Skip to content
Blog

การจัดการ Mikrotik ของคุณด้วย SSTP

สรุป
SSTP ซ่อนข้อมูล VPN ภายใน HTTPS (พอร์ท 443) ทำให้เข้าถึง MikroTik ระยะไกลได้แม้ผ่านไฟร์วอลล์และพร็อกซีที่เข้มงวด บทนำนี้แสดงการตั้งค่าเซิร์ฟเวอร์และไคลเอนต์ RouterOS ตัวอย่าง NAT คำแนะนำด้านความปลอดภัย และเมื่อใดควรเลือกใช้ SSTP

การจัดการ MikroTik ระยะไกลด้วย SSTP

SSTP (Secure Socket Tunneling Protocol) ซ่อน VPN ไว้ภายใน HTTPS

มันทำงานผ่านพอร์ต 443 และกลมกลืนกับทราฟฟิกเว็บปกติ

ซึ่งเหมาะอย่างยิ่งเมื่อเครือข่ายบล็อกพอร์ต VPN แบบดั้งเดิม

โพสต์นี้นำเสนอวิธีการ SSTP สำหรับ MikroTik RouterOS แบบสั้นและใช้ได้จริง

SSTP คืออะไร?

SSTP ทำอุโมงค์ PPP (Point-to-Point Protocol) ภายในเซสชัน TLS/HTTPS

ใช้ TLS เพื่อเข้ารหัสและพิสูจน์ตัวตน

จากมุมมองเครือข่าย SSTP แทบไม่แตกต่างจาก HTTPS ปกติ

จึงผ่านพร็อกซีบริษัทและ CGNAT ได้อย่างราบรื่น

วิธีทำงานของ SSTP — กระบวนการอย่างรวดเร็ว

  1. ไคลเอนต์เปิดการเชื่อมต่อ TLS (HTTPS) ไปยังเซิร์ฟเวอร์ที่พอร์ต 443
  2. เซิร์ฟเวอร์ยืนยันใบรับรอง TLS
  3. สร้างเซสชัน PPP ภายในช่องอุโมงค์ TLS
  4. ข้อมูลถูกเข้ารหัสแบบ end-to-end (AES-256 เมื่อกำหนดค่าแล้ว)

เรียบง่ายไว้ใจได้ ยากต่อการบล็อก

หมายเหตุ: เนื่องจาก SSTP ใช้ HTTPS เครือข่ายจำกัดส่วนมากจะอนุญาตให้ใช้งานได้ในขณะที่บล็อก VPN อื่นๆ

ข้อดีและข้อจำกัด

ข้อดี

  • ใช้งานได้แทบทุกที่ รวมไฟร์วอลล์และพร็อกซี
  • ใช้พอร์ต 443 (HTTPS) ซึ่งมักเปิดอยู่เสมอ
  • เข้ารหัส TLS ที่แข็งแกร่ง (เมื่อใช้ RouterOS/TLS รุ่นใหม่)
  • รองรับโดยตรงใน Windows และ RouterOS
  • ยืดหยุ่นด้านการพิสูจน์ตัวตน: ชื่อผู้ใช้/รหัสผ่าน, ใบรับรอง หรือ RADIUS

ข้อจำกัด

  • ใช้ CPU สูงกว่าวิธี VPN เบา ๆ (ค่าใช้จ่าย TLS)
  • ประสิทธิภาพมักต่ำกว่า WireGuard
  • ต้องการใบรับรอง SSL ที่ถูกต้องเพื่อผลลัพธ์ดีที่สุด

คำเตือน: เวอร์ชัน TLS/SSL เก่าไม่ปลอดภัย ควรอัปเดต RouterOS และปิดใช้งาน TLS/SSL รุ่นเก่า

เซิร์ฟเวอร์: ตั้งค่า SSTP บน MikroTik

ด้านล่างเป็นคำสั่งพื้นฐานใน RouterOS เพื่อสร้างเซิร์ฟเวอร์ SSTP

  1. สร้างหรือ นำเข้าใบรับรอง
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. สร้างโปรไฟล์ PPP
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. เพิ่มผู้ใช้งาน (secret)
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. เปิดใช้งานเซิร์ฟเวอร์ SSTP
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

ตอนนี้เราเตอร์จะฟังการเชื่อมต่อ SSTP ที่พอร์ต 443

คำแนะนำ: ใช้ใบรับรองจาก Let’s Encrypt หรือ CA ของคุณ — ใบรับรองเซ็นเองเหมาะกับการทดสอบในห้องทดลอง แต่จะทำให้ไคลเอนต์เตือน

ไคลเอนต์: ตั้งค่า SSTP บน MikroTik ระยะไกล

บนอุปกรณ์ระยะไกล ให้เพิ่ม SSTP ไคลเอนต์เพื่อต่อกลับไปยังศูนย์กลาง

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

สถานะที่คาดหวัง:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

หมายเหตุ: บรรทัด encoding แสดง cipher ที่เจรจา รุ่นใหม่ของ RouterOS รองรับ cipher ที่แข็งแกร่งกว่า — ตรวจสอบโน้ตเวอร์ชันของคุณ

เข้าถึงโฮสต์ภายในผ่านอุโมงค์

หากต้องการเข้าถึงอุปกรณ์ที่อยู่หลัง MikroTik ระยะไกล (เช่น 192.168.88.100) ให้ใช้ dst-nat และแมปพอร์ต

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

จากศูนย์หรือไคลเอนต์ เข้าถึงอุปกรณ์ผ่านจุดสิ้นสุดอุโมงค์ SSTP และพอร์ตที่แมปไว้:

https://vpn.yourdomain.com:8081

ทราฟฟิกจะไหลผ่านอุโมงค์ HTTPS และเข้าถึงโฮสต์ภายในได้

ความปลอดภัยและแนวทางปฏิบัติที่ดี

  • ใช้ใบรับรอง TLS ที่ถูกต้องและเชื่อถือได้
  • แนะนำใช้การพิสูจน์ตัวตนด้วยใบรับรองหรือ RADIUS แทนรหัสผ่านธรรมดา
  • จำกัด IP ต้นทางที่อนุญาตเมื่อทำได้
  • อัปเดต RouterOS เพื่อใช้ TLS รุ่นใหม่
  • ปิดการใช้ SSL/TLS รุ่นเก่าและ cipher อ่อนแอ
  • ตรวจสอบบันทึกการเชื่อมต่อและเปลี่ยนรหัสผ่านเป็นระยะ

คำแนะนำ: สำหรับอุปกรณ์จำนวนมาก การพิสูจน์ตัวตนด้วยใบรับรองจัดการง่ายและปลอดภัยกว่ารหัสผ่านที่ใช้ร่วมกัน

ทางเลือก: เซิร์ฟเวอร์ SSTP บน VPS

คุณสามารถตั้ง SSTP hub บน VPS แทน MikroTik ได้

ตัวเลือก:

  • Windows Server (รองรับ SSTP โดยเนทีฟ)
  • SoftEther VPN (รองรับหลายโปรโตคอล รวม SSTP บน Linux)

SoftEther ใช้เป็นสะพานเชื่อมโปรโตคอลได้ดี ทำให้ MikroTik และไคลเอนต์ Windows ติดต่อกับ hub เดียวกัน แม้ไม่มี IP สาธารณะที่แต่ละไซต์

การเปรียบเทียบอย่างรวดเร็ว

โซลูชันพอร์ตความปลอดภัยความเข้ากันได้ประสิทธิภาพเหมาะสำหรับ
SSTP443สูง (TLS)MikroTik, Windowsปานกลางเครือข่ายมีไฟร์วอลล์เข้มงวด
OpenVPN1194/UDPสูง (TLS)หลายแพลตฟอร์มปานกลางกลุ่มอุปกรณ์เก่า/หลากหลาย
WireGuard51820/UDPสูงมากอุปกรณ์สมัยใหม่สูงเครือข่ายใหม่, ประสิทธิภาพสูง
Tailscale/ZeroTierไดนามิกสูงมากหลายแพลตฟอร์มสูงการเข้าถึงตาข่ายรวดเร็ว, ทีมงาน

เมื่อใดควรเลือก SSTP

เลือก SSTP เมื่อคุณต้องการ VPN ที่:

  • ต้องทำงานผ่านพร็อกซีบริษัทหรือ NAT ที่เข้มงวด
  • ควรทำงานได้ง่ายกับไคลเอนต์ Windows
  • ต้องใช้พอร์ต 443 เพื่อเลี่ยงการบล็อกพอร์ต

หากคุณต้องการความเร็วสูงสุดและใช้ CPU ต่ำ ให้พิจารณา WireGuard แทน

จุดเด่น MKController: หากการตั้งค่าใบรับรองและอุโมงค์ดูยุ่งยาก MKController NATCloud ช่วยให้เข้าถึงระยะไกลและตรวจสอบได้จากศูนย์กลาง — ไม่มีการจัดการ PKI ด้วยตนเองต่อเครื่อง และกระบวนการเริ่มต้นง่ายขึ้นมาก

สรุป

SSTP เป็นตัวเลือกที่ใช้ได้จริงสำหรับเครือข่ายที่เข้าถึงยาก

ใช้ HTTPS เพื่อเชื่อมต่อได้ในที่ที่ VPN อื่นล้มเหลว

ด้วยคำสั่ง RouterOS สั้น ๆ คุณสามารถตั้งค่าการเข้าถึงระยะไกลที่เชื่อถือได้สำหรับสาขา เซิร์ฟเวอร์ และอุปกรณ์ผู้ใช้

เกี่ยวกับ MKController

หวังว่าข้อมูลข้างต้นจะช่วยให้คุณจัดการ MikroTik และเครือข่ายของคุณได้ดีขึ้น! 🚀
ไม่ว่าคุณจะปรับแต่งค่า config หรือต้องการจัดระเบียบเครือข่ายที่ซับซ้อน MKController พร้อมช่วยให้งานของคุณง่ายขึ้น

ด้วยการจัดการคลาวด์แบบรวมศูนย์ อัปเดตความปลอดภัยอัตโนมัติ และแดชบอร์ดใช้งานง่าย เรามีเครื่องมือที่ช่วยยกระดับการดำเนินงานของคุณ

👉 เริ่มทดลองใช้ฟรี 3 วันได้เลย บน mkcontroller.com — แล้วคุณจะเห็นการควบคุมเครือข่ายที่ไร้ปัญหาจริง ๆ