Hoppa till innehåll
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP fjärrhantering av MikroTik

Konfigurera SSTP på MikroTik för att tunnla VPN-trafik inuti HTTPS på port 443 — passerar strikta brandväggar, CGNAT och företagsproxyer.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) förpackar PPP i en TLS-session på TCP-port 443, vilket gör tunneln omöjlig att skilja från vanlig HTTPS-trafik för brandväggar, proxyer och CGNAT-lager. RouterOS levererar en komplett SSTP-server och -klient. Denna guide täcker minimal fem-kommando serverkonfiguration, motsvarande klientkonfiguration på en avlägsen MikroTik, NAT för att nå LAN-värdar via tunneln och säkerhetschecklistan.

Hur fungerar SSTP för MikroTik-fjärrhantering?

SSTP är ett protokoll som tunnelar PPP inuti en TLS/HTTPS-session på TCP-port 443. Ur nätverkets perspektiv är trafiken omöjlig att skilja från någon annan HTTPS-anslutning — det är precis därför SSTP passerar genom företagsproxyer, captive-portaler, hotell-Wi-Fi och CGNAT-lager som blockerar UDP-baserade VPN. Klienten öppnar TLS till servern på 443, servern presenterar sitt certifikat, en PPP-session etableras inuti TLS-tunneln och trafiken flödar krypterad från ände till ände.

För MikroTik-flottor är SSTP rätt val när kundsidan sitter bakom något som blockerar alla andra VPN. Se vår WireGuard-guide och VPS-baserad hanteringsguide.

Fördelar och begränsningar

Styrkor: fungerar genom restriktiva brandväggar och proxyer; använder port 443, nästan universellt öppen; stark TLS-kryptering i modern RouterOS; nativt stöd i Windows; flexibel autentisering (användarnamn/lösenord, certifikat eller RADIUS).

Begränsningar: högre CPU-belastning än lätta VPN på grund av TLS-overhead; genomströmning vanligen lägre än WireGuard; kräver ett giltigt SSL-certifikat för pålitligt klientbeteende. Håll RouterOS uppdaterad och inaktivera gamla TLS-versioner.

Steg 1: Skapa eller importera TLS-certifikatet

Använd Let’s Encrypt eller en kommersiell CA för produktion. Självsignerat fungerar för labbtester men orsakar klientvarningar:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name måste matcha det värdnamn som klienter kommer använda för att ansluta.

Steg 2: Skapa en PPP-profil

Profilen definierar server- och klientsidans IP-adresser som tunneln kommer använda:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Steg 3: Lägg till en PPP-secret

Secret är per-användar-autentiseringen. Använd långa lösenord eller migrera till certifikatautentisering för större flottor:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Steg 4: Aktivera SSTP-servern

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Routern lyssnar nu på port 443 och accepterar SSTP-anslutningar.

Steg 5: Konfigurera SSTP-klienten på den avlägsna MikroTik

På den avlägsna enheten:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Förväntad status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

encoding-raden visar det förhandlade chiffret. Moderna RouterOS-versioner stöder starkare chiffer — verifiera din versions standardvärden.

Nå en intern värd genom tunneln

För att nå en enhet bakom den avlägsna MikroTik (t.ex. 192.168.88.100), använd dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Åtkomst till enheten via SSTP-tunnelns slutpunkt plus den mappade porten:

https://vpn.yourdomain.com:8081

Trafiken flödar genom HTTPS-stilstunneln och når den interna värden.

Bästa säkerhetspraxis

  • Använd giltiga, betrodda TLS-certifikat från Let’s Encrypt eller en kommersiell CA.
  • Föredra certifikat- eller RADIUS-autentisering framför delade lösenord för flottor.
  • Begränsa tillåtna käll-IP:er på brandväggsnivå när det är möjligt.
  • Håll RouterOS uppdaterad för moderna TLS-stackar.
  • Inaktivera gamla SSL/TLS-versioner och svaga chiffer.
  • Övervaka anslutningsloggar och rotera autentiseringsuppgifter periodvis.

Se vår Winbox-säkerhetsguide och device mode-säkerhetsguide.

Alternativ: SSTP-server på en VPS

Värd SSTP-hubben på en VPS istället för en MikroTik när du vill ha stabil molnsidaggregering. Windows Server har nativt SSTP-stöd; SoftEther VPN på Linux är multi-protokoll och stöder SSTP — fungerar bra som en protokollbrygga.

SSTP kontra andra VPN-alternativ

LösningPortSäkerhetKompatibilitetPrestandaBäst för
SSTPTCP 443Hög (TLS)MikroTik, WindowsMediumNätverk med strikta brandväggar
OpenVPNUDP 1194Hög (TLS)BredMediumÄldre och blandade flottor
WireGuardUDP 51820Mycket högModerna enheterHögModerna nätverk, hög prestanda
Tailscale / ZeroTierdynamiskMycket högMulti-plattformHögSnabb mesh-åtkomst, team

När du ska välja SSTP

Välj SSTP när VPN måste passera företagsproxyer eller strikt NAT, när Windows-klientintegration är viktig, eller när port 443 är den enda pålitligt öppna utgående porten. Om rå hastighet är viktigare är WireGuard det bättre standardvalet — se vår WireGuard-handledning.

Nästa steg

SSTP är det rätta pragmatiska valet för svåråtkomliga nätverk — det utnyttjar HTTPS för att förbli ansluten där andra VPN misslyckas, och några få RouterOS-kommandon konfigurerar pålitlig fjärråtkomst.

Om konfigurering av certifikat och tunnlar per enhet känns som rutinarbete på flottnivå, erbjuder MKControllers NATCloud centraliserad fjärråtkomst och övervakning utan PKI-hantering per enhet.

Starta din kostnadsfria MKController-provperiod