コンテンツにスキップ
Blog

SSTPでのMikroTik管理ガイド

概要
SSTPはVPN通信をHTTPS(ポート443)内にトンネル化し、厳しいファイアウォールやプロキシ背後でもMikroTikへのリモートアクセスを可能にします。本ガイドではRouterOSのサーバー・クライアント設定、NAT例、セキュリティのコツ、およびSSTPが適したケースを解説します。

SSTPによる遠隔MikroTik管理

SSTP(Secure Socket Tunneling Protocol)はHTTPS内部にVPNを隠蔽します。

ポート443で動作し、通常のウェブトラフィックに溶け込みます。

これにより、ネットワークが従来のVPNポートを遮断している場合に適しています。

この記事はMikroTik RouterOS用の簡潔かつ実践的なSSTP手順を紹介します。

SSTPとは?

SSTPはPPP(Point-to-Point Protocol)をTLS/HTTPSセッション内にトンネル化します。

TLSを暗号化と認証に利用します。

ネットワーク外観からはSSTPは通常のHTTPSとほぼ区別がつきません。

そのため企業のプロキシやCGNATを通過できます。

SSTPの動作手順 — 簡単な流れ

  1. クライアントはポート443でサーバーにTLS(HTTPS)接続を開始します。
  2. サーバーはTLS証明書を提示して認証します。
  3. TLSトンネル内にPPPセッションが確立されます。
  4. 通信はエンドツーエンドで暗号化されます(設定によりAES-256)。

シンプルで信頼性が高く、遮断されにくいです。

注意: SSTPはHTTPSを使うため、他のVPNが遮断されるような制限の厳しいネットワークでも多くの場合通過可能です。

SSTPの利点と制限

利点

  • ほぼどこでも動作可能 — ファイアウォールやプロキシ環境含む。
  • 通常開放されているポート443(HTTPS)を使用。
  • 強力なTLS暗号化(最新のRouterOS/TLS設定時)。
  • WindowsおよびRouterOSでネイティブ対応。
  • 認証方法はユーザー名/パスワード、証明書、RADIUSまで柔軟。

制限

  • 軽量VPNに比べCPU負荷が高い(TLSのオーバーヘッド)。
  • 通常WireGuardよりパフォーマンスは劣る。
  • 最適な効果には有効なSSL証明書が必要。

警告: 古いTLS/SSLバージョンは安全でないので、RouterOSを最新に保ち古いTLS/SSLは無効化してください。

サーバー:MikroTikでSSTPを設定

以下は最小限のRouterOSコマンドでSSTPサーバーを作成する例です。

  1. 証明書を作成またはインポート
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. PPPプロファイルを作成
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. ユーザー(シークレット)を追加
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. SSTPサーバーを有効化
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

これでルーターはポート443で待機し、SSTP接続を受け入れます。

ヒント: Let’s Encryptなどの証明書を使うことを推奨します。自己署名証明書は検証環境では有効ですが、クライアントで警告がでます。

クライアント:リモートMikroTikでSSTPを設定

リモート機器でハブへのSSTPクライアントを追加します。

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

想定されるステータス表示:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

注意: encoding行は交渉済みの暗号を示します。最新のRouterOSではより強力な暗号をサポートしていますのでリリースノートを確認してください。

トンネル越しの内部ホストアクセス

リモートMikroTik背後のデバイス(例:192.168.88.100)へアクセスする場合はdst-natとポートマッピングを利用します。

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

ハブまたはクライアントからはSSTPトンネル経由で以下のようにアクセスします。

https://vpn.yourdomain.com:8081

通信はHTTPSトンネル経由で内部ホストへ届きます。

セキュリティとベストプラクティス

  • 有効で信頼されたTLS証明書を使用。
  • プレーンパスワードより証明書認証やRADIUS認証を推奨。
  • 可能な限り許可する送信元IPを制限。
  • RouterOSは常に最新のTLSスタックに更新。
  • 古いSSL/TLSバージョンや弱い暗号は無効化。
  • 接続ログを監視し認証情報は定期的に変更。

ヒント: 多くの機器では証明書認証の方が共有パスワードより管理しやすく安全です。

代替:VPS上のSSTPサーバー

MikroTikの代わりにVPS上でSSTPハブを構築することも可能です。

候補:

  • Windows Server(ネイティブSSTP対応)
  • SoftEther VPN(多プロトコル対応、Linux上でSSTPをサポート)

SoftEtherはプロトコルブリッジとして便利で、MikroTikやWindowsクライアントが同じハブに接続でき、各拠点にパブリックIPが不要になります。

簡単な比較

ソリューションポートセキュリティ互換性パフォーマンス適した用途
SSTP443高(TLS)MikroTik, Windows厳しいファイアウォール環境に最適
OpenVPN1194/UDP高(TLS)幅広いレガシー・混合環境向け
WireGuard51820/UDP非常に高い最新デバイス最新ネットワーク、高パフォーマンス向け
Tailscale/ZeroTier動的非常に高い複数プラットフォーム迅速なメッシュネットワーク、チーム向け

SSTPを選ぶ時

以下の条件に合う場合はSSTPが適しています:

  • コーポレートプロキシや厳しいNAT環境下でも動作必須。
  • Windowsクライアントとの簡易な統合が必要。
  • ポート443を使い、ポートブロックを回避したい。

高速性や低CPU負荷を重視するならWireGuardを検討してください。

MKControllerがお手伝いするポイント: 証明書管理やトンネル構築が面倒な場合、MKControllerのNATCloudが集中管理と監視を提供。デバイス毎のPKI作業不要で導入が簡単になります。

結論

SSTPは接続が難しいネットワーク向けの実用的なVPN選択肢です。

HTTPSを活用し、他のVPNが使えない状況でも接続可能です。

数コマンドで信頼性あるリモートアクセスを拠点やサーバー、ユーザーデバイスに構築できます。

MKControllerについて

上記の知見があなたのMikroTikとインターネット環境の理解向上に役立つことを願っています!🚀
設定調整からネットワーク管理の整理まで、MKControllerはもっとシンプルな運用を目指すあなたをサポートします。

集中クラウド管理、自動セキュリティ更新、誰でも使えるダッシュボード。運用アップグレードに必要なツールがここにあります。

👉 無料3日間トライアルはこちら — 手軽なネットワーク制御が実感できます。