Skip to content
Blog

MikroTik kezelés SSTP-vel

Összefoglaló
Az SSTP VPN-forgalmat HTTPS-tunnelen (443-as porton) továbbít, így távoli MikroTik elérés tűzfalak és proxyk mögött is megvalósítható. Ez az útmutató bemutatja a RouterOS szerver- és kliens konfigurálását, NAT példákat, biztonsági tippeket és mikor érdemes SSTP-t választani.

Távoli MikroTik kezelés SSTP-vel

Az SSTP (Secure Socket Tunneling Protocol) VPN-t rejt HTTPS-be.

A 443-as porton működik és a normál webforgalomhoz hasonló.

Ezért ideális olyan hálózatokban, ahol a hagyományos VPN portokat blokkolják.

Ez a bejegyzés egy tömör, gyakorlatias SSTP receptet ad MikroTik RouterOS-hez.

Mi az SSTP?

Az SSTP PPP-t (Point-to-Point Protocol) TLS/HTTPS kapcsolatba tunnelál.

TLS-t használ titkosításra és hitelesítésre.

A hálózat szempontjából az SSTP alig különböztethető meg a normál HTTPS-től.

Ezért halad át vállalati proxykon és CGNAT-on is.

Hogyan működik az SSTP — gyors áttekintés

  1. A kliens TLS (HTTPS) kapcsolatot nyit a szerver felé a 443-as porton.
  2. A szerver igazolja a TLS tanúsítványát.
  3. PPP kapcsolat jön létre a TLS tunnel belsejében.
  4. A forgalom végponttól végpontig titkosított (AES-256, ha konfigurálva van).

Egyszerű. Megbízható. Nehezen blokkolható.

Megjegyzés: Az SSTP HTTPS-t használ, ezért sok korlátozó hálózat engedélyezi, miközben más VPN-eket blokkol.

Előnyök és korlátok

Előnyök

  • Szinte bárhol működik — tűzfalak és proxyk között is.
  • A 443-as (HTTPS) portot általában engedélyezik.
  • Erős TLS titkosítás (modern RouterOS/TLS beállításokkal).
  • Natív támogatás Windowsban és RouterOS-ben.
  • Rugalmas hitelesítés: felhasználónév/jelszó, tanúsítvány, vagy RADIUS.

Korlátok

  • Magasabb CPU-terhelés, mint könnyű VPN-eknél (TLS többlet).
  • Teljesítménye általában alacsonyabb, mint a WireGuardé.
  • Érvényes SSL tanúsítvány szükséges a legjobb működéshez.

Figyelem: Régebbi TLS/SSL verziók nem biztonságosak. Tartsd naprakészen RouterOS-ed és tiltsd le a régi TLS/SSL verziókat.

Szerver: SSTP beállítása MikroTik-en

Alább a minimális RouterOS parancsok egy SSTP szerver létrehozásához.

  1. Tanúsítvány létrehozása vagy importálása
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. PPP profil létrehozása
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. Felhasználó hozzáadása (secret)
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. SSTP szerver engedélyezése
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Most a router figyel a 443-as porton és fogadja az SSTP kapcsolatokat.

Tipp: Használj Let’s Encrypt vagy saját CA tanúsítványt — az önaláírt tanúsítvány labor tesztekhez jó, de kliens figyelmeztetést okoz.

Kliens: SSTP beállítása távoli MikroTik-en

A távoli eszközön adj hozzá SSTP klienst, hogy kapcsolódjon a központi szerverhez.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Várt státuszkimenet:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Megjegyzés: Az encoding sor a megállapodott titkosítást mutatja. A modern RouterOS verziók erősebb kódolásokat támogatnak — ellenőrizd a kiadási jegyzeteidet.

Belső hoszthoz hozzáférés a tunnel-en keresztül

Ha egy a távoli MikroTik mögötti eszközhöz (például 192.168.88.100) szeretnél hozzáférni, használj dst-nat és porttérképezést.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

A központi szerverről vagy kliensről így érheted el az eszközt az SSTP tunnel végpontján és a leképezett porton:

https://vpn.yourdomain.com:8081

A forgalom az HTTPS tunnel-en átjut és eléri a belső gépet.

Biztonság és legjobb gyakorlatok

  • Használj érvényes, megbízható TLS tanúsítványokat.
  • Előnyben részesített hitelesítés: tanúsítvány vagy RADIUS a sima jelszó helyett.
  • Ha lehet, korlátozd a forrás IP-címeket.
  • Tartsd naprakészen RouterOS-ed, hogy a legújabb TLS csomagokat használd.
  • Tiltsd le a régi SSL/TLS verziókat és gyenge titkosításokat.
  • Figyeld a csatlakozási naplókat és időszakosan cseréld a hitelesítő adatokat.

Tipp: Sok eszköznél az tanúsítványos hitelesítés kezelhetőbb és biztonságosabb, mint megosztott jelszavak használata.

Alternatíva: SSTP szerver VPS-en

Az SSTP központi szervert VPS-en is futtathatod MikroTik helyett.

Lehetőségek:

  • Windows Server (natív SSTP támogatás).
  • SoftEther VPN (több protokoll, SSTP támogatással Linuxon).

A SoftEther praktikus protokoll-híd, így MikroTik és Windows kliensek egyazon hubhoz csatlakozhatnak anélkül, hogy minden helyszínen publikus IP-re lenne szükség.

Gyors összehasonlítás

MegoldásPortBiztonságKompatibilitásTeljesítményIdeális felhasználás
SSTP443Magas (TLS)MikroTik, WindowsKözepesSzigorú tűzfalas hálózatok
OpenVPN1194/UDPMagas (TLS)SzéleskörűKözepesRégebbi vegyes hálózatok
WireGuard51820/UDPNagyon magasModern eszközökMagasModern hálózatok, nagy teljesítmény
Tailscale/ZeroTierdinamikusNagyon magasTöbb platformMagasGyors mesh hozzáférés, csapatok

Mikor válaszd az SSTP-t

SSTP-t válassz, ha olyan VPN-re van szükséged, amely:

  • Működik vállalati proxykon vagy szigorú NAT mögött.
  • Egyszerűen integrálható Windows kliensekkel.
  • A 443-as portot kell használnod a portblokkolás elkerülésére.

Ha elsődleges a sebesség és a minimális CPU terhelés, inkább a WireGuardot válaszd.

Hogyan segít a MKController: Ha a tanúsítványok és tunnel konfigurálása túl bonyolult, a MKController NATCloud-centralizált távoli elérést és felügyeletet kínál — nincs szükség minden eszközre külön PKI-ra, egyszerű az üzembe helyezés.

Összefoglalás

Az SSTP ésszerű választás a nehezen elérhető hálózatoknál.

HTTPS-en keresztül marad kapcsolatban ott, ahol más VPN-ek megbuknak.

Néhány RouterOS paranccsal megbízható távoli elérést állíthatsz be irodáknak, szervereknek és felhasználói eszközöknek.

A MKController-ről

Reméljük, a fenti ismeretek segítettek jobban eligazodni MikroTik és internetes világodban! 🚀
Akár konfigurációkat finomítasz, akár csak rendet próbálsz teremteni a hálózati káoszban, a MKController megkönnyíti az életed.

Központosított felhőmenedzsmenttel, automatikus biztonsági frissítésekkel és bárki által könnyen kezelhető irányítópulttal rendelkezünk, hogy a működésedet fejlesszük.

👉 Indítsd el ingyenes, 3 napos próbaidőszakodat most a mkcontroller.com oldalon — és tapasztald meg, milyen az igazi egyszerű hálózatkezelés.