Remote Access
Gestionare remote MikroTik cu SSTP
Configurați SSTP pe MikroTik pentru a tunela traficul VPN în interiorul HTTPS pe portul 443 — trece prin firewall-uri stricte, CGNAT și proxy-uri corporative.
Summary SSTP (Secure Socket Tunneling Protocol) împachetează PPP într-o sesiune TLS pe portul TCP 443, făcând tunelul imposibil de distins de traficul HTTPS normal pentru firewall-uri, proxy-uri și straturi CGNAT. RouterOS include un server și client SSTP complet. Acest ghid acoperă configurarea minimă a serverului cu cinci comenzi, configurarea corespunzătoare a clientului pe un MikroTik remote, NAT pentru accesul la host-urile LAN și lista de verificare de securitate.
Cum funcționează SSTP pentru gestionarea remote MikroTik?
SSTP este un protocol care tunelizează PPP în interiorul unei sesiuni TLS/HTTPS pe portul TCP 443. Din perspectiva rețelei, traficul este imposibil de distins de orice altă conexiune HTTPS — exact de aceea SSTP trece prin proxy-uri corporative, portaluri captive, Wi-Fi de hotel și straturi CGNAT care blochează VPN-uri bazate pe UDP. Clientul deschide TLS către server pe 443, serverul prezintă certificatul său, o sesiune PPP este stabilită în interiorul tunelului TLS, iar traficul curge criptat end-to-end.
Pentru flotele MikroTik, SSTP este alegerea potrivită când locația clientului se află în spatele a ceva care blochează orice alt VPN. Consultați ghidul WireGuard și ghidul de gestionare prin VPS.
Avantaje și limitări
Puncte forte: funcționează prin firewall-uri și proxy-uri restrictive; folosește portul 443, aproape universal deschis; criptare TLS puternică pe RouterOS modern; suport nativ pe Windows; autentificare flexibilă (nume utilizator/parolă, certificate sau RADIUS).
Limitări: sarcină CPU mai mare decât VPN-urile ușoare din cauza overhead-ului TLS; throughput-ul de obicei mai mic decât WireGuard; necesită un certificat SSL valid pentru comportament fiabil al clientului. Țineți RouterOS la zi și dezactivați versiunile vechi de TLS.
Pasul 1: Creați sau importați certificatul TLS
Utilizați Let’s Encrypt sau o CA comercială pentru producție. Autosemnat funcționează pentru teste de laborator dar cauzează avertismente la client:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yescommon-name trebuie să corespundă numelui de host pe care clienții îl vor folosi pentru conectare.
Pasul 2: Creați un profil PPP
Profilul definește IP-urile de pe partea serverului și clientului pe care tunelul le va utiliza:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2Pasul 3: Adăugați un PPP secret
Secret-ul este credențialul per utilizator. Utilizați parole lungi sau migrați la autentificare cu certificat pentru flote mai mari:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstpPasul 4: Activați serverul SSTP
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileRouterul ascultă acum pe portul 443 și acceptă conexiuni SSTP.
Pasul 5: Configurați clientul SSTP pe MikroTik remote
Pe dispozitivul remote:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printStatus așteptat:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1Linia encoding arată cifrul negociat. Versiunile moderne de RouterOS suportă cifruri mai puternice — verificați valorile implicite ale versiunii dvs.
Atingerea unui host intern prin tunel
Pentru a ajunge la un dispozitiv în spatele MikroTik-ului remote (ex. 192.168.88.100), folosiți dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80Accesați dispozitivul prin endpoint-ul tunelului SSTP plus portul mapat:
https://vpn.yourdomain.com:8081Traficul curge prin tunelul în stil HTTPS și ajunge la host-ul intern.
Cele mai bune practici de securitate
- Folosiți certificate TLS valide și de încredere de la Let’s Encrypt sau o CA comercială.
- Preferați autentificarea cu certificat sau RADIUS în locul parolelor partajate pentru flote.
- Restricționați IP-urile sursă permise la nivelul firewall-ului când este posibil.
- Țineți RouterOS la zi pentru stive TLS moderne.
- Dezactivați versiunile vechi de SSL/TLS și cifrurile slabe.
- Monitorizați jurnalele de conexiune și rotiți credențialele periodic.
Consultați ghidul de securitate Winbox și ghidul de securitate device mode.
Alternativă: server SSTP pe un VPS
Găzduiți hub-ul SSTP pe un VPS în loc de un MikroTik când doriți agregare stabilă pe partea de cloud. Windows Server are suport nativ SSTP; SoftEther VPN pe Linux este multi-protocol și suportă SSTP — funcționează bine ca punte între protocoale.
SSTP versus alte opțiuni VPN
| Soluție | Port | Securitate | Compatibilitate | Performanță | Cel mai bun pentru |
|---|---|---|---|---|---|
| SSTP | TCP 443 | Înaltă (TLS) | MikroTik, Windows | Medie | Rețele cu firewall-uri stricte |
| OpenVPN | UDP 1194 | Înaltă (TLS) | Largă | Medie | Flote vechi și mixte |
| WireGuard | UDP 51820 | Foarte înaltă | Dispozitive moderne | Înaltă | Rețele moderne, performanță înaltă |
| Tailscale / ZeroTier | dinamic | Foarte înaltă | Multi-platformă | Înaltă | Acces mesh rapid, echipe |
Când să alegeți SSTP
Alegeți SSTP când VPN-ul trebuie să traverseze proxy-uri corporative sau NAT strict, când integrarea cu client Windows contează, sau când portul 443 este singurul port de ieșire deschis fiabil. Dacă viteza brută contează mai mult, WireGuard este alegerea implicită mai bună — consultați tutorialul nostru WireGuard.
Pasul următor
SSTP este alegerea pragmatică corectă pentru rețelele dificil de atins — folosește HTTPS pentru a rămâne conectat unde alte VPN-uri eșuează, iar câteva comenzi RouterOS configurează accesul remote fiabil.
Dacă configurarea certificatelor și a tunelelor per dispozitiv pare muncă obositoare la scară de flotă, NATCloud de la MKController oferă acces remote centralizat și monitorizare fără gestionarea PKI per dispozitiv.