Gå til innholdet
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP fjernstyring av MikroTik

Konfigurer SSTP på MikroTik for å tunnelere VPN-trafikk inne i HTTPS på port 443 — passerer strenge brannmurer, CGNAT og bedriftsproxyer.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) pakker PPP inn i en TLS-sesjon på TCP-port 443, slik at tunnelen ser identisk ut med vanlig HTTPS-trafikk for brannmurer, proxyer og CGNAT-lag. RouterOS leverer en komplett SSTP-server og -klient. Denne guiden dekker minimal fem-kommando serveroppsett, tilsvarende klientkonfigurasjon på en ekstern MikroTik, NAT for å nå LAN-verter via tunnelen og sikkerhets-sjekkliste.

Hvordan fungerer SSTP for MikroTik-fjernstyring?

SSTP er en protokoll som tunnelerer PPP inne i en TLS/HTTPS-sesjon på TCP-port 443. Fra nettverkets perspektiv kan trafikken ikke skilles fra enhver annen HTTPS-tilkobling — det er nettopp derfor SSTP passerer gjennom bedriftsproxyer, captive-portaler, hotell-Wi-Fi og CGNAT-lag som blokkerer UDP-baserte VPN. Klienten åpner TLS til serveren på 443, serveren presenterer sertifikatet sitt, en PPP-sesjon etableres inne i TLS-tunnelen, og trafikken flyter kryptert ende-til-ende.

For MikroTik-flåter er SSTP det riktige valget når kundestedet sitter bak noe som blokkerer hver annen VPN. Se vår WireGuard-guide og VPS-basert styringsguide.

Fordeler og begrensninger

Styrker: fungerer gjennom restriktive brannmurer og proxyer; bruker port 443, som er nesten universelt åpen; sterk TLS-kryptering i moderne RouterOS; native støtte i Windows; fleksibel autentisering (brukernavn/passord, sertifikater eller RADIUS).

Begrensninger: høyere CPU-bruk enn lette VPN på grunn av TLS-overhead; gjennomstrømning typisk lavere enn WireGuard; krever et gyldig SSL-sertifikat for pålitelig klientadferd. Hold RouterOS oppdatert og deaktiver gamle TLS-versjoner.

Trinn 1: Opprett eller importer TLS-sertifikatet

Bruk Let’s Encrypt eller en kommersiell CA for produksjon. Selvsignert fungerer for labtester men forårsaker klientadvarsler:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name må samsvare med vertsnavnet som klienter vil bruke for å koble til.

Trinn 2: Opprett en PPP-profil

Profilen definerer server- og klientside-IPene som tunnelen vil bruke:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Trinn 3: Legg til en PPP-secret

Secret er per-bruker-legitimasjon. Bruk lange passord eller migrer til sertifikatautentisering for større flåter:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Trinn 4: Aktiver SSTP-serveren

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Ruteren lytter nå på port 443 og aksepterer SSTP-tilkoblinger.

Trinn 5: Konfigurer SSTP-klienten på den eksterne MikroTik

På fjernenheten:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Forventet status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

encoding-linjen viser den forhandlede chifferen. Moderne RouterOS-versjoner støtter sterkere chiffere — verifiser standardverdiene for utgivelsen din.

Nå en intern vert gjennom tunnelen

For å nå en enhet bak den eksterne MikroTik (f.eks. 192.168.88.100), bruk dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Gå til enheten via SSTP-tunnelens endepunkt pluss den kartlagte porten:

https://vpn.yourdomain.com:8081

Trafikken flyter gjennom den HTTPS-stil tunnelen og når den interne verten.

Beste sikkerhetspraksiser

  • Bruk gyldige, klarerte TLS-sertifikater fra Let’s Encrypt eller en kommersiell CA.
  • Foretrekk sertifikat- eller RADIUS-autentisering fremfor delte passord for flåter.
  • Begrens tillatte kilde-IPer på brannmurnivå når det er mulig.
  • Hold RouterOS oppdatert for moderne TLS-stakker.
  • Deaktiver gamle SSL/TLS-versjoner og svake chiffere.
  • Overvåk tilkoblingslogger og roter legitimasjon periodisk.

Se vår Winbox-sikkerhetsguide og device mode sikkerhetsguide.

Alternativ: SSTP-server på en VPS

Vert SSTP-huben på en VPS i stedet for en MikroTik når du vil ha stabil sky-side aggregering. Windows Server har native SSTP-støtte; SoftEther VPN på Linux er multi-protokoll og støtter SSTP — fungerer godt som protokollbro.

SSTP vs. andre VPN-alternativer

LøsningPortSikkerhetKompatibilitetYtelseBest for
SSTPTCP 443Høy (TLS)MikroTik, WindowsMiddelsNettverk med strenge brannmurer
OpenVPNUDP 1194Høy (TLS)BredMiddelsEldre og blandede flåter
WireGuardUDP 51820Veldig høyModerne enheterHøyModerne nettverk, høy ytelse
Tailscale / ZeroTierdynamiskVeldig høyMulti-plattformHøyRask mesh-tilgang, team

Når skal du velge SSTP

Velg SSTP når VPN må krysse bedriftsproxyer eller streng NAT, når Windows-klientintegrasjon betyr noe, eller når port 443 er den eneste pålitelig åpne utgående porten. Hvis rå hastighet betyr mer, er WireGuard det bedre standardvalget — se vår WireGuard-tutorial.

Neste skritt

SSTP er det riktige pragmatiske valget for vanskelig tilgjengelige nettverk — det utnytter HTTPS for å forbli tilkoblet der andre VPN feiler, og noen få RouterOS-kommandoer setter opp pålitelig fjerntilgang.

Hvis konfigurering av sertifikater og tunneler per enhet føles som travel arbeid i flåteskala, tilbyr MKController NATCloud sentralisert fjerntilgang og overvåking uten PKI-håndtering per enhet.

Start din gratis MKController-prøveperiode