İçeriğe geç
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP ile MikroTik Uzaktan Yönetim

VPN trafiğini 443 portunda HTTPS içinde tünellemek için MikroTik'te SSTP yapılandırın — katı güvenlik duvarları, CGNAT ve kurumsal proxy'leri aşar.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol), PPP’yi TCP port 443 üzerinde bir TLS oturumu içine sarar ve tüneli güvenlik duvarları, proxy’ler ve CGNAT katmanları için normal HTTPS trafiğinden ayırt edilemez hale getirir. RouterOS, tam bir SSTP sunucusu ve istemcisi içerir. Bu kılavuz beş komutluk minimum sunucu kurulumunu, uzak MikroTik’teki eşleşen istemci yapılandırmasını, tünel boyunca LAN ana bilgisayarlarına ulaşmak için NAT’ı ve güvenlik kontrol listesini kapsar.

MikroTik uzaktan yönetimi için SSTP nasıl çalışır?

SSTP, TCP port 443 üzerinde bir TLS/HTTPS oturumu içinde PPP’yi tünelleyen bir protokoldür. Ağ perspektifinden trafik, başka herhangi bir HTTPS bağlantısından ayırt edilemez — SSTP’nin tam olarak bu nedenle kurumsal proxy’leri, captive portalları, otel Wi-Fi’sini ve UDP tabanlı VPN’leri engelleyen CGNAT katmanlarını geçtiği yerdir. İstemci 443’te sunucuya TLS açar, sunucu sertifikasını sunar, TLS tüneli içinde bir PPP oturumu kurulur ve trafik uçtan uca şifreli akar.

MikroTik filoları için SSTP, müşteri sahası diğer tüm VPN’leri engelleyen bir şeyin arkasındayken doğru seçimdir. WireGuard kılavuzumuza ve VPS tabanlı yönetim kılavuzuna bakın.

Avantajlar ve sınırlamalar

Güçlü yönler: kısıtlayıcı güvenlik duvarları ve proxy’ler arasında çalışır; neredeyse evrensel olarak açık olan port 443’ü kullanır; modern RouterOS’ta güçlü TLS şifrelemesi; Windows’ta yerel destek; esnek kimlik doğrulama (kullanıcı adı/parola, sertifikalar veya RADIUS).

Sınırlamalar: TLS yükü nedeniyle hafif VPN’lerden daha yüksek CPU yükü; verim genellikle WireGuard’dan daha düşük; güvenilir istemci davranışı için geçerli bir SSL sertifikası gerekir. RouterOS’u güncel tutun ve eski TLS sürümlerini devre dışı bırakın.

Adım 1: TLS sertifikasını oluşturun veya içe aktarın

Üretim için Let’s Encrypt veya ticari bir CA kullanın. Kendinden imzalı lab testleri için çalışır ancak istemci uyarılarına neden olur:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name, istemcilerin bağlanmak için kullanacağı ana bilgisayar adıyla eşleşmelidir.

Adım 2: Bir PPP profili oluşturun

Profil, tünelin kullanacağı sunucu tarafı ve istemci tarafı IP’lerini tanımlar:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Adım 3: Bir PPP secret ekleyin

Secret, kullanıcı başına kimlik bilgisidir. Daha büyük filolar için uzun parolalar kullanın veya sertifika kimlik doğrulamasına geçin:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Adım 4: SSTP sunucusunu etkinleştirin

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Yönlendirici şimdi port 443’te dinler ve SSTP bağlantılarını kabul eder.

Adım 5: Uzak MikroTik’te SSTP istemcisini yapılandırın

Uzak cihazda:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Beklenen durum:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

encoding satırı, müzakere edilen şifreyi gösterir. Modern RouterOS sürümleri daha güçlü şifreleri destekler — sürümünüzün varsayılanlarını doğrulayın.

Tünel üzerinden iç ana bilgisayara erişme

Uzak MikroTik’in arkasındaki bir cihaza ulaşmak için (ör. 192.168.88.100), dst-nat kullanın:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

SSTP tünel uç noktası ve eşlenen port aracılığıyla cihaza erişin:

https://vpn.yourdomain.com:8081

Trafik HTTPS tarzı tünelden geçer ve dahili ana bilgisayara ulaşır.

En iyi güvenlik uygulamaları

  • Let’s Encrypt veya ticari bir CA’dan geçerli, güvenilir TLS sertifikaları kullanın.
  • Filolar için paylaşılan parolalar yerine sertifika veya RADIUS kimlik doğrulamasını tercih edin.
  • Mümkün olduğunda güvenlik duvarı katmanında izin verilen kaynak IP’leri sınırlayın.
  • Modern TLS yığınları için RouterOS’u güncel tutun.
  • Eski SSL/TLS sürümlerini ve zayıf şifreleri devre dışı bırakın.
  • Bağlantı günlüklerini izleyin ve kimlik bilgilerini periyodik olarak değiştirin.

Winbox güvenlik kılavuzumuza ve device mode güvenlik kılavuzuna bakın.

Alternatif: VPS üzerinde SSTP sunucusu

Kararlı bulut tarafı toplama istediğinizde SSTP merkezini MikroTik yerine bir VPS’de barındırın. Windows Server, SSTP için yerel desteğe sahiptir; Linux’taki SoftEther VPN çok protokollüdür ve SSTP’yi destekler — protokol köprüsü olarak iyi çalışır.

SSTP karşı diğer VPN seçenekleri

ÇözümPortGüvenlikUyumlulukPerformansEn iyi
SSTPTCP 443Yüksek (TLS)MikroTik, WindowsOrtaKatı güvenlik duvarlı ağlar
OpenVPNUDP 1194Yüksek (TLS)GenişOrtaEski ve karma filolar
WireGuardUDP 51820Çok yüksekModern cihazlarYüksekModern ağlar, yüksek performans
Tailscale / ZeroTierdinamikÇok yüksekÇok platformluYüksekHızlı mesh erişimi, takımlar

SSTP ne zaman seçilmeli

VPN’in kurumsal proxy’leri veya katı NAT’ı geçmesi gerektiğinde, Windows istemci entegrasyonu önemli olduğunda veya port 443 güvenilir şekilde açık olan tek giden port olduğunda SSTP’yi seçin. Ham hız daha önemliyse WireGuard daha iyi varsayılan seçimdir — WireGuard öğreticimize bakın.

Sonraki adım

SSTP, ulaşılması zor ağlar için doğru pragmatik seçimdir — diğer VPN’lerin başarısız olduğu yerde bağlı kalmak için HTTPS’den yararlanır ve birkaç RouterOS komutu güvenilir uzaktan erişimi ayarlar.

Filo ölçeğinde sertifika ve cihaz başına tünel yapılandırması yoğun iş gibi geliyorsa, MKController’ın NATCloud’u cihaz başına PKI yönetimi olmaksızın merkezi uzaktan erişim ve izleme sunar.

Ücretsiz MKController denemenizi başlatın