Управление на MikroTik чрез VPS
Резюме
Използвайте публичен VPS като сигурен тунелен хъб за достъп до MikroTik и вътрешни устройства зад CGNAT. Ръководството обхваща създаване на VPS, OpenVPN, конфигурация на клиент MikroTik, пренасочване на портове и съвети за защита.
Отдалечено управление на MikroTik чрез VPS
Достъпът до устройства зад MikroTik без публичен IP е класически проблем.
Публичен VPS осигурява надеждна връзка.
Рутерът отваря изходящ тунел към VPS и чрез него може да достъпите рутера или всяко устройство в локалната мрежа.
Този модел използва VPS (пример: DigitalOcean) и OpenVPN, но работи и с WireGuard, обратни SSH тунели или други VPN-и.
Преглед на архитектурата
Поток:
Администратор ⇄ Публичен VPS ⇄ MikroTik (зад NAT) ⇄ Вътрешно устройство
MikroTik инициира тунела към VPS. VPS е стабилна точка с публичен IP.
След установяване на тунела VPS може да пренасочва портове или да маршрутизира трафик към LAN мрежата на MikroTik.
Стъпка 1 — Създаване на VPS (пример DigitalOcean)
- Създайте акаунт при избрания доставчик.
- Създайте Droplet / VPS с Ubuntu 22.04 LTS.
- Малък план е достатъчен за управление (1 vCPU, 1GB RAM).
- Добавете своя SSH публичен ключ за сигурен root достъп.
Пример (резултат):
- IP на VPS:
138.197.120.24 - Потребител:
root
Стъпка 2 — Подготовка на VPS (OpenVPN сървър)
Свържете се по SSH към VPS:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesСъздайте PKI и сървърни сертификати (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyАктивирайте IP препращане:
sysctl -w net.ipv4.ip_forward=1# запазете в /etc/sysctl.conf при желаниеДобавете NAT правило, за да позволите на клиентите от тунела да излизат през публичния интерфейс на VPS (eth0):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADEСъздайте опростена конфигурация в /etc/openvpn/server.conf и стартирайте услугата.
Съвет: Ограничете SSH (само ключове), активирайте UFW/iptables и обмислете fail2ban за допълнителна защита.
Стъпка 3 — Създаване на клиентски данни и конфигурация
Във VPS генерирайте клиентски сертификат (client1) и съберете тези файлове за MikroTik:
ca.crtclient1.crtclient1.keyta.key(ако се използва)client.ovpn(клиентска конфигурация)
Оптимална client.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3Стъпка 4 — Конфигуриране на MikroTik като OpenVPN клиент
Качете клиентските сертификати и client.ovpn в MikroTik (в списъка Files), след което създайте OVPN клиент интерфейс:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printОчакван статус:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Забележка: Настройте
add-default-routeда контролирате дали целият трафик преминава през тунела.
Стъпка 5 — Достъп до MikroTik чрез VPS
Използвайте DNAT на VPS, за да препратите публичен порт към WebFig или друг сървис на рутера.
Във VPS:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADEСега http://138.197.120.24:8081 ще достъпва WebFig през тунела.
Стъпка 6 — Достъп до вътрешни LAN устройства
За достъп до устройство зад MikroTik (пример камера 192.168.88.100), добавете DNAT правило във VPS и съответно dst-nat в MikroTik.
Във VPS (картиране на публичен порт 8082 към тунелния peer):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082В MikroTik пренасочете порт от тунела към вътрешния хост:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Достъп до камерата:
http://138.197.120.24:8082
Трафикът минава: публичен IP → VPS DNAT → OpenVPN тунел → MikroTik dst-nat → вътрешно устройство.
Стъпка 7 — Автоматизация и защита
Практически съвети:
- Използвайте SSH ключове за достъп до VPS и силни пароли за MikroTik.
- Мониторирайте и рестартирайте тунела с MikroTik скрипт, който проверява OVPN интерфейса.
- Използвайте статични IP или DDNS за VPS при смяна на доставчик.
- Отваряйте само нужните портове, останалите зад firewall.
- Логвайте връзките и настройте аларми при неочакван достъп.
Пример watchdog скрипт за MikroTik (рестартира OVPN ако е спрян):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Контролен списък за сигурност
- Поддържайте VPS OS и OpenVPN с последни пачове.
- Използвайте уникални сертификати за всеки MikroTik и отнемайте компрометирани ключове.
- Ограничете VPS firewall до IP адреси за управление, ако е възможно.
- Използвайте HTTPS и автентикация за препратени услуги.
- Помислете за VPN на нестандартен UDP порт и ограничаване на връзките.
Как MKController помага: Ако ръчното настройване на тунели е прекалено, NATCloud осигурява централен отдалечен достъп и сигурност без нужда от индивидуално управление на всяко устройство.
Заключение
Публичен VPS е лесен и контролируем начин за достъп до MikroTik и вътрешни хостове зад NAT.
OpenVPN е широко използван, но подходът работи и с WireGuard, SSH тунели и други VPN решения.
Използвайте сертификати, строги firewall правила и автоматизация за надеждност и сигурност.
За MKController
Надяваме се, че тази информация ви помогна да управлявате света на MikroTik и интернет по-лесно! 🚀
Дали настройвате конфигурации или просто искате ред в мрежовия хаос, MKController е тук, за да улесни живота ви.
С централизирано облачно управление, автоматични ъпдейти за сигурност и лесен за употреба интерфейс разполагаме с всичко необходимо, за да подобрим вашата работа.
👉 Започнете безплатен 3-дневен пробен период на mkcontroller.com — и открийте лесния контрол над мрежата.