Gerenciando seu MikroTik com SSTP

Resumo
SSTP encapsula o tráfego VPN dentro do HTTPS (porta 443), possibilitando acesso remoto ao MikroTik mesmo atrás de firewalls e proxies rigorosos. Este guia mostra como configurar servidor e cliente no RouterOS, exemplos de NAT, dicas de segurança e quando usar SSTP.

Gerenciamento remoto do MikroTik com SSTP

SSTP (Secure Socket Tunneling Protocol) oculta uma VPN dentro do HTTPS.

Ele funciona pela porta 443 e se mistura ao tráfego web comum.

Isso o torna ideal quando redes bloqueiam portas tradicionais de VPN.

Este post traz uma receita prática e direta de SSTP para MikroTik RouterOS.

O que é SSTP?

SSTP encapsula PPP (Point-to-Point Protocol) dentro de uma sessão TLS/HTTPS.

Usa TLS para criptografia e autenticação.

Da perspectiva da rede, SSTP é quase indistinguível do HTTPS comum.

Por isso, atravessa proxies corporativos e CGNAT com facilidade.

Como o SSTP funciona — fluxo rápido

1. O cliente abre uma conexão TLS (HTTPS) ao servidor na porta 443.
2. O servidor valida seu certificado TLS.
3. Uma sessão PPP é estabelecida dentro do túnel TLS.
4. O tráfego é cifrado de ponta a ponta (AES-256 quando configurado).

Simples. Confiável. Difícil de bloquear.

Nota: Como o SSTP usa HTTPS, muitas redes restritivas o permitem enquanto bloqueiam outras VPNs.

Vantagens e limitações

Vantagens

• Funciona quase em qualquer lugar — inclusive protegendo contra firewalls e proxies.
• Usa porta 443 (HTTPS), geralmente aberta.
• Criptografia TLS forte (com RouterOS/TLS modernos).
• Suporte nativo no Windows e RouterOS.
• Autenticação flexível: usuário/senha, certificados ou RADIUS.

Limitações

• Uso de CPU maior que VPNs leves (sobrecarga TLS).
• Desempenho geralmente inferior ao WireGuard.
• Requer certificado SSL válido para melhores resultados.

Alerta: Versões antigas de TLS/SSL são inseguras. Mantenha RouterOS atualizado e desative TLS/SSL legados.

Servidor: Configure SSTP no MikroTik

A seguir, comandos mínimos do RouterOS para criar um servidor SSTP.

1. Crie ou importe um certificado

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Crie um perfil PPP

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Adicione um usuário (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Ative o servidor SSTP

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Agora o roteador escuta na porta 443 e aceita conexões SSTP.

Dica: Use certificado da Let’s Encrypt ou sua CA — certificados autoassinados funcionam em testes, mas causam avisos no cliente.

Cliente: Configure SSTP no MikroTik remoto

No dispositivo remoto, adicione um cliente SSTP para conectar-se ao hub.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Saída esperada:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Nota: A linha encoding mostra o cifrador negociado. Versões modernas do RouterOS suportam cifras mais fortes — verifique as notas da versão.

Acesse um host interno através do túnel

Se precisar acessar um dispositivo atrás do MikroTik remoto (exemplo 192.168.88.100), use dst-nat e mapeamento de porta.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

No hub ou cliente, acesse via endpoint SSTP e porta mapeada:

https://vpn.yourdomain.com:8081

O tráfego passa pelo túnel HTTPS e alcança o host interno.

Segurança e boas práticas

• Use certificados TLS válidos e confiáveis.
• Prefira autenticação por certificado ou RADIUS em vez de senhas simples.
• Restrinja IPs de origem permitidos quando possível.
• Mantenha RouterOS atualizado para TLS modernos.
• Desative versões antigas de SSL/TLS e cifras fracas.
• Monitore logs de conexão e rotacione credenciais periodicamente.

Dica: Para muitos dispositivos, autenticação por certificado é mais segura e gerenciável que senhas compartilhadas.

Alternativa: servidor SSTP em VPS

Pode hospedar um hub SSTP num VPS em vez de MikroTik.

Opções:

• Windows Server (suporte nativo SSTP).
• SoftEther VPN (multi-protocolo, suporta SSTP em Linux).

SoftEther é útil como ponte de protocolo, permitindo que MikroTiks e clientes Windows conversem com um hub comum sem IPs públicos em cada site.

Comparação rápida

Quando escolher SSTP

Escolha SSTP quando for necessária uma VPN que:

• Funcione por proxies corporativos ou NATs rigorosos.
• Integre facilmente com clientes Windows.
• Use a porta 443 para evitar bloqueios.

Se priorizar velocidade e baixo uso de CPU, considere WireGuard.

Onde o MKController ajuda: Se configurar certificados e túneis parece complicado, o NATCloud do MKController oferece acesso remoto centralizado e monitoramento — sem PKI manual por dispositivo e onboarding simplificado.

Conclusão

SSTP é uma escolha prática para redes difíceis de alcançar.

Ele utiliza HTTPS para manter a conexão onde outras VPNs falham.

Com poucos comandos RouterOS, configure acesso remoto confiável para filiais, servidores e usuários.

Sobre o MKController

Esperamos que as dicas tenham facilitado seu gerenciamento MikroTik e Internet! 🚀
Seja ajustando configurações ou trazendo ordem ao caos da rede, o MKController está aqui para simplificar sua vida.

Com gestão em nuvem centralizada, atualizações de segurança automáticas e painel fácil de usar, temos o que é preciso para modernizar sua operação.

👉 Comece seu teste grátis de 3 dias agora em mkcontroller.com — e veja como é ter controle fácil da rede.