Удалённое управление MikroTik через SSTP

Summary SSTP (Secure Socket Tunneling Protocol) упаковывает PPP внутрь TLS-сессии на TCP-порту 443, делая туннель неотличимым от обычного HTTPS-трафика для фаерволов, прокси и слоёв CGNAT. RouterOS включает полноценный SSTP-сервер и клиент. Это руководство описывает минимальную настройку сервера из пяти команд, соответствующую настройку клиента на удалённом MikroTik, NAT для доступа к хостам LAN и чек-лист безопасности.

Как SSTP работает для удалённого управления MikroTik?

SSTP — это протокол, который туннелирует PPP внутри TLS/HTTPS-сессии на TCP-порту 443. С точки зрения сети трафик неотличим от любого другого HTTPS-соединения — именно поэтому SSTP проходит через корпоративные прокси, captive-порталы, гостиничный Wi-Fi и слои CGNAT, которые блокируют VPN на основе UDP. Клиент открывает TLS к серверу на 443, сервер предъявляет свой сертификат, внутри TLS-туннеля устанавливается PPP-сессия, и трафик идёт зашифрованным от конца до конца.

Для флотов MikroTik SSTP — правильный выбор, когда клиентская площадка находится за чем-то, что блокирует любой другой VPN. См. наше руководство по WireGuard и руководство по управлению через VPS.

Преимущества и ограничения

Сильные стороны: работает через ограничивающие фаерволы и прокси; использует порт 443, почти повсеместно открытый; сильное TLS-шифрование в современном RouterOS; нативная поддержка в Windows; гибкая аутентификация (имя пользователя/пароль, сертификаты или RADIUS).

Ограничения: более высокая нагрузка на CPU, чем у лёгких VPN, из-за накладных расходов TLS; пропускная способность обычно ниже, чем у WireGuard; для надёжного поведения клиента нужен действительный SSL-сертификат. Поддерживайте RouterOS в актуальном состоянии и отключайте старые версии TLS.

Шаг 1: Создайте или импортируйте сертификат TLS

Используйте Let’s Encrypt или коммерческий CA для продакшена. Самоподписанный работает для лабораторных тестов, но вызывает предупреждения клиента:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name должно соответствовать имени хоста, которое клиенты будут использовать для подключения.

Шаг 2: Создайте профиль PPP

Профиль определяет IP-адреса серверной и клиентской стороны, которые будет использовать туннель:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Шаг 3: Добавьте PPP secret

Secret — это учётные данные для каждого пользователя. Используйте длинные пароли или переходите на аутентификацию по сертификатам для больших флотов:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Шаг 4: Включите SSTP-сервер

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Маршрутизатор теперь слушает на порту 443 и принимает SSTP-соединения.

Шаг 5: Настройте SSTP-клиент на удалённом MikroTik

На удалённом устройстве:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Ожидаемый статус:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Строка encoding показывает согласованный шифр. Современные версии RouterOS поддерживают более сильные шифры — проверьте значения по умолчанию для вашей версии.

Доступ к внутреннему хосту через туннель

Чтобы достичь устройства за удалённым MikroTik (например, 192.168.88.100), используйте dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Доступ к устройству через конечную точку SSTP-туннеля и сопоставленный порт:

https://vpn.yourdomain.com:8081

Трафик идёт через туннель в стиле HTTPS и достигает внутреннего хоста.

Лучшие практики безопасности

• Используйте действительные, доверенные TLS-сертификаты от Let’s Encrypt или коммерческого CA.
• Для флотов предпочитайте аутентификацию по сертификату или RADIUS общим паролям.
• Ограничивайте разрешённые IP-источники на уровне фаервола, где возможно.
• Поддерживайте RouterOS в актуальном состоянии для современных TLS-стеков.
• Отключите старые версии SSL/TLS и слабые шифры.
• Следите за журналами подключений и периодически меняйте учётные данные.

См. наше руководство по безопасности Winbox и руководство по безопасности device mode.

Альтернатива: SSTP-сервер на VPS

Размещайте SSTP-хаб на VPS вместо MikroTik, когда нужно стабильное облачное агрегирование. Windows Server имеет нативную поддержку SSTP; SoftEther VPN на Linux мульти-протокольный и поддерживает SSTP — хорошо работает как мост протоколов.

SSTP против других вариантов VPN

Когда выбирать SSTP

Выбирайте SSTP, когда VPN должен пройти через корпоративные прокси или строгий NAT, когда важна интеграция с Windows-клиентом, или когда порт 443 — единственный надёжно открытый исходящий порт. Если важнее необработанная скорость, WireGuard — лучший выбор по умолчанию — см. наш туториал по WireGuard.

Следующий шаг

SSTP — правильный прагматичный выбор для труднодоступных сетей: он использует HTTPS, чтобы оставаться подключённым там, где другие VPN не работают, и несколько команд RouterOS настраивают надёжный удалённый доступ.

Если настройка сертификатов и туннелей для каждого устройства кажется рутинной работой в масштабе флота, NATCloud от MKController предлагает централизованный удалённый доступ и мониторинг без управления PKI для каждого устройства.

Начните бесплатную пробную версию MKController