MikroTik’inizi SSTP ile Yönetme Rehberi

Özet
SSTP, VPN trafiğini HTTPS (port 443) içinde tüneller, böylece sıkı firewall ve proxy arkası bile MikroTik’e uzaktan erişim sağlar. Bu rehber RouterOS sunucu ve istemci kurulumu, NAT örnekleri, güvenlik ipuçları ve SSTP’nin doğru tercih olduğu durumları anlatır.

SSTP ile Uzaktan MikroTik Yönetimi

SSTP (Secure Socket Tunneling Protocol), VPN’i HTTPS içinde gizler.

Port 443 üzerinden çalışır ve normal web trafiğiyle karışır.

Bu da geleneksel VPN portlarının engellendiği ağlar için idealdir.

Bu yazı, MikroTik RouterOS için pratik ve öz SSTP kurulumu sunar.

SSTP Nedir?

SSTP, PPP (Point-to-Point Protocol) oturumunu TLS/HTTPS içinde tüneller.

Şifreleme ve kimlik doğrulama için TLS kullanır.

Ağ açısından SSTP, normal HTTPS’den ayırt edilmesi zordur.

Bu yüzden kurumsal proxy ve CGNAT’ları aşabilir.

SSTP Nasıl Çalışır — Hızlı Akış

1. İstemci, port 443’te sunucuya TLS (HTTPS) bağlantısı açar.
2. Sunucu TLS sertifikasını doğrular.
3. TLS tüneli içinde bir PPP oturumu başlatılır.
4. Trafik uçtan uca şifrelenir (ayarlandığında AES-256).

Basit. Güvenilir. Engellenmesi zor.

Not: SSTP HTTPS kullandığı için, birçok kısıtlayıcı ağ diğer VPN’leri engellerken SSTP’ye izin verir.

Avantajlar ve Sınırlamalar

Avantajlar

• Neredeyse her yerde çalışır — firewall ve proxy dahil.
• Genellikle açık olan 443 (HTTPS) portunu kullanır.
• Güçlü TLS şifrelemesi (güncel RouterOS/TLS ayarlarında).
• Windows ve RouterOS’ta yerel destek.
• Esnek kimlik doğrulama: kullanıcı/şifre, sertifikalar veya RADIUS.

Sınırlamalar

• Hafif VPN’lere göre daha fazla CPU kullanır (TLS yükü).
• Performansı genellikle WireGuard’dan düşüktür.
• En iyi sonuç için geçerli bir SSL sertifikası gerekir.

Uyarı: Eski TLS/SSL sürümleri güvensizdir. RouterOS’u güncel tutun ve eski TLS/SSL’yi devre dışı bırakın.

Sunucu: MikroTik’te SSTP Kurulumu

Aşağıda SSTP sunucusu oluşturmak için temel RouterOS komutları yer almaktadır.

1. Sertifika oluştur veya içe aktar

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. PPP profili oluştur

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Kullanıcı (secret) ekle

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. SSTP sunucusunu etkinleştir

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Artık yönlendirici port 443’te dinler ve SSTP bağlantılarını kabul eder.

İpucu: Let’s Encrypt veya kendi CA’nızdan sertifika kullanın—kendi imzaladığınız sertifikalar test için uygundur ama istemcilerde uyarı verir.

İstemci: Uzaktaki MikroTik’te SSTP Kurulumu

Uzak cihazda, merkeze bağlanmak için bir SSTP istemcisi ekleyin.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Beklenen durum çıktısı:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Not: encoding satırı müzakere edilen şifreyi gösterir. Güncel RouterOS sürümleri daha güçlü şifreleri destekler—sürüm notlarınızı kontrol edin.

Tünel Üzerinden İç Ağdaki Bir Cihaza Erişim

Uzak MikroTik’in arkasındaki bir cihaza (örneğin 192.168.88.100) erişmeniz gerekirse dst-nat ve port yönlendirmesi kullanın.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Merkezden ya da istemciden SSTP tünel uç noktası ve yönlendirilmiş porta şu şekilde erişin:

https://vpn.yourdomain.com:8081

Trafik HTTPS tünelinden geçerek iç ağdaki cihaza ulaşır.

Güvenlik ve En İyi Uygulamalar

• Geçerli, güvenilir TLS sertifikaları kullanın.
• Şifreden ziyade sertifika veya RADIUS doğrulamasını tercih edin.
• Mümkünse izin verilen kaynak IP’leri sınırlandırın.
• Modern TLS yığınları için RouterOS’u güncel tutun.
• Eski SSL/TLS sürümlerini ve zayıf şifreleri devre dışı bırakın.
• Bağlantı günlüklerini izleyin ve kimlik bilgilerini düzenli değiştirin.

İpucu: Birçok cihaz için sertifika ile kimlik doğrulama, paylaşılan şifrelere göre daha yönetilebilir ve güvenlidir.

Alternatif: VPS Üzerinde SSTP Sunucusu

SSTP merkezini MikroTik yerine bir VPS’de barındırabilirsiniz.

Seçenekler:

• Windows Server (yerel SSTP desteği).
• SoftEther VPN (çok protokollü, Linux’ta SSTP destekler).

SoftEther, protokol köprüsü olarak işe yarar. MikroTik ve Windows istemciler aynı merkeze, her sitenin kamu IP’si olmadan bağlanabilir.

Hızlı karşılaştırma

SSTP’yi Ne Zaman Seçmeli?

Aşağıdaki durumlarda SSTP tercih edin:

• Kurumsal proxy veya sıkı NAT’lar üzerinden VPN gerekli.
• Windows istemcilerle kolay entegrasyon isteniyor.
• Port 443 kullanılarak port engellemelerden kaçınılacak.

Hız ve düşük CPU kullanımı kritikse WireGuard’a yönelin.

MKController nasıl yardımcı olur: Sertifika ve tünellerle uğraşmak zor gelirse, MKController’ın NATCloud servisi merkezi uzaktan erişim ve izleme sunar — cihaz başına elle PKI gerektirmez, onboarding kolaydır.

Sonuç

SSTP, erişimi zor ağlar için pragmatik bir tercihtir.

HTTPS’i kullanarak diğer VPN’lerin başarısız olduğu yerlerde bağlantıyı sürdürür.

Birkaç RouterOS komutuyla şubeler, sunucular ve kullanıcı cihazları için güvenilir uzak erişim kurabilirsiniz.

MKController Hakkında

Umarız yukarıdaki bilgiler MikroTik ve İnternet dünyanızı biraz daha iyi anlamanıza yardımcı olmuştur! 🚀
İster konfigürasyonları optimize ediyor olun ister ağ karmaşasına düzen getirmeye çalışın, MKController işinizi kolaylaştırmak için burada.

Merkezi bulut yönetimi, otomatik güvenlik güncellemeleri ve kolay kullanımlı bir panelle operasyonunuzu artırmaya hazırız.

👉 Ücretsiz 3 günlük deneme için hemen başlayın: mkcontroller.com — ağ yönetiminde gerçekten zahmetsiz kontrolü keşfedin.