Przejdź do głównej zawartości
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP zdalne zarządzanie MikroTik

Skonfiguruj SSTP na MikroTik, aby tunelować ruch VPN wewnątrz HTTPS na porcie 443 — przechodzi przez restrykcyjne zapory, CGNAT i firmowe proxy.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) opakowuje PPP w sesję TLS na porcie TCP 443, sprawiając, że tunel jest nie do odróżnienia od zwykłego ruchu HTTPS dla zapór, proxy i warstw CGNAT. RouterOS zawiera kompletny serwer i klient SSTP. Ten przewodnik obejmuje minimalną konfigurację serwera za pomocą pięciu poleceń, odpowiednią konfigurację klienta na zdalnym MikroTik, NAT do dostępu do hostów LAN oraz listę kontrolną bezpieczeństwa.

Jak działa SSTP w zdalnym zarządzaniu MikroTik?

SSTP to protokół, który tuneluje PPP wewnątrz sesji TLS/HTTPS na porcie TCP 443. Z perspektywy sieci ruch jest nie do odróżnienia od jakiegokolwiek innego połączenia HTTPS — właśnie dlatego SSTP przechodzi przez firmowe proxy, portale captive, hotelowe Wi-Fi i warstwy CGNAT, które blokują VPN oparte na UDP. Klient otwiera TLS do serwera na porcie 443, serwer prezentuje swój certyfikat, w tunelu TLS ustanawiana jest sesja PPP, a ruch przepływa zaszyfrowany od końca do końca.

Dla flot MikroTik SSTP jest właściwym wyborem, gdy lokalizacja klienta znajduje się za czymś, co blokuje każde inne VPN. Zobacz nasz przewodnik WireGuard i przewodnik zarządzania przez VPS.

Zalety i ograniczenia

Mocne strony: działa przez restrykcyjne zapory i proxy; używa portu 443, niemal powszechnie otwartego; silne szyfrowanie TLS w nowoczesnym RouterOS; natywne wsparcie w Windows; elastyczne uwierzytelnianie (nazwa użytkownika/hasło, certyfikaty lub RADIUS).

Ograniczenia: wyższe zużycie CPU niż lekkie VPN ze względu na narzut TLS; przepustowość zazwyczaj niższa niż WireGuard; wymaga ważnego certyfikatu SSL dla niezawodnego zachowania klienta. Utrzymuj RouterOS na bieżąco i wyłącz stare wersje TLS.

Krok 1: Utwórz lub zaimportuj certyfikat TLS

Użyj Let’s Encrypt lub komercyjnego CA do produkcji. Samodzielnie podpisany działa do testów laboratoryjnych, ale powoduje ostrzeżenia klienta:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name musi odpowiadać nazwie hosta, której klienci będą używać do połączenia.

Krok 2: Utwórz profil PPP

Profil definiuje adresy IP po stronie serwera i klienta, których będzie używał tunel:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Krok 3: Dodaj PPP secret

Secret to poświadczenie na użytkownika. Używaj długich haseł lub migruj do uwierzytelniania certyfikatem dla większych flot:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Krok 4: Włącz serwer SSTP

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Ruter teraz nasłuchuje na porcie 443 i akceptuje połączenia SSTP.

Krok 5: Skonfiguruj klienta SSTP na zdalnym MikroTik

Na urządzeniu zdalnym:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Oczekiwany status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Linia encoding pokazuje wynegocjowany szyfr. Nowoczesne wersje RouterOS obsługują silniejsze szyfry — sprawdź wartości domyślne swojego wydania.

Dostęp do hosta wewnętrznego przez tunel

Aby dotrzeć do urządzenia za zdalnym MikroTik (np. 192.168.88.100), użyj dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Uzyskaj dostęp do urządzenia przez punkt końcowy tunelu SSTP oraz zmapowany port:

https://vpn.yourdomain.com:8081

Ruch przepływa przez tunel w stylu HTTPS i dociera do wewnętrznego hosta.

Najlepsze praktyki bezpieczeństwa

  • Używaj ważnych, zaufanych certyfikatów TLS od Let’s Encrypt lub komercyjnego CA.
  • W przypadku flot preferuj uwierzytelnianie certyfikatem lub RADIUS zamiast wspólnych haseł.
  • W miarę możliwości ograniczaj dozwolone źródłowe adresy IP na poziomie zapory.
  • Utrzymuj RouterOS na bieżąco dla nowoczesnych stosów TLS.
  • Wyłącz stare wersje SSL/TLS i słabe szyfry.
  • Monitoruj logi połączeń i okresowo rotuj poświadczenia.

Zobacz nasz przewodnik bezpieczeństwa Winbox i przewodnik bezpieczeństwa device mode.

Alternatywa: serwer SSTP na VPS

Hostuj hub SSTP na VPS zamiast na MikroTik, gdy chcesz stabilnej agregacji po stronie chmury. Windows Server ma natywną obsługę SSTP; SoftEther VPN na Linuksie jest wieloprotokołowy i obsługuje SSTP — dobrze działa jako most protokołów.

SSTP a inne opcje VPN

RozwiązaniePortBezpieczeństwoKompatybilnośćWydajnośćNajlepsze dla
SSTPTCP 443Wysokie (TLS)MikroTik, WindowsŚredniaSieci z restrykcyjnymi zaporami
OpenVPNUDP 1194Wysokie (TLS)SzerokaŚredniaStarsze i mieszane floty
WireGuardUDP 51820Bardzo wysokieNowoczesne urządzeniaWysokaNowoczesne sieci, wysoka wydajność
Tailscale / ZeroTierdynamicznyBardzo wysokieWieloplatformowaWysokaSzybki dostęp mesh, zespoły

Kiedy wybrać SSTP

Wybierz SSTP, gdy VPN musi przejść przez firmowe proxy lub restrykcyjny NAT, gdy liczy się integracja z klientem Windows lub gdy port 443 jest jedynym niezawodnie otwartym portem wychodzącym. Jeśli surowa szybkość ma większe znaczenie, WireGuard jest lepszym domyślnym wyborem — zobacz nasz tutorial WireGuard.

Następny krok

SSTP to właściwy pragmatyczny wybór dla trudno dostępnych sieci — wykorzystuje HTTPS, aby pozostać połączonym tam, gdzie inne VPN zawodzą, a kilka poleceń RouterOS konfiguruje niezawodny zdalny dostęp.

Jeśli konfigurowanie certyfikatów i tuneli na urządzenie wydaje się żmudną pracą w skali floty, NATCloud od MKController oferuje scentralizowany zdalny dostęp i monitoring bez zarządzania PKI na urządzenie.

Rozpocznij darmowy okres próbny MKController