Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP udaljeno upravljanje MikroTikom

Konfigurirajte SSTP na MikroTiku za tuneliranje VPN prometa unutar HTTPS-a na portu 443 — prolazi kroz stroge vatrozide, CGNAT i korporativne proxyje.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) omotava PPP unutar TLS sesije na TCP portu 443, čineći tunel nerazlikovljivim od običnog HTTPS prometa za vatrozide, proxyje i CGNAT slojeve. RouterOS uključuje potpuni SSTP server i klijent. Ovaj vodič pokriva minimalnu konfiguraciju servera od pet naredbi, odgovarajuću konfiguraciju klijenta na udaljenom MikroTiku, NAT za pristup LAN domaćinima i sigurnosnu kontrolnu listu.

Kako SSTP radi za udaljeno upravljanje MikroTikom?

SSTP je protokol koji tunelira PPP unutar TLS/HTTPS sesije na TCP portu 443. Iz perspektive mreže, promet je nerazlikovljiv od bilo koje druge HTTPS veze — upravo zato SSTP prolazi kroz korporativne proxyje, captive portale, hotelske Wi-Fi i CGNAT slojeve koji blokiraju UDP VPN-ove. Klijent otvara TLS prema serveru na 443, server prezentira svoj certifikat, uspostavlja se PPP sesija unutar TLS tunela, a promet teče enkriptiran od kraja do kraja.

Za MikroTik flote, SSTP je pravi izbor kada se klijentska lokacija nalazi iza nečega što blokira svaki drugi VPN. Pogledajte naš WireGuard vodič i vodič za upravljanje putem VPS-a.

Prednosti i ograničenja

Prednosti: radi kroz restriktivne vatrozide i proxyje; koristi port 443, gotovo univerzalno otvoren; jaka TLS enkripcija na modernom RouterOS-u; nativna podrška u Windowsima; fleksibilna autentifikacija (korisničko ime/lozinka, certifikati ili RADIUS).

Ograničenja: veći CPU od laganih VPN-ova zbog TLS overheada; propusnost obično niža od WireGuarda; potreban valjan SSL certifikat za pouzdano ponašanje klijenta. Održavajte RouterOS ažuriranim i onemogućite stare TLS verzije.

Korak 1: Stvorite ili uvezite TLS certifikat

Koristite Let’s Encrypt ili komercijalni CA za produkciju. Samopotpisani radi za laboratorijske testove ali uzrokuje upozorenja klijenta:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name se mora podudarati s imenom domaćina koje će klijenti koristiti za povezivanje.

Korak 2: Stvorite PPP profil

Profil definira IP adrese servera i klijenta koje će tunel koristiti:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Korak 3: Dodajte PPP secret

Secret je vjerodajnica po korisniku. Koristite duge lozinke ili migrirajte na autentifikaciju certifikatom za veće flote:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Korak 4: Omogućite SSTP server

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Ruter sada sluša na portu 443 i prihvaća SSTP veze.

Korak 5: Konfigurirajte SSTP klijent na udaljenom MikroTiku

Na udaljenom uređaju:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Očekivano stanje:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Redak encoding prikazuje dogovorenu šifru. Moderne verzije RouterOS-a podržavaju jače šifre — provjerite zadane vrijednosti svoje verzije.

Pristup internom domaćinu kroz tunel

Za pristup uređaju iza udaljenog MikroTika (npr. 192.168.88.100), koristite dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Pristupite uređaju preko krajnje točke SSTP tunela i mapiranog porta:

https://vpn.yourdomain.com:8081

Promet teče kroz tunel u stilu HTTPS-a i dolazi do internog domaćina.

Najbolje prakse sigurnosti

  • Koristite valjane, pouzdane TLS certifikate od Let’s Encrypta ili komercijalnog CA.
  • Preferirajte autentifikaciju certifikatom ili RADIUS-om umjesto dijeljenih lozinki za flote.
  • Ograničite dopuštene izvorne IP adrese na sloju vatrozida kada je moguće.
  • Održavajte RouterOS ažuriranim za moderne TLS stogove.
  • Onemogućite stare verzije SSL/TLS i slabe šifre.
  • Pratite zapise veza i periodično rotirajte vjerodajnice.

Pogledajte naš Winbox vodič sigurnosti i vodič sigurnosti device modea.

Alternativa: SSTP server na VPS-u

Hostirajte SSTP čvorište na VPS-u umjesto na MikroTiku kada želite stabilnu cloud agregaciju. Windows Server ima nativnu SSTP podršku; SoftEther VPN na Linuxu je višeprotokolan i podržava SSTP — radi dobro kao most protokola.

SSTP nasuprot drugim VPN opcijama

RješenjePortSigurnostKompatibilnostPerformanseNajbolje za
SSTPTCP 443Visoka (TLS)MikroTik, WindowsSrednjeMreže sa strogim vatrozidima
OpenVPNUDP 1194Visoka (TLS)ŠirokaSrednjeStare i mješovite flote
WireGuardUDP 51820Vrlo visokaModerni uređajiVisokaModerne mreže, visoke performanse
Tailscale / ZeroTierdinamičanVrlo visokaMulti-platformaVisokaBrzi mesh pristup, timovi

Kada odabrati SSTP

Odaberite SSTP kada VPN mora proći kroz korporativne proxyje ili strogi NAT, kada je integracija s Windows klijentom važna, ili kada je port 443 jedini pouzdano otvoreni izlazni port. Ako sirova brzina znači više, WireGuard je bolji zadani izbor — pogledajte naš WireGuard tutorijal.

Sljedeći korak

SSTP je pravi pragmatični izbor za teško dostupne mreže — koristi HTTPS da bi ostao spojen tamo gdje drugi VPN-ovi padaju, a nekoliko RouterOS naredbi postavlja pouzdani udaljeni pristup.

Ako se konfiguriranje certifikata i tunela po uređaju čini kao zaposleni posao u skali flote, NATCloud od MKController nudi centralizirani udaljeni pristup i nadzor bez upravljanja PKI-jem po uređaju.

Započnite svoju besplatnu MKController probu