SSTP MikroTik távoli kezelés

Summary Az SSTP (Secure Socket Tunneling Protocol) a PPP-t egy TLS-munkamenetbe csomagolja a TCP 443-as porton, így a alagút megkülönböztethetetlen a normál HTTPS-forgalomtól a tűzfalak, proxyk és CGNAT-rétegek számára. A RouterOS teljes SSTP-szervert és -klienst tartalmaz. Ez az útmutató lefedi a minimális öt parancsos szerverbeállítást, a megfelelő ügyfélkonfigurációt egy távoli MikroTikon, a NAT-ot a LAN-hosztokhoz való hozzáféréshez és a biztonsági ellenőrzőlistát.

Hogyan működik az SSTP MikroTik távoli kezeléshez?

Az SSTP egy protokoll, amely a PPP-t TLS/HTTPS-munkamenetbe csomagolja a TCP 443-as porton. A hálózat szempontjából a forgalom megkülönböztethetetlen bármely más HTTPS-kapcsolattól — pontosan ezért megy át az SSTP a vállalati proxykön, captive portálokon, hotel-Wi-Fin és CGNAT-rétegeken, amelyek blokkolják az UDP-alapú VPN-eket. Az ügyfél TLS-t nyit a szerver felé a 443-on, a szerver bemutatja a tanúsítványát, PPP-munkamenet jön létre a TLS-alagúton belül, és a forgalom titkosítva folyik végponttól végpontig.

MikroTik flották esetén az SSTP a megfelelő választás, ha az ügyfélhely valami olyan mögött van, ami minden más VPN-t blokkol. Lásd a WireGuard-útmutatónkat és a VPS-alapú kezelési útmutatót.

Előnyök és korlátok

Erősségek: működik korlátozó tűzfalakon és proxykön keresztül; a 443-as portot használja, amely szinte mindenhol nyitva van; erős TLS-titkosítás modern RouterOS-en; natív támogatás Windowson; rugalmas hitelesítés (felhasználónév/jelszó, tanúsítványok vagy RADIUS).

Korlátok: magasabb CPU-terhelés, mint a könnyű VPN-ek a TLS többletköltsége miatt; az áteresztőképesség jellemzően alacsonyabb, mint a WireGuardé; megbízható ügyfélviselkedéshez érvényes SSL-tanúsítvány szükséges. Tartsa naprakészen a RouterOS-t és tiltsa le a régi TLS-verziókat.

1. lépés: Hozza létre vagy importálja a TLS-tanúsítványt

Használjon Let’s Encryptet vagy kereskedelmi CA-t éles használatra. Saját aláírású működik labor tesztekhez, de ügyfélfigyelmeztetéseket okoz:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

A common-name-nek meg kell egyeznie a hosztnévvel, amelyet az ügyfelek a csatlakozáshoz használnak.

2. lépés: Hozzon létre PPP-profilt

A profil meghatározza a szerver- és ügyféloldali IP-ket, amelyeket az alagút használ:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. lépés: Adjon hozzá PPP secretet

A secret a felhasználónkénti hitelesítő adat. Használjon hosszú jelszavakat, vagy térjen át tanúsítványalapú hitelesítésre nagyobb flották esetén:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. lépés: Engedélyezze az SSTP-szervert

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

A router most a 443-as porton hallgat, és elfogadja az SSTP-kapcsolatokat.

5. lépés: Konfigurálja az SSTP-klienst a távoli MikroTikon

A távoli eszközön:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Elvárt állapot:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Az encoding sor mutatja a tárgyalt rejtjelet. A modern RouterOS-verziók erősebb rejtjeleket támogatnak — ellenőrizze a kiadása alapértelmezéseit.

Belső hoszt elérése az alagúton keresztül

Egy eszköz eléréséhez a távoli MikroTik mögött (pl. 192.168.88.100) használja a dst-nat-ot:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Érje el az eszközt az SSTP-alagút végpontján és a leképezett porton keresztül:

https://vpn.yourdomain.com:8081

A forgalom HTTPS-stílusú alagúton folyik át, és eléri a belső hosztot.

Biztonsági legjobb gyakorlatok

• Használjon érvényes, megbízható TLS-tanúsítványokat a Let’s Encrypttől vagy kereskedelmi CA-tól.
• Flották esetén részesítse előnyben a tanúsítvány- vagy RADIUS-hitelesítést a megosztott jelszavakkal szemben.
• Korlátozza az engedélyezett forrás-IP-ket a tűzfal szintjén, ahol lehetséges.
• Tartsa naprakészen a RouterOS-t a modern TLS-stackekhez.
• Tiltsa le a régi SSL/TLS-verziókat és gyenge rejtjeleket.
• Figyelje a kapcsolatnaplókat és időszakonként cserélje a hitelesítő adatokat.

Lásd a Winbox biztonsági útmutatónkat és a device mode biztonsági útmutatót.

Alternatíva: SSTP-szerver VPS-en

Hosztolja az SSTP-elosztót VPS-en MikroTik helyett, ha stabil felhőoldali aggregációt szeretne. A Windows Server natív SSTP-támogatással rendelkezik; a SoftEther VPN Linuxon több protokollt támogat, beleértve az SSTP-t — jól működik protokoll-hídként.

SSTP a többi VPN-opcióval szemben

Mikor válassza az SSTP-t

Válassza az SSTP-t, ha a VPN-nek át kell mennie vállalati proxykön vagy szigorú NAT-on, ha a Windows-ügyfél integráció számít, vagy ha a 443-as port az egyetlen megbízhatóan nyitott kimenő port. Ha nyers sebesség fontosabb, a WireGuard a jobb alapértelmezett — lásd a WireGuard oktatóanyagunkat.

Következő lépés

Az SSTP a megfelelő pragmatikus választás nehezen elérhető hálózatokhoz — HTTPS-t használ a kapcsolat fenntartására ott, ahol más VPN-ek elbuknak, és néhány RouterOS-parancs megbízható távoli hozzáférést állít be.

Ha a tanúsítványok és eszközönkénti alagutak konfigurálása flottaméretben elfoglalt munkának érződik, az MKController NATCloud központosított távoli hozzáférést és felügyeletet kínál eszközönkénti PKI-kezelés nélkül.

Kezdje el ingyenes MKController próbáját