Hantera din MikroTik med SSTP

Sammanfattning
SSTP tunnlar VPN-trafik inuti HTTPS (port 443), vilket möjliggör fjärråtkomst till MikroTik även bakom strikta brandväggar och proxies. Denna guide visar RouterOS-server- och klientinställning, NAT-exempel, säkerhetstips och när SSTP är rätt val.

Fjärrhantering av MikroTik med SSTP

SSTP (Secure Socket Tunneling Protocol) döljer en VPN inuti HTTPS.

Det fungerar över port 443 och smälter in med vanlig webtrafik.

Det gör det idealiskt när nätverk blockerar traditionella VPN-portar.

Det här inlägget ger ett kort, praktiskt SSTP-recept för MikroTik RouterOS.

Vad är SSTP?

SSTP tunnlar PPP (Point-to-Point Protocol) inuti en TLS/HTTPS-session.

Det använder TLS för kryptering och autentisering.

Ur nätverkets synvinkel är SSTP nästan omöjligt att skilja från vanlig HTTPS.

Det är därför det passerar genom företagsproxies och CGNAT.

Hur SSTP fungerar – snabbt flöde

1. Klienten öppnar en TLS (HTTPS)-anslutning till servern på port 443.
2. Servern bekräftar sitt TLS-certifikat.
3. En PPP-session upprättas inuti TLS-tunneln.
4. Trafiken krypteras end-to-end (AES-256 när konfigurerat).

Enkelt. Pålitligt. Svårt att blockera.

Notera: Eftersom SSTP använder HTTPS tillåter många restriktiva nätverk detta medan andra VPN blockeras.

Fördelar och begränsningar

Fördelar

• Fungerar nästan överallt – inklusive brandväggar och proxies.
• Använder port 443 (HTTPS) som vanligtvis är öppen.
• Stark TLS-kryptering (med moderna RouterOS/TLS-inställningar).
• Naturligt stöd i Windows och RouterOS.
• Flexibel autentisering: användarnamn/lösenord, certifikat eller RADIUS.

Begränsningar

• Högre CPU-användning än lättviktiga VPN (TLS-overhead).
• Prestanda är oftast lägre än WireGuard.
• Kräver ett giltigt SSL-certifikat för bästa resultat.

Varning: Äldre TLS/SSL-versioner är osäkra. Håll RouterOS uppdaterad och inaktivera gamla TLS/SSL-versioner.

Server: Konfigurera SSTP på en MikroTik

Nedan är minimala RouterOS-kommandon för att skapa en SSTP-server.

1. Skapa eller importera ett certifikat

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Skapa en PPP-profil

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Lägg till en användare (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Aktivera SSTP-servern

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Nu lyssnar routern på port 443 och accepterar SSTP-anslutningar.

Tips: Använd ett certifikat från Let’s Encrypt eller din CA – självsignerade certifikat fungerar för laborationer men ger klientvarningar.

Klient: Konfigurera SSTP på en fjärransluten MikroTik

På den fjärranslutna enheten, lägg till en SSTP-klient för att koppla tillbaka till hubben.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Förväntad statusoutput:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Notera: Encoding-raden visar den förhandlade krypteringen. Moderna RouterOS-versioner stödjer starkare chiffer – kontrollera versionsnoteringar.

Access till intern host över tunneln

Om du behöver nå en enhet bakom den fjärranslutna MikroTik (t.ex. 192.168.88.100), använd dst-nat och portmapping.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Från hubben eller klienten, nå enheten via SSTP-tunnelns slutpunkt och mappad port:

https://vpn.yourdomain.com:8081

Trafik går genom HTTPS-tunneln och når den interna hosten.

Säkerhet och bästa praxis

• Använd giltiga, betrodda TLS-certifikat.
• Föredra certifikat- eller RADIUS-autentisering framför lösenord.
• Begränsa tillåtna käll-IP-adresser när möjligt.
• Håll RouterOS uppdaterad för moderna TLS-stacks.
• Inaktivera gamla SSL/TLS-versioner och svaga chiffer.
• Övervaka anslutningsloggar och byt ut inloggningsuppgifter regelbundet.

Tips: För många enheter är autentisering via certifikat mer hanterbart och säkert än delade lösenord.

Alternativ: SSTP-server på en VPS

Du kan driva en SSTP-hub på en VPS istället för en MikroTik.

Alternativ:

• Windows Server (inbyggt SSTP-stöd).
• SoftEther VPN (multi-protokoll, stöder SSTP på Linux).

SoftEther är praktiskt som protokollgateway. Det låter MikroTik och Windows-klienter kommunicera med samma hub utan publika IP på varje plats.

Snabb jämförelse

När välja SSTP

Välj SSTP när du behöver en VPN som:

• Måste fungera genom företagsproxies eller strikt NAT.
• Ska integreras enkelt med Windows-klienter.
• Behöver använda port 443 för att undvika portblockering.

Om du värderar snabb hastighet och minimal CPU-användning, överväg istället WireGuard.

Där MKController hjälper: Om certifikat- och tunnelkonfiguration känns tidskrävande, erbjuder MKController NATCloud centraliserad fjärråtkomst och övervakning – inga manuella PKI per enhet och enklare onboarding.

Slutsats

SSTP är ett pragmatiskt val för svåråtkomliga nätverk.

Det använder HTTPS för att hålla dig online där andra VPN misslyckas.

Med några RouterOS-kommandon kan du skapa pålitlig fjärråtkomst för filialer, servrar och användarenheter.

Om MKController

Hoppas insikterna ovan hjälpte dig navigera i din MikroTik- och internetvärld bättre! 🚀
Oavsett om du finjusterar konfigurationer eller bara vill skapa ordning i nätverkskaoset, är MKController här för att förenkla ditt liv.

Med centraliserad molnhantering, automatiska säkerhetsuppdateringar och en dashboard som vem som helst kan hantera, har vi det som krävs för att uppgradera din verksamhet.

👉 Starta din kostnadsfria 3-dagars provperiod nu på mkcontroller.com — och se hur enkel nätverkskontroll verkligen kan vara.