Управління MikroTik через SSTP

Коротко
SSTP тунелює трафік VPN усередині HTTPS (порт 443), що дозволяє віддалений доступ до MikroTik навіть за суворими фаєрволами та проксі. Цей гід демонструє налаштування сервера і клієнта RouterOS, приклади NAT, поради з безпеки та коли SSTP є оптимальним вибором.

Віддалене керування MikroTik за допомогою SSTP

SSTP (Secure Socket Tunneling Protocol) приховує VPN всередині HTTPS.

Він працює через порт 443 і змішується зі звичайним веб-трафіком.

Це робить його ідеальним, коли мережі блокують традиційні VPN-порти.

Ця стаття пропонує стислий, практичний рецепт SSTP для MikroTik RouterOS.

Що таке SSTP?

SSTP тунелює PPP (Point-to-Point Protocol) всередині сесії TLS/HTTPS.

Використовує TLS для шифрування і аутентифікації.

З мережевої точки зору SSTP майже не відрізняється від звичайного HTTPS.

Ось чому він проходить через корпоративні проксі і CGNAT.

Як працює SSTP — короткий опис

1. Клієнт відкриває TLS (HTTPS) з’єднання з сервером на порті 443.
2. Сервер підтверджує свій TLS сертифікат.
3. Усередині TLS тунелю створюється PPP сесія.
4. Трафік шифрується наскрізно (AES-256, якщо налаштовано).

Просто. Надійно. Важко заблокувати.

Примітка: Оскільки SSTP використовує HTTPS, багато обмежувальних мереж пропускають його, блокуючи інші VPN.

Переваги та обмеження

Переваги

• Працює практично скрізь — включно з фаєрволами і проксі.
• Використовує порт 443 (HTTPS), який зазвичай відкритий.
• Сильне TLS шифрування (з сучасними налаштуваннями RouterOS/TLS).
• Вбудована підтримка у Windows і RouterOS.
• Гнучка аутентифікація: логін/пароль, сертифікати або RADIUS.

Обмеження

• Вищі навантаження на CPU, ніж у легких VPN (через TLS-накладні витрати).
• Продуктивність зазвичай нижча, ніж у WireGuard.
• Потрібен дійсний SSL-сертифікат для найкращих результатів.

Увага: Старі версії TLS/SSL небезпечні. Оновлюйте RouterOS і вимикайте застарілі TLS/SSL.

Сервер: Налаштування SSTP на MikroTik

Нижче мінімальні команди RouterOS для створення SSTP сервера.

1. Створіть або імпортуйте сертифікат

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Створіть PPP профіль

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Додайте користувача (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Увімкніть SSTP сервер

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Тепер маршрутизатор слухає порт 443 і приймає SSTP з’єднання.

Порада: Використовуйте сертифікат від Let’s Encrypt або вашого ЦС — самопідписані сертифікати підходять для тестів, але викликають попередження у клієнтів.

Клієнт: Налаштування SSTP на віддаленому MikroTik

На віддаленому пристрої додайте SSTP клієнт для зв’язку з хабом.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Очікуваний статус:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Примітка: Рядок encoding показує шифр, погоджений з сервером. Сучасні версії RouterOS підтримують сильніші шифри — перевірте нотатки до версії.

Доступ до внутрішнього хоста через тунель

Якщо потрібно підключитись до пристрою за віддаленим MikroTik (наприклад, 192.168.88.100), використовуйте dst-nat і проброс портів.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

З хабу або клієнта підключайтесь до пристрою через SSTP тунель і проксований порт:

https://vpn.yourdomain.com:8081

Трафік йде через HTTPS тунель до внутрішнього хоста.

Безпека та рекомендації

• Використовуйте дійсні, довірені TLS сертифікати.
• Віддавайте перевагу аутентифікації сертифікатами або RADIUS замість паролів.
• Обмежуйте джерела IP, по можливості.
• Оновлюйте RouterOS для сучасних TLS стеків.
• Вимикайте старі SSL/TLS версії і слабкі шифри.
• Моніторьте логи з’єднань і регулярно оновлюйте облікові дані.

Порада: Для багатьох пристроїв аутентифікація за сертифікатом є керованішою і безпечнішою, ніж спільні паролі.

Альтернатива: SSTP сервер на VPS

Можна розгорнути SSTP хаб на VPS замість MikroTik.

Опції:

• Windows Server (вбудована підтримка SSTP).
• SoftEther VPN (багатопротокольний, підтримує SSTP на Linux).

SoftEther корисний як протокольний міст. Дозволяє MikroTik та Windows клієнтам підключатись до одного хабу без публічних IP на кожному сайті.

Коротке порівняння

Коли обрати SSTP

Обирайте SSTP, якщо VPN має:

• Працювати через корпоративні проксі або суворі NAT.
• Легко інтегруватись з Windows клієнтами.
• Використовувати порт 443, щоб уникнути блокувань.

Якщо пріоритет – максимальна швидкість і мінімум навантаження на CPU, розгляньте WireGuard.

Де допомагає MKController: Якщо налаштування сертифікатів і тунелів здається зайвою роботою, NATCloud від MKController забезпечує централізований віддалений доступ і моніторинг — без ручного PKI на кожному пристрої та з простим введенням в експлуатацію.

Висновок

SSTP — прагматичний вибір для мереж з обмеженим доступом.

Він використовує HTTPS, щоб залишатись на зв’язку там, де інші VPN не проходять.

Кілька команд RouterOS – і у вас надійний віддалений доступ для філій, серверів і користувачів.

Про MKController

Сподіваємося, ці поради допомогли краще зрозуміти ваш MikroTik і інтернет-середовище! 🚀
Чи ви налаштовуєте конфігурацію, чи просто намагаєтесь впорядкувати мережевий хаос, MKController тут, щоб зробити ваше життя простішим.

З централізованим хмарним керуванням, автоматичними оновленнями безпеки і панеллю керування, доступною кожному, ми маємо все необхідне, щоб покращити вашу роботу.

👉 Почніть безкоштовний 3-денний пробний період на mkcontroller.com — і побачте, що таке справжній легкий контроль мережі.