Ga naar inhoud
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP remote MikroTik-beheer

Configureer SSTP op MikroTik om VPN-verkeer binnen HTTPS op poort 443 te tunnelen — passeert strenge firewalls, CGNAT en bedrijfsproxy's.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) verpakt PPP binnen een TLS-sessie op TCP-poort 443, waardoor de tunnel niet te onderscheiden is van normaal HTTPS-verkeer voor firewalls, proxy’s en CGNAT-lagen. RouterOS bevat een complete SSTP-server en -client. Deze gids behandelt de minimale vijf-commando serverconfiguratie, de bijbehorende clientconfiguratie op een externe MikroTik, NAT voor toegang tot LAN-hosts en de beveiligingschecklist.

Hoe werkt SSTP voor remote MikroTik-beheer?

SSTP is een protocol dat PPP tunnelt binnen een TLS/HTTPS-sessie op TCP-poort 443. Vanuit het netwerk gezien is het verkeer niet te onderscheiden van elke andere HTTPS-verbinding — daarom passeert SSTP bedrijfsproxy’s, captive portals, hotel-Wi-Fi en CGNAT-lagen die UDP-gebaseerde VPN’s blokkeren. De client opent TLS naar de server op 443, de server presenteert zijn certificaat, een PPP-sessie wordt opgezet binnen de TLS-tunnel, en het verkeer stroomt versleuteld van eind tot eind.

Voor MikroTik-vloten is SSTP de juiste keuze wanneer de klantlocatie achter iets zit dat elke andere VPN blokkeert. Zie onze WireGuard-gids en VPS-gebaseerde beheergids.

Voordelen en beperkingen

Sterke punten: werkt door restrictieve firewalls en proxy’s; gebruikt poort 443, vrijwel universeel open; sterke TLS-versleuteling op modern RouterOS; native ondersteuning op Windows; flexibele authenticatie (gebruikersnaam/wachtwoord, certificaten of RADIUS).

Beperkingen: hogere CPU dan lichtgewicht VPN’s vanwege TLS-overhead; doorvoer doorgaans lager dan WireGuard; vereist een geldig SSL-certificaat voor betrouwbaar clientgedrag. Houd RouterOS bijgewerkt en schakel oude TLS-versies uit.

Stap 1: Maak of importeer het TLS-certificaat

Gebruik Let’s Encrypt of een commerciële CA voor productie. Zelfondertekend werkt voor labtests maar veroorzaakt clientwaarschuwingen:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

De common-name moet overeenkomen met de hostnaam die clients zullen gebruiken om te verbinden.

Stap 2: Maak een PPP-profiel

Het profiel definieert de server- en clientzijde IP’s die de tunnel zal gebruiken:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Stap 3: Voeg een PPP-secret toe

De secret is de per-gebruiker referentie. Gebruik lange wachtwoorden of migreer naar certificaatauthenticatie voor grotere vloten:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Stap 4: Schakel de SSTP-server in

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

De router luistert nu op poort 443 en accepteert SSTP-verbindingen.

Stap 5: Configureer de SSTP-client op de externe MikroTik

Op het externe apparaat:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Verwachte status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

De encoding-regel toont de onderhandelde cipher. Moderne RouterOS-versies ondersteunen sterkere ciphers — verifieer de standaardwaarden van uw release.

Een interne host bereiken via de tunnel

Om een apparaat achter de externe MikroTik te bereiken (bijv. 192.168.88.100), gebruik dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Benader het apparaat via het SSTP-tunneleindpunt plus de toegewezen poort:

https://vpn.yourdomain.com:8081

Verkeer stroomt door de HTTPS-stijl tunnel en bereikt de interne host.

Beveiligingsbeste praktijken

  • Gebruik geldige, betrouwbare TLS-certificaten van Let’s Encrypt of een commerciële CA.
  • Geef voor vloten de voorkeur aan certificaat- of RADIUS-authenticatie boven gedeelde wachtwoorden.
  • Beperk waar mogelijk toegestane bron-IP’s op firewallniveau.
  • Houd RouterOS bijgewerkt voor moderne TLS-stacks.
  • Schakel oude SSL/TLS-versies en zwakke ciphers uit.
  • Bewaak verbindingslogs en roteer referenties periodiek.

Zie onze Winbox-beveiligingsgids en device mode beveiligingsgids.

Alternatief: SSTP-server op een VPS

Host de SSTP-hub op een VPS in plaats van op een MikroTik wanneer u stabiele cloud-side aggregatie wilt. Windows Server heeft native SSTP-ondersteuning; SoftEther VPN op Linux is multi-protocol en ondersteunt SSTP — werkt goed als protocolbrug.

SSTP versus andere VPN-opties

OplossingPoortBeveiligingCompatibiliteitPrestatiesBeste voor
SSTPTCP 443Hoog (TLS)MikroTik, WindowsMediumNetwerken met strenge firewalls
OpenVPNUDP 1194Hoog (TLS)BreedMediumLegacy en gemengde vloten
WireGuardUDP 51820Zeer hoogModerne apparatenHoogModerne netwerken, hoge prestaties
Tailscale / ZeroTierdynamischZeer hoogMulti-platformHoogSnelle mesh-toegang, teams

Wanneer kies je SSTP

Kies SSTP wanneer de VPN bedrijfsproxy’s of strikte NAT moet kruisen, wanneer Windows-clientintegratie ertoe doet, of wanneer poort 443 de enige betrouwbaar open uitgaande poort is. Als ruwe snelheid belangrijker is, is WireGuard de betere standaard — zie onze WireGuard-tutorial.

Volgende stap

SSTP is de juiste pragmatische keuze voor moeilijk bereikbare netwerken — het gebruikt HTTPS om verbonden te blijven waar andere VPN’s falen, en een paar RouterOS-commando’s zetten betrouwbare externe toegang op.

Als het configureren van certificaten en tunnels per apparaat aanvoelt als druk werk op vlootschaal, biedt MKController’s NATCloud gecentraliseerde externe toegang en monitoring zonder PKI-beheer per apparaat.

Start uw gratis MKController-proefperiode