Remote Access
Manajemen Jarak Jauh MikroTik via SSTP
Konfigurasikan SSTP di MikroTik untuk menyalurkan lalu lintas VPN dalam HTTPS pada port 443 — melewati firewall ketat, CGNAT, dan proxy korporat.
Summary SSTP (Secure Socket Tunneling Protocol) membungkus PPP di dalam sesi TLS pada port TCP 443, membuat terowongan tidak dapat dibedakan dari lalu lintas HTTPS normal bagi firewall, proxy, dan lapisan CGNAT. RouterOS menyertakan server dan klien SSTP yang lengkap. Panduan ini mencakup pengaturan server minimum lima perintah, konfigurasi klien yang sesuai pada MikroTik jarak jauh, NAT untuk menjangkau host LAN, dan daftar periksa keamanan.
Bagaimana SSTP bekerja untuk manajemen jarak jauh MikroTik?
SSTP adalah protokol yang menyalurkan PPP di dalam sesi TLS/HTTPS pada port TCP 443. Dari perspektif jaringan, lalu lintas tidak dapat dibedakan dari koneksi HTTPS lainnya — itulah sebabnya SSTP melewati proxy korporat, captive portal, Wi-Fi hotel, dan lapisan CGNAT yang memblokir VPN berbasis UDP. Klien membuka TLS ke server di 443, server menyajikan sertifikatnya, sesi PPP dibangun di dalam terowongan TLS, dan lalu lintas mengalir terenkripsi ujung-ke-ujung.
Untuk armada MikroTik, SSTP adalah pilihan yang tepat ketika lokasi pelanggan berada di belakang sesuatu yang memblokir setiap VPN lain. Lihat panduan WireGuard kami dan panduan manajemen melalui VPS.
Kelebihan dan keterbatasan
Kekuatan: bekerja melalui firewall dan proxy yang membatasi; menggunakan port 443, hampir selalu terbuka; enkripsi TLS yang kuat di RouterOS modern; dukungan native di Windows; autentikasi fleksibel (username/password, sertifikat, atau RADIUS).
Keterbatasan: CPU lebih tinggi daripada VPN ringan karena overhead TLS; throughput biasanya lebih rendah daripada WireGuard; membutuhkan sertifikat SSL yang valid untuk perilaku klien yang andal. Jaga RouterOS tetap diperbarui dan nonaktifkan versi TLS lama.
Langkah 1: Buat atau impor sertifikat TLS
Gunakan Let’s Encrypt atau CA komersial untuk produksi. Self-signed bekerja untuk pengujian lab tetapi menyebabkan peringatan klien:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yescommon-name harus cocok dengan nama host yang akan digunakan klien untuk terhubung.
Langkah 2: Buat profil PPP
Profil mendefinisikan IP sisi server dan klien yang akan digunakan terowongan:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2Langkah 3: Tambahkan PPP secret
Secret adalah kredensial per-pengguna. Gunakan kata sandi panjang atau bermigrasi ke autentikasi sertifikat untuk armada yang lebih besar:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstpLangkah 4: Aktifkan server SSTP
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileRouter sekarang mendengarkan pada port 443 dan menerima koneksi SSTP.
Langkah 5: Konfigurasi klien SSTP di MikroTik jarak jauh
Pada perangkat jarak jauh:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printStatus yang diharapkan:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1Baris encoding menampilkan cipher yang dinegosiasikan. Versi RouterOS modern mendukung cipher yang lebih kuat — verifikasi default rilis Anda.
Mencapai host internal melalui terowongan
Untuk menjangkau perangkat di belakang MikroTik jarak jauh (mis. 192.168.88.100), gunakan dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80Akses perangkat melalui endpoint terowongan SSTP plus port yang dipetakan:
https://vpn.yourdomain.com:8081Lalu lintas mengalir melalui terowongan bergaya HTTPS dan mencapai host internal.
Praktik terbaik keamanan
- Gunakan sertifikat TLS valid dan tepercaya dari Let’s Encrypt atau CA komersial.
- Untuk armada, lebih utamakan autentikasi sertifikat atau RADIUS daripada kata sandi bersama.
- Batasi IP sumber yang diizinkan di lapisan firewall jika memungkinkan.
- Jaga RouterOS tetap diperbarui untuk stack TLS modern.
- Nonaktifkan versi SSL/TLS lama dan cipher lemah.
- Pantau log koneksi dan rotasi kredensial secara berkala.
Lihat panduan keamanan Winbox kami dan panduan keamanan device mode.
Alternatif: server SSTP di VPS
Host hub SSTP di VPS alih-alih MikroTik ketika Anda ingin agregasi sisi cloud yang stabil. Windows Server memiliki dukungan SSTP native; SoftEther VPN di Linux multi-protokol dan mendukung SSTP — bekerja baik sebagai jembatan protokol.
SSTP versus opsi VPN lainnya
| Solusi | Port | Keamanan | Kompatibilitas | Performa | Terbaik untuk |
|---|---|---|---|---|---|
| SSTP | TCP 443 | Tinggi (TLS) | MikroTik, Windows | Menengah | Jaringan dengan firewall ketat |
| OpenVPN | UDP 1194 | Tinggi (TLS) | Luas | Menengah | Armada lama dan campuran |
| WireGuard | UDP 51820 | Sangat tinggi | Perangkat modern | Tinggi | Jaringan modern, performa tinggi |
| Tailscale / ZeroTier | dinamis | Sangat tinggi | Multi-platform | Tinggi | Akses mesh cepat, tim |
Kapan memilih SSTP
Pilih SSTP saat VPN harus melewati proxy korporat atau NAT ketat, saat integrasi klien Windows penting, atau saat port 443 adalah satu-satunya port keluar yang andal terbuka. Jika kecepatan mentah lebih penting, WireGuard adalah default yang lebih baik — lihat tutorial WireGuard kami.
Langkah berikutnya
SSTP adalah pilihan pragmatis yang tepat untuk jaringan yang sulit dijangkau — memanfaatkan HTTPS agar tetap terhubung di mana VPN lain gagal, dan beberapa perintah RouterOS mengatur akses jarak jauh yang andal.
Jika mengkonfigurasi sertifikat dan terowongan per-perangkat terasa seperti pekerjaan sibuk dalam skala armada, NATCloud dari MKController menawarkan akses jarak jauh terpusat dan pemantauan tanpa pengelolaan PKI per-perangkat.