Перейти до вмісту
MKController Blog
InstagramYouTubeFacebook

Remote Access

SSTP віддалене управління MikroTik

Налаштуйте SSTP на MikroTik для тунелювання VPN-трафіку всередині HTTPS на порту 443 — проходить через строгі фаєрволи, CGNAT та корпоративні проксі.

MKController4 min read

Summary SSTP (Secure Socket Tunneling Protocol) обгортає PPP усередину TLS-сесії на TCP-порту 443, роблячи тунель невідрізненим від звичайного HTTPS-трафіку для фаєрволів, проксі та шарів CGNAT. RouterOS містить повний SSTP-сервер та клієнт. Цей посібник охоплює мінімальне налаштування сервера з п’яти команд, відповідну конфігурацію клієнта на віддаленому MikroTik, NAT для доступу до хостів LAN та контрольний список безпеки.

Як SSTP працює для віддаленого управління MikroTik?

SSTP — це протокол, який тунелює PPP усередині TLS/HTTPS-сесії на TCP-порту 443. З точки зору мережі трафік невідрізнений від будь-якого іншого HTTPS-з’єднання — саме тому SSTP проходить через корпоративні проксі, captive-портали, готельний Wi-Fi та шари CGNAT, які блокують VPN на основі UDP. Клієнт відкриває TLS до сервера на 443, сервер показує свій сертифікат, усередині TLS-тунеля встановлюється PPP-сесія, а трафік тече зашифрованим від кінця до кінця.

Для флотів MikroTik SSTP є правильним вибором, коли клієнтська локація знаходиться за чимось, що блокує будь-який інший VPN. Дивіться наш посібник з WireGuard та посібник з управління через VPS.

Переваги та обмеження

Сильні сторони: працює через обмежувальні фаєрволи та проксі; використовує порт 443, майже всюди відкритий; сильне TLS-шифрування у сучасному RouterOS; нативна підтримка у Windows; гнучка автентифікація (ім’я користувача/пароль, сертифікати або RADIUS).

Обмеження: вище навантаження на CPU, ніж легкі VPN, через накладні витрати TLS; пропускна здатність зазвичай нижча, ніж у WireGuard; потребує дійсного SSL-сертифіката для надійної поведінки клієнта. Тримайте RouterOS оновленим та вимикайте старі версії TLS.

Крок 1: Створіть або імпортуйте сертифікат TLS

Використовуйте Let’s Encrypt або комерційний CA для продакшну. Самопідписаний працює для лабораторних тестів, але викликає попередження клієнта:

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

common-name повинно відповідати імені хоста, яке клієнти будуть використовувати для підключення.

Крок 2: Створіть профіль PPP

Профіль визначає IP-адреси серверної та клієнтської сторони, які буде використовувати тунель:

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

Крок 3: Додайте PPP secret

Secret — це облікові дані на користувача. Використовуйте довгі паролі або переходьте на автентифікацію сертифікатами для більших флотів:

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

Крок 4: Увімкніть SSTP-сервер

/interface sstp-server server set enabled=yes \
    certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Маршрутизатор тепер слухає на порту 443 та приймає SSTP-з’єднання.

Крок 5: Налаштуйте SSTP-клієнт на віддаленому MikroTik

На віддаленому пристрої:

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Очікуваний статус:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Рядок encoding показує узгоджений шифр. Сучасні версії RouterOS підтримують сильніші шифри — перевірте значення за замовчуванням вашої версії.

Доступ до внутрішнього хоста через тунель

Щоб дістатися до пристрою за віддаленим MikroTik (напр., 192.168.88.100), використовуйте dst-nat:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Доступ до пристрою через кінцеву точку SSTP-тунеля та зіставлений порт:

https://vpn.yourdomain.com:8081

Трафік тече через тунель у стилі HTTPS та досягає внутрішнього хоста.

Найкращі практики безпеки

  • Використовуйте дійсні, довірені TLS-сертифікати від Let’s Encrypt або комерційного CA.
  • Для флотів віддавайте перевагу автентифікації сертифікатом або RADIUS перед спільними паролями.
  • Обмежуйте дозволені вихідні IP на рівні фаєрвола, де можливо.
  • Тримайте RouterOS оновленим для сучасних TLS-стеків.
  • Вимикайте старі версії SSL/TLS та слабкі шифри.
  • Стежте за журналами з’єднань та періодично змінюйте облікові дані.

Дивіться наш посібник з безпеки Winbox та посібник з безпеки device mode.

Альтернатива: SSTP-сервер на VPS

Хостуйте SSTP-хаб на VPS замість MikroTik, коли вам потрібна стабільна агрегація на стороні хмари. Windows Server має нативну підтримку SSTP; SoftEther VPN на Linux є багатопротокольним та підтримує SSTP — добре працює як міст протоколів.

SSTP проти інших варіантів VPN

РішенняПортБезпекаСумісністьПродуктив.Найкраще для
SSTPTCP 443Висока (TLS)MikroTik, WindowsСередняМережі з суворими фаєрволами
OpenVPNUDP 1194Висока (TLS)ШирокаСередняСтарі та змішані флоти
WireGuardUDP 51820Дуже високаСучасні пристроїВисокаСучасні мережі, висока продуктив.
Tailscale / ZeroTierдинамічн.Дуже високаБагатоплатформ.ВисокаШвидкий mesh-доступ, команди

Коли вибирати SSTP

Вибирайте SSTP, коли VPN повинен пройти через корпоративні проксі або суворий NAT, коли важлива інтеграція з клієнтом Windows або коли порт 443 — єдиний надійно відкритий вихідний порт. Якщо сира швидкість важливіша, WireGuard є кращим вибором за замовчуванням — дивіться наш туторіал з WireGuard.

Наступний крок

SSTP — правильний прагматичний вибір для важкодоступних мереж — використовує HTTPS, щоб залишатися підключеним там, де інші VPN не працюють, і кілька команд RouterOS налаштовують надійний віддалений доступ.

Якщо налаштування сертифікатів та тунелів для кожного пристрою здається рутинною роботою в масштабах флоту, NATCloud від MKController пропонує централізований віддалений доступ та моніторинг без управління PKI для кожного пристрою.

Розпочніть безкоштовну пробну версію MKController