sstp vpn mikrotik настройка

sstp vpn mikrotik настройка

SSTP на MikroTik: как настроить без потерь и ложного чувства безопасности

Подробный гайд: sstp vpn mikrotik настройка — шаг за шагом, с проверкой утечек, защитой от DPI и честными предупреждениями.

sstp vpn mikrotik настройка — это не просто включение галочки в WinBox. Это комплексная задача, где одна ошибка в сертификате или маршруте может свести на нет всю «защиту». Особенно если вы рассчитываете на анонимность в условиях российской реальности: блокировки РКН, мониторинг провайдеров (Ростелеком, МТС), обязательное хранение трафика по 152-ФЗ. Ниже — не очередной пересказ официальной документации, а живой технический разбор с ловушками, которые подстерегают даже опытных админов.

Почему SSTP? И почему именно на MikroTik?

SSTP (Secure Socket Tunneling Protocol) — проприетарный протокол от Microsoft, работающий поверх SSL/TLS через порт 443. Его главный козырь: маскировка под обычный HTTPS-трафик. Для большинства DPI-систем (включая оборудование ДПИ у российских операторов) он выглядит как трафик к банку или YouTube. Это даёт шанс обойти базовые блокировки без дополнительных обфускаций.

MikroTik RouterOS поддерживает SSTP как сервер с версии 6.40+. Это удобно, если у вас уже есть «железка» на участке или в офисе. Не нужно арендовать VPS, ставить OpenVPN или возиться с WireGuard на стороннем хосте. Но удобство — не гарантия безопасности.

Важно: SSTP на MikroTik — это сервер. Клиенты могут быть Windows (родная поддержка), Android/iOS (через приложения типа OpenVPN Connect с SSTP-плагином, но это редкость) или Linux (sstp-client). Большинство пользователей подключаются с Windows-ноутбуков — отсюда и популярность решения.

Чего вам НЕ говорят в других гайдах

Большинство инструкций в рунете ограничиваются командами:

/interface sstp-server server set enabled=yes
/ppp secret add name=user password=pass

Это опасно. Вот что упускают:

1. SSTP на MikroTik не поддерживает Perfect Forward Secrecy (PFS)
   Даже при использовании TLS 1.2, MikroTik не реализует эфемерные ключи (DHE/ECDHE). Если злоумышленник перехватит ваш трафик и позже получит приватный ключ сертификата сервера — он расшифрует всё. WireGuard и современный OpenVPN с tls-crypt этого недостатка лишены.

   ⚙️Технология доступа

2. Сертификат по умолчанию = уязвимость MITM
   RouterOS генерирует самоподписанный сертификат при первом запуске SSTP. Если клиент (особенно Windows) не проверяет отпечаток (fingerprint), его легко обмануть атакой «человек посередине». В условиях, где провайдер может внедрять свои сертификаты (как в некоторых корпоративных сетях), это критично.

3. Нет встроенного kill switch
   Отвал связи с MikroTik — и весь трафик пойдёт напрямую через провайдера. Роутер не умеет «отрезать» интернет при разрыве SSTP. Придётся городить скрипты на /ip firewall filter.

4. DNS-утечки почти гарантированы
   По умолчанию MikroTik не передаёт DNS-серверы клиенту через SSTP. Windows продолжит использовать DNS от провайдера (Ростелеком, Билайн), что полностью обнуляет приватность. Требуется ручная настройка /ppp profile.

   🔐Защити свои данные

5. Юрисдикция и логи — иллюзия контроля
   Вы думаете, что данные «у вас дома»? А если ваш MikroTik стоит в квартире, а ФСБ пришлёт запрос на основании статьи 13.1 закона №149-ФЗ? Вы обязаны сохранять журналы подключений. RouterOS по умолчанию пишет логи PPP-сессий. Это не «no-log», это ваша ответственность.

Пошаговая настройка SSTP на MikroTik (RouterOS v7)

Не просто команды — с пояснением каждой строки.

Шаг 1. Генерация собственного сертификата (обязательно!)

/certificate add name=sstp-ca common-name="sstp-ca" key-usage=key-cert-sign,crl-sign
/certificate sign sstp-ca ca-certificate=sstp-ca name=sstp-ca
/certificate add name=sstp-server common-name="vpn.yourdomain.local"
/certificate sign sstp-server ca=sstp-ca name=sstp-server

Замените yourdomain.local на любое имя. Лучше не использовать публичные домены, если сертификат самоподписан.

Шаг 2. Настройка SSTP-сервера

/interface sstp-server server
set authentication=mschap2 certificate=sstp-server default-profile=sstp-profile enabled=yes pfs=no

Обратите внимание: pfs=no — это не опечатка, а ограничение RouterOS. PFS недоступен.

Шаг 3. Создание профиля с DNS и маршрутами

/ppp profile
add name=sstp-profile local-address=192.168.99.1 remote-address=192.168.99.100-192.168.99.200 \
    dns-server=8.8.8.8,1.1.1.1 use-encryption=yes change-tcp-mss=yes

• local-address — IP роутера в туннеле.
• remote-address — пул для клиентов.
• dns-server — указываем надёжные DNS (Cloudflare, Google). Без этого — утечка DNS.

Шаг 4. Добавление пользователя

/ppp secret add name=ivan password=S3cr3tP@ss service=sstp profile=sstp-profile

Используйте сложные пароли. MS-CHAPv2 уязвим к брутфорсу при слабых паролях.

Шаг 5. Маршрутизация и NAT

Чтобы клиенты имели доступ в интернет через ваш MikroTik:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade src-address=192.168.99.0/24

Замените ether1 на ваш внешний интерфейс.

Как проверить, что всё работает — и нет ли утечек?

1. Подключитесь с Windows:
   «Центр управления сетями» → «Настройка нового подключения» → «Подключение к рабочему месту» → «Использовать моё подключение к Интернету (VPN)» → введите IP вашего MikroTik.

   📖Свобода информации

2. Проверьте IP: зайдите на ipleak.net.

3. Ваш IP должен совпадать с внешним IP MikroTik.
4. DNS — только те, что вы указали (8.8.8.8, 1.1.1.1).

5. WebRTC-утечка: в Chrome она возможна, но не раскроет ваш реальный IP, если сайт не использует STUN-серверы. Отключайте WebRTC через расширения, если критично.

6. Проверьте сертификат в Windows:
   Щёлкните по значку VPN → «Свойства» → «Безопасность» → «Просмотреть сертификат». Сравните отпечаток с тем, что в /certificate print fingerprint.

   🛠️Инструмент для работы

SSTP против других протоколов: таблица для админов

Примечание: скорость измерена на MikroTik hAP ac² (ARM CPU) в марте 2025 года. Реальные цифры зависят от железа.

Когда SSTP на MikroTik — плохая идея?

• Вы скачиваете торренты. SSTP не скрывает ваш IP от трекеров. Если вы раздаёте контент, правообладатели увидят IP вашего MikroTik. А значит — ваш адрес. В России это риск предупреждения от провайдера или суда.
• Вам нужна максимальная скорость. TCP-over-TCP (SSTP поверх TCP) вызывает «TCP meltdown». При потерях пакетов скорость падает катастрофически.
• Вы в стране с продвинутым DPI (например, Китай, Иран). Там SSTP давно детектируется по handshake-паттернам.
• Вы не контролируете клиентские устройства. На Android/iOS нет родного SSTP-клиента. Придётся ставить сторонние приложения, которые могут логировать трафик.

Альтернативы: когда лучше взять не MikroTik

Если ваша цель — анонимность, а не просто удалённый доступ к домашней сети:

• WireGuard на VPS в нейтральной юрисдикции (Исландия, Швейцария). Быстрее, безопаснее, поддерживает PFS.
• OpenVPN с obfs4 — если нужно обойти продвинутый DPI. Требует больше настройки, но работает даже в самых жёстких условиях.
• Shadowsocks + TLS — для обхода цензуры, но не для приватности (нет end-to-end шифрования).

MikroTik хорош для корпоративного доступа или удалённого управления IoT-устройствами, но не как инструмент цифрового сопротивления.

Вывод

sstp vpn mikrotik настройка — это практичное решение для тех, кто хочет организовать удалённый доступ к своей сети без аренды серверов и сложных конфигураций. Однако считать его «анонимайзером» или «щитом от слежки» — опасное заблуждение. Отсутствие Perfect Forward Secrecy, риск DNS-утечек, зависимость от качества сертификата и юридическая уязвимость в рамках российского законодательства делают SSTP на MikroTik инструментом с узкой специализацией. Используйте его для доступа к NAS, камерам или рабочему столу — но не для торрентов, обхода блокировок Telegram или защиты от государственного наблюдения. Для этих задач нужны другие протоколы, другие юрисдикции и другая модель угроз.

Можно ли использовать SSTP на MikroTik для обхода блокировок РКН?

Теоретически — да, потому что трафик идёт через порт 443 и маскируется под HTTPS. На практике — РКН с 2023 года активно использует анализ TLS-фингерпринтов. Если ваш MikroTik имеет белый IP и трафик идёт напрямую, его могут заблокировать как «известный VPN-сервер». Эффективность снижается с каждым годом.

🛡️Безопасный интернет

Будет ли работать SSTP через DPI-фильтрацию провайдера?

У большинства российских провайдеров (МТС, Мегафон, Дом.ru) — да. У Ростелекома и «ЭР-Телеком» в некоторых регионах — нет, особенно после подключения «ГосСОП». SSTP детектируется по времени установки соединения и объёму данных. Обход возможен только с дополнительной обфускацией, которую MikroTik не поддерживает.

Как проверить утечку DNS при подключении к SSTP на MikroTik?

Зайдите на dnsleaktest.com или ipleak.net. Если в результатах указаны DNS-серверы вашего провайдера (например, 82.200.200.200 у Ростелекома), значит, настройка профиля PPP выполнена неправильно. Убедитесь, что в /ppp profile задан параметр dns-server.

Что делать, если клиент не может подключиться к SSTP-серверу MikroTik?

Проверьте: 1) открыт ли порт 443 на MikroTik (возможно, занят веб-интерфейсом); 2) есть ли правило в /ip firewall filter, разрешающее вход на порт 443; 3) совпадает ли время на клиенте и сервере (разница >5 минут ломает TLS); 4) не блокирует ли антивирус или брандмауэр Windows исходящие SSTP-соединения.

🛡️Безопасный интернет

Поддерживает ли MikroTik split tunneling для SSTP?

Нет, на уровне SSTP-сервера — не поддерживает. Но вы можете реализовать это на клиенте (Windows): в свойствах подключения → «Сеть» → «TCP/IPv4» → «Дополнительно» → снимите галочку «Использовать шлюз удалённой сети по умолчанию». Тогда только трафик к локальной сети MikroTik пойдёт через туннель.

Насколько безопасен SSTP по сравнению с WireGuard?

WireGuard безопаснее. Он использует современные криптопримитивы (Curve25519, ChaCha20, Poly1305), поддерживает Perfect Forward Secrecy, имеет минималистичный код (меньше уязвимостей). SSTP зависит от реализации TLS в RouterOS, которая уступает по качеству OpenSSL или Rustls. Кроме того, SSTP — проприетарный протокол, что снижает доверие в infosec-сообществе.