SSTP로 Mikrotik 원격 관리하기
요약
SSTP는 VPN 트래픽을 HTTPS(포트 443) 내부에 터널링하여 엄격한 방화벽과 프록시 뒤에서도 MikroTik 원격 접속을 가능하게 합니다. 이 가이드에는 RouterOS 서버 및 클라이언트 설정, NAT 예시, 보안 팁과 SSTP 사용 적합 시점이 포함되어 있습니다.
SSTP를 활용한 원격 MikroTik 관리
SSTP(Secure Socket Tunneling Protocol)는 VPN을 HTTPS 내부에 숨깁니다.
포트 443을 통해 작동하며 일반 웹 트래픽과 섞여 전송됩니다.
이로 인해 기존 VPN 포트를 차단하는 네트워크 환경에서 이상적입니다.
이 글은 MikroTik RouterOS용 간결하고 실용적인 SSTP 설정법을 제공합니다.
SSTP란 무엇인가?
SSTP는 TLS/HTTPS 세션 내에 PPP(Point-to-Point Protocol)를 터널링합니다.
암호화와 인증에 TLS를 사용합니다.
네트워크 관점에서는 SSTP가 일반 HTTPS와 거의 구분되지 않습니다.
이 덕분에 기업 프록시와 CGNAT을 무리 없이 통과합니다.
SSTP 작동 원리 — 간단 흐름
- 클라이언트가 포트 443에서 TLS(HTTPS) 연결을 서버에 엽니다.
- 서버가 TLS 인증서를 증명합니다.
- TLS 터널 내부에서 PPP 세션이 설정됩니다.
- 트래픽은 종단 간 암호화됩니다 (설정 시 AES-256).
간단하고 신뢰할 수 있으며 차단이 어렵습니다.
참고: SSTP는 HTTPS를 사용하므로 많은 제한적 네트워크가 다른 VPN은 차단해도 SSTP는 허용합니다.
장점과 한계
장점
- 거의 모든 환경에서 작동 — 방화벽과 프록시 포함.
- 일반적으로 개방된 포트 443(HTTPS) 사용.
- 강력한 TLS 암호화 (최신 RouterOS/TLS 설정 시).
- Windows와 RouterOS에서 네이티브 지원.
- 유연한 인증: 사용자명/비밀번호, 인증서, 또는 RADIUS.
한계
- 경량 VPN보다 CPU 사용량이 높음 (TLS 오버헤드).
- WireGuard보다 성능이 대체로 낮음.
- 최상의 결과를 위해 유효한 SSL 인증서 필요.
경고: 구버전 TLS/SSL은 보안에 취약합니다. RouterOS를 최신으로 유지하고 레거시 TLS/SSL을 비활성화하세요.
서버: MikroTik에서 SSTP 설정
아래는 최소한의 RouterOS 명령어로 SSTP 서버를 만드는 방법입니다.
- 인증서 생성 또는 가져오기
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yes- PPP 프로필 생성
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2- 사용자(비밀) 추가
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp- SSTP 서버 활성화
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile이제 라우터가 포트 443에서 SSTP 연결을 받아들입니다.
팁: Let’s Encrypt나 자체 CA에서 발급한 인증서를 사용하세요 — 자체 서명 인증서는 실습용으로는 괜찮지만 클라이언트 경고를 유발합니다.
클라이언트: 원격 MikroTik에서 SSTP 설정
원격 장비에서 허브로 연결할 SSTP 클라이언트를 추가합니다.
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client print예상 상태 출력:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1참고: encoding 라인은 협상된 암호화를 보여줍니다. 최신 RouterOS 버전은 더 강한 암호화를 지원하니 릴리즈 노트를 확인하세요.
터널 너머 내부 호스트 접속
원격 MikroTik 뒤 장비(예: 192.168.88.100)에 접속하려면 dst-nat과 포트 매핑을 사용하세요.
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80허브나 클라이언트에서 SSTP 터널 엔드포인트와 매핑된 포트를 통해 접속:
https://vpn.yourdomain.com:8081트래픽은 HTTPS 터널을 지나 내부 호스트에 도달합니다.
보안 및 최선의 실천법
- 유효하고 신뢰할 수 있는 TLS 인증서 사용.
- 기본 비밀번호 대신 인증서 또는 RADIUS 인증 선호.
- 가능하면 허용된 출발지 IP 제한.
- 최신 TLS 스택을 위해 RouterOS 업데이트 유지.
- 오래된 SSL/TLS 버전과 약한 암호화 비활성화.
- 연결 로그 모니터링 및 정기적인 자격증명 갱신.
팁: 다수 장치에서는 인증서 기반 인증이 공유 비밀번호보다 관리 및 보안 측면에서 우수합니다.
대안: VPS에서 SSTP 서버 운영
MikroTik 대신 VPS에 SSTP 허브를 설치할 수도 있습니다.
옵션:
- Windows Server (네이티브 SSTP 지원).
- SoftEther VPN (다중 프로토콜, Linux용 SSTP 지원).
SoftEther는 프로토콜 브리지로 유용합니다. MikroTik과 Windows 클라이언트가 각 사이트에 공개 IP 없이 동일 허브와 통신할 수 있습니다.
빠른 비교
| 솔루션 | 포트 | 보안 | 호환성 | 성능 | 적합한 환경 |
|---|---|---|---|---|---|
| SSTP | 443 | 높음 (TLS) | MikroTik, Windows | 중간 | 엄격한 방화벽 네트워크 |
| OpenVPN | 1194/UDP | 높음 (TLS) | 광범위 | 중간 | 구형/혼합 환경 |
| WireGuard | 51820/UDP | 매우 높음 | 최신 장치 | 높음 | 최신 네트워크, 고성능 |
| Tailscale/ZeroTier | 동적 | 매우 높음 | 멀티 플랫폼 | 높음 | 빠른 메쉬 접근, 팀용 |
SSTP 선택 시기
다음과 같은 VPN이 필요할 때 SSTP를 선택하세요:
- 기업 프록시나 엄격한 NAT 환경에서도 작동해야 할 때.
- Windows 클라이언트와의 쉬운 연동이 필요할 때.
- 포트 차단을 피하기 위해 443 포트 사용이 필수일 때.
빠른 속도와 낮은 CPU 사용이 더 중요하다면 WireGuard를 고려하세요.
MKController가 도움을 드립니다: 인증서 및 터널 설정이 번거롭다면 MKController의 NATCloud가 중앙집중식 원격 접속과 모니터링을 제공합니다 — 장치별 수동 PKI 없고 간편한 온보딩 지원.
결론
SSTP는 접속하기 어려운 네트워크에 실용적인 솔루션입니다.
HTTPS를 활용해 다른 VPN이 실패하는 환경에서도 연결을 유지합니다.
몇 가지 RouterOS 명령어로 지사, 서버, 사용자 장치에 신뢰성 높은 원격 접속을 구축할 수 있습니다.
MKController 소개
위 정보를 통해 MikroTik과 인터넷 환경을 보다 원활히 관리하시길 바랍니다! 🚀
구성을 다듬거나 복잡한 네트워크를 정리하는 과정에서, MKController가 여러분의 작업을 간단하게 만들어 드립니다.
중앙 집중 클라우드 관리, 자동 보안 업데이트, 누구나 쉽게 다룰 수 있는 대시보드를 통해 운영을 한 단계 업그레이드하세요.
👉 지금 mkcontroller.com에서 무료 3일 체험 시작하기 — 진정한 네트워크 제어의 편리함을 경험해보세요.