Remote Access
Quản lý MikroTik từ xa với SSTP
Cấu hình SSTP trên MikroTik để tunnel lưu lượng VPN bên trong HTTPS trên cổng 443 — vượt qua tường lửa nghiêm ngặt, CGNAT và proxy doanh nghiệp.
Summary SSTP (Secure Socket Tunneling Protocol) bao bọc PPP bên trong phiên TLS trên cổng TCP 443, làm cho tunnel không thể phân biệt với lưu lượng HTTPS thông thường đối với tường lửa, proxy và lớp CGNAT. RouterOS có máy chủ và máy khách SSTP đầy đủ. Hướng dẫn này bao quát cấu hình máy chủ tối thiểu năm lệnh, cấu hình máy khách tương ứng trên MikroTik từ xa, NAT để tiếp cận các máy chủ LAN qua tunnel và danh sách kiểm tra bảo mật.
SSTP hoạt động như thế nào cho quản lý MikroTik từ xa?
SSTP là một giao thức tunnel PPP bên trong phiên TLS/HTTPS trên cổng TCP 443. Từ góc nhìn của mạng, lưu lượng không thể phân biệt với bất kỳ kết nối HTTPS nào khác — chính vì vậy SSTP đi qua proxy doanh nghiệp, captive portal, Wi-Fi khách sạn và lớp CGNAT chặn các VPN dựa trên UDP. Máy khách mở TLS đến máy chủ trên 443, máy chủ trình bày chứng chỉ, phiên PPP được thiết lập bên trong tunnel TLS, và lưu lượng truyền được mã hóa đầu cuối.
Đối với đội MikroTik, SSTP là lựa chọn đúng khi địa điểm khách hàng nằm sau thứ gì đó chặn mọi VPN khác. Xem hướng dẫn WireGuard và hướng dẫn quản lý qua VPS.
Ưu điểm và hạn chế
Điểm mạnh: hoạt động qua tường lửa và proxy hạn chế; sử dụng cổng 443, gần như luôn mở; mã hóa TLS mạnh trên RouterOS hiện đại; hỗ trợ native trên Windows; xác thực linh hoạt (tên người dùng/mật khẩu, chứng chỉ hoặc RADIUS).
Hạn chế: tải CPU cao hơn VPN nhẹ do overhead TLS; thông lượng thường thấp hơn WireGuard; cần chứng chỉ SSL hợp lệ để hành vi máy khách đáng tin cậy. Giữ RouterOS được cập nhật và vô hiệu hóa các phiên bản TLS cũ.
Bước 1: Tạo hoặc nhập chứng chỉ TLS
Sử dụng Let’s Encrypt hoặc CA thương mại cho sản xuất. Tự ký hoạt động cho kiểm tra lab nhưng gây ra cảnh báo của máy khách:
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign/certificate sign srv-cert ca-cert=srv-cert/certificate set srv-cert trusted=yescommon-name phải khớp với tên máy chủ mà máy khách sẽ sử dụng để kết nối.
Bước 2: Tạo hồ sơ PPP
Hồ sơ định nghĩa các IP phía máy chủ và máy khách mà tunnel sẽ sử dụng:
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2Bước 3: Thêm PPP secret
Secret là thông tin xác thực cho mỗi người dùng. Sử dụng mật khẩu dài hoặc chuyển sang xác thực chứng chỉ cho các đội lớn hơn:
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstpBước 4: Bật máy chủ SSTP
/interface sstp-server server set enabled=yes \ certificate=srv-cert authentication=mschap2 default-profile=srv-profileBộ định tuyến giờ đang lắng nghe trên cổng 443 và chấp nhận kết nối SSTP.
Bước 5: Cấu hình máy khách SSTP trên MikroTik từ xa
Trên thiết bị từ xa:
/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \ user="usuario" password="senha123" profile=default-encryption add-default-route=no
/interface sstp-client printTrạng thái mong đợi:
status: connecteduptime: 00:02:15encoding: AES256-CBC/SHA1Dòng encoding hiển thị mật mã được đàm phán. Các phiên bản RouterOS hiện đại hỗ trợ mật mã mạnh hơn — xác minh giá trị mặc định của bản phát hành của bạn.
Tiếp cận máy chủ nội bộ qua tunnel
Để tiếp cận thiết bị phía sau MikroTik từ xa (ví dụ 192.168.88.100), sử dụng dst-nat:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.100 to-ports=80Truy cập thiết bị qua điểm cuối tunnel SSTP cộng cổng được ánh xạ:
https://vpn.yourdomain.com:8081Lưu lượng chảy qua tunnel kiểu HTTPS và tiếp cận máy chủ nội bộ.
Thực hành tốt nhất về bảo mật
- Sử dụng chứng chỉ TLS hợp lệ và đáng tin cậy từ Let’s Encrypt hoặc CA thương mại.
- Đối với đội xe, ưu tiên xác thực chứng chỉ hoặc RADIUS hơn mật khẩu chia sẻ.
- Khi có thể, hạn chế các IP nguồn được phép ở tầng tường lửa.
- Giữ RouterOS cập nhật cho các stack TLS hiện đại.
- Vô hiệu hóa các phiên bản SSL/TLS cũ và mật mã yếu.
- Giám sát nhật ký kết nối và xoay vòng thông tin xác thực định kỳ.
Xem hướng dẫn bảo mật Winbox và hướng dẫn bảo mật device mode.
Phương án thay thế: máy chủ SSTP trên VPS
Lưu trữ hub SSTP trên VPS thay vì MikroTik khi bạn muốn tổng hợp ổn định phía đám mây. Windows Server có hỗ trợ SSTP native; SoftEther VPN trên Linux là đa giao thức và hỗ trợ SSTP — hoạt động tốt như cầu giao thức.
SSTP so với các tùy chọn VPN khác
| Giải pháp | Cổng | Bảo mật | Tương thích | Hiệu suất | Tốt nhất cho |
|---|---|---|---|---|---|
| SSTP | TCP 443 | Cao (TLS) | MikroTik, Windows | Trung bình | Mạng với tường lửa nghiêm ngặt |
| OpenVPN | UDP 1194 | Cao (TLS) | Rộng | Trung bình | Đội xe cũ và hỗn hợp |
| WireGuard | UDP 51820 | Rất cao | Thiết bị hiện đại | Cao | Mạng hiện đại, hiệu suất cao |
| Tailscale / ZeroTier | động | Rất cao | Đa nền tảng | Cao | Truy cập mesh nhanh, đội nhóm |
Khi nào chọn SSTP
Chọn SSTP khi VPN phải đi qua proxy doanh nghiệp hoặc NAT nghiêm ngặt, khi tích hợp máy khách Windows quan trọng, hoặc khi cổng 443 là cổng đầu ra mở đáng tin cậy duy nhất. Nếu tốc độ thô quan trọng hơn, WireGuard là lựa chọn mặc định tốt hơn — xem hướng dẫn WireGuard.
Bước tiếp theo
SSTP là lựa chọn thực tế đúng đắn cho các mạng khó tiếp cận — tận dụng HTTPS để duy trì kết nối nơi các VPN khác thất bại, và một vài lệnh RouterOS thiết lập truy cập từ xa đáng tin cậy.
Nếu việc cấu hình chứng chỉ và tunnel cho từng thiết bị có vẻ là công việc bận rộn ở quy mô đội xe, NATCloud của MKController cung cấp truy cập từ xa tập trung và giám sát mà không cần quản lý PKI cho từng thiết bị.