Доступ к зарубежным сервисам через MikroTik SSTP VPN

1

Что такое SSTP и почему именно он

SSTP (Secure Socket Tunneling Protocol) — это VPN-протокол, разработанный Microsoft, который инкапсулирует PPP-трафик внутри SSL/TLS-соединения через порт 443.

Проходит через любые файрволы — использует стандартный HTTPS-порт 443, который практически никогда не блокируется
Надёжное шифрование — SSL/TLS с поддержкой современных алгоритмов шифрования (AES-256)
Встроен в Windows — не требует установки дополнительного ПО на клиентских машинах с Windows 7+
Стабильная работа через NAT — в отличие от IPsec, не имеет проблем с NAT-traversal
Поддерживается MikroTik — RouterOS имеет встроенную поддержку SSTP-сервера без дополнительных лицензий

2

Архитектура решения

Схема подключения: ваше устройство в РФ устанавливает зашифрованное SSTP-соединение с MikroTik-сервером в Израиле, который маршрутизирует трафик в интернет.

Ваш ПК

Windows / macOS

→

Интернет

SSTP (порт 443)

→

     
MikroTik VM
Израиль

→

AI-сервисы

ChatGPT, Claude...

Почему именно Израиль?

Израиль обеспечивает доступ ко всем основным AI-сервисам, имеет хорошую связность с российскими провайдерами и не блокируется в РФ. Вы также можете использовать любую другую страну, где AI-сервисы доступны.

3

Требования к инфраструктуре

Для развёртывания решения вам понадобится:

Виртуальная машина в Израиле — минимум 1 vCPU, 256 MB RAM, 1 GB диск. MikroTik CHR работает на минимальных ресурсах
Публичный IP-адрес — статический или динамический (в последнем случае используйте DDNS)
Доменное имя — для SSL-сертификата (можно бесплатный через Let's Encrypt или использовать IP с самоподписанным сертификатом)
MikroTik RouterOS — версия 6.x или 7.x (CHR бесплатная лицензия позволяет до 1 Mbps, p1 лицензия — без ограничений)
Winbox или SSH-клиент — для управления RouterOS

О лицензии CHR

Бесплатная лицензия CHR ограничивает скорость до 1 Mbps на интерфейс. Для комфортной работы с AI-сервисами (текст, код) этого достаточно. Для видео и больших файлов потребуется лицензия P1 (~45$) или выше.

4

Генерация SSL-сертификатов

SSTP требует SSL-сертификат для установления защищённого соединения. Есть два варианта: самоподписанный сертификат или сертификат от Let's Encrypt.

Вариант А: Самоподписанный сертификат

Выполните в терминале MikroTik (Winbox > Terminal или SSH):

 # Создаём корневой CA-сертификат /certificate add name=ca-cert common-name="VPN Root CA" \
    key-usage=key-cert-sign,crl-sign days-valid=3650 /certificate sign ca-cert ca-crl-host=127.0.0.1 # Создаём серверный сертификат # Замените YOUR_SERVER_IP на ваш IP или домен /certificate add name=server-cert \
    common-name=YOUR_SERVER_IP \
    subject-alt-name=IP:YOUR_SERVER_IP \
    key-usage=digital-signature,key-encipherment,tls-server \
    days-valid=3650 /certificate sign server-cert ca=ca-cert # Помечаем сертификаты как доверенные /certificate set ca-cert trusted=yes /certificate set server-cert trusted=yes # Экспортируем CA для клиентов /certificate export-certificate ca-cert export-passphrase="" 

Вариант Б: Let's Encrypt (требуется домен)

Если у вас есть доменное имя, направленное на IP сервера:

 # Включаем ACME-клиент (RouterOS 7.12+) /certificate/acme/get url=https://acme-v02.api.letsencrypt.org/directory # Запрашиваем сертификат (замените на ваш домен и email) /certificate/acme/enable /certificate/acme domain=vpn.yourdomain.com \
    email=your@email.com 

Важно для клиентов

При использовании самоподписанного сертификата необходимо экспортировать CA-сертификат (cert_export_ca-cert.crt) и установить его на всех клиентских устройствах как доверенный корневой сертификат.

5

Настройка SSTP-сервера на MikroTik

Последовательно выполните команды для настройки SSTP-сервера, создания пользователя и маршрутизации.

1

Создаём пул адресов для VPN-клиентов

Эти адреса будут выдаваться подключающимся клиентам

/ip pool add name=sstp-pool ranges=10.10.10.2-10.10.10.254

2

Создаём профиль PPP

Определяем параметры подключения: адреса, DNS, шифрование

 /ppp profile add name=sstp-profile \
    local-address=10.10.10.1 \
    remote-address=sstp-pool \
    dns-server=8.8.8.8,8.8.4.4 \
    use-encryption=yes \
    use-compression=yes 

3

Создаём пользователя VPN

Используйте надёжный пароль!

 # Замените username и password на свои значения /ppp secret add name=myuser \
    password=MyStr0ngP@ssw0rd! \
    service=sstp \
    profile=sstp-profile 

4

Включаем SSTP-сервер

Указываем сертификат и активируем сервер

 /interface sstp-server server set \
    enabled=yes \
    certificate=server-cert \
    default-profile=sstp-profile \
    authentication=mschap2 \
    pfs=yes \
    tls-version=only-1.2 

5

Настраиваем NAT для выхода в интернет

Masquerade позволит VPN-клиентам выходить в интернет через сервер

 # Замените ether1 на имя вашего WAN-интерфейса /ip firewall nat add chain=srcnat \
    src-address=10.10.10.0/24 \
    out-interface=ether1 \
    action=masquerade \
    comment="SSTP VPN NAT" 

6

Открываем порт 443 в файрволе

Разрешаем входящие SSTP-подключения

 /ip firewall filter add chain=input \
    protocol=tcp \
    dst-port=443 \
    action=accept \
    comment="Allow SSTP" \
    place-before=0 

Проверка настроек

Выполните команду /interface sstp-server server print для проверки статуса сервера. Статус должен быть enabled: yes.

6

Настройка клиента Windows

Windows имеет встроенную поддержку SSTP — дополнительное ПО не требуется.

1

Установите CA-сертификат (для самоподписанного)

Скопируйте файл cert_export_ca-cert.crt с MikroTik на ваш ПК. Дважды кликните по файлу → «Установить сертификат» → «Локальный компьютер» → «Поместить все сертификаты в следующее хранилище» → «Доверенные корневые центры сертификации»

2

Создайте VPN-подключение

Параметры → Сеть и Интернет → VPN → Добавить VPN-подключение

→ Поставщик услуг VPN: Windows (встроенные)
→ Имя подключения: MikroTik SSTP (любое)
→ Имя или адрес сервера: IP-адрес или домен вашего сервера
→ Тип VPN: SSTP (Secure Socket Tunneling Protocol)
→ Тип данных для входа: Имя пользователя и пароль
→ Имя пользователя / Пароль: данные из PPP secret

3

Подключитесь

Нажмите на созданное подключение и выберите «Подключить». После успешного подключения весь трафик пойдёт через VPN.

Split Tunneling (опционально)

Если хотите, чтобы через VPN шёл только определённый трафик, в свойствах подключения → Сеть → IPv4 → Свойства → Дополнительно снимите галочку «Использовать основной шлюз в удалённой сети».

7

Настройка клиента macOS

macOS не имеет встроенной поддержки SSTP, но можно использовать сторонние решения или настроить альтернативный протокол.

Вариант А: SSTP-client (рекомендуется)

 # Установка через Homebrew brew install sstp-client # Подключение (замените параметры) sudo sstpc --server YOUR_SERVER_IP \
    --user myuser \
    --password MyStr0ngP@ssw0rd! \
    --ca-cert /path/to/ca-cert.crt \
    usepeerdns require-mschap-v2 noauth \
    defaultroute 

Вариант Б: Альтернатива — L2TP/IPsec или WireGuard

Если SSTP-client не подходит, рассмотрите настройку L2TP/IPsec (встроен в macOS) или WireGuard (быстрее и проще). MikroTik поддерживает оба протокола.

WireGuard как альтернатива

WireGuard работает быстрее SSTP и имеет нативные клиенты для всех платформ. MikroTik RouterOS 7.x поддерживает WireGuard из коробки. Это отличный вариант, если порт UDP 51820 не заблокирован.

8