Správa vašeho Mikrotiku přes VPS

Shrnutí
Použijte veřejný VPS jako zabezpečený tunelový uzel pro přístup k MikroTik a vnitřním zařízením za CGNAT. Tento návod zahrnuje vytvoření VPS, nastavení OpenVPN, konfiguraci klienta MikroTik, přesměrování portů a bezpečnostní tipy.

Vzdálená správa MikroTiku přes VPS

Přístup k zařízením MikroTik bez veřejné IP je běžný problém.

Veřejný VPS vytváří spolehlivý most.

Router otevře odchozí tunel do VPS a vy se přes tento tunel dostanete k routeru nebo libovolnému zařízení v LAN.

Tento postup využívá VPS (například DigitalOcean) a OpenVPN, ale lze jej použít i s WireGuardem, reverzními SSH tunely nebo jinými VPN.

Přehled architektury

Tok dat:

Administrátor ⇄ Veřejný VPS ⇄ MikroTik (za NAT) ⇄ Interní zařízení

MikroTik inicializuje tunel k VPS. VPS je stabilní bod s veřejnou IP.

Jakmile je tunel aktivní, VPS může přesměrovávat porty nebo směrovat provoz do LAN MikroTiku.

Krok 1 — Vytvoření VPS (příklad DigitalOcean)

Vytvořte si účet u vámi zvoleného poskytovatele.
Vytvořte Droplet / VPS s Ubuntu 22.04 LTS.
Malý plán postačuje pro správu (1 vCPU, 1GB RAM).
Přidejte svůj veřejný SSH klíč pro bezpečný přístup k rootu.

Příklad (výsledky):

IP VPS: 138.197.120.24
Uživatelské jméno: root

Krok 2 — Příprava VPS (OpenVPN server)

Přihlaste se do VPS přes SSH:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Vytvořte PKI a certifikáty serveru (easy-rsa):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Povolte přesměrování IP:

sysctl -w net.ipv4.ip_forward=1
# lze trvale nastavit v /etc/sysctl.conf

Přidejte NAT pravidlo, aby mohli klienti z tunelu odcházet přes veřejné rozhraní VPS (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Vytvořte minimální konfiguraci serveru /etc/openvpn/server.conf a spusťte službu.

Tip: Zabezpečte SSH (pouze klíče), povolte pravidla UFW/iptables a zvažte fail2ban pro dodatečnou ochranu.

Krok 3 — Vytvoření klientských certifikátů a konfigurace

Na VPS vygenerujte klientský certifikát (client1) a sbírejte tyto soubory pro MikroTik:

ca.crt
client1.crt
client1.key
ta.key (pokud používáte)
client.ovpn (klientská konfigurace)

Minimální client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Krok 4 — Konfigurace MikroTiku jako OpenVPN klienta

Nahrajte klientské certifikáty a client.ovpn do MikroTiku (v seznamu souborů), poté vytvořte OVPN klientské rozhraní:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no

/interface ovpn-client print

Očekávejte stav jako:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Poznámka: Upravte add-default-route dle potřeby, zda chcete směrovat veškerý provoz přes tunel.

Krok 5 — Přístup k MikroTiku přes VPS

Použijte DNAT na VPS pro přesměrování veřejného portu na WebFig routeru nebo jinou službu.

Na VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Nyní http://138.197.120.24:8081 přistoupí na WebFig routeru skrz tunel.

Krok 6 — Přístup k zařízením v interní síti LAN

Pro přístup k zařízení za MikroTikem (například kamera 192.168.88.100) přidejte DNAT pravidlo na VPS a případně dst-nat na MikroTiku.

Na VPS (veřejný port 8082 mapujte na tunelového souseda):

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Na MikroTiku přesměrujte příchozí port z tunelu na interní hostitele:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Přístup ke kameře:

http://138.197.120.24:8082

Provoz prochází: veřejná IP → VPS DNAT → OpenVPN tunel → MikroTik dst-nat → interní zařízení.

Krok 7 — Automatizace a zabezpečení

Praktické tipy:

Používejte SSH klíče pro přístup k VPS a silná hesla u MikroTiku.
Sledujte a automaticky restartujte tunel skriptem na MikroTiku, který kontroluje OVPN rozhraní.
Používejte statické IP nebo DDNS pro VPS při změně poskytovatele.
Otevřete pouze potřebné porty, zbytek chraňte firewallem.
Logujte připojení a nastavte upozornění na nečekaný přístup.

Příklad watchdog skriptu MikroTik (restart OVPN při výpadku):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Bezpečnostní kontrolní seznam

Udržujte OS VPS a OpenVPN aktuální.
Používejte unikátní certifikáty pro každý MikroTik a zrušte kompromitované klíče.
Limitujte firewall VPS na IP správců, pokud je to možné.
Používejte HTTPS a autentizaci na přesměrovaných službách.
Zvažte provoz VPN na nestandardním UDP portu a omezení rychlosti připojení.

Kde pomáhá MKController: Pokud je ruční nastavení tunelu příliš náročné, NATCloud MKController nabízí centralizovaný vzdálený přístup a bezpečné připojení bez správy tunelu na každém zařízení.

Závěr

Veřejný VPS je jednoduchý a kontrolovaný způsob, jak se dostat k MikroTik zařízením a interním hostům za NAT.

OpenVPN je běžná volba, ale stejný vzor funguje s WireGuardem, SSH tunely a dalšími VPN.

Používejte certifikáty, přísná pravidla firewallu a automatizaci pro spolehlivost a bezpečnost.

O MKController

Doufáme, že vám uvedené informace pomohly lépe se orientovat ve světě MikroTiku a internetu! 🚀
Ať už dolaďujete konfigurace, nebo jen snažíte přinést řád do síťového chaosu, MKController usnadní váš život.

S centralizovanou cloudovou správou, automatickými bezpečnostními aktualizacemi a snadno ovladatelným panelem máme vše pro upgrade vaší sítě.

👉 Začněte svou 3denní bezplatnou zkušební verzi na mkcontroller.com — a uvidíte, jak snadno lze síť ovládat.