje u mrežu.

Zaključak

SSTP je pragmatičan izbor za teško dostupne mreže.

Koristi HTTPS da ostane povezan tamo gdje drugi VPN-ovi zakažu.

Par RouterOS naredbi dovoljne su za pouzdani daljinski pristup poslovnicama, poslužiteljima i korisničkim uređajima.

O MKController-u

Nadamo se da su vam ovi uvidi pomogli da bolje upravljate svojim MikroTikom i Internetom! 🚀
Bilo da fino podešavate konfiguracije ili samo želite red u mrežnom kaosu, MKController je tu da vam olakša.

S centraliziranim cloud upravljanjem, automatskim sigurnosnim nadogradnjama i dashboardom kojeg svatko može savladati, imamo sve za unaprijediti vaš rad.

👉 Isprobajte besplatno 3 dana na mkcontroller.com — i uvjerite se kako izgleda pravi jednostavan nadzor mreže.