Mengelola MikroTik Anda dengan SSTP

Ringkasan
SSTP menyalurkan lalu lintas VPN di dalam HTTPS (port 443), memungkinkan akses MikroTik jarak jauh bahkan di balik firewall dan proxy ketat. Panduan ini menunjukkan pengaturan server dan klien RouterOS, contoh NAT, tip keamanan, dan kapan SSTP menjadi pilihan tepat.

Manajemen MikroTik Jarak Jauh dengan SSTP

SSTP (Secure Socket Tunneling Protocol) menyembunyikan VPN di dalam HTTPS.

Ia bekerja melalui port 443 dan menyatu dengan lalu lintas web biasa.

Ini membuatnya ideal saat jaringan memblokir port VPN tradisional.

Tulisan ini memberikan resep SSTP singkat dan praktis untuk MikroTik RouterOS.

Apa itu SSTP?

SSTP menyalurkan PPP (Point-to-Point Protocol) di dalam sesi TLS/HTTPS.

Ia menggunakan TLS untuk enkripsi dan autentikasi.

Dari sudut pandang jaringan, SSTP hampir tak bisa dibedakan dari HTTPS biasa.

Karena itu, SSTP bisa melewati proxy korporasi dan CGNAT.

Cara kerja SSTP — alur singkat

1. Klien membuka koneksi TLS (HTTPS) ke server pada port 443.
2. Server membuktikan sertifikat TLS-nya.
3. Sesi PPP dibuat di dalam tunnel TLS.
4. Lalu lintas dienkripsi ujung ke ujung (AES-256 saat dikonfigurasi).

Sederhana. Andal. Sulit diblokir.

Catatan: Karena SSTP menggunakan HTTPS, banyak jaringan ketat mengizinkannya meski memblokir VPN lain.

Keunggulan dan batasan

Keunggulan

• Berfungsi hampir di mana saja — termasuk di balik firewall dan proxy.
• Menggunakan port 443 (HTTPS) yang biasanya terbuka.
• Enkripsi TLS kuat (dengan pengaturan RouterOS/TLS modern).
• Dukungan asli di Windows dan RouterOS.
• Autentikasi fleksibel: username/password, sertifikat, atau RADIUS.

Batasan

• Penggunaan CPU lebih tinggi dibanding VPN ringan (biaya TLS).
• Performa biasanya lebih rendah dari WireGuard.
• Memerlukan sertifikat SSL valid untuk hasil terbaik.

Peringatan: Versi TLS/SSL lama tidak aman. Selalu perbarui RouterOS dan nonaktifkan TLS/SSL usang.

Server: Konfigurasikan SSTP di MikroTik

Berikut perintah RouterOS minimal untuk membuat server SSTP.

1. Buat atau impor sertifikat

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Buat profil PPP

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Tambah pengguna (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Aktifkan server SSTP

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Sekarang router mendengarkan di port 443 dan menerima koneksi SSTP.

Tip: Gunakan sertifikat dari Let’s Encrypt atau CA Anda — sertifikat self-signed cocok untuk tes lab tapi menimbulkan peringatan klien.

Klien: Konfigurasikan SSTP di MikroTik jarak jauh

Pada perangkat jarak jauh, tambahkan klien SSTP untuk terhubung kembali ke hub.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Output status yang diharapkan:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Catatan: Baris encoding menunjukkan cipher yang dinegosiasikan. Versi RouterOS modern mendukung cipher lebih kuat — cek catatan rilis Anda.

Akses host internal melalui tunnel

Jika perlu mengakses perangkat di balik MikroTik jarak jauh (misal 192.168.88.100), gunakan dst-nat dan pemetaan port.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Dari hub atau klien, akses perangkat lewat titik akhir tunnel SSTP dan port yang dipetakan:

https://vpn.yourdomain.com:8081

Lalu lintas melewati tunnel HTTPS dan mencapai host internal.

Keamanan dan praktik terbaik

• Gunakan sertifikat TLS yang valid dan terpercaya.
• Utamakan autentikasi sertifikat atau RADIUS daripada password biasa.
• Batasi IP sumber yang diizinkan bila memungkinkan.
• Perbarui RouterOS untuk mendapatkan TLS stack terbaru.
• Nonaktifkan versi SSL/TLS dan cipher lemah yang usang.
• Pantau log koneksi dan ganti kredensial secara berkala.

Tip: Untuk banyak perangkat, autentikasi dengan sertifikat lebih mudah dikelola dan lebih aman daripada password bersama.

Alternatif: Server SSTP di VPS

Anda bisa hosting hub SSTP di VPS selain MikroTik.

Pilihan:

• Windows Server (dukungan SSTP bawaan).
• SoftEther VPN (multi-protokol, suport SSTP di Linux).

SoftEther berguna sebagai jembatan protokol. Ini memungkinkan MikroTik dan klien Windows terhubung ke hub yang sama tanpa IP publik di tiap lokasi.

Perbandingan cepat

Kapan memilih SSTP

Pilih SSTP jika perlu VPN yang:

• Harus bisa lewat proxy korporasi atau NAT ketat.
• Mudah terintegrasi dengan klien Windows.
• Perlu menggunakan port 443 untuk menghindari pemblokiran port.

Jika butuh kecepatan tinggi dan penggunaan CPU minimal, pertimbangkan WireGuard.

Bagaimana MKController membantu: Jika pengaturan sertifikat dan tunnel terasa rumit, NATCloud dari MKController menawarkan akses jarak jauh terpusat dan monitoring—tanpa PKI manual per perangkat dan onboarding lebih mudah.

Kesimpulan

SSTP adalah pilihan praktis untuk jaringan yang sulit dijangkau.

Ia memanfaatkan HTTPS agar tetap terhubung di situasi VPN lain gagal.

Dengan beberapa perintah RouterOS, Anda dapat membuat akses jarak jauh yang andal untuk cabang, server, dan perangkat pengguna.

Tentang MKController

Semoga wawasan di atas membantu Anda menavigasi dunia MikroTik dan Internet dengan lebih baik! 🚀
Baik Anda menyetel konfigurasi atau hanya mencoba mengatur kekacauan jaringan, MKController ada untuk memudahkan hidup Anda.

Dengan manajemen cloud terpusat, pembaruan keamanan otomatis, dan dashboard yang mudah digunakan, kami siap meningkatkan operasional Anda.

👉 Mulai uji coba gratis 3 hari Anda sekarang di mkcontroller.com — dan lihat bagaimana kontrol jaringan yang mudah sebenarnya.