Administrer Mikrotik med SSTP

Sammendrag
SSTP tunneler VPN-trafikk inne i HTTPS (port 443), noe som gjør fjernadgang til MikroTik mulig selv bak strenge brannmurer og proxyer. Denne guiden viser RouterOS-server- og klientoppsett, NAT-eksempler, sikkerhetstips og når SSTP er riktig valg.

Fjernadministrasjon av MikroTik med SSTP

SSTP (Secure Socket Tunneling Protocol) skjuler en VPN inni HTTPS.

Den fungerer over port 443 og blandes med vanlig nettrafikk.

Dette gjør den ideell når nettverk blokkerer tradisjonelle VPN-porter.

Denne artikkelen gir en kort og praktisk SSTP-oppskrift for MikroTik RouterOS.

Hva er SSTP?

SSTP tunneler PPP (Point-to-Point Protocol) inne i en TLS/HTTPS-økt.

Den bruker TLS for kryptering og autentisering.

Fra nettverkets synspunkt er SSTP nesten umulig å skille fra vanlig HTTPS.

Derfor kommer den gjennom bedriftsproxyer og CGNAT.

Hvordan SSTP fungerer — rask flyt

1. Klienten åpner en TLS (HTTPS)-tilkobling til serveren på port 443.
2. Serveren beviser sitt TLS-sertifikat.
3. En PPP-økt etableres inne i TLS-tunnelen.
4. Trafikken krypteres ende-til-ende (AES-256 ved konfigurering).

Enkelt. Pålitelig. Vanskelig å blokkere.

Merk: Fordi SSTP bruker HTTPS, vil mange restriktive nettverk tillate det mens de blokkerer andre VPN-er.

Fordeler og begrensninger

Fordeler

• Fungerer nesten overalt — inkludert brannmurer og proxyer.
• Bruker port 443 (HTTPS) som vanligvis er åpen.
• Sterk TLS-kryptering (ved bruk av moderne RouterOS/TLS-innstillinger).
• Naturlig støtte i Windows og RouterOS.
• Fleksibel autentisering: brukernavn/passord, sertifikater eller RADIUS.

Begrensninger

• Høyere CPU-bruk enn lettvekts VPN-er (TLS-overhead).
• Ytelse er vanligvis lavere enn WireGuard.
• Krever gyldig SSL-sertifikat for best resultat.

Advarsel: Eldre TLS/SSL-versjoner er usikre. Hold RouterOS oppdatert og deaktiver gamle TLS/SSL-versjoner.

Server: Konfigurer SSTP på en MikroTik

Nedenfor er minimalkommandoene i RouterOS for å opprette en SSTP-server.

1. Lag eller importer et sertifikat

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Lag en PPP-profil

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Legg til en bruker (hemmelighet)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Aktiver SSTP-serveren

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Nå lytter ruteren på port 443 og godtar SSTP-tilkoblinger.

Tips: Bruk et sertifikat fra Let’s Encrypt eller en annen CA — selvsignerte sertifikater fungerer for lab-tester, men varsler på klienten.

Klient: Konfigurer SSTP på en fjern-MikroTik

På den eksterne enheten, legg til en SSTP-klient for å koble tilbake til huben.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Forventet status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Merk: Koding-linjen viser den forhandlede krypteringen. Moderne RouterOS-versjoner støtter sterkere algoritmer — sjekk utgivelsesnotater.

Tilgang til intern vert via tunnelen

Hvis du må nå en enhet bak fjern-MikroTik (for eksempel 192.168.88.100), bruk dst-nat og portmapping.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Fra huben eller en klient, få tilgang til enheten via SSTP-tunnelendepunktet og den mappede porten:

https://vpn.yourdomain.com:8081

Trafikken går gjennom HTTPS-tunnelen og når den interne verten.

Sikkerhet og beste praksis

• Bruk gyldige, pålitelige TLS-sertifikater.
• Foretrekk sertifikat- eller RADIUS-autentisering fremfor rene passord.
• Begrens tillatte kilde-IP-er når mulig.
• Hold RouterOS oppdatert for moderne TLS-stakker.
• Deaktiver gamle SSL/TLS-versjoner og svake kryptoalgoritmer.
• Overvåk tilkoblingslogger og roter legitimajoner jevnlig.

Tips: For mange enheter er sertifikatbasert autentisering enklere og sikrere enn delte passord.

Alternativ: SSTP-server på VPS

Du kan kjøre en SSTP-hub på en VPS i stedet for på en MikroTik.

Alternativer:

• Windows Server (innfødt SSTP-støtte).
• SoftEther VPN (multi-protokoll, støtter SSTP på Linux).

SoftEther er nyttig som en protokollbro. Den lar MikroTiks og Windows-klienter kommunisere med samme hub uten offentlige IP-er på hvert sted.

Rask sammenligning

Når velge SSTP

Velg SSTP når du trenger en VPN som:

• Må fungere gjennom bedriftsproxyer eller streng NAT.
• Skal integreres lett med Windows-klienter.
• Må bruke port 443 for å unngå blokkering.

Hvis du prioriterer høy hastighet og lav CPU-bruk, vurder heller WireGuard.

Hvor MKController hjelper: Hvis sertifikater og tunneler føles tungvint, tilbyr MKControllers NATCloud sentralisert fjernadgang og overvåkning — uten manuell PKI per enhet og enklere onboarding.

Konklusjon

SSTP er et pragmatisk valg for nettverk som er vanskelige å nå.

Den benytter HTTPS for å holde forbindelsen der andre VPN-er feiler.

Med noen få RouterOS-kommandoer kan du sette opp pålitelig fjernadgang for filialer, servere og brukerenheter.

Om MKController

Håper innsiktene ovenfor hjalp deg med å navigere MikroTik og internett-universet bedre! 🚀
Enten du finjusterer konfigurasjoner eller bare prøver å skape orden i nettverkskaoset, er MKController her for å forenkle livet ditt.

Med sentralisert skyløsning, automatiske sikkerhetsoppdateringer og et dashboard alle kan mestre, har vi det som trengs for å oppgradere driften din.

👉 Prøv gratis i 3 dager nå på mkcontroller.com — og opplev hva enkel nettverkskontroll virkelig betyr.