Upravljanje MikroTika preko SSTP

Povzetek
SSTP tunelira VPN promet znotraj HTTPS (port 443), kar omogoča oddaljen dostop do MikroTika tudi za požarnimi zidovi in proxy-ji. Ta vodič prikazuje nastavitve RouterOS strežnika in odjemalca, primere NAT, varnostne nasvete in kdaj izbrati SSTP.

Oddaljeno upravljanje MikroTika s SSTP

SSTP (Secure Socket Tunneling Protocol) skriva VPN znotraj HTTPS.

Deluje preko porta 443 in se zlije z običajnim spletnim prometom.

Zato je idealen, kadar omrežja blokirajo tradicionalne VPN porte.

Ta objava ponuja kratko, praktično navodilo za SSTP na MikroTik RouterOS.

Kaj je SSTP?

SSTP tunelira PPP (Point-to-Point Protocol) znotraj TLS/HTTPS seje.

Uporablja TLS za šifriranje in preverjanje pristnosti.

Z vidika omrežja je SSTP skoraj nerazločljiv od običajnega HTTPS.

Zato brez težav prehaja korporativne proxy-je in CGNAT.

Kako SSTP deluje — hiter potek

1. Odjemalec odpre TLS (HTTPS) povezavo do strežnika na portu 443.
2. Strežnik potrdi svoj TLS certifikat.
3. Znotraj TLS tunela se vzpostavi PPP seja.
4. Promet je šifriran od začetka do konca (AES-256, če je nastavljeno).

Preprosto. Zanesljivo. Težko blokirati.

Opomba: Ker SSTP uporablja HTTPS, ga bodo številna omejujoča omrežja dovolila, medtem ko bodo druge VPN-je blokirala.

Prednosti in omejitve

Prednosti

• Deluje skoraj povsod — tudi za požarne zidove in proxy-je.
• Uporablja port 443 (HTTPS), ki je običajno odprt.
• Močno TLS šifriranje (z uporabo sodobnih RouterOS/TLS nastavitev).
• Nativna podpora v Windows in RouterOS.
• Fleksibilno preverjanje pristnosti: uporabniško ime/geslo, certifikati ali RADIUS.

Omejitve

• Večja obremenitev CPU kot lahki VPN-ji (vrhnja TLS plast).
• Običajno nižja zmogljivost kot WireGuard.
• Potreben veljaven SSL certifikat za najboljše rezultate.

Opozorilo: Starejše verzije TLS/SSL niso varne. Ohranjajte RouterOS posodobljen in izklopite zastarele TLS/SSL.

Strežnik: nastavitve SSTP na MikroTiku

Spodaj so minimalni RouterOS ukazi za ustvarjanje SSTP strežnika.

1. Ustvarite ali uvozite certifikat

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Ustvarite PPP profil

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Dodajte uporabnika (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Omogočite SSTP strežnik

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Sedaj usmerjevalnik posluša na portu 443 in sprejema SSTP povezave.

Nasvet: Uporabite certifikat od Let’s Encrypt ali svoje CA — lastnoročno podpisani certifikati so uporabni za preizkušanje, a povzročijo opozorila na odjemalcu.

Odjemalec: nastavitve SSTP na oddaljenem MikroTiku

Na oddaljeni napravi dodajte SSTP odjemalca za povezavo nazaj do strežnika.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Pričakovan izpis stanja:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Opomba: Vrstica encoding prikazuje dogovorjeno šifro. Sodobne RouterOS različice podpirajo močnejše šifre — preverite zapiske za izdajo.

Dostop do notranjega gostitelja prek tunela

Če morate do naprave za oddaljenim MikroTikom (na primer 192.168.88.100), uporabite dst-nat in preslikavo portov.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Iz strežnika ali odjemalca dostopajte do naprave prek SSTP tunelnega konca in preslikanega porta:

https://vpn.yourdomain.com:8081

Promet gre skozi HTTPS tunel in doseže notranji gostitelj.

Varnost in najboljše prakse

• Uporabljajte veljavne in zaupanja vredne TLS certifikate.
• Raje uporabljajte preverjanje pristnosti s certifikatom ali RADIUS kot samo gesla.
• Omejite dovoljene IP naslove izvora, kjer je mogoče.
• Ohranjajte RouterOS posodobljen za sodobne TLS knjižnice.
• Onemogočite stare SSL/TLS različice in šibke šifre.
• Spremljajte dnevnike povezav in redno menjajte poverilnice.

Nasvet: Za več naprav je preverjanje pristnosti s certifikatom bolj obvladljivo in varno kot deljena gesla.

Alternativa: SSTP strežnik na VPS

SSTP hub lahko gostite na VPS namesto MikroTika.

Možnosti:

• Windows Server (nativna podpora SSTP).
• SoftEther VPN (večprotokolna rešitev, podpira SSTP na Linuxu).

SoftEther je uporaben kot protokolni most. Omogoča MikroTiku in Windows odjemalcem povezavo do istega huba brez javnih IP-jev na vsaki lokaciji.

Hitra primerjava

Kdaj izbrati SSTP

Izberite SSTP, kadar potrebujete VPN, ki:

• Deluje skozi korporativne proxy-je ali strogi NAT.
• Se enostavno vključi v Windows odjemalce.
• Uporablja port 443, da se izognete blokadam portov.

Če vam pomembna hitrost in minimalna obremenitev CPU, raje izberite WireGuard.

Kjer vam MKController pomaga: Če vam nastavljanje certifikatov in tunelov povzroča preglavice, MKControllerjev NATCloud ponuja centraliziran daljinski dostop in spremljanje — brez ročnega PKI za vsako napravo in enostavnejše uvajanje.

Zaključek

SSTP je praktična izbira za težko dostopna omrežja.

Izkoristi HTTPS, da ostane povezan tam, kjer drugi VPN-ji odpovejo.

S nekaj RouterOS ukazi lahko nastavite zanesljiv oddaljen dostop za podružnice, strežnike in uporabniške naprave.

O MKControllerju

Upamo, da so vam zgornji nasveti pomagali bolje obvladovati vaš MikroTik in internetni svet! 🚀
Ne glede na to, ali prilagajate nastavitve ali pa skušate v red spraviti mrežni kaos, je MKController tukaj, da vam olajša delo.

Z centraliziranim upravljanjem v oblaku, avtomatiziranimi varnostnimi posodobitvami in nadzorno ploščo, ki jo lahko obvlada vsak, imamo orodja, da nadgradite svoje delovanje.

👉 Začnite brezplačno 3-dnevno preizkusno obdobje na mkcontroller.com — in odkrijte, kako izgleda brezskrben nadzor mreže.