Správa Mikrotiku cez SSTP tunel

Zhrnutie
SSTP tuneluje VPN prenos vnútri HTTPS (port 443), čo umožňuje vzdialený prístup k MikroTiku aj za prísnymi firewallmi a proxy. Tento návod ukazuje nastavenie servera a klienta v RouterOS, príklady NAT, tipy na zabezpečenie a kedy je SSTP správna voľba.

Vzdialená správa Mikrotiku cez SSTP

SSTP (Secure Socket Tunneling Protocol) skryje VPN vnútri HTTPS.

Funguje cez port 443 a splýva s bežným webovým prenosom.

To ho robí ideálnym tam, kde siete blokujú tradičné VPN porty.

Tento článok prináša stručný a praktický návod na SSTP s MikroTik RouterOS.

Čo je SSTP?

SSTP tuneluje PPP (Point-to-Point Protocol) vo vnútri TLS/HTTPS relácie.

Používa TLS na šifrovanie a autentifikáciu.

Zo siete vyzerá SSTP takmer rovnako ako bežné HTTPS.

Preto bez problémov prechádza cez firemné proxy a CGNAT.

Ako SSTP funguje — stručný postup

1. Klient otvorí TLS (HTTPS) spojenie so serverom na porte 443.
2. Server overí svoj TLS certifikát.
3. Vo vnútri TLS tunela sa vytvorí PPP relácia.
4. Prenos je šifrovaný end-to-end (AES-256, ak je nakonfigurovaný).

Jednoduché. Spoľahlivé. Ťažké ho zablokovať.

Poznámka: Keďže SSTP používa HTTPS, mnohé obmedzujúce siete ho povolia, aj keď blokujú iné VPN.

Výhody a obmedzenia

Výhody

• Funguje takmer kdekoľvek — vrátane firewallov a proxy.
• Používa port 443 (HTTPS), ktorý je zvyčajne otvorený.
• Silné TLS šifrovanie (pri moderných RouterOS/TLS nastaveniach).
• Natívna podpora vo Windows a RouterOS.
• Flexibilná autentifikácia: meno/heslo, certifikáty alebo RADIUS.

Obmedzenia

• Vyššia záťaž CPU ako ľahké VPN (dôsledok TLS režie).
• Výkon je zvyčajne nižší ako u WireGuard.
• Vyžaduje platný SSL certifikát pre optimálne výsledky.

Varovanie: Staršie verzie TLS/SSL sú nezabezpečené. Udržiavajte RouterOS aktualizovaný a deaktivujte legacy TLS/SSL.

Server: Nastavenie SSTP na MikroTik

Nižšie nájdete základné RouterOS príkazy na vytvorenie SSTP servera.

1. Vytvorte alebo naimportujte certifikát

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Vytvorte PPP profil

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Pridajte užívateľa (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Povoľte SSTP server

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Router teraz počúva na porte 443 a prijíma SSTP spojenia.

Tip: Použite certifikát od Let’s Encrypt alebo váš CA — samopodpísané certifikáty sú vhodné len na testy, inde spôsobujú varovania klientom.

Klient: Nastavenie SSTP na vzdialenom Mikrotiku

Na vzdialenom zariadení pridajte SSTP klienta, ktorý sa pripojí k serveru.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Očakávaný výstup stavu:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Poznámka: Riadok encoding ukazuje dohodnutý šifrovací algoritmus. Moderné verzie RouterOS podporujú silnejšie šifry — overte si svoje poznámky k vydaniu.

Prístup k internému hostovi cez tunel

Ak potrebujete získať prístup k zariadeniu za vzdialeným MikroTikom (napr. 192.168.88.100), použite dst-nat a mapovanie portov.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Zo servera alebo klienta pristúpte k zariadeniu cez SSTP tunel a zmapovaný port:

https://vpn.yourdomain.com:8081

Prenos prechádza cez HTTPS tunel a dosiahne interný host.

Bezpečnosť a osvedčené postupy

• Používajte platné, dôveryhodné TLS certifikáty.
• Preferujte autentifikáciu certifikátmi alebo RADIUS namiesto len hesiel.
• Obmedzte povolené zdrojové IP ak je to možné.
• Udržiavajte RouterOS aktualizovaný pre moderné TLS zásuvky.
• Vypnite staré verzie SSL/TLS a slabé šifry.
• Sledujte logy spojení a pravidelne vytvárajte nové prístupové údaje.

Tip: Pre veľa zariadení je autentifikácia certifikátom jednoznačne lepšia a bezpečnejšia ako zdieľané heslá.

Alternatíva: SSTP server na VPS

SSTP hub môžete mať aj na VPS namiesto Mikrotiku.

Možnosti:

• Windows Server (natívna podpora SSTP).
• SoftEther VPN (multi-protokol, podporuje SSTP na Linuxe).

SoftEther je vhodný ako protokolový most — umožňuje MikroTikom a Windows klientom komunikovať s rovnakým hubom bez verejných IP na každom mieste.

Rýchle porovnanie

Kedy zvoliť SSTP

Vyberte SSTP, ak potrebujete VPN, ktorá:

• Funguje cez firemné proxy alebo prísny NAT.
• Sa ľahko integruje s Windows klientmi.
• Používa port 443, aby sa vyhla blokovaniu portov.

Ak preferujete rýchlosť a nízku záťaž CPU, zvážte namiesto toho WireGuard.

Ako pomáha MKController: Ak je nastavovanie certifikátov a tunelov komplikované, NATCloud od MKController ponúka centralizovaný vzdialený prístup a dohľad — žiadne ručné PKI pre každé zariadenie a jednoduchšie zavedenie.

Záver

SSTP je pragmatická voľba pre siete so zložitým prístupom.

Využíva HTTPS, aby udržal spojenie tam, kde iné VPN zlyhávajú.

S pár príkazmi v RouterOS nastavíte spoľahlivý vzdialený prístup pre pobočky, servery a korisť.

O MKController

Dúfame, že vám tieto informácie pomohli lepšie sa orientovať vo svete Mikrotiku a internetu! 🚀
Či už dolaďujete konfigurácie alebo sa snažíte priniesť poriadok do siete, MKController je tu, aby vám to uľahčil.

S centralizovanou cloud správou, automatickými bezpečnostnými aktualizáciami a ovládacím panelom, ktorý zvládne každý, máme čo ponúknuť na vylepšenie vašej prevádzky.

👉 Vyskúšajte zadarmo 3 dni na mkcontroller.com — a presvedčte sa, aké jednoduché môže byť ovládanie siete.