MikroTik valdymas su SSTP tuneliu

Santrauka
SSTP tuneluoja VPN srautą per HTTPS (443 prievadą), leidžiant patikimai pasiekti MikroTik nuotoliniu būdu net už griežtų ugniasienių ar proxy. Šis vadovas apima RouterOS serverio ir kliento nustatymus, NAT pavyzdžius, saugumo patarimus ir SSTP pritaikomumą.

Nuotolinis MikroTik valdymas naudojant SSTP

SSTP (Secure Socket Tunneling Protocol) įkapsuliuoja VPN HTTPS viduje.

Veikia per 443 prievadą ir dera su įprastu interneto srautu.

Tai idealu tinklams, blokuojantiems tradicinius VPN prievadus.

Šiame įraše rasite trumpą ir praktišką SSTP diegimo instrukciją MikroTik RouterOS.

Kas yra SSTP?

SSTP tuneluoja PPP (Point-to-Point Protocol) TLS/HTTPS sesijoje.

Naudoja TLS šifravimui ir autentifikavimui.

Tinkle SSTP beveik nesiskiria nuo įprasto HTTPS.

Todėl jis praeina korporacinius proxy ir CGNAT tinklus.

Kaip veikia SSTP — trumpas srautas

1. Klientas užmezga TLS (HTTPS) ryšį su serveriu per 443 prievadą.
2. Serveris pateikia TLS sertifikatą.
3. PPP sesija užmezgama TLS tunelio viduje.
4. Srautas šifruojamas nuo galo iki galo (kai sukonfigūruota, AES-256).

Paprasta. Patikima. Sunku užblokuoti.

Pastaba: Kadangi SSTP naudoja HTTPS, daug griežtų tinklų jį leidžia, blokuodami kitus VPN.

Privalumai ir trūkumai

Privalumai

• Veikia beveik bet kur — įskaitant ugniasienes ir proxy serverius.
• Naudoja 443 prievadą (HTTPS), kuris dažnai būna atviras.
• Stiprus TLS šifravimas (su moderniais RouterOS/TLS nustatymais).
• Natūrali palaikymas Windows ir RouterOS aplinkose.
• Lanksti autentifikacija: vartotojo vardas/sluoksnis, sertifikatai arba RADIUS.

Trūkumai

• Didesnis CPU naudojimas nei lengvi VPN (dėl TLS overhead).
• Dažnai veikimas lėtesnis nei WireGuard.
• Reikia galiojančio SSL sertifikato geriausiems rezultatams.

Įspėjimas: Senesnės TLS/SSL versijos nėra saugios. Laikykite RouterOS atnaujintą ir išjunkite pasenusius TLS/SSL.

Serveris: SSTP konfigūracija MikroTik

Žemiau minimalūs RouterOS komandos SSTP serveriui sukurti.

1. Sukurkite arba importuokite sertifikatą

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Sukurkite PPP profilį

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Pridėkite vartotoją (slaptazodį)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Įjunkite SSTP serverį

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Dabar maršrutizatorius klausysis 443 prievade ir priims SSTP jungtis.

Patarimas: Naudokite sertifikatą iš Let’s Encrypt ar kitos CA — savarankiškai pasirašyti tinka tik laboratoriniams testams, bet klientams kelia perspėjimus.

Klientas: SSTP konfigūracija nuotoliniame MikroTik

Nuotoliniame įrenginyje pridėkite SSTP klientą ryšiui su centru.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Laukiamas statuso išvestis:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Pastaba: encoding rodo sutartą šifrą. Modernios RouterOS versijos palaiko stipresnius šifrus — tikrinkite savo versijos naujienas.

Pasiekite vidinį įrenginį per tunelį

Jei reikia pasiekti įrenginį už nuotolinio MikroTik (pvz., 192.168.88.100), naudokite dst-nat ir prievado persiuntimą.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Nuo centro arba kliento pasiekti per SSTP tunelio galą ir prievadą:

https://vpn.yourdomain.com:8081

Srautas eina per HTTPS tunelį iki vidinio įrenginio.

Saugumas ir geriausios praktikos

• Naudokite galiojančius, patikimus TLS sertifikatus.
• Verčiau naudokite sertifikatų arba RADIUS autentifikaciją, o ne paprastus slaptažodžius.
• Apribokite leistinas šaltinio IP, jei įmanoma.
• Laikykite RouterOS atnaujintą su moderniais TLS paketais.
• Išjunkite senas SSL/TLS versijas ir silpnus šifrus.
• Stebėkite prijungimo žurnalus ir periodiškai keiskite kredencialus.

Patarimas: Daugumai įrenginių autentiacija sertifikatu yra patogesnė ir saugesnė nei bendrinami slaptažodžiai.

Alternatyva: SSTP serveris VPS

SSTP centrą galite hostinti VPS vietoj MikroTik.

Galimybės:

• Windows Server (natūralus SSTP palaikymas).
• SoftEther VPN (daugiafunkcinis, palaiko SSTP Linux aplinkoje).

SoftEther – naudingas kaip protokolo tiltas. Leidžia MikroTik ir Windows klientams jungtis prie to paties centro be viešo IP kiekviename biure.

Greitas palyginimas

Kada rinktis SSTP

Pasirinkite SSTP, jei VPN:

• Turi veikti per korporacinius proxy ar griežtą NAT.
• Turi lengvai integruotis su Windows klientais.
• Privalo naudoti 443 prievadą, kad būtų išvengta blokavimo.

Jei svarbus didelis greitis ir mažas CPU naudojimas, geriau rinkitės WireGuard.

Kur padeda MKController: Jei sertifikatų ir tunelių konfigūravimas atrodo sudėtingas, MKController NATCloud suteikia centralizuotą nuotolinę prieigą ir stebėseną — be rankinio PKI kiekvienam įrenginiui ir paprastesnį įvedimą.

Išvada

SSTP – pragmatiškas pasirinkimas sunkiai pasiekiamiems tinklams.

Jis naudoja HTTPS ryšiui išlaikyti ten, kur kiti VPN nepavyksta.

Su keliais RouterOS įrašais galite sukurti patikimą nuotolinį prieigą filialams, serveriams ar naudotojų įrenginiams.

Apie MKController

Tikiuosi, ši informacija padėjo geriau suprasti jūsų MikroTik ir interneto pasaulį! 🚀
Nesvarbu, ar tobulinate konfigūracijas, ar tiesiog tvarkote tinklo chaosą, MKController yra čia, kad palengvintų jūsų darbą.

Su centralizuotu debesies valdymu, automatizuotais saugumo atnaujinimais ir valdymo skydeliu, kuriuo gali naudotis bet kas – turime viską, ko reikia jūsų tinklo veiklos pagerinimui.

👉 Pradėkite 3 dienų nemokamą bandomąją versiją dabar svetainėje mkcontroller.com — pamatykite, kaip paprastai galima valdyti tinklą.