Sari la conținut
Blog

Gestionați Mikrotik cu SSTP ușor și sigur

Rezumat
SSTP tunnelizează traficul VPN în interiorul HTTPS (port 443), permițând accesul remote la MikroTik chiar și prin firewall-uri și proxy-uri stricte. Acest ghid prezintă configurarea serverului și clientului RouterOS, exemple NAT, sfaturi de securitate și când SSTP este alegerea corectă.

Gestionarea remote MikroTik cu SSTP

SSTP (Secure Socket Tunneling Protocol) ascunde un VPN în interiorul HTTPS.

Funcționează pe portul 443 și se integrează cu traficul web normal.

Acest lucru îl face ideal când rețelele blochează porturile tradiționale VPN.

Acest articol oferă o rețetă concisă și practică SSTP pentru MikroTik RouterOS.

Ce este SSTP?

SSTP tunnelizează PPP (Point-to-Point Protocol) în cadrul unei sesiuni TLS/HTTPS.

Folosește TLS pentru criptare și autentificare.

Din perspectiva rețelei, SSTP este aproape indistinct de un HTTPS normal.

De aceea trece prin proxy-uri corporate și CGNAT.

Cum funcționează SSTP — flux rapid

  1. Clientul deschide o conexiune TLS (HTTPS) către server pe portul 443.
  2. Serverul dovedește certificatul TLS.
  3. O sesiune PPP este stabilită în tunelul TLS.
  4. Traficul este criptat end-to-end (AES-256 dacă este configurat).

Simplu. De încredere. Dificil de blocat.

Notă: Deoarece SSTP utilizează HTTPS, multe rețele restrictive îl permit în timp ce blochează alte VPN-uri.

Avantaje și limitări

Avantaje

  • Funcționează aproape oriunde — inclusiv prin firewall-uri și proxy-uri.
  • Utilizează portul 443 (HTTPS), de regulă deschis.
  • Criptare TLS puternică (cu setări moderne RouterOS/TLS).
  • Suport nativ în Windows și RouterOS.
  • Autentificare flexibilă: utilizator/parolă, certificate sau RADIUS.

Limitări

  • Consum CPU mai ridicat decât VPN-urile ușoare (suprasarcină TLS).
  • Performanță adesea mai mică decât WireGuard.
  • Necesită certificat SSL valid pentru cele mai bune rezultate.

Avertisment: Versiunile vechi TLS/SSL sunt nesigure. Menține RouterOS actualizat și dezactivează protocoalele legacy.

Server: Configurarea SSTP pe MikroTik

Mai jos sunt comenzile minime RouterOS pentru crearea unui server SSTP.

  1. Creați sau importați un certificat
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. Creați un profil PPP
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. Adăugați un utilizator (secret)
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. Activați serverul SSTP
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Acum routerul ascultă pe portul 443 și acceptă conexiuni SSTP.

Sfat: Folosiți un certificat de la Let’s Encrypt sau CA proprie — certificatele auto-semnate sunt bune pentru teste, dar provoacă avertismente client.

Client: Configurarea SSTP pe un MikroTik remote

Pe dispozitivul remote, adăugați un client SSTP pentru conectarea către hub.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Ieșirea status așteptată:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Notă: Linia encoding arată cifrul negociat. Versiuni RouterOS moderne suportă cifruri mai puternice — verificați notele de lansare.

Accesați un host intern prin tunel

Dacă trebuie să accesați un dispozitiv din spatele MikroTik-ului remote (ex. 192.168.88.100), folosiți dst-nat și maparea porturilor.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

De pe hub sau client, accesați dispozitivul prin endpoint-ul SSTP și portul mapat:

https://vpn.yourdomain.com:8081

Traficul intră prin tunelul HTTPS și ajunge la hostul intern.

Securitate și bune practici

  • Utilizați certificate TLS valide și de încredere.
  • Preferabil autentificarea cu certificate sau RADIUS față de parole simple.
  • Restricționați adresele IP sursă permise, dacă este posibil.
  • Mențineți RouterOS actualizat pentru stivă TLS modernă.
  • Dezactivați versiunile vechi SSL/TLS și cifrurile slabe.
  • Monitorizați jurnalele conexiunilor și rotiți periodic credențialele.

Sfat: Pentru multe dispozitive, autentificarea prin certificat este mai ușor de gestionat și mai sigură decât parolele comune.

Alternativă: server SSTP pe VPS

Puteți găzdui un hub SSTP pe un VPS în loc de MikroTik.

Opțiuni:

  • Windows Server (suport SSTP nativ).
  • SoftEther VPN (multi-protocol, suport SSTP pe Linux).

SoftEther este util ca punte protocol — permite Windows și MikroTik să comunice cu același hub fără IP-uri publice pentru fiecare locație.

Comparare rapidă

SoluțiePortSecuritateCompatibilitatePerformanțăIdeal pentru
SSTP443Ridicată (TLS)MikroTik, WindowsMedieRețele cu firewall-uri stricte
OpenVPN1194/UDPRidicată (TLS)LargăMedieFlote mixte/vechi
WireGuard51820/UDPFoarte ridicatăDispozitive moderneÎnaltăRețele moderne, performanță înaltă
Tailscale/ZeroTierdinamicFoarte ridicatăMulti-platformăÎnaltăAcces mesh rapid, echipe

Când să alegi SSTP

Folosește SSTP când dorești un VPN care:

  • Trebuie să funcționeze prin proxy-uri corporate sau NAT strict.
  • Să se integreze ușor cu clienții Windows.
  • Trebuie să utilizeze portul 443 pentru ocolirea blocării.

Dacă prețuiești viteza și consum redus CPU, ia în considerare WireGuard.

Unde ajută MKController: Dacă configurarea certificatelor și tunelurilor pare complicată, MKController NATCloud oferă acces remote și monitorizare centralizate — fără administrare manuală PKI per dispozitiv și onboarding simplificat.

Concluzie

SSTP este o alegere pragmatică pentru rețele greu accesibile.

Folosește HTTPS pentru a menține conexiunea acolo unde alte VPN-uri eșuează.

Cu câteva comenzi RouterOS, poți configura acces remote fiabil pentru sucursale, servere și dispozitive utilizatori.

Despre MKController

Sperăm că informațiile de mai sus v-au ajutat să navigați mai bine în universul MikroTik și Internet! 🚀
Indiferent dacă ajustați configurații sau încercați să aduceți ordine în haosul rețelei, MKController e aici să vă simplifice viața.

Cu management cloud centralizat, actualizări automate de securitate și un dashboard ușor de folosit, avem tot ce trebuie pentru a vă îmbunătăți operațiunile.

👉 Începeți acum încercarea gratuită de 3 zile la mkcontroller.com — și descoperiți ce înseamnă controlul rețelei fără efort.