Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP udaljeno upravljanje MikroTikom

Konfigurišite SSTP na MikroTiku za tuneliranje VPN saobraćaja unutar HTTPS-a na portu 443 — prolazi kroz stroge zaštitne zidove, CGNAT i korporativne proksije.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) omotava PPP unutar TLS sesije na TCP portu 443, čineći tunel nerazlikujivim od običnog HTTPS saobraćaja za zaštitne zidove, proksije i CGNAT slojeve. RouterOS uključuje kompletan SSTP server i klijent. Ovaj vodič pokriva minimalnu konfiguraciju servera od pet komandi, odgovarajuću konfiguraciju klijenta na udaljenom MikroTiku, NAT za pristup LAN domaćinima i bezbednosnu kontrolnu listu.

Kako SSTP funkcioniše za udaljeno upravljanje MikroTikom?

SSTP je protokol koji tunelira PPP unutar TLS/HTTPS sesije na TCP portu 443. Sa stanovišta mreže, saobraćaj je nerazlikujiv od bilo koje druge HTTPS veze — upravo zato SSTP prolazi kroz korporativne proksije, captive portale, hotelske Wi-Fi i CGNAT slojeve koji blokiraju VPN-ove zasnovane na UDP-u. Klijent otvara TLS prema serveru na 443, server prezentuje svoj sertifikat, unutar TLS tunela uspostavlja se PPP sesija, a saobraćaj teče šifrovan od kraja do kraja.

Za flote MikroTik, SSTP je prava odluka kada se lokacija klijenta nalazi iza nečega što blokira svaki drugi VPN. Pogledajte naš WireGuard vodič i vodič za upravljanje preko VPS-a.

Prednosti i ograničenja

Snage: radi kroz restriktivne zaštitne zidove i proksije; koristi port 443, gotovo univerzalno otvoren; jaka TLS enkripcija na modernom RouterOS-u; nativna podrška u Windows-u; fleksibilna autentifikacija (korisničko ime/lozinka, sertifikati ili RADIUS).

Ograničenja: veće opterećenje CPU-a od laganih VPN-ova zbog TLS opterećenja; protok obično niži od WireGuard-a; potreban je validan SSL sertifikat za pouzdano ponašanje klijenta. Održavajte RouterOS ažuriranim i onemogućite stare verzije TLS-a.

Korak 1: Kreirajte ili uvezite TLS sertifikat

Koristite Let’s Encrypt ili komercijalnu CA za produkciju. Samopotpisani radi za laboratorijska testiranja, ali izaziva upozorenja klijenta:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name mora odgovarati imenu domaćina koje će klijenti koristiti za povezivanje.

Korak 2: Kreirajte PPP profil

Profil definiše IP adrese servera i klijenta koje će tunel koristiti:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Korak 3: Dodajte PPP secret

Secret je akreditiv po korisniku. Koristite duge lozinke ili migrirajte na autentifikaciju sertifikatom za veće flote:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Korak 4: Omogućite SSTP server

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Ruter sada sluša na portu 443 i prihvata SSTP veze.

Korak 5: Konfigurišite SSTP klijent na udaljenom MikroTiku

Na udaljenom uređaju:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Očekivani status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Red encoding pokazuje dogovorenu šifru. Moderne verzije RouterOS-a podržavaju jače šifre — proverite podrazumevane vrednosti svog izdanja.

Pristup unutrašnjem domaćinu kroz tunel

Za pristup uređaju iza udaljenog MikroTika (npr. 192.168.88.100), koristite dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Pristupite uređaju preko krajnje tačke SSTP tunela i mapiranog porta:

https://vpn.yourdomain.com:8081

Saobraćaj teče kroz tunel u stilu HTTPS-a i dolazi do unutrašnjeg domaćina.

Najbolje bezbednosne prakse

  • Koristite validne, pouzdane TLS sertifikate od Let’s Encrypt ili komercijalne CA.
  • Za flote preferirajte autentifikaciju sertifikatom ili RADIUS umesto deljenih lozinki.
  • Ograničite dozvoljene izvorne IP adrese na nivou zaštitnog zida kada je moguće.
  • Održavajte RouterOS ažuriranim za moderne TLS stekove.
  • Onemogućite stare verzije SSL/TLS-a i slabe šifre.
  • Pratite zapise veza i periodično rotirajte akreditive.

Pogledajte naš bezbednosni vodič Winbox i bezbednosni vodič device mode.

Alternativa: SSTP server na VPS-u

Hostujte SSTP čvorište na VPS-u umesto na MikroTiku kada želite stabilnu cloud agregaciju. Windows Server ima nativnu SSTP podršku; SoftEther VPN na Linuxu je više-protokolan i podržava SSTP — dobro radi kao most protokola.

SSTP nasuprot drugim VPN opcijama

RešenjePortBezbednostKompatibilnostPerformanseNajbolje za
SSTPTCP 443Visoka (TLS)MikroTik, WindowsSrednjeMreže sa strogim zaštitnim zidovima
OpenVPNUDP 1194Visoka (TLS)ŠirokaSrednjeStare i mešovite flote
WireGuardUDP 51820Veoma visokaModerni uređajiVisokeModerne mreže, visoke performanse
Tailscale / ZeroTierdinamičanVeoma visokaViše-platformskoVisokeBrzi mesh pristup, timovi

Kada odabrati SSTP

Odaberite SSTP kada VPN mora da prođe kroz korporativne proksije ili strogi NAT, kada je važna integracija sa klijentom Windows ili kada je port 443 jedini pouzdano otvoren izlazni port. Ako je sirova brzina važnija, WireGuard je bolji podrazumevani izbor — pogledajte naš WireGuard tutorijal.

Sledeći korak

SSTP je pravi pragmatični izbor za teško dostupne mreže — koristi HTTPS da ostane povezan tamo gde drugi VPN-ovi padaju, a nekoliko RouterOS komandi postavlja pouzdan udaljeni pristup.

Ako konfigurisanje sertifikata i tunela po uređaju deluje kao zaposleni posao u skali flote, NATCloud od MKController nudi centralizovani udaljeni pristup i monitoring bez upravljanja PKI po uređaju.

Započnite svoju besplatnu MKController probu