WispOSWispOS
Guida MikroTik
VPN e tunnelIntermedio

SSTP: VPN su TLS porta 443

Configura SSTP su RouterOS v7 con certificato TLS, utile per attraversare firewall restrittivi. Configurazione server, certificati, utenti e client Windows.

SSTP (Secure Socket Tunneling Protocol) incapsula PPP all'interno di TLS sulla porta TCP 443. È quasi impossibile da bloccare con firewall intermedi. Supportato nativamente in Windows; su Linux e macOS richiede client di terze parti (sstp-client).

Creazione certificato self-signed (o import CA esterna)

Generazione certificato CA e server su RouterOS
# CA root
/certificate/add name=ca-sstp common-name=ca.example.com \
  key-usage=key-cert-sign,crl-sign days-valid=3650

/certificate/sign ca-sstp ca-crl-host=192.168.1.1

# Certificato server
/certificate/add name=server-sstp common-name=vpn.example.com \
  days-valid=825 subject-alt-name=IP:203.0.113.1

/certificate/sign server-sstp ca=ca-sstp
Abilitazione server SSTP
# Pool e profilo PPP
/ip/pool/add name=pool-sstp range=10.201.1.2-10.201.1.50
/ppp/profile/add name=sstp-profile local-address=10.201.1.1 remote-address=pool-sstp

# Utente
/ppp/secret/add name=utente1 password="Password!Sicura" service=sstp profile=sstp-profile

# Server SSTP con certificato e TLS 1.2+
/interface/sstp-server/server/set \
  enabled=yes \
  certificate=server-sstp \
  tls-version=only-1.2 \
  authentication=mschap2 \
  default-profile=sstp-profile
Client SSTP (da un altro RouterOS)
/interface/sstp-client/add \
  name=sstp-out \
  connect-to=vpn.example.com \
  user=utente1 \
  password="Password!Sicura" \
  certificate=ca-sstp \
  verify-server-certificate=yes \
  tls-version=only-1.2 \
  disabled=no
Imposta sempre verify-server-certificate=yes sul client: evita attacchi man-in-the-middle. Con certificati self-signed, importa la CA sul client prima di abilitare la verifica. SSTP usa TCP: il TCP-over-TCP può degradare le performance su link con perdite.
La chiave RSA deve essere di almeno 472 bit (requisito RouterOS); in pratica usa sempre 2048 o 4096 bit. Limita tls-version=only-1.2 per escludere versioni TLS obsolete.
sstptlsssl vpnporta 443certificatepppwindows sstpverify-server-certificatetls-version

Continua con

Quale VPN scegliere su RouterOS?WireGuard: tunnel site-to-site tra due sedeWireGuard: accesso remoto road warriorIPsec IKEv2: tunnel site-to-site sicuro

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS