Remote Access
Gestão remota de MikroTik com SSTP
Configure SSTP no MikroTik para tunelar tráfego VPN dentro de HTTPS na porta 443 — atravessa firewalls rigorosos, CGNAT e proxies corporativos.
Summary O SSTP (Secure Socket Tunneling Protocol) envolve PPP dentro de uma sessão TLS na porta TCP 443, tornando o túnel indistinguível do tráfego HTTPS normal para firewalls, proxies e camadas CGNAT. O RouterOS inclui servidor e cliente SSTP completos. Este guia cobre a configuração mínima do servidor com cinco comandos, a configuração correspondente do cliente em um MikroTik remoto, NAT para alcançar hosts LAN e a checklist de segurança.
Como o SSTP funciona para gestão remota de MikroTik?
O SSTP é um protocolo que tuneliza PPP dentro de uma sessão TLS/HTTPS na porta TCP 443. Da perspectiva da rede, o tráfego é indistinguível de qualquer outra conexão HTTPS — exatamente por isso o SSTP passa por proxies corporativos, portais cativos, Wi-Fi de hotel e camadas CGNAT que bloqueiam VPNs baseadas em UDP. O cliente abre TLS para o servidor na 443, o servidor apresenta seu certificado, uma sessão PPP é estabelecida dentro do túnel TLS e o tráfego flui criptografado de ponta a ponta.
Para frotas MikroTik, o SSTP é a escolha certa quando o site do cliente está atrás de algo que bloqueia qualquer outra VPN. Veja nosso guia WireGuard e o guia de gestão via VPS.
Vantagens e limitações
Pontos fortes: funciona através de firewalls e proxies restritivos; usa a porta 443, quase universalmente aberta; criptografia TLS forte no RouterOS moderno; suporte nativo no Windows; autenticação flexível (usuário/senha, certificados ou RADIUS).
Limitações: maior carga de CPU que VPNs leves devido ao overhead do TLS; throughput tipicamente menor que o WireGuard; requer um certificado SSL válido para comportamento confiável do cliente. Mantenha o RouterOS atualizado e desabilite versões antigas do TLS.
Passo 1: Crie ou importe o certificado TLS
Use Let’s Encrypt ou uma CA comercial para produção. Autoassinado funciona para testes de laboratório mas causa avisos do cliente:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yesO common-name deve corresponder ao nome de host que os clientes usarão para conectar.
Passo 2: Crie um perfil PPP
O perfil define os IPs do lado do servidor e do cliente que o túnel usará:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2Passo 3: Adicione um PPP secret
O secret é a credencial por usuário. Use senhas longas ou migre para autenticação por certificado para frotas maiores:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstpPasso 4: Habilite o servidor SSTP
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileO roteador agora escuta na porta 443 e aceita conexões SSTP.
Passo 5: Configure o cliente SSTP no MikroTik remoto
No dispositivo remoto:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printStatus esperado:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1A linha encoding mostra a cifra negociada. Versões modernas do RouterOS suportam cifras mais fortes — verifique os padrões da sua versão.
Alcançar um host interno através do túnel
Para alcançar um dispositivo atrás do MikroTik remoto (ex.: 192.168.88.100), use dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80Acesse o dispositivo via o endpoint do túnel SSTP mais a porta mapeada:
https://vpn.yourdomain.com:8081O tráfego flui pelo túnel estilo HTTPS e alcança o host interno.
Melhores práticas de segurança
- Use certificados TLS válidos e confiáveis do Let’s Encrypt ou uma CA comercial.
- Prefira autenticação por certificado ou RADIUS em vez de senhas compartilhadas para frotas.
- Restrinja os IPs de origem permitidos na camada do firewall quando possível.
- Mantenha o RouterOS atualizado para pilhas TLS modernas.
- Desabilite versões antigas de SSL/TLS e cifras fracas.
- Monitore logs de conexão e rotacione credenciais periodicamente.
Veja nosso guia de segurança do Winbox e o guia de segurança do device mode.
Alternativa: servidor SSTP em um VPS
Hospede o hub SSTP em um VPS em vez de um MikroTik quando quiser agregação estável no lado da nuvem. O Windows Server tem suporte nativo a SSTP; o SoftEther VPN no Linux é multi-protocolo e suporta SSTP — funciona bem como ponte de protocolos.
SSTP versus outras opções de VPN
| Solução | Porta | Segurança | Compatibilidade | Desempenho | Melhor para |
|---|---|---|---|---|---|
| SSTP | TCP 443 | Alta (TLS) | MikroTik, Windows | Médio | Redes com firewalls rigorosos |
| OpenVPN | UDP 1194 | Alta (TLS) | Ampla | Médio | Frotas legadas e mistas |
| WireGuard | UDP 51820 | Muito alta | Dispositivos modernos | Alto | Redes modernas, alto desempenho |
| Tailscale / ZeroTier | dinâmica | Muito alta | Multi-plataforma | Alto | Acesso mesh rápido, equipes |
Quando escolher SSTP
Escolha SSTP quando o VPN precisar atravessar proxies corporativos ou NAT rigoroso, quando a integração com cliente Windows importa, ou quando a porta 443 é a única porta de saída confiavelmente aberta. Se a velocidade bruta importa mais, o WireGuard é a melhor escolha padrão — veja nosso tutorial WireGuard.
Próximo passo
O SSTP é a escolha pragmática correta para redes difíceis de alcançar — usa HTTPS para se manter conectado onde outras VPNs falham, e alguns comandos RouterOS configuram acesso remoto confiável.
Se configurar certificados e túneis por dispositivo parece trabalho repetitivo em escala de frota, o NATCloud da MKController oferece acesso remoto centralizado e monitoramento sem gestão de PKI por dispositivo.