Remote Access
SSTP MikroTik attālā pārvaldība
Konfigurējiet SSTP MikroTik ierīcē, lai tunelētu VPN trafiku HTTPS iekšpusē uz porta 443 — iziet cauri stingriem ugunsmūriem, CGNAT un korporatīvajiem proxy.
Summary SSTP (Secure Socket Tunneling Protocol) ietin PPP TLS sesijā uz TCP porta 443, padarot tuneli neatšķiramu no parastās HTTPS trafiks ugunsmūriem, proxy serveriem un CGNAT slāņiem. RouterOS iekļauj pilnu SSTP serveri un klientu. Šis ceļvedis aptver minimālo piecu komandu servera iestatīšanu, attiecīgo klienta konfigurāciju attālā MikroTik, NAT LAN saimniekdatoru sasniegšanai un drošības kontrolsarakstu.
Kā SSTP darbojas MikroTik attālajai pārvaldībai?
SSTP ir protokols, kas tunelē PPP TLS/HTTPS sesijas iekšpusē uz TCP porta 443. No tīkla perspektīvas trafiks ir neatšķirama no jebkura cita HTTPS savienojuma — tieši tāpēc SSTP iziet cauri korporatīvajiem proxy, captive portāliem, viesnīcu Wi-Fi un CGNAT slāņiem, kas bloķē UDP balstītus VPN. Klients atver TLS uz serveri uz 443, serveris uzrāda savu sertifikātu, TLS tuneļa iekšpusē tiek izveidota PPP sesija un trafiks plūst šifrēts no gala līdz galam.
MikroTik flotēm SSTP ir pareizā izvēle, kad klienta vieta atrodas aiz kaut kā, kas bloķē katru citu VPN. Skatiet mūsu WireGuard ceļvedi un VPS bāzes pārvaldības ceļvedi.
Priekšrocības un ierobežojumi
Stiprās puses: darbojas caur ierobežojošiem ugunsmūriem un proxy; izmanto porta 443, kas ir gandrīz universāli atvērts; spēcīga TLS šifrēšana mūsdienu RouterOS; vietējais Windows atbalsts; elastīga autentifikācija (lietotājvārds/parole, sertifikāti vai RADIUS).
Ierobežojumi: lielāka CPU slodze nekā vieglajiem VPN TLS pieskaitāmo izmaksu dēļ; caurlaidspēja parasti zemāka par WireGuard; uzticamai klienta darbībai nepieciešams derīgs SSL sertifikāts. Uzturiet RouterOS atjauninātu un atspējojiet vecās TLS versijas.
1. solis: Izveidojiet vai importējiet TLS sertifikātu
Produkcijai izmantojiet Let’s Encrypt vai komerciālu CA. Pašparakstīts darbojas laboratorijas testēšanai, bet izraisa klienta brīdinājumus:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yescommon-name jāatbilst saimniekdatora vārdam, ko klienti izmantos savienojumam.
2. solis: Izveidojiet PPP profilu
Profils definē servera un klienta puses IP, ko izmantos tunelis:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.23. solis: Pievienojiet PPP secret
Secret ir akreditācijas dati katram lietotājam. Izmantojiet garas paroles vai migrējiet uz sertifikāta autentifikāciju lielākām flotēm:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp4. solis: Iespējojiet SSTP serveri
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileMaršrutētājs tagad klausās uz porta 443 un pieņem SSTP savienojumus.
5. solis: Konfigurējiet SSTP klientu attālā MikroTik
Attālajā ierīcē:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printGaidāmais statuss:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1encoding rinda parāda sarunās panākto šifru. Mūsdienu RouterOS versijas atbalsta spēcīgākus šifrus — pārbaudiet sava izlaiduma noklusējuma iestatījumus.
Iekšējā saimniekdatora sasniegšana caur tuneli
Lai sasniegtu ierīci aiz attālā MikroTik (piem., 192.168.88.100), izmantojiet dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80Piekļūstiet ierīcei caur SSTP tuneļa galapunktu un kartēto portu:
https://vpn.yourdomain.com:8081Trafiks plūst caur HTTPS stila tuneli un sasniedz iekšējo saimniekdatoru.
Drošības labākās prakses
- Izmantojiet derīgus, uzticamus TLS sertifikātus no Let’s Encrypt vai komerciāla CA.
- Flotēm dodiet priekšroku sertifikāta vai RADIUS autentifikācijai, nevis koplietotām parolēm.
- Ja iespējams, ierobežojiet atļautos avota IP ugunsmūra slānī.
- Uzturiet RouterOS atjauninātu mūsdienu TLS pakām.
- Atspējojiet vecās SSL/TLS versijas un vājus šifrus.
- Uzraugiet savienojuma žurnālus un periodiski rotējiet akreditācijas datus.
Skatiet mūsu Winbox drošības ceļvedi un device mode drošības ceļvedi.
Alternatīva: SSTP serveris uz VPS
Mitiniet SSTP centru uz VPS, nevis MikroTik, kad vēlaties stabilu mākoņa puses agregāciju. Windows Server ir vietējais SSTP atbalsts; SoftEther VPN uz Linux ir daudzprotokolu un atbalsta SSTP — labi darbojas kā protokola tilts.
SSTP pretstatā citām VPN opcijām
| Risinājums | Ports | Drošība | Saderība | Veiktspēja | Vislabāk priekš |
|---|---|---|---|---|---|
| SSTP | TCP 443 | Augsta (TLS) | MikroTik, Windows | Vidēja | Tīkliem ar stingriem ugunsmūriem |
| OpenVPN | UDP 1194 | Augsta (TLS) | Plaša | Vidēja | Mantotas un jauktas flotes |
| WireGuard | UDP 51820 | Ļoti augsta | Mūsdienu ierīces | Augsta | Mūsdienu tīkli, augsta veiktspēja |
| Tailscale / ZeroTier | dinamisks | Ļoti augsta | Daudzplatformu | Augsta | Ātra mesh piekļuve, komandas |
Kad izvēlēties SSTP
Izvēlieties SSTP, kad VPN jāšķērso korporatīvie proxy vai stingrs NAT, kad svarīga Windows klienta integrācija vai kad porta 443 ir vienīgais uzticamā atvērtais izejošais ports. Ja jēlais ātrums svarīgāks, WireGuard ir labāka noklusējuma izvēle — skatiet mūsu WireGuard apmācību.
Nākamais solis
SSTP ir pareizā pragmatiskā izvēle grūti sasniedzamiem tīkliem — tas izmanto HTTPS, lai paliktu savienots tur, kur citi VPN neizdodas, un dažas RouterOS komandas iestata uzticamu attālo piekļuvi.
Ja sertifikātu un ierīču tuneļu konfigurēšana flotes mērogā šķiet aizņemts darbs, MKController NATCloud piedāvā centralizētu attālo piekļuvi un uzraudzību bez PKI pārvaldības katrai ierīcei.