SSTP로 MikroTik 원격 관리

Summary SSTP (Secure Socket Tunneling Protocol)는 TCP 포트 443의 TLS 세션 내부에 PPP를 래핑하여, 방화벽, 프록시, CGNAT 계층에 대해 터널을 일반 HTTPS 트래픽과 구별할 수 없게 만듭니다. RouterOS는 완전한 SSTP 서버와 클라이언트를 포함합니다. 이 가이드는 5개 명령으로 구성된 최소 서버 설정, 원격 MikroTik의 해당 클라이언트 구성, 터널을 통한 LAN 호스트 접근을 위한 NAT, 보안 체크리스트를 다룹니다.

SSTP는 MikroTik 원격 관리에 어떻게 작동합니까?

SSTP는 TCP 포트 443의 TLS/HTTPS 세션 내부에서 PPP를 터널링하는 프로토콜입니다. 네트워크 관점에서 트래픽은 다른 HTTPS 연결과 구별할 수 없으며, 정확히 이것이 SSTP가 기업 프록시, 캡티브 포털, 호텔 Wi-Fi, UDP 기반 VPN을 차단하는 CGNAT 계층을 통과하는 이유입니다. 클라이언트는 443에서 서버로 TLS를 열고, 서버는 인증서를 제시하며, TLS 터널 내부에 PPP 세션이 설정되고, 트래픽은 종단 간 암호화되어 흐릅니다.

MikroTik 플릿의 경우, 고객 사이트가 다른 모든 VPN을 차단하는 무언가 뒤에 있을 때 SSTP가 올바른 선택입니다. WireGuard 가이드와 VPS 기반 관리 가이드를 참조하세요.

장점과 한계

강점: 제한적인 방화벽과 프록시를 통해 작동; 거의 보편적으로 열려 있는 포트 443 사용; 최신 RouterOS의 강력한 TLS 암호화; Windows의 네이티브 지원; 유연한 인증 (사용자 이름/암호, 인증서 또는 RADIUS).

한계: TLS 오버헤드로 인해 경량 VPN보다 높은 CPU 부하; 처리량은 일반적으로 WireGuard보다 낮음; 신뢰할 수 있는 클라이언트 동작을 위해 유효한 SSL 인증서가 필요합니다. RouterOS를 최신 상태로 유지하고 이전 TLS 버전을 비활성화하세요.

1단계: TLS 인증서 생성 또는 가져오기

프로덕션에는 Let’s Encrypt 또는 상용 CA를 사용하세요. 자체 서명은 실험실 테스트에 작동하지만 클라이언트 경고를 발생시킵니다:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name은 클라이언트가 연결에 사용할 호스트 이름과 일치해야 합니다.

2단계: PPP 프로필 생성

프로필은 터널이 사용할 서버 측과 클라이언트 측 IP를 정의합니다:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3단계: PPP secret 추가

secret은 사용자별 자격 증명입니다. 긴 암호를 사용하거나 더 큰 플릿의 경우 인증서 인증으로 마이그레이션하세요:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4단계: SSTP 서버 활성화

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

라우터는 이제 포트 443에서 수신 대기하고 SSTP 연결을 수락합니다.

5단계: 원격 MikroTik에서 SSTP 클라이언트 구성

원격 장치에서:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

예상 상태:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

encoding 행은 협상된 암호를 보여줍니다. 최신 RouterOS 버전은 더 강력한 암호를 지원합니다 — 릴리스의 기본값을 확인하세요.

터널을 통해 내부 호스트 접근

원격 MikroTik 뒤의 장치(예: 192.168.88.100)에 도달하려면 dst-nat를 사용하세요:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

SSTP 터널 엔드포인트와 매핑된 포트를 통해 장치에 액세스합니다:

https://vpn.yourdomain.com:8081

트래픽은 HTTPS 스타일 터널을 통해 흐르고 내부 호스트에 도달합니다.

보안 모범 사례

• Let’s Encrypt 또는 상용 CA의 유효하고 신뢰할 수 있는 TLS 인증서를 사용하세요.
• 플릿의 경우 공유 암호보다 인증서 또는 RADIUS 인증을 선호하세요.
• 가능한 경우 방화벽 계층에서 허용된 소스 IP를 제한하세요.
• 최신 TLS 스택을 위해 RouterOS를 최신 상태로 유지하세요.
• 이전 SSL/TLS 버전과 약한 암호를 비활성화하세요.
• 연결 로그를 모니터링하고 자격 증명을 주기적으로 교체하세요.

Winbox 보안 가이드와 device mode 보안 가이드를 참조하세요.

대안: VPS의 SSTP 서버

안정적인 클라우드 측 집계를 원할 때 MikroTik 대신 VPS에 SSTP 허브를 호스팅하세요. Windows Server는 네이티브 SSTP 지원이 있으며, Linux의 SoftEther VPN은 다중 프로토콜이며 SSTP를 지원합니다 — 프로토콜 브리지로 잘 작동합니다.

SSTP와 다른 VPN 옵션 비교

SSTP를 선택할 때

VPN이 기업 프록시 또는 엄격한 NAT를 통과해야 할 때, Windows 클라이언트 통합이 중요할 때, 또는 포트 443이 안정적으로 열린 유일한 송신 포트일 때 SSTP를 선택하세요. 원시 속도가 더 중요한 경우 WireGuard가 더 나은 기본값입니다 — WireGuard 튜토리얼을 참조하세요.

다음 단계

SSTP는 도달하기 어려운 네트워크에 대한 올바른 실용적 선택입니다 — HTTPS를 활용하여 다른 VPN이 실패하는 곳에서 연결을 유지하며, 몇 가지 RouterOS 명령으로 신뢰할 수 있는 원격 액세스를 설정합니다.

인증서와 장치별 터널 구성이 플릿 규모에서 바쁜 작업처럼 느껴진다면, MKController의 NATCloud는 장치별 PKI 관리 없이 중앙 집중식 원격 액세스와 모니터링을 제공합니다.

무료 MKController 평가판 시작