Beheer jou MikroTik met 'n VPS
Opsomming
Gebruik ‘n openbare VPS as ‘n veilige tonnel-hub om MikroTik en interne toestelle agter CGNAT te bereik. Hierdie gids dek VPS skepping, OpenVPN opstelling, MikroTik kliëntkonfig, hawe-deurstuur en versterkingswenke.
Afstandsbeheer van MikroTik deur VPS
Toegang tot toestelle agter ‘n MikroTik sonder ‘n openbare IP is ‘n klassieke uitdaging.
‘n Openbare VPS dien as ‘n betroubare brug.
Die router open ‘n uitgaande tonnel na die VPS, en jy bereik die router of enige LAN-toestel deur daardie tonnel.
Hierdie metode gebruik ‘n VPS (byvoorbeeld: DigitalOcean) en OpenVPN, maar die patroon werk ook met WireGuard, SSH omgekeerde tonnels of ander VPN’e.
Argitektuuroorsig
Vloei:
Administrator ⇄ Openbare VPS ⇄ MikroTik (agter NAT) ⇄ Interne toestel
Die MikroTik begin die tonnel na die VPS. Die VPS is die stabiele ontmoetingspunt met ‘n openbare IP.
Sodra die tonnel opgestel is, kan die VPS hawens deurstuur of verkeer na die MikroTik LAN roeteer.
Stap 1 — Skep ‘n VPS (DigitalOcean voorbeeld)
- Skep ‘n rekening by jou gekose diensverskaffer.
- Skep ‘n Droplet / VPS met Ubuntu 22.04 LTS.
- Klein plan is voldoende vir bestuurstake (1 vCPU, 1GB RAM).
- Voeg jou SSH publieke sleutel vir veilige root toegang by.
Voorbeeld (resultaat):
- VPS IP:
138.197.120.24 - Gebruiker:
root
Stap 2 — Berei die VPS voor (OpenVPN bediener)
SSH na die VPS:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesSkep die PKI en bedienersertifikate (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keySkakel IP-voortplanting aan:
sysctl -w net.ipv4.ip_forward=1# maak dit volhoubaar in /etc/sysctl.conf indien verlangVoeg ‘n NAT-reël by sodat tonnel-kliënte die VPS se openbare koppelvlak (eth0) kan gebruik vir uitgaande verkeer:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADESkep ‘n minimale bediener-konfigurasie /etc/openvpn/server.conf en begin die diens.
Wenke: Beperk SSH toegang tot net sleutels, skakel UFW/iptables reëls aan en oorweeg fail2ban vir ekstra beskerming.
Stap 3 — Skep kliëntbewyse en konfigurasie
Op die VPS, genereer ‘n kliëntsertifikaat (client1) en versamel die volgende lêers vir MikroTik:
ca.crtclient1.crtclient1.keyta.key(indien gebruik)client.ovpn(kliëntkonfigurasie)
‘n Minimale client.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3Stap 4 — Stel MikroTik op as OpenVPN kliënt
Laai die kliëntsertifikate en client.ovpn op MikroTik op (lêerslys), dan skep ‘n OVPN kliënt-koppelvlak:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printVerwag status soos:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Nota: Pas
add-default-routeaan om te beheer of die router al die verkeer deur die tonnel stuur.
Stap 5 — Toegang tot MikroTik deur die VPS
Gebruik DNAT op die VPS om ‘n openbare hawe na die router se WebFig of ander diens deur te stuur.
Op die VPS:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADENou bereik http://138.197.120.24:8081 die router se WebFig deur die tonnel.
Stap 6 — Toegang tot interne LAN-toestelle
Om ‘n toestel agter die MikroTik te bereik (bv. kamera 192.168.88.100), voeg ‘n DNAT-reël by die VPS en indien nodig ‘n dst-nat op MikroTik.
Op die VPS (koppel openbare hawe 8082 aan die tonnel-deelnemer):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082Op MikroTik, stuur die inkomende hawe van die tonnel na die interne gasheer:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Toegang die kamera:
http://138.197.120.24:8082
Verkeer vloei so: openbare IP → VPS DNAT → OpenVPN tonnel → MikroTik dst-nat → interne toestel.
Stap 7 — Outomatisering en versterking
Klein praktiese wenke:
- Gebruik SSH sleutels vir VPS-toegang en sterk wagwoorde op MikroTik.
- Moniteer en herbegin die tonnel outomaties met ‘n MikroTik-skrip wat die OVPN-koppelvlak kontroleer.
- Gebruik statiese IP’s of DDNS vir die VPS as jy diensverskaffers verander.
- Stel slegs die nodige hawens bloot. Hou die res agter firewall.
- Log verbindings en stel waarskuwings in vir onverwagte toegang.
Voorbeeld MikroTik-waakhondskrip (herbegin OVPN as dit af is):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Sekuriteitskontrolelys
- Hou die VPS-bedryfstelsel en OpenVPN op datum.
- Gebruik unieke sertifikate per MikroTik en herroep gekompromitteerde sleutels.
- Beperk VPS firewall-reëls tot bestuur IP’s waar moontlik.
- Gebruik HTTPS en verifikasie op doorgestuurde dienste.
- Oorweeg om die VPN op ‘n nie-standaard UDP-hawe te laat loop en beperk verbindings tempo.
Waar MKController help: As handmatige tonnel opstelling te veel werk is, bied MKController se NATCloud gesentraliseerde afstandtoegang en veilige konnektiwiteit sonder per-toestel tonnelbestuur.
Gevolgtrekking
‘n Openbare VPS is ‘n eenvoudige, beheerbare manier om MikroTik-toestelle en interne gasheer agter NAT te bereik.
OpenVPN is ‘n algemeen gebruikte opsie, maar die patroon werk met WireGuard, SSH-tonnels en ander VPN’s.
Gebruik sertifikate, streng firewall-reëls en outomatisering om die opstelling betroubaar en veilig te hou.
Oor MKController
Ek hoop die insigte hierbo het jou gehelp om jou MikroTik en internetwêreld beter te verstaan! 🚀
Of jy nou konfigurasies verfyn of net probeer om orde te bring in netwerk chaos, MKController maak jou lewe makliker.
Met gesentraliseerde wolkbestuur, geoutomatiseerde sekuriteitsopdaterings, en ‘n paneel wat enigeen vinnig kan bemeester, het ons wat nodig is om jou operasie op te gradeer.
👉 Begin jou gratis 3-dae proeflopie nou by mkcontroller.com — en sien hoe maklike netwerkbeheer werklik lyk.