Remote Access
Gestione remota MikroTik con SSTP
Configura SSTP su MikroTik per tunnellizzare il traffico VPN dentro HTTPS sulla porta 443 — passa attraverso firewall rigidi, CGNAT e proxy aziendali.
Summary SSTP (Secure Socket Tunneling Protocol) avvolge PPP all’interno di una sessione TLS sulla porta TCP 443, rendendo il tunnel indistinguibile dal normale traffico HTTPS per firewall, proxy e strati CGNAT. RouterOS include un server e client SSTP completi. Questa guida copre la configurazione minima del server con cinque comandi, la corrispondente configurazione client su un MikroTik remoto, il NAT per raggiungere host LAN e la checklist di sicurezza.
Come funziona SSTP per la gestione remota di MikroTik?
SSTP è un protocollo che tunnellizza PPP all’interno di una sessione TLS/HTTPS sulla porta TCP 443. Dal punto di vista della rete, il traffico è indistinguibile da qualsiasi altra connessione HTTPS — ed è precisamente per questo che SSTP attraversa proxy aziendali, captive portal, Wi-Fi degli hotel e strati CGNAT che bloccano VPN basate su UDP. Il client apre TLS verso il server sulla 443, il server presenta il suo certificato, viene stabilita una sessione PPP all’interno del tunnel TLS, e il traffico scorre cifrato end-to-end.
Per le flotte MikroTik, SSTP è la scelta giusta quando il sito del cliente si trova dietro qualcosa che blocca qualsiasi altra VPN. Vedi la nostra guida WireGuard e la guida gestione tramite VPS.
Vantaggi e limitazioni
Punti di forza: funziona attraverso firewall e proxy restrittivi; usa la porta 443, quasi universalmente aperta; forte crittografia TLS su RouterOS moderno; supporto nativo su Windows; autenticazione flessibile (username/password, certificati o RADIUS).
Limitazioni: maggior carico CPU rispetto a VPN leggere a causa dell’overhead TLS; throughput tipicamente inferiore a WireGuard; richiede un certificato SSL valido per un comportamento client affidabile. Mantieni RouterOS aggiornato e disabilita versioni TLS obsolete.
Passo 1: Crea o importa il certificato TLS
Usa Let’s Encrypt o una CA commerciale per la produzione. L’autofirmato funziona per i test di laboratorio ma causa avvisi del client:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yesIl common-name deve corrispondere al nome host che i client useranno per connettersi.
Passo 2: Crea un profilo PPP
Il profilo definisce gli IP lato server e client che il tunnel utilizzerà:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2Passo 3: Aggiungi un PPP secret
Il secret è la credenziale per utente. Usa password lunghe o migra all’autenticazione tramite certificato per flotte più grandi:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstpPasso 4: Abilita il server SSTP
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileIl router ora ascolta sulla porta 443 e accetta connessioni SSTP.
Passo 5: Configura il client SSTP sul MikroTik remoto
Sul dispositivo remoto:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printStato atteso:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1La riga encoding mostra il cifrario negoziato. Le versioni moderne di RouterOS supportano cifrari più forti — verifica i valori di default del tuo rilascio.
Raggiungere un host interno attraverso il tunnel
Per raggiungere un dispositivo dietro il MikroTik remoto (es. 192.168.88.100), usa dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80Accedi al dispositivo tramite l’endpoint del tunnel SSTP più la porta mappata:
https://vpn.yourdomain.com:8081Il traffico scorre attraverso il tunnel in stile HTTPS e raggiunge l’host interno.
Best practice di sicurezza
- Usa certificati TLS validi e affidabili da Let’s Encrypt o da una CA commerciale.
- Preferisci l’autenticazione tramite certificato o RADIUS rispetto alle password condivise per le flotte.
- Limita gli IP di origine consentiti a livello firewall quando possibile.
- Mantieni RouterOS aggiornato per stack TLS moderni.
- Disabilita versioni SSL/TLS obsolete e cifrari deboli.
- Monitora i log di connessione e ruota le credenziali periodicamente.
Vedi la nostra guida sicurezza Winbox e la guida sicurezza device mode.
Alternativa: server SSTP su un VPS
Ospita l’hub SSTP su un VPS invece che su un MikroTik quando desideri un’aggregazione cloud stabile. Windows Server ha supporto SSTP nativo; SoftEther VPN su Linux è multi-protocollo e supporta SSTP — funziona bene come ponte tra protocolli.
SSTP rispetto ad altre opzioni VPN
| Soluzione | Porta | Sicurezza | Compatibilità | Prestazioni | Ideale per |
|---|---|---|---|---|---|
| SSTP | TCP 443 | Alta (TLS) | MikroTik, Windows | Media | Reti con firewall rigidi |
| OpenVPN | UDP 1194 | Alta (TLS) | Ampia | Media | Flotte legacy e miste |
| WireGuard | UDP 51820 | Molto alta | Dispositivi moderni | Alta | Reti moderne, alte prestazioni |
| Tailscale / ZeroTier | dinamica | Molto alta | Multi-piattaforma | Alta | Accesso mesh rapido, team |
Quando scegliere SSTP
Scegli SSTP quando la VPN deve attraversare proxy aziendali o NAT rigido, quando conta l’integrazione con client Windows, o quando la porta 443 è l’unica porta uscente affidabilmente aperta. Se la velocità grezza conta di più, WireGuard è la scelta predefinita migliore — vedi il nostro tutorial WireGuard.
Prossimo passo
SSTP è la giusta scelta pragmatica per reti difficili da raggiungere — sfrutta HTTPS per restare connesso dove altre VPN falliscono, e pochi comandi RouterOS configurano un accesso remoto affidabile.
Se configurare certificati e tunnel per dispositivo sembra lavoro ripetitivo a scala di flotta, NATCloud di MKController offre accesso remoto centralizzato e monitoraggio senza gestione PKI per dispositivo.