Управление MikroTik через SSTP с простыми настройками

Кратко
SSTP туннелирует VPN-трафик внутри HTTPS (порт 443), что позволяет получать удалённый доступ к MikroTik даже за жёсткими фаерволами и прокси. В этом руководстве показан настройка сервера и клиента RouterOS, примеры NAT, советы по безопасности и случаи, когда SSTP — лучший выбор.

Удалённое управление MikroTik через SSTP

SSTP (Secure Socket Tunneling Protocol) прячет VPN-трафик внутри HTTPS.

Он работает через порт 443 и маскируется под обычный веб-трафик.

Это делает его идеальным, когда в сети блокируют стандартные VPN-порты.

В этом посте представлен краткий и практичный рецепт настройки SSTP на MikroTik RouterOS.

Что такое SSTP?

SSTP транспонирует PPP (Point-to-Point Protocol) внутри сессии TLS/HTTPS.

Используется TLS для шифрования и подтверждения подлинности.

Для сети SSTP практически неотличим от стандартного HTTPS.

Вот почему он проходит через корпоративные прокси и CGNAT.

Как работает SSTP — краткий ход

1. Клиент открывает TLS (HTTPS) соединение с сервером на порту 443.
2. Сервер демонстрирует свой TLS-сертификат.
3. Внутри TLS-туннеля создаётся PPP-сессия.
4. Трафик шифруется сквозь (AES-256 при конфигурации).

Просто. Надёжно. Трудно заблокировать.

Примечание: SSTP работает по HTTPS, поэтому во многих ограничительных сетях его пропускают, блокируя другие VPN.

Преимущества и ограничения

Преимущества

• Работает практически везде — включая фаерволы и прокси.
• Использует порт 443 (HTTPS), обычно открытый.
• Солидное TLS-шифрование (при современных настройках RouterOS/TLS).
• Встроенная поддержка в Windows и RouterOS.
• Гибкая аутентификация: логин/пароль, сертификаты или RADIUS.

Ограничения

• Более высокая загрузка CPU по сравнению с лёгкими VPN из-за накладных расходов TLS.
• Обычно производительность ниже, чем у WireGuard.
• Для высокой надёжности нужен действительный SSL-сертификат.

Предупреждение: Старые версии TLS/SSL небезопасны. Держите RouterOS обновлённым и отключайте устаревшие протоколы.

Сервер: Настройка SSTP на MikroTik

Ниже — минимальный набор команд RouterOS для создания SSTP-сервера.

1. Создайте или импортируйте сертификат

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Создайте профиль PPP

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Добавьте пользователя (секрет)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Включите SSTP сервер

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Теперь роутер слушает порт 443 и принимает SSTP-подключения.

Совет: Используйте сертификат от Let’s Encrypt или вашего CA — самоподписанные сертификаты подходят для тестов, но вызывают предупреждения у клиентов.

Клиент: Настройка SSTP на удалённом MikroTik

На удалённом устройстве добавьте SSTP-клиент для подключения к хабу.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Ожидаемый вывод состояния:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Примечание: Строка encoding показывает согласованный шифр. Современные версии RouterOS поддерживают более сильные — проверьте релиз-ноты.

Доступ к внутреннему хосту через туннель

Если нужно достучаться до устройства за удалённым MikroTik (например, 192.168.88.100), используйте dst-nat и проброс портов.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

С хаба или клиента подключайтесь к устройству по адресу туннеля SSTP и проброшенному порту:

https://vpn.yourdomain.com:8081

Трафик пройдет через HTTPS-туннель и дойдет до внутреннего хоста.

Безопасность и лучшие практики

• Используйте действительные, доверенные TLS-сертификаты.
• Предпочитайте аутентификацию через сертификаты или RADIUS, а не простые пароли.
• Ограничивайте разрешённые IP-адреса источников, если возможно.
• Обновляйте RouterOS для получения современных TLS-библиотек.
• Отключайте старые версии SSL/TLS и слабые шифры.
• Следите за логами подключений и регулярно меняйте учётные данные.

Совет: В большинстве случаев аутентификация по сертификату проще в управлении и безопаснее, чем общие пароли.

Альтернатива: SSTP сервер на VPS

Можно разместить SSTP-хаб на VPS вместо MikroTik.

Варианты:

• Windows Server (родная поддержка SSTP).
• SoftEther VPN (мультипротокол, поддержка SSTP на Linux).

SoftEther удобно использовать как протокол-бридж. Он позволяет MikroTik и Windows клиентам работать с одним хабом без публичных IP на каждой стороне.

Быстрое сравнение

Когда выбирать SSTP

SSTP стоит выбрать, если нужна VPN, которая:

• Работает через корпоративные прокси или строгий NAT.
• Легко интегрируется с Windows-клиентами.
• Использует порт 443 для обхода блокировок.

Если важна максимальная скорость и минимальная нагрузка на CPU — рассмотрите WireGuard.

Как помогает MKController: Если настройка сертификатов и туннелей кажется сложной, NATCloud от MKController предлагает централизованный удалённый доступ и мониторинг — без ручного PKI и проще настройка.

Заключение

SSTP — практичный выбор для сложнодоступных сетей.

Он использует HTTPS, чтобы поддерживать связь там, где другие VPN терпят неудачу.

Несколько команд RouterOS — и у вас надёжный удалённый доступ для филиалов, серверов и пользователей.

О MKController

Надеемся, что приведённые советы помогут вам лучше ориентироваться в мире MikroTik и Интернета! 🚀
Будь то точная настройка или просто наведение порядка в сети, MKController облегчит вашу работу.

С централизованным облачным управлением, автоматическим обновлением безопасности и удобной панелью управления, у нас есть всё, чтобы вывести вашу сеть на новый уровень.

👉 Начните бесплатный трёхдневный тест прямо сейчас на mkcontroller.com — и убедитесь, как просто управлять сетью.