Introducción
Hay ocasiones en las que nos podemos encontrar con firewalls que no permiten el paso de datos por puertos diferentes al 443 y 80. Este filtrado presupone un problema si la VPN que pretendemos usar requiere puertos adicionales a los que comunmente están habilitados para la navegación web -usando HTTP o HTTPS-. La opción más viable para sortear esta restricción es a través de una VPN tipo SSTP, la cual establece comunicación utilizando únicamente el puerto 443, que, a la vista de la mayoría de UTM es simple tráfico web encriptado (HTTPS).
¿Qué es SSTP?
Las siglas SSTP corresponden a Secure Socket Tunneling Protocol, como su nombre lo indica, es un protocolo que establece un túnel de comunicación punto a punto (cliente-servidor) de capa 2 (enlace de datos) a través del protocolo de transferencia de hipertexto sobre la capa de conexión segura SSL/TLS, utilizando un solo puertoo, regularmente el 443, para comunicarse de manera encriptada. Este protocolo fue desarrollado por Microsoft y la primera versión (v. 0.01), fue liberada el 22 de febrero de 2007. Actualmente es un protocolo abierto (que puede ser utilizado y modificado por cualquier desarrollador) y la última versión liberada es la 19.0 (4 de julio de 2021).
Requisitos previos
Para configurar un servidor SSTP en un MikroTik ROS es necesario:
- Contar con un dispositivo con ROS y nivel de licencia 1 (gratuita); sin embargo, se recomienda tener al menos la licencia nivel 3 (WISP CPE)
- Contar con certificados emitidos por una autoridad reconocida. Se recomienda ampliamente utilizar la solución gratuita que ofrece Let’s Encrypt
- En caso de necesitar conectarse al servidor desde internet, será necesario contar con una IP pública y hacer la configuración correspondiente en el firewall para que el ROS con el servicio SSTP reciba las comunicaciones por el puerto 443 (recomendado) u otro que se desee utilizar.
Implementación de SSTP en Routerboard OS de MikroTik
El sistema operativo Routerboard (ROS) cuenta con un paquete para utilizar este protocolo, ya sea como servidor o cliente. En nuestro caso activaremos el servidor SSTP con la consola del ROS
/interface sstp-server add
TUTORIAL INCOMPLETO…
Fuentes
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-sstp