Gestire il tuo Mikrotik con SSTP

Sintesi
SSTP incapsula il traffico VPN all’interno di HTTPS (porta 443), rendendo possibile l’accesso remoto a MikroTik anche dietro firewall rigidi e proxy. Questa guida mostra configurazione server e client RouterOS, esempi NAT, consigli di sicurezza e quando scegliere SSTP.

Gestione remota di MikroTik con SSTP

SSTP (Secure Socket Tunneling Protocol) nasconde una VPN all’interno di HTTPS.

Funziona sulla porta 443 e si mimetizza con il traffico web normale.

Questo lo rende ideale quando le reti bloccano le porte VPN tradizionali.

Questo post offre una guida pratica e sintetica su SSTP per MikroTik RouterOS.

Cos’è SSTP?

SSTP incapsula PPP (Point-to-Point Protocol) all’interno di una sessione TLS/HTTPS.

Usa TLS per cifratura e autenticazione.

Da una prospettiva di rete, SSTP è quasi indistinguibile da un normale HTTPS.

Per questo passa attraverso proxy aziendali e CGNAT.

Come funziona SSTP — flusso rapido

1. Il client apre una connessione TLS (HTTPS) al server sulla porta 443.
2. Il server presenta il suo certificato TLS.
3. Una sessione PPP si stabilisce all’interno del tunnel TLS.
4. Il traffico è cifrato end-to-end (AES-256 se configurato).

Semplice. Affidabile. Difficile da bloccare.

Nota: Poiché SSTP usa HTTPS, molte reti restrittive lo consentono mentre bloccano altre VPN.

Vantaggi e limitazioni

Vantaggi

• Funziona quasi ovunque — firewall e proxy inclusi.
• Usa la porta 443 (HTTPS), generalmente aperta.
• Cifratura TLS forte (con RouterOS/TLS moderni).
• Supporto nativo in Windows e RouterOS.
• Autenticazione flessibile: username/password, certificati o RADIUS.

Limitazioni

• Usa più CPU rispetto a VPN leggere (overhead TLS).
• Prestazioni solitamente inferiori a WireGuard.
• Serve un certificato SSL valido per risultati ottimali.

Attenzione: Le versioni vecchie di TLS/SSL sono insicure. Aggiorna RouterOS e disabilita TLS/SSL legacy.

Server: Configurare SSTP su MikroTik

Di seguito i comandi minimi RouterOS per creare un server SSTP.

1. Crea o importa un certificato

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Crea un profilo PPP

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Aggiungi un utente (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Attiva il server SSTP

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Ora il router ascolta sulla porta 443 e accetta connessioni SSTP.

Suggerimento: Usa un certificato di Let’s Encrypt o della tua CA — i certificati self-signed vanno bene per test in laboratorio ma generano avvisi sul client.

Client: Configurare SSTP su MikroTik remoto

Sul dispositivo remoto, aggiungi un client SSTP per connettersi al nodo centrale.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Output previsto:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Nota: La riga encoding mostra il cifrario negoziato. Le versioni moderne di RouterOS supportano cifrari più forti — verifica le note di rilascio.

Accedere a un host interno attraverso il tunnel

Se devi raggiungere un dispositivo dietro il MikroTik remoto (es. 192.168.88.100), usa dst-nat e mappatura porte.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Dal nodo centrale o da un client, accedi al dispositivo tramite endpoint tunnel SSTP e porta mappata:

https://vpn.yourdomain.com:8081

Il traffico passa attraverso il tunnel HTTPS e raggiunge l’host interno.

Sicurezza e best practice

• Usa certificati TLS validi e affidabili.
• Preferisci autenticazione con certificato o RADIUS rispetto a password semplici.
• Limita gli IP sorgente consentiti quando possibile.
• Tieni RouterOS aggiornato per usare stack TLS moderni.
• Disabilita vecchie versioni SSL/TLS e cifrari deboli.
• Monitora i log di connessione e ruota periodicamente le credenziali.

Suggerimento: Per molti dispositivi, autenticarsi con certificato è più gestibile e sicuro rispetto a password condivise.

Alternativa: server SSTP su VPS

Puoi ospitare un hub SSTP su un VPS invece che su un MikroTik.

Opzioni:

• Windows Server (supporto SSTP nativo).
• SoftEther VPN (multi-protocollo, supporta SSTP su Linux).

SoftEther è utile come ponte di protocolli. Permette a MikroTik e client Windows di collegarsi allo stesso hub senza IP pubblici su ogni sito.

Confronto rapido

Quando scegliere SSTP

Scegli SSTP quando serve una VPN che:

• Deve funzionare tramite proxy aziendali o NAT restrittivi.
• Deve integrarsi facilmente con client Windows.
• Deve usare la porta 443 per evitare blocchi.

Se punti a velocità pura e basso uso CPU, valuta WireGuard.

Dove MKController aiuta: Se configurare certificati e tunnel sembra lavoro noioso, NATCloud di MKController offre accesso remoto centralizzato e monitoraggio — niente PKI manuale per device e onboarding più semplice.

Conclusione

SSTP è una scelta pragmatica per reti difficili da raggiungere.

Sfrutta HTTPS per restare connessi dove altre VPN falliscono.

Con pochi comandi RouterOS puoi impostare accesso remoto affidabile per sedi, server e dispositivi utente.

Su MKController

Speriamo che queste informazioni ti abbiano aiutato a navigare meglio il tuo universo MikroTik e Internet! 🚀
Che tu stia perfezionando configurazioni o cercando di mettere ordine nel caos di rete, MKController è qui per semplificarti la vita.

Con gestione cloud centralizzata, aggiornamenti di sicurezza automizzati e una dashboard intuitiva, abbiamo ciò che serve per potenziare la tua operatività.

👉 Inizia ora la prova gratuita di 3 giorni su mkcontroller.com — e scopri il vero controllo di rete senza sforzi.