Preskočiť na obsah
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP vzdialená správa MikroTik

Nakonfigurujte SSTP na MikroTik na tunelovanie VPN prevádzky vnútri HTTPS na porte 443 — prejde prísnymi firewallmi, CGNAT a firemnými proxy.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) zabaľuje PPP do TLS relácie na TCP porte 443, takže tunel sa pre firewally, proxy a CGNAT vrstvy javí ako nerozoznateľný od bežnej HTTPS prevádzky. RouterOS obsahuje kompletný SSTP server a klienta. Tento sprievodca popisuje minimálne nastavenie servera piatimi príkazmi, zodpovedajúcu konfiguráciu klienta na vzdialenom MikroTiku, NAT na prístup k LAN hostiteľom a bezpečnostný kontrolný zoznam.

Ako funguje SSTP pre vzdialenú správu MikroTik?

SSTP je protokol, ktorý tuneluje PPP vnútri TLS/HTTPS relácie na TCP porte 443. Z pohľadu siete je prevádzka nerozoznateľná od akéhokoľvek iného HTTPS spojenia — preto SSTP prechádza cez firemné proxy, captive portály, hotelové Wi-Fi a CGNAT vrstvy, ktoré blokujú VPN založené na UDP. Klient otvára TLS na server na 443, server predloží svoj certifikát, vnútri TLS tunela sa vytvorí PPP relácia a prevádzka tečie šifrovaná end-to-end.

Pre flotily MikroTik je SSTP správna voľba, keď sa zákaznícka lokalita nachádza za niečím, čo blokuje každú inú VPN. Pozrite si naše WireGuard príručku a príručku správy cez VPS.

Výhody a obmedzenia

Silné stránky: funguje cez reštriktívne firewally a proxy; používa port 443, takmer všeobecne otvorený; silné TLS šifrovanie v modernom RouterOS; natívna podpora vo Windows; flexibilná autentifikácia (používateľské meno/heslo, certifikáty alebo RADIUS).

Obmedzenia: vyššia záťaž CPU než ľahké VPN kvôli réžii TLS; priepustnosť zvyčajne nižšia než WireGuard; vyžaduje platný SSL certifikát pre spoľahlivé správanie klienta. Udržujte RouterOS aktualizovaný a vypnite staré verzie TLS.

Krok 1: Vytvorte alebo importujte TLS certifikát

Pre produkciu používajte Let’s Encrypt alebo komerčnú CA. Samopodpísaný funguje na laboratórne testy, ale spôsobuje upozornenia klienta:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name musí zodpovedať názvu hostiteľa, ktorý klienti použijú na pripojenie.

Krok 2: Vytvorte PPP profil

Profil definuje IP adresy servera a klienta, ktoré tunel použije:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Krok 3: Pridajte PPP secret

Secret je poverenie na používateľa. Používajte dlhé heslá alebo migrujte na certifikátovú autentifikáciu pre väčšie flotily:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Krok 4: Povoľte SSTP server

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Router teraz počúva na porte 443 a prijíma SSTP pripojenia.

Krok 5: Nakonfigurujte SSTP klienta na vzdialenom MikroTiku

Na vzdialenom zariadení:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Očakávaný stav:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Riadok encoding zobrazuje dohodnutú šifru. Moderné verzie RouterOS podporujú silnejšie šifry — overte predvolené hodnoty svojho vydania.

Prístup k internému hostiteľovi cez tunel

Na dosiahnutie zariadenia za vzdialeným MikroTikom (napr. 192.168.88.100) použite dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Prístup k zariadeniu cez koncový bod SSTP tunela a mapovaný port:

https://vpn.yourdomain.com:8081

Prevádzka tečie cez tunel v štýle HTTPS a dosiahne interného hostiteľa.

Najlepšie bezpečnostné postupy

  • Používajte platné, dôveryhodné TLS certifikáty od Let’s Encrypt alebo komerčnej CA.
  • Pre flotily preferujte certifikátovú alebo RADIUS autentifikáciu pred zdieľanými heslami.
  • Ak je to možné, obmedzte povolené zdrojové IP na úrovni firewallu.
  • Udržujte RouterOS aktualizovaný pre moderné TLS stacky.
  • Vypnite staré verzie SSL/TLS a slabé šifry.
  • Sledujte logy pripojení a pravidelne rotujte poverenia.

Pozrite si naše bezpečnostné príručky Winbox a bezpečnostnú príručku device mode.

Alternatíva: SSTP server na VPS

Hostujte SSTP hub na VPS namiesto MikroTik, keď chcete stabilnú agregáciu na strane cloudu. Windows Server má natívnu podporu SSTP; SoftEther VPN na Linuxe je viacprotokolový a podporuje SSTP — funguje dobre ako most medzi protokolmi.

SSTP oproti iným možnostiam VPN

RiešeniePortBezpečnosťKompatibilitaVýkonNajlepšie pre
SSTPTCP 443Vysoká (TLS)MikroTik, WindowsStrednýSiete s prísnymi firewallmi
OpenVPNUDP 1194Vysoká (TLS)ŠirokáStrednýStaršie a zmiešané flotily
WireGuardUDP 51820Veľmi vysokáModerné zariadeniaVysokýModerné siete, vysoký výkon
Tailscale / ZeroTierdynamickýVeľmi vysokáMulti-platformovýVysokýRýchly mesh prístup, tímy

Kedy zvoliť SSTP

Zvoľte SSTP, keď VPN musí prejsť firemnými proxy alebo prísnym NAT, keď záleží na integrácii s Windows klientom, alebo keď port 443 je jediný spoľahlivo otvorený odchádzajúci port. Ak je dôležitejšia surová rýchlosť, WireGuard je lepšia predvolená voľba — pozrite si náš WireGuard tutoriál.

Ďalší krok

SSTP je správna pragmatická voľba pre ťažko dostupné siete — využíva HTTPS, aby zostal pripojený tam, kde iné VPN zlyhávajú, a niekoľko príkazov RouterOS nastaví spoľahlivý vzdialený prístup.

Ak nastavovanie certifikátov a tunelov pre každé zariadenie pôsobí ako rutinná práca v škále flotily, NATCloud od MKController ponúka centralizovaný vzdialený prístup a monitoring bez správy PKI na zariadenie.

Začnite svoju bezplatnú skúšobnú verziu MKController