Bỏ qua nội dung
Blog

Quản lý Mikrotik của bạn với SSTP

Tóm tắt
SSTP tạo đường hầm VPN bên trong HTTPS (cổng 443), giúp truy cập từ xa MikroTik ngay cả khi có tường lửa và proxy nghiêm ngặt. Hướng dẫn này trình bày thiết lập RouterOS server và client, ví dụ NAT, mẹo bảo mật và khi nào nên dùng SSTP.

Quản lý MikroTik từ xa với SSTP

SSTP (Secure Socket Tunneling Protocol) giấu VPN bên trong HTTPS.

Nó hoạt động qua cổng 443 và hòa trộn với lưu lượng web bình thường.

Điều này khiến nó lý tưởng khi mạng chặn các cổng VPN thông thường.

Bài viết này cung cấp công thức SSTP ngắn gọn, thực hành cho MikroTik RouterOS.

SSTP là gì?

SSTP tạo đường hầm PPP (Point-to-Point Protocol) bên trong phiên TLS/HTTPS.

Nó sử dụng TLS để mã hóa và xác thực.

Về mạng, SSTP gần như không khác gì HTTPS thông thường.

Vì vậy nó dễ dàng vượt qua proxy công ty và CGNAT.

Cách SSTP hoạt động — quy trình nhanh

  1. Client mở kết nối TLS (HTTPS) tới server qua cổng 443.
  2. Server chứng minh chứng chỉ TLS của nó.
  3. Phiên PPP được thiết lập bên trong đường hầm TLS.
  4. Lưu lượng được mã hóa đầu-cuối (AES-256 khi cấu hình).

Đơn giản. Đáng tin cậy. Khó bị chặn.

Lưu ý: Vì SSTP dùng HTTPS, nhiều mạng hạn chế vẫn cho phép nó trong khi chặn các VPN khác.

Ưu điểm và hạn chế

Ưu điểm

  • Hoạt động gần như mọi nơi — bao gồm tường lửa và proxy.
  • Dùng cổng 443 (HTTPS) thường luôn mở.
  • Mã hóa TLS mạnh (khi dùng RouterOS/TLS hiện đại).
  • Hỗ trợ sẵn trên Windows và RouterOS.
  • Xác thực linh hoạt: tên đăng nhập/mật khẩu, chứng chỉ hoặc RADIUS.

Hạn chế

  • Tốn CPU hơn các VPN nhẹ (chi phí TLS).
  • Hiệu năng thường thấp hơn WireGuard.
  • Cần chứng chỉ SSL hợp lệ để đạt kết quả tốt nhất.

Cảnh báo: Các phiên bản TLS/SSL cũ không an toàn. Luôn cập nhật RouterOS và tắt TLS/SSL lỗi thời.

Server: Cấu hình SSTP trên MikroTik

Dưới đây là các lệnh RouterOS tối thiểu để tạo server SSTP.

  1. Tạo hoặc nhập chứng chỉ
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. Tạo hồ sơ PPP
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. Thêm người dùng (bí mật)
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. Bật server SSTP
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Bây giờ router nghe trên cổng 443 và chấp nhận kết nối SSTP.

Mẹo: Dùng chứng chỉ từ Let’s Encrypt hoặc CA của bạn — chứng chỉ tự ký phù hợp thử nghiệm nhưng gây cảnh báo cho client.

Client: Cấu hình SSTP trên MikroTik từ xa

Trên thiết bị từ xa, thêm client SSTP kết nối về trung tâm.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Kết quả trạng thái mong đợi:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Lưu ý: Dòng encoding hiển thị cipher đã thương lượng. Phiên bản RouterOS mới hỗ trợ cipher mạnh hơn — kiểm tra ghi chú phát hành.

Truy cập host nội bộ qua đường hầm

Nếu cần đến thiết bị sau MikroTik từ xa (ví dụ 192.168.88.100), dùng dst-nat và chuyển cổng.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Từ trung tâm hoặc client, truy cập thiết bị qua đầu cuối SSTP và cổng ánh xạ:

https://vpn.yourdomain.com:8081

Lưu lượng đi qua đường hầm HTTPS đến host nội bộ.

Bảo mật và thực hành tốt nhất

  • Dùng chứng chỉ TLS hợp lệ, được tin cậy.
  • Ưu tiên xác thực bằng chứng chỉ hoặc RADIUS hơn mật khẩu.
  • Giới hạn IP nguồn được phép khi có thể.
  • Luôn cập nhật RouterOS để có TLS mới nhất.
  • Vô hiệu hóa TLS/SSL cũ và cipher yếu.
  • Giám sát log kết nối và thay đổi thông tin định kỳ.

Mẹo: Với nhiều thiết bị, xác thực bằng chứng chỉ quản lý dễ dàng và an toàn hơn dùng mật khẩu chia sẻ.

Thay thế: Server SSTP trên VPS

Bạn có thể đặt hub SSTP trên VPS thay vì MikroTik.

Lựa chọn:

  • Windows Server (hỗ trợ SSTP gốc).
  • SoftEther VPN (đa giao thức, hỗ trợ SSTP trên Linux).

SoftEther tiện lợi làm cầu nối giao thức. Nó cho phép MikroTik và client Windows kết nối cùng hub mà không cần IP công khai ở mỗi site.

So sánh nhanh

Giải phápCổngBảo mậtTương thíchHiệu năngPhù hợp với
SSTP443Cao (TLS)MikroTik, WindowsTrung bìnhMạng có tường lửa nghiêm ngặt
OpenVPN1194/UDPCao (TLS)RộngTrung bìnhĐội legacy/hỗn hợp
WireGuard51820/UDPRất caoThiết bị hiện đạiCaoMạng hiện đại, hiệu suất cao
Tailscale/ZeroTierđộngRất caoĐa nền tảngCaoTruy cập mạng lưới nhanh, nhóm

Khi nào chọn SSTP

Chọn SSTP khi bạn cần VPN:

  • Phải hoạt động qua proxy công ty hoặc NAT nghiêm ngặt.
  • Dễ dàng tích hợp với client Windows.
  • Cần dùng cổng 443 để tránh chặn cổng.

Nếu cần tốc độ cao và tiết kiệm CPU, nên cân nhắc WireGuard.

MKController giúp gì: Nếu thiết lập chứng chỉ và đường hầm phức tạp, NATCloud của MKController cung cấp truy cập từ xa tập trung và giám sát — không cần quản lý PKI thủ công cho từng thiết bị, onboarding đơn giản.

Kết luận

SSTP là lựa chọn thực tế cho mạng khó truy cập.

Nó dùng HTTPS để duy trì kết nối khi VPN khác thất bại.

Chỉ với vài lệnh RouterOS, bạn có thể thiết lập truy cập từ xa ổn định cho chi nhánh, server và thiết bị người dùng.

Về MKController

Hy vọng những kiến thức trên giúp bạn điều khiển MikroTik và hệ sinh thái Internet tốt hơn! 🚀
Dù bạn tinh chỉnh cấu hình hay chỉ muốn tạo trật tự trong hỗn loạn mạng, MKController ở đây để làm mọi thứ đơn giản hơn.

Với quản lý đám mây tập trung, cập nhật bảo mật tự động và bảng điều khiển dễ dùng, chúng tôi có giải pháp để nâng cấp vận hành của bạn.

👉 Dùng thử miễn phí 3 ngày ngay tại mkcontroller.com — và cảm nhận cách quản lý mạng không phức tạp thực sự như thế nào.