تخطَّ إلى المحتوى
Blog

إدارة ميكروتيك عبر VPS

ملخص
استخدم VPS عام كمحور نفق آمن للوصول إلى MikroTik والأجهزة الداخلية خلف CGNAT. يشرح هذا الدليل إنشاء VPS، إعداد OpenVPN، تكوين عميل MikroTik، إعادة توجيه المنافذ ونصائح التحصين.

الإدارة البعيدة لأجهزة MikroTik عبر VPS

يُعد الوصول إلى الأجهزة خلف MikroTik بدون IP عام مشكلة كلاسيكية.

يعمل VPS عام كجسر موثوق.

يفتح الراوتر نفقًا صادرًا إلى VPS، ويمكنك الوصول إلى الراوتر أو أي جهاز داخل الشبكة المحلية عبر ذلك النفق.

تستخدم هذه الوصفة VPS (مثال: DigitalOcean) وOpenVPN، لكن النمط يعمل أيضًا مع WireGuard أو أنفاق SSH العكسية أو شبكات VPN أخرى.

نظرة عامة على البنية

التدفق:

المُدير ⇄ VPS عام ⇄ MikroTik (خلف NAT) ⇄ جهاز داخلي

يقوم MikroTik ببدء النفق إلى VPS. VPS هو نقطة الالتقاء الثابتة ذات IP عام.

بمجرد أن يصبح النفق نشطًا، يمكن لـ VPS إعادة توجيه المنافذ أو توجيه حركة المرور إلى شبكة MikroTik المحلية.

الخطوة 1 — أنشئ VPS (مثال DigitalOcean)

  • أنشئ حسابًا لدى المزود الذي تختاره.
  • أنشئ Droplet / VPS يعمل Ubuntu 22.04 LTS.
  • خطة صغيرة كافية لأعباء العمل الإدارية (1 vCPU، 1GB RAM).
  • أضف مفتاح SSH العام الخاص بك للوصول الآمن للمستخدم root.

مثال (نتيجة):

  • IP الخاص بـ VPS: 138.197.120.24
  • المستخدم: root

الخطوة 2 — حضّر الـ VPS (خادم OpenVPN)

اتصل بالـ VPS عبر SSH:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

أنشئ PKI وشهادات الخادم (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

فعّل توجيه IP:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# اجعله دائمًا في /etc/sysctl.conf إذا رغبت

أضف قاعدة NAT حتى تتمكن عملاء النفق من الخروج عبر واجهة VPS العامة (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

أنشئ ملف تكوين خادم بسيط /etc/openvpn/server.conf وابدأ الخدمة.

نصيحة: قم بتحصين SSH (مفتاح فقط)، فعّل قواعد UFW/iptables وفكّر في استخدام fail2ban للحماية الإضافية.

الخطوة 3 — أنشئ بيانات اعتماد وتكوين العميل

على الـ VPS، أنشئ شهادة عميل (client1) واجمع هذه الملفات للم MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (إذا استُخدم)
  • client.ovpn (تكوين العميل)

client.ovpn أدنى مثال:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

الخطوة 4 — قم بتكوين MikroTik كعميل OpenVPN

قم برفع شهادات العميل وملف client.ovpn إلى MikroTik (Files)، ثم أنشئ واجهة عميل OVPN:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

توقع حالة مثل:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

ملاحظة: عدّل add-default-route للتحكم في ما إذا كان الراوتر يرسل كل الحركة عبر النفق.

الخطوة 5 — الوصول إلى MikroTik عبر VPS

استخدم DNAT على الـ VPS لإعادة توجيه منفذ عام إلى WebFig الخاص بالراوتر أو أي خدمة أخرى.

على الـ VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

الآن سيصل http://138.197.120.24:8081 إلى WebFig الخاص بالراوتر عبر النفق.

الخطوة 6 — الوصول إلى أجهزة الشبكة المحلية الداخلية

للوصول إلى جهاز خلف MikroTik (مثال: كاميرا 192.168.88.100)، أضف قاعدة DNAT على الـ VPS و dst-nat على MikroTik إذا لزم الأمر.

على الـ VPS (تعيين المنفذ العام 8082 إلى peer النفق):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

على MikroTik، قم بتحويل المنفذ الوارد من النفق إلى المضيف الداخلي:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

ادخل إلى الكاميرا:

http://138.197.120.24:8082

يمر المرور عبر: IP عام → DNAT على الـ VPS → نفق OpenVPN → dst-nat على MikroTik → الجهاز الداخلي.

الخطوة 7 — الأتمتة والتحصين

نصائح عملية:

  • استخدم مفاتيح SSH للوصول إلى الـ VPS وكلمات مرور قوية على MikroTik.
  • راقب وأعد تشغيل النفق تلقائيًا بواسطة سكربت MikroTik الذي يتحقق من واجهة OVPN.
  • استخدم عناوين IP ثابتة أو DDNS للـ VPS إذا قمت بتغيير الموفر.
  • اكشف فقط عن المنافذ الضرورية. احمِ الباقي عن طريق جدار ناري.
  • سجل الاتصالات وقم بإعداد تنبيهات للوصول غير المتوقع.

مثال سكربت watchdog على MikroTik (يعيد تشغيل OVPN إذا تعطل):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

قائمة التحقق الأمنية

  • حافظ على نظام تشغيل VPS وOpenVPN محدثين.
  • استخدم شهادات فريدة لكل MikroTik وقم بإبطال المفاتيح المخترقة.
  • قصر قواعد جدار ناري على الـ VPS إلى عناوين إدارة إن أمكن.
  • استخدم HTTPS والمصادقة على الخدمات المعاد توجيهها.
  • فكر في تشغيل VPN على منفذ UDP غير قياسي وتحديد معدل الاتصالات.

أين يساعد MKController: إذا كانت إعدادات الأنفاق اليدوية مكلفة، فإن NATCloud من MKController يوفر وصولًا عن بُعد مركزيًا واتصالًا آمنًا دون إدارة أنفاق لكل جهاز.

الخلاصة

يعد VPS عام وسيلة بسيطة ومتحكم بها للوصول إلى أجهزة MikroTik والمضيفات الداخلية خلف NAT.

OpenVPN خيار شائع، لكن النمط يعمل أيضًا مع WireGuard وأنفاق SSH وغيرها من الحلول.

استخدم الشهادات وقواعد جدار ناري صارمة والأتمتة للحفاظ على إعداد موثوق وآمن.

عن MKController

نأمل أن تكون الرؤى أعلاه قد ساعدتك في التنقل داخل عالم MikroTik والإنترنت بشكل أفضل! 🚀
سواء كنت تضبط إعدادات أو تحاول إدخال بعض النظام في فوضى الشبكة — MKController هنا لتبسيط حياتك.

مع إدارة مركزية سحابية، تحديثات أمنية تلقائية ولوحة تحكم سهل الاستخدام، لدينا ما يلزم لتحسين عملياتك.

👉 ابدأ تجربتك المجانية لمدة 7 أيام الآن على mkcontroller.com — وشاهد كيف يبدو التحكم في الشبكة بلا مجهود.