Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP oddaljeno upravljanje MikroTik

Konfigurirajte SSTP na MikroTik za tuneliranje VPN prometa znotraj HTTPS na vratih 443 — prečka stroge požarne zidove, CGNAT in korporativne proxyje.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) ovije PPP v sejo TLS na TCP vratih 443, kar naredi tunel nerazločljiv od običnega prometa HTTPS za požarne zidove, proxyje in plasti CGNAT. RouterOS vključuje popoln SSTP strežnik in odjemalca. Ta vodnik pokriva minimalno nastavitev strežnika s petimi ukazi, ustrezno konfiguracijo odjemalca na oddaljenem MikroTiku, NAT za dostop do LAN gostiteljev in varnostni kontrolni seznam.

Kako SSTP deluje za oddaljeno upravljanje MikroTik?

SSTP je protokol, ki tunelira PPP znotraj seje TLS/HTTPS na TCP vratih 443. Z vidika omrežja je promet nerazločljiv od katere koli druge povezave HTTPS — prav zato SSTP gre skozi korporativne proxyje, captive portale, hotelski Wi-Fi in plasti CGNAT, ki blokirajo VPN-je na osnovi UDP. Odjemalec odpre TLS do strežnika na 443, strežnik predstavi svoj certifikat, znotraj tunela TLS se vzpostavi seja PPP in promet teče šifriran od konca do konca.

Za flote MikroTik je SSTP prava izbira, ko se lokacija stranke nahaja za nečim, kar blokira vsak drug VPN. Glejte naš vodnik WireGuard in vodnik upravljanja prek VPS.

Prednosti in omejitve

Prednosti: deluje skozi restriktivne požarne zidove in proxyje; uporablja vrata 443, skoraj univerzalno odprta; močno TLS šifriranje na modernem RouterOS; nativna podpora v Windows; prilagodljiva avtentikacija (uporabniško ime/geslo, certifikati ali RADIUS).

Omejitve: višja obremenitev CPU kot lahki VPN-ji zaradi TLS režije; pretočnost običajno nižja kot WireGuard; potrebuje veljaven SSL certifikat za zanesljivo vedenje odjemalca. Vzdržujte RouterOS posodobljen in onemogočite stare različice TLS.

Korak 1: Ustvarite ali uvozite TLS certifikat

Za produkcijo uporabite Let’s Encrypt ali komercialni CA. Samopodpisan deluje za laboratorijska testiranja, vendar povzroča opozorila odjemalca:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name mora ustrezati imenu gostitelja, ki ga bodo odjemalci uporabili za povezavo.

Korak 2: Ustvarite PPP profil

Profil definira IP-je strežniške in odjemalske strani, ki jih bo tunel uporabil:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Korak 3: Dodajte PPP secret

Secret je poverilnice na uporabnika. Uporabite dolga gesla ali migrirajte na avtentikacijo s certifikatom za večje flote:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Korak 4: Omogočite SSTP strežnik

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Usmerjevalnik zdaj posluša na vratih 443 in sprejema povezave SSTP.

Korak 5: Konfigurirajte SSTP odjemalec na oddaljenem MikroTiku

Na oddaljeni napravi:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Pričakovano stanje:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Vrstica encoding prikazuje dogovorjen šifrant. Moderne različice RouterOS podpirajo močnejše šifrante — preverite privzete vrednosti svoje izdaje.

Dostop do notranjega gostitelja prek tunela

Za dostop do naprave za oddaljenim MikroTik (npr. 192.168.88.100) uporabite dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Dostopite do naprave prek končne točke tunela SSTP in preslikanih vrat:

https://vpn.yourdomain.com:8081

Promet teče skozi tunel v slogu HTTPS in doseže notranjega gostitelja.

Najboljše varnostne prakse

  • Uporabljajte veljavne, zaupanja vredne TLS certifikate od Let’s Encrypt ali komercialnega CA.
  • Za flote preferirajte avtentikacijo s certifikatom ali RADIUS pred deljenimi gesli.
  • Kjer je mogoče, omejite dovoljene izvorne IP-je na ravni požarnega zidu.
  • Vzdržujte RouterOS posodobljen za moderne TLS sklade.
  • Onemogočite stare različice SSL/TLS in šibke šifrante.
  • Spremljajte dnevnike povezav in občasno menjajte poverilnice.

Glejte naš varnostni vodnik Winbox in varnostni vodnik device mode.

Alternativa: SSTP strežnik na VPS

Gostite vozlišče SSTP na VPS namesto na MikroTik, ko želite stabilno združevanje na strani oblaka. Windows Server ima nativno podporo SSTP; SoftEther VPN na Linuxu je večprotokolen in podpira SSTP — dobro deluje kot most med protokoli.

SSTP v primerjavi z drugimi možnostmi VPN

RešitevVrataVarnostZdružljivostZmogljivostNajboljše za
SSTPTCP 443Visoka (TLS)MikroTik, WindowsSrednjaOmrežja s strogimi požarnimi zidovi
OpenVPNUDP 1194Visoka (TLS)ŠirokaSrednjaStare in mešane flote
WireGuardUDP 51820Zelo visokaModerne napraveVisokaModerna omrežja, visoka zmogljivost
Tailscale / ZeroTierdinamičnaZelo visokaMultiplatformskoVisokaHiter mesh dostop, ekipe

Kdaj izbrati SSTP

Izberite SSTP, kadar mora VPN preko korporativnih proxyjev ali strogega NAT-a, ko je pomembna integracija s odjemalcem Windows ali ko so vrata 443 edina zanesljivo odprta izhodna vrata. Če je groba hitrost pomembnejša, je WireGuard boljša privzeta izbira — glejte naš vodnik WireGuard.

Naslednji korak

SSTP je pravilna pragmatična izbira za težko dosegljiva omrežja — izkorišča HTTPS, da ostane povezan tam, kjer drugi VPN-ji odpovejo, in nekaj ukazov RouterOS nastavi zanesljiv oddaljeni dostop.

Če konfiguriranje certifikatov in tunelov na napravo deluje kot rutinsko delo v obsegu flote, NATCloud od MKController ponuja centralizirani oddaljeni dostop in spremljanje brez upravljanja PKI na napravo.

Začnite svojo brezplačno preizkusno različico MKController