由于ovpn的性能着实有点差，在不太方便部署L2TP over Ipsec的情况下，可以选择sstp提供拨入服务。

本文着重讲解如何在ros 7.3.1版本下进行服务端的准备工作，6.x系列版本也可参考。

本实例中使用的域名和ip地址皆为虚构，请在部署时替换成你自己真实的域名和地址。

如ros不是一级路由，而是二级路由，建议将ros的内网ip地址放到一级路由的dmz区域里，这样可以最大程度的减少一级路由的干扰。

一、证书自签与颁发

本段中的内容与之前openvpn自签证书的步骤基本相同

1、签发用于sstp服务的CA证书

打开winbox中的system-->certificates菜单，点击加号新建一个证书，输入证书名，以及组织名，组织名需要填写你自己拥有的域名。

key usage标签的内容如下图勾选

点击OK保存后，右键证书选择sign签发。这里要注意看好证书名字别选错，ca crl host请填写路由器的公网ip地址，如果是二级路由，请在一级路由做一个1对1映射后，填写映射给二级路由的公网地址。

2、签发用于sstp服务的服务端证书

按如下图片进行操作，注意替换域名为自己的域名。注意subject alt name是可选项，可填写泛域名；不知道如何运用请不要填写这个字段。

key usage标签的内容如下图勾选

点击OK保存后，右键证书选择sign签发。注意选择刚才的sstp-ca作为这张server证书的ca。

最后，双击打开已经签发的sstp-server证书，在general标签卡内容的最下面勾选Trusted后点击ok保存。

二、开启ros的sstp服务端功能

打开winbox菜单PPP窗口，找到sstp server，点击打开

默认的端口是443，国内的话私人和公司的443端口默认被封禁的，只有云主机的备案后才能用。建议更改为其他端口。

选项上建议只使用mschap2认证，同时证书选择刚才签发的server证书，勾选PFS保护。default profile可以参照openvpn帖子里建一个，主要是用于给拨入的用户规划地址段以及控制一些拨入变量。

至此4433端口上就开启了sstp服务了，接下来要将sstp-ca证书从ros里导出，并拷贝到客户端win10系统上进行导入。

三、设置一个用于sstp拨号测试的用户

打开winbox的PPP窗口，切换到secrets标签，点击加号新建一个用户。点击OK保存即可。profile可以参照openvpn帖子里建一个，主要是用于给拨入的用户规划地址段以及控制一些拨入变量。

四、win 10 设置sstp拨号链接ros的sstp vpn服务

1、导出ros的sstp-ca证书

在system-->certificates窗口里找到刚才的sstp-ca证书，鼠标右键选择export导出

导出时选择pkcs12格式，并赋予一个密码，密码最短为8位。导出后的证书在winbox的files里可以看到，将它拖放到win10终端的桌面上。

2、将ca证书导入到win 10 的证书存储区域中

双击拖放到桌面上的ca证书，弹出导入向导，选择“本地计算机”，点击下一页直到密码输入界面

输入刚才导出证书时设置的密码，点击下一页

选择将证书放入指定的证书存储区域，如图所示

点击下一页直到完成，即可成功导入证书。

3、新建sstp拨号链接

打开win10的设置菜单，找到网络菜单下的VPN菜单，点击加号新建一个vpn链接，内容如图所示（更换目标域名和端口为你自己的内容，更换用户名和密码为你自己设置的内容）

点击保存后，先不链接，打开win10的控制面板，找到设置-以太网-更改适配器设置。找到刚才新建的sstp网卡图标，右键属性打开窗口

切换到“安全”标签卡，如下图进行设置

确定保存设置即可。回到刚才的vpn设置界面，可以开始进行拨号测试了。

最后，可以去ip-firewall里对vpn拨入用户的ip地址做一些内外的访问限制，ip-firewall-nat里设置伪装允许拨入的用户可以访问到其他网段或公网等等。