Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP MikroTik nuotolinis valdymas

Sukonfigūruokite SSTP MikroTike, kad VPN srautas tuneliuotųsi HTTPS viduje 443 prievade — praeina pro ugniasienius, CGNAT ir įmonių proxy.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) suvyniojo PPP į TLS sesiją TCP 443 prievade, todėl tunelis ugniasienėms, proxy serveriams ir CGNAT sluoksniams atrodo neatskiriamas nuo įprasto HTTPS srauto. RouterOS turi pilną SSTP serverį ir klientą. Šis vadovas aprašo minimalų penkių komandų serverio nustatymą, atitinkamą kliento konfigūraciją nuotoliniame MikroTik, NAT LAN hostams pasiekti ir saugumo kontrolinį sąrašą.

Kaip SSTP veikia MikroTik nuotoliniam valdymui?

SSTP yra protokolas, kuris tuneliuoja PPP TLS/HTTPS sesijos viduje TCP 443 prievade. Iš tinklo perspektyvos srautas yra neatskiriamas nuo bet kurio kito HTTPS ryšio — būtent todėl SSTP praeina per įmonių proxy, captive portalus, viešbučio Wi-Fi ir CGNAT sluoksnius, kurie blokuoja UDP pagrindu veikiančius VPN. Klientas atidaro TLS į serverį 443, serveris pateikia savo sertifikatą, TLS tunelio viduje sukuriama PPP sesija ir srautas teka šifruotas nuo galo iki galo.

MikroTik flotilėms SSTP yra teisingas pasirinkimas, kai kliento svetainė yra už kažko, kas blokuoja kiekvieną kitą VPN. Žiūrėkite mūsų WireGuard vadovą ir VPS pagrindu valdymo vadovą.

Privalumai ir apribojimai

Stiprybės: veikia per ribojančius ugniasienius ir proxy; naudoja 443 prievadą, kuris beveik visur atviras; stiprus TLS šifravimas šiuolaikiniame RouterOS; vietinis Windows palaikymas; lankstus autentifikavimas (vartotojo vardas/slaptažodis, sertifikatai arba RADIUS).

Apribojimai: didesnė CPU apkrova nei lengvi VPN dėl TLS pridėtinių sąnaudų; pralaidumas paprastai mažesnis nei WireGuard; reikalingas galiojantis SSL sertifikatas patikimam kliento elgesiui. Atnaujinkite RouterOS ir išjunkite senas TLS versijas.

1 žingsnis: Sukurkite arba importuokite TLS sertifikatą

Gamybai naudokite Let’s Encrypt arba komercinę CA. Savai pasirašyta veikia laboratoriniam testavimui, bet sukelia kliento įspėjimus:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name turi atitikti hosto pavadinimą, kurį klientai naudos prisijungti.

2 žingsnis: Sukurkite PPP profilį

Profilis apibrėžia serverio ir kliento puses IP, kuriuos naudos tunelis:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3 žingsnis: Pridėkite PPP secret

Secret yra kredencialas kiekvienam vartotojui. Naudokite ilgus slaptažodžius arba pereikite prie sertifikato autentifikavimo didesnėms flotilėms:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4 žingsnis: Įgalinkite SSTP serverį

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Maršrutizatorius dabar klausosi 443 prievado ir priima SSTP ryšius.

5 žingsnis: Sukonfigūruokite SSTP klientą nuotoliniame MikroTik

Nuotoliniame įrenginyje:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Laukiamas statusas:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

encoding eilutė rodo derybų metu sutartą šifrą. Šiuolaikinės RouterOS versijos palaiko stipresnius šifrus — patikrinkite leidimo numatytuosius nustatymus.

Pasiekite vidinį hostą per tunelį

Norėdami pasiekti įrenginį už nuotolinio MikroTik (pvz., 192.168.88.100), naudokite dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Pasiekite įrenginį per SSTP tunelio galinį tašką ir žemėlapio prievadą:

https://vpn.yourdomain.com:8081

Srautas teka per HTTPS stiliaus tunelį ir pasiekia vidinį hostą.

Geriausios saugumo praktikos

  • Naudokite galiojančius, patikimus TLS sertifikatus iš Let’s Encrypt arba komercinės CA.
  • Flotilėms pirmenybę teikite sertifikato arba RADIUS autentifikavimui, o ne bendriems slaptažodžiams.
  • Kai įmanoma, ribokite leidžiamus šaltinio IP ugniasienio sluoksnyje.
  • Atnaujinkite RouterOS šiuolaikiniams TLS rinkiniams.
  • Išjunkite senas SSL/TLS versijas ir silpnus šifrus.
  • Stebėkite ryšio žurnalus ir periodiškai keiskite kredencialus.

Žiūrėkite mūsų Winbox saugumo vadovą ir device mode saugumo vadovą.

Alternatyva: SSTP serveris VPS

Talpinkite SSTP centrą VPS, o ne MikroTik, kai norite stabilaus debesies pusės agregavimo. Windows Server turi vietinį SSTP palaikymą; SoftEther VPN Linux yra daugiaprotokolinis ir palaiko SSTP — gerai veikia kaip protokolų tiltas.

SSTP prieš kitas VPN parinktis

SprendimasPrievadasSaugumasSuderinamumasNašumasGeriausia
SSTPTCP 443Aukštas (TLS)MikroTik, WindowsVidutinisTinklams su griežtais ugniasieniais
OpenVPNUDP 1194Aukštas (TLS)PlatusVidutinisSenos ir mišrios flotilės
WireGuardUDP 51820Labai aukštasŠiuolaikiniai įreng.AukštasŠiuolaikiniai tinklai, aukštas našumas
Tailscale / ZeroTierdinaminisLabai aukštasDaugiaplatforminisAukštasGreita mesh prieiga, komandos

Kada rinktis SSTP

Rinkitės SSTP, kai VPN turi pereiti įmonės proxy arba griežtą NAT, kai svarbi Windows kliento integracija arba kai 443 prievadas yra vienintelis patikimai atviras išeinantis prievadas. Jei svarbesnis žalias greitis, WireGuard yra geresnis numatytasis pasirinkimas — žiūrėkite mūsų WireGuard pamoką.

Kitas žingsnis

SSTP yra teisingas pragmatinis pasirinkimas sunkiai pasiekiamiems tinklams — jis naudoja HTTPS, kad išliktų prijungtas ten, kur kiti VPN nepavyksta, ir keletas RouterOS komandų nustato patikimą nuotolinę prieigą.

Jei sertifikatų ir įrenginių tunelių konfigūravimas atrodo kaip užimtas darbas flotilės mastu, MKController NATCloud siūlo centralizuotą nuotolinę prieigą ir stebėjimą be PKI valdymo kiekvienam įrenginiui.

Pradėkite nemokamą MKController bandymą