Saltar al contingut
Blog

Gestiona el teu Mikrotik amb un VPS

Resum
Utilitza un VPS públic com un hub de túnel segur per accedir a dispositius MikroTik i interns darrere CGNAT. Aquesta guia cobreix la creació del VPS, configuració OpenVPN, client MikroTik, reenviament de ports i consells de seguretat.

Gestió remota de MikroTik mitjançant VPS

Accedir a dispositius darrere un MikroTik sense IP pública és un problema clàssic.

Un VPS públic esdevé un pont fiable.

El router obre un túnel sortint al VPS, i hi accedeixes tant al router com a qualsevol dispositiu LAN a través d’aquest túnel.

Aquesta guia utilitza un VPS (exemple: DigitalOcean) i OpenVPN, però el patró funciona amb WireGuard, túnels inversos SSH o altres VPN.

Visió general de l’arquitectura

Flux:

Administrador ⇄ VPS públic ⇄ MikroTik (darrere NAT) ⇄ Dispositiu intern

El MikroTik inicia el túnel cap al VPS. El VPS és el punt estable amb IP pública.

Un cop el túnel és actiu, el VPS pot reenviar ports o encaminaments cap a la LAN del MikroTik.

Pas 1 — Crear un VPS (exemple DigitalOcean)

  • Crea un compte al teu proveïdor preferit.
  • Crea un Droplet / VPS amb Ubuntu 22.04 LTS.
  • Un pla petit és suficient per a tasques de gestió (1 vCPU, 1GB RAM).
  • Afegeix la teva clau pública SSH per accés segur a root.

Exemple (resultat):

  • IP del VPS: 138.197.120.24
  • Usuari: root

Pas 2 — Preparar el VPS (servidor OpenVPN)

Connecta-te per SSH al VPS:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Crea la PKI i certificats del servidor (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Activa el reenviament IP:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# per persistència, afegeix-ho a /etc/sysctl.conf si vols

Afegeix una regla NAT perquè els clients del túnel puguin sortir pel VPS a la interfície pública (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Crea una configuració mínima a /etc/openvpn/server.conf i inicia el servei.

Consell: Restringeix l’SSH a només claus, activa regles UFW/iptables i considera fail2ban per més protecció.

Pas 3 — Generar credencials i configuració client

Al VPS, genera un certificat client (client1) i recull aquests fitxers per al MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (si es fa servir)
  • client.ovpn (configuració client)

Un client.ovpn mínim:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Pas 4 — Configura MikroTik com a client OpenVPN

Puja els certificats client i client.ovpn al MikroTik (llista d’arxius), i després crea una interfície OVPN client:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

S’espera un estat com:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Nota: Ajusta add-default-route per controlar si el router envia tot el tràfic pel túnel.

Pas 5 — Accedeix al MikroTik via VPS

Utilitza DNAT al VPS per reenviar un port públic al WebFig o altre servei del router.

Al VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Ara http://138.197.120.24:8081 accedeix al WebFig del router a través del túnel.

Pas 6 — Accedeix a dispositius interns LAN

Per accedir a un dispositiu darrere del MikroTik (exemple càmera 192.168.88.100), afegeix una regla DNAT al VPS i un dst-nat al MikroTik si cal.

Al VPS (mapa port públic 8082 al peer del túnel):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Al MikroTik, reenviar el port entrant del túnel a l’host intern:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Accedeix la càmera:

http://138.197.120.24:8082

El tràfic recorre: IP pública → DNAT VPS → túnel OpenVPN → dst-nat MikroTik → dispositiu intern.

Pas 7 — Automatització i enfortiment

Consells pràctics:

  • Usa claus SSH per accedir al VPS i contrasenyes robustes al MikroTik.
  • Monitoritza i reinicia automàticament el túnel amb un script al MikroTik que comprovi la interfície OVPN.
  • Usa IP estàtiques o DDNS per al VPS si canvies de proveïdor.
  • Exposa només els ports necessaris. Mantingues la resta protegida amb firewall.
  • Registra connexions i estableix alertes per accessos inesperats.

Exemple de script watchdog MikroTik (reinicia OVPN si està caigut):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Llista de comprovació de seguretat

  • Mantingues el SO del VPS i OpenVPN actualitzats.
  • Usa certificats únics per a cada MikroTik i revoca claus compromeses.
  • Limita les regles del firewall del VPS a IPs de gestió quan sigui possible.
  • Usa HTTPS i autenticació als serveis reenviats.
  • Considera fer funcionar la VPN en un port UDP no estàndard i limita la taxa de connexions.

On ajuda MKController: Si la configuració manual de túnels és massa pesada, NATCloud de MKController ofereix accés remot centralitzat i connectivitat segura sense gestionar túnels per dispositiu.

Conclusions

Un VPS públic és una manera senzilla i controlada d’accedir a dispositius MikroTik i hosts interns darrere NAT.

OpenVPN és una opció habitual, però el patró també funciona amb WireGuard, túnels SSH i altres VPN.

Utilitza certificats, regles estrictes de firewall i automatització per mantenir fiable i segura la configuració.

Sobre MKController

Esperem que els consells anteriors t’hagin ajudat a gestionar millor el teu univers MikroTik i Internet! 🚀
Ja sigui afinant configuracions o posant ordre a la bogeria de la xarxa, MKController és aquí per fer-te la vida més fàcil.

Amb gestió centralitzada al núvol, actualitzacions de seguretat automàtiques i un tauler que tothom pot dominar, tenim tot el necessari per a millorar la teva operació.

👉 Comença ara la prova gratuïta de 3 dies a mkcontroller.com — i descobreix què és controlar una xarxa sense esforços.