Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

การจัดการ MikroTik ระยะไกลด้วย SSTP

กำหนดค่า SSTP บน MikroTik เพื่อสร้างอุโมงค์ทราฟฟิก VPN ภายใน HTTPS บนพอร์ต 443 — ผ่านไฟร์วอลล์เข้มงวด CGNAT และพร็อกซีองค์กร

MKController3 min read

Summary SSTP (Secure Socket Tunneling Protocol) ห่อหุ้ม PPP ไว้ในเซสชัน TLS บนพอร์ต TCP 443 ทำให้อุโมงค์ดูเหมือนทราฟฟิก HTTPS ปกติสำหรับไฟร์วอลล์ พร็อกซี และเลเยอร์ CGNAT RouterOS มี SSTP เซิร์ฟเวอร์และไคลเอนต์ที่สมบูรณ์ คู่มือนี้ครอบคลุมการตั้งค่าเซิร์ฟเวอร์ขั้นต่ำห้าคำสั่ง การกำหนดค่าไคลเอนต์ที่สอดคล้องกันบน MikroTik ระยะไกล NAT เพื่อเข้าถึงโฮสต์ LAN และรายการตรวจสอบความปลอดภัย

SSTP ทำงานอย่างไรสำหรับการจัดการ MikroTik ระยะไกล?

SSTP เป็นโปรโตคอลที่สร้างอุโมงค์ PPP ภายในเซสชัน TLS/HTTPS บนพอร์ต TCP 443 จากมุมมองของเครือข่าย ทราฟฟิกแยกไม่ออกจากการเชื่อมต่อ HTTPS อื่นๆ — นั่นคือเหตุผลที่ SSTP ผ่านพร็อกซีองค์กร captive portal Wi-Fi ของโรงแรม และเลเยอร์ CGNAT ที่บล็อก VPN ที่ใช้ UDP ไคลเอนต์เปิด TLS ไปยังเซิร์ฟเวอร์บน 443 เซิร์ฟเวอร์นำเสนอใบรับรอง สร้างเซสชัน PPP ภายในอุโมงค์ TLS และทราฟฟิกไหลแบบเข้ารหัสแบบ end-to-end

สำหรับฟลีต MikroTik SSTP เป็นตัวเลือกที่ถูกต้องเมื่อไซต์ลูกค้าอยู่หลังสิ่งที่บล็อก VPN อื่นๆ ทุกตัว ดูคู่มือ WireGuard และคู่มือการจัดการผ่าน VPS.

ข้อดีและข้อจำกัด

จุดแข็ง: ทำงานผ่านไฟร์วอลล์และพร็อกซีที่จำกัด; ใช้พอร์ต 443 ซึ่งเปิดอยู่เกือบทั้งหมด; การเข้ารหัส TLS ที่แข็งแกร่งใน RouterOS สมัยใหม่; รองรับใน Windows แบบดั้งเดิม; การยืนยันตัวตนที่ยืดหยุ่น (ชื่อผู้ใช้/รหัสผ่าน ใบรับรอง หรือ RADIUS)

ข้อจำกัด: ภาระ CPU สูงกว่า VPN น้ำหนักเบาเนื่องจากค่าใช้จ่าย TLS; โดยทั่วไป throughput ต่ำกว่า WireGuard; ต้องการใบรับรอง SSL ที่ถูกต้องสำหรับพฤติกรรมไคลเอนต์ที่เชื่อถือได้ อัพเดต RouterOS และปิดใช้งานเวอร์ชัน TLS เก่า

ขั้นตอนที่ 1: สร้างหรือนำเข้าใบรับรอง TLS

ใช้ Let’s Encrypt หรือ CA เชิงพาณิชย์สำหรับการใช้งานจริง ใบรับรองที่ลงนามด้วยตัวเองทำงานได้สำหรับการทดสอบในห้องแล็บแต่ทำให้เกิดคำเตือนของไคลเอนต์:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name ต้องตรงกับชื่อโฮสต์ที่ไคลเอนต์จะใช้ในการเชื่อมต่อ

ขั้นตอนที่ 2: สร้างโปรไฟล์ PPP

โปรไฟล์กำหนด IP ด้านเซิร์ฟเวอร์และไคลเอนต์ที่อุโมงค์จะใช้:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

ขั้นตอนที่ 3: เพิ่ม PPP secret

Secret คือข้อมูลรับรองต่อผู้ใช้ ใช้รหัสผ่านที่ยาวหรือย้ายไปยังการยืนยันตัวตนด้วยใบรับรองสำหรับฟลีตที่ใหญ่ขึ้น:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

ขั้นตอนที่ 4: เปิดใช้งานเซิร์ฟเวอร์ SSTP

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

เราเตอร์ฟังบนพอร์ต 443 และยอมรับการเชื่อมต่อ SSTP

ขั้นตอนที่ 5: กำหนดค่าไคลเอนต์ SSTP บน MikroTik ระยะไกล

บนอุปกรณ์ระยะไกล:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

สถานะที่คาดหวัง:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

บรรทัด encoding แสดงรหัสที่เจรจาต่อรอง RouterOS เวอร์ชันใหม่รองรับรหัสที่แข็งแกร่งกว่า — ตรวจสอบค่าเริ่มต้นของรุ่นของคุณ

เข้าถึงโฮสต์ภายในผ่านอุโมงค์

เพื่อเข้าถึงอุปกรณ์ที่อยู่หลัง MikroTik ระยะไกล (เช่น 192.168.88.100) ใช้ dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

เข้าถึงอุปกรณ์ผ่านปลายทางอุโมงค์ SSTP บวกกับพอร์ตที่แมป:

https://vpn.yourdomain.com:8081

ทราฟฟิกไหลผ่านอุโมงค์สไตล์ HTTPS และไปถึงโฮสต์ภายใน

แนวปฏิบัติด้านความปลอดภัยที่ดีที่สุด

  • ใช้ใบรับรอง TLS ที่ถูกต้องและเชื่อถือได้จาก Let’s Encrypt หรือ CA เชิงพาณิชย์
  • สำหรับฟลีต ใช้การยืนยันตัวตนด้วยใบรับรองหรือ RADIUS แทนรหัสผ่านที่ใช้ร่วมกัน
  • จำกัด IP ต้นทางที่อนุญาตที่ระดับไฟร์วอลล์เมื่อเป็นไปได้
  • อัพเดต RouterOS สำหรับสแต็ก TLS สมัยใหม่
  • ปิดใช้งานเวอร์ชัน SSL/TLS เก่าและรหัสที่อ่อนแอ
  • ตรวจสอบบันทึกการเชื่อมต่อและหมุนเวียนข้อมูลรับรองเป็นระยะ

ดูคู่มือความปลอดภัย Winbox และคู่มือความปลอดภัย device mode.

ทางเลือก: เซิร์ฟเวอร์ SSTP บน VPS

โฮสต์ฮับ SSTP บน VPS แทนที่จะเป็น MikroTik เมื่อคุณต้องการการรวมข้อมูลฝั่งคลาวด์ที่เสถียร Windows Server มีการสนับสนุน SSTP แบบดั้งเดิม; SoftEther VPN บน Linux เป็นมัลติโปรโตคอลและรองรับ SSTP — ทำงานได้ดีในฐานะสะพานโปรโตคอล

SSTP เทียบกับตัวเลือก VPN อื่นๆ

โซลูชันพอร์ตความปลอดภัยความเข้ากันได้ประสิทธิภาพเหมาะที่สุดสำหรับ
SSTPTCP 443สูง (TLS)MikroTik, Windowsปานกลางเครือข่ายที่มีไฟร์วอลล์เข้มงวด
OpenVPNUDP 1194สูง (TLS)กว้างปานกลางฟลีตเก่าและผสม
WireGuardUDP 51820สูงมากอุปกรณ์ทันสมัยสูงเครือข่ายทันสมัย ประสิทธิภาพสูง
Tailscale / ZeroTierไดนามิกสูงมากมัลติแพลตฟอร์มสูงการเข้าถึง mesh ที่รวดเร็ว ทีม

เมื่อใดควรเลือก SSTP

เลือก SSTP เมื่อ VPN ต้องผ่านพร็อกซีองค์กรหรือ NAT เข้มงวด เมื่อการรวมไคลเอนต์ Windows สำคัญ หรือเมื่อพอร์ต 443 เป็นพอร์ตขาออกที่เปิดอย่างน่าเชื่อถือเพียงพอร์ตเดียว หากความเร็วดิบสำคัญกว่า WireGuard เป็นค่าเริ่มต้นที่ดีกว่า — ดูบทช่วยสอน WireGuard.

ขั้นตอนต่อไป

SSTP เป็นตัวเลือกที่เป็นจริงที่ถูกต้องสำหรับเครือข่ายที่เข้าถึงยาก — ใช้ประโยชน์จาก HTTPS เพื่อคงการเชื่อมต่อในที่ที่ VPN อื่นล้มเหลว และคำสั่ง RouterOS ไม่กี่คำสั่งจะตั้งค่าการเข้าถึงระยะไกลที่เชื่อถือได้

หากการกำหนดค่าใบรับรองและอุโมงค์ต่ออุปกรณ์รู้สึกเหมือนงานยุ่งในระดับฟลีต NATCloud ของ MKController นำเสนอการเข้าถึงระยะไกลแบบรวมศูนย์และการตรวจสอบโดยไม่ต้องจัดการ PKI ต่ออุปกรณ์

เริ่มทดลองใช้ MKController ฟรี