Upravljanje Mikrotik-om preko SSTP tunela

Сажетак
SSTP тунелира VPN саобраћај унутар HTTPS-а (порт 443), омогућавајући даљински приступ MikroTik-у чак и иза строгих firewall-а и proxy-ја. Овај водич приказује подешавање RouterOS сервера и клијента, примере NAT-а, безбедносне савете и када је SSTP најбољи избор.

Даљинско управљање MikroTik-ом путем SSTP-а

SSTP (Secure Socket Tunneling Protocol) сакрива VPN унутар HTTPS-а.

Ради преко порта 443 и утапа се у уобичајени веб саобраћај.

Због тога је идеалан када мреже блокирају традиционалне VPN портове.

Овај чланак пружа концизан и практичан SSTP рецепт за MikroTik RouterOS.

Шта је SSTP?

SSTP тунелира PPP (Point-to-Point Protocol) унутар TLS/HTTPS сесије.

Користи TLS за енкрипцију и аутентификацију.

Из угла мреже, SSTP је скоро неодвојив од нормалног HTTPS саобраћаја.

Зато лако пролази кроз корпоративне проксије и CGNAT.

Како SSTP ради — брз ток

1. Клијент отвара TLS (HTTPS) везу са сервером на порту 443.
2. Сервер потврђује свој TLS сертификат.
3. PPP сесија се успоставља унутар TLS тунела.
4. Саобраћај је енкриптован од краја до краја (AES-256 када је конфигурисано).

Једноставно. Поуздано. Тешко за блокирање.

Напомена: Пошто SSTP користи HTTPS, многе рестриктивне мреже га дозвољавају док блокирају друге VPN протоколе.

Предности и ограничења

Предности

• Ради скоро свуда — укључујући firewall и проксије.
• Користи порт 443 (HTTPS) који је обично отворен.
• Јака TLS енкрипција (са модерним RouterOS/TLS подешавањима).
• Природна подршка у Windows и RouterOS.
• Флексибилна аутентификација: корисничко име/лозинка, сертификати или RADIUS.

Ограничења

• Веће оптерећење CPU-а него код лаких VPN-ова (због TLS overhead).
• Укупне перформансе често ниже од WireGuard-а.
• Захтева валидан SSL сертификат за најбоље резултате.

Упозорење: Старије TLS/SSL верзије нису безбедне. Држите RouterOS ажурираним и онемогућите legacy TLS/SSL.

Сервер: Подешавање SSTP-а на MikroTik-у

Испод су минималне RouterOS команде за креирање SSTP сервера.

1. Креирајте или увезите сертификат

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Креирајте PPP профил

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Додајте корисника (секрет)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Омогућите SSTP сервер

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Рутер сада слуша на порту 443 и прихвата SSTP везе.

Савет: Користите сертификат од Let’s Encrypt или ваше CA — self-signed сертификати су добри за лабораторијске тестове али изазивају упозорења на клијенту.

Клијент: Подешавање SSTP-а на удаљеном MikroTik-у

На удаљеном уређају додајте SSTP клијента за повезивање са централом.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Очекујани излаз статуса:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Напомена: Ред “encoding” показује договорени шифар. Модерне верзије RouterOS подржавају јаче шифре — проверите release notes.

Приступ унутрашњем уређају преко тунела

Ако треба да приступите уређају иза удаљеног MikroTik-а (нпр. 192.168.88.100), искористите dst-nat и порт мапирање.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Са централе или клијента приступите уређају преко SSTP тунела и мапираног порта:

https://vpn.yourdomain.com:8081

Саобраћај пролази преко HTTPS тунела и долази до унутрашњег уређаја.

Безбедност и добре праксе

• Користите валидне, поуздане TLS сертификате.
• Преферирајте аутентикацију сертификатом или RADIUS-ом уместо обичних лозинки.
• Ограничите дозвољене изворне IP адресе кад је могуће.
• Држите RouterOS ажурираним са модерним TLS стварима.
• Искључите старе SSL/TLS верзије и слабе шифре.
• Пратите евиденцију веза и периодично мењајте креденцијале.

Савет: За многе уређаје, аутентикација сертификатом је управљивија и безбеднија од заједничких лозинки.

Алтернатива: SSTP сервер на VPS-у

Можете хостовати SSTP централни чвор на VPS-у уместо на MikroTik-у.

Опције:

• Windows Server (нативна подршка за SSTP).
• SoftEther VPN (мулти-протокол, подржава SSTP на Linux-у).

SoftEther је користан као протоколски мост. Омогућава MikroTik и Windows клијентима да деле исти сервер без јавних IP-ова на локацијама.

Брзо поређење

Када изабрати SSTP

Изаберите SSTP ако вам треба VPN који:

• Може проћи кроз корпоративне проксије или строги NAT.
• Лако се интегрише са Windows клијентима.
• Треба користити порт 443 да би се избегао блок портова.

Ако вам је главни приоритет брзина и минимална потрошња CPU-а, размислите о WireGuard-у.

Где помаже MKController: Ако вам конфигурисање сертификата и тунела делује компликовано, MKController-ов NATCloud нуди централизовани даљински приступ и праћење — без појединачног ручног PKI управљања по уређају и поједностављено укључивање.

Закључак

SSTP је практичан избор за мреже које је тешко достићи.

Користи HTTPS да остане повезан тамо где други VPN-и не могу.

Са неколико RouterOS команди можете подесити поуздан даљински приступ филијалама, серверима и уређајима корисника.

О MKController-у

Надамо се да вам су савети помогли да боље контролишете свој MikroTik и интернет окружје! 🚀
Без обзира да ли подешавате конфигурације или само желите ред у мрежном хаосу, MKController је ту да вам олакша рад.

Са централизованим cloud управљањем, аутоматским безбедносним исправкама и интерфејсом лако управљивим за све, имамо све што вам треба за напредовање рада.

👉 Почните бесплатну тродневну пробу на mkcontroller.com — и уверите се како изгледа једноставна контрола мреже.