MikroTik pārvaldība ar SSTP protokolu

Kopsavilkums
SSTP tunelē VPN trafiku iekš HTTPS (ports 443), padarot attālinātu MikroTik piekļuvi iespējamu pat aiz stingriem ugunsmūriem un starpniekserveriem. Šis ceļvedis rāda RouterOS servera un klienta iestatīšanu, NAT piemērus, drošības padomus un situācijas, kad SSTP ir piemērots risinājums.

Attālā MikroTik pārvaldība ar SSTP

SSTP (Secure Socket Tunneling Protocol) slēpj VPN iekš HTTPS.

Tas darbojas portā 443 un saplūst ar parasto tīmekļa trafiku.

Tas padara to ideāli piemērotu, kad tīkli bloķē tradicionālos VPN portus.

Šis raksts sniedz kodolīgu, praktisku SSTP recepti MikroTik RouterOS.

Kas ir SSTP?

SSTP tunelē PPP (Point-to-Point Protocol) iekš TLS/HTTPS sesijas.

Tas izmanto TLS šifrēšanai un autentifikācijai.

No tīkla viedokļa SSTP ir gandrīz neatšķirams no parasta HTTPS.

Tāpēc tas droši šķērso korporatīvos starpniekserverus un CGNAT.

Kā darbojas SSTP — ātrs pārskats

1. Klients atver TLS (HTTPS) savienojumu ar serveri portā 443.
2. Servers pierāda savu TLS sertifikātu.
3. PPP sesija tiek izveidota TLS tunelī.
4. Trafiks tiek šifrēts gala līdz galam (AES-256, ja konfigurēts).

Vienkārši. Uzticami. Grūti bloķēt.

Piezīme: Tā kā SSTP izmanto HTTPS, daudzi ierobežojoši tīkli to atļaus, kamēr bloķē citus VPN.

Priekšrocības un ierobežojumi

Priekšrocības

• Darbojas gandrīz jebkur — arī aiz ugunsmūriem un starpniekserveriem.
• Izmanto portu 443 (HTTPS), kas parasti ir atvērts.
• Stipra TLS šifrēšana (izmantojot mūsdienīgu RouterOS/TLS konfigurāciju).
• Iebūvēta atbalsta Windows un RouterOS.
• Elastīga autentifikācija: lietotājvārds/parole, sertifikāti vai RADIUS.

Ierobežojumi

• Lielāka CPU slodze nekā vieglākiem VPN (TLS papildu slodze).
• Parasti zemāks ātrums nekā WireGuard.
• Nepieciešams derīgs SSL sertifikāts labākajiem rezultātiem.

Brīdinājums: Vecākas TLS/SSL versijas ir nedrošas. Regulāri atjauniniet RouterOS un atslēdziet novecojušas TLS/SSL versijas.

Serveris: SSTP iestatīšana MikroTik

Zemāk ir minimālas RouterOS komandas SSTP servera izveidei.

1. Izveidojiet vai importējiet sertifikātu

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Izveidojiet PPP profilu

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Pievienojiet lietotāju (slepeni)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Aktivizējiet SSTP serveri

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Tagad maršrutētājs klausās portā 443 un pieņem SSTP savienojumus.

Padoms: Izmantojiet sertifikātu no Let’s Encrypt vai jūsu CA — pašparakstīti der tikai testiem, klienti brīdinās.

Klients: SSTP iestatīšana attālajā MikroTik

Attālajā ierīcē pievienojiet SSTP klientu, lai pieslēgtos centrmezglam.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Sagaidāmais statuss:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Piezīme: Kods norāda izmantoto šifru. Mūsdienīgas RouterOS versijas atbalsta spēcīgākas šifras — pārbaudiet atjauninājumu piezīmes.

Piekļuve iekšējam hostam caur tuneli

Ja jāpieņem ierīce aiz attālā MikroTik (piemēram, 192.168.88.100), lietojiet dst-nat un porta pāradresāciju.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

No centrmezgla vai klienta piekļūstiet ierīcei caur SSTP tuneli un pārdēvēto portu:

https://vpn.yourdomain.com:8081

Trafiks plūst caur HTTPS tuneli un sasniedz iekšējo hostu.

Drošība un labākā prakse

• Lietojiet derīgus, uzticamus TLS sertifikātus.
• Dodiet priekšroku sertifikāta vai RADIUS autentifikācijai, nevis tikai parolēm.
• Ierobežojiet atļautos avotu IP, ja iespējams.
• Regulāri atjauniniet RouterOS mūsdienīgām TLS versijām.
• Atslēdziet vecās SSL/TLS versijas un vājās šifras.
• Monitorējiet savienojumu žurnālus un regulāri mainiet piekļuves datus.

Padoms: Daudzām ierīcēm autentifikācija ar sertifikātu ir pārvaldāmāka un drošāka nekā koplietotas paroles.

Alternatīva: SSTP serveris VPS

Jūs varat izvietot SSTP centrmezglu VPS vietā, nevis MikroTik.

Iespējas:

• Windows Server (iebūvēts SSTP atbalsts).
• SoftEther VPN (daudzprotokolu, atbalsta SSTP Linux).

SoftEther ir noderīgs kā protokola tilts. Tas ļauj MikroTik un Windows klientiem savienoties ar to pašu centrmezglu bez publiskām IP katrā vietā.

Ātra salīdzināšana

Kad izvēlēties SSTP

Izvēlieties SSTP, ja jums vajadzīgs VPN, kas:

• Darbojas caur korporatīvajiem starpniekserveriem vai stingru NAT.
• Vieglāk integrējas ar Windows klientiem.
• Lieto portu 443, lai izvairītos no portu bloķēšanas.

Ja prioritāte ir ātrums un zema CPU slodze, labāk apsveriet WireGuard.

Kur palīdz MKController: Ja sertifikātu un tunelēšanas iestatīšana šķiet sarežģīta, MKController NATCloud nodrošina centralizētu attālinātu piekļuvi un uzraudzību — bez manuālās PKI konfigurācijas katrai ierīcei un vienkāršāku ieslēgšanu.

Nobeigums

SSTP ir pragmatisks risinājums grūti sasniedzamiem tīkliem.

Tas izmanto HTTPS, lai uzturētu savienojumu tur, kur citi VPN neizdodas.

Ar dažām RouterOS komandām varat nodrošināt uzticamu attālinātu piekļuvi filiālēm, serveriem un lietotāju ierīcēm.

Par MKController

Cerams, ka augstāk sniegtās atziņas palīdzēja jums labāk pārvaldīt savu MikroTik un interneta pasauli! 🚀
Neatkarīgi no tā, vai tiecaties uzlabot konfigurācijas vai vienkārši ievietot kārtību tīkla pārvaldībā, MKController ir šeit, lai atvieglotu jūsu darbu.

Ar centralizētu mākoņa pārvaldību, automātiskiem drošības atjauninājumiem un lietotājam draudzīgu vadības paneli, mēs piedāvājam risinājumu jūsu darbības uzlabošanai.

👉 Sāciet bezmaksas 3 dienu izmēģinājumu tagad vietnē mkcontroller.com — un redziet, cik vienkārša patiesībā ir tīkla pārvaldība.