Administrer din MikroTik med en VPS
Sammendrag
Brug en offentlig VPS som sikkert tunnelknudepunkt for at nå MikroTik og interne enheder bag CGNAT. Guiden dækker VPS-oprettelse, OpenVPN-opsætning, MikroTik-klientkonfiguration, portvideresendelse og sikkerhedstips.
Fjernadministration af MikroTik via VPS
At få adgang til enheder bag en MikroTik uden offentlig IP er et klassisk problem.
En offentlig VPS fungerer som en pålidelig bro.
Routeren opretter en udgående tunnel til VPS’en, og du når routeren eller en hvilken som helst LAN-enhed gennem denne tunnel.
Denne opskrift bruger en VPS (eksempel: DigitalOcean) og OpenVPN, men mønstret fungerer også med WireGuard, SSH-reverse tunneller eller andre VPN’er.
Arkitekturoversigt
Flow:
Administrator ⇄ Offentlig VPS ⇄ MikroTik (bag NAT) ⇄ Intern enhed
MikroTik’en etablerer tunnelen til VPS’en. VPS’en er det stabile mødested med offentlig IP.
Når tunnelen er oppe, kan VPS’en videresende porte eller route trafik ind i MikroTiks LAN.
Trin 1 — Opret en VPS (DigitalOcean-eksempel)
- Opret en konto hos din valgte udbyder.
- Opret en Droplet / VPS med Ubuntu 22.04 LTS.
- En lille plan er tilstrækkelig til administrationsarbejde (1 vCPU, 1GB RAM).
- Tilføj din SSH offentlige nøgle for sikker root-adgang.
Eksempel (resultat):
- VPS IP:
138.197.120.24 - Bruger:
root
Trin 2 — Forbered VPS’en (OpenVPN-server)
SSH ind i VPS’en:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesOpret PKI og servercertifikater (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyAktiver IP forwarding:
sysctl -w net.ipv4.ip_forward=1# gør permanent i /etc/sysctl.conf hvis ønsketTilføj en NAT-regel så tunnelklienter kan gå ud via VPS’ens offentlige interface (eth0):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADELav en minimal serverkonfiguration /etc/openvpn/server.conf og start servicen.
Tip: Lås SSH ned (kun nøgler), aktivér UFW/iptables-regler og overvej fail2ban for ekstra beskyttelse.
Trin 3 — Opret klientlegitimation og konfiguration
På VPS’en, generer et klientcertifikat (client1) og saml disse filer til MikroTik:
ca.crtclient1.crtclient1.keyta.key(hvis brugt)client.ovpn(klientkonfiguration)
En minimal client.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3Trin 4 — Konfigurer MikroTik som OpenVPN-klient
Upload klientcertifikaterne og client.ovpn til MikroTik (i Filer), og opret dernæst et OVPN klient-interface:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printForvent status som:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Bemærk: Juster
add-default-routefor at styre om routeren sender al trafik gennem tunnelen.
Trin 5 — Adgang til MikroTik via VPS
Brug DNAT på VPS’en til at videresende en offentlig port til routerens WebFig eller anden tjeneste.
På VPS:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADENu kan http://138.197.120.24:8081 nå routerens WebFig gennem tunnelen.
Trin 6 — Adgang til interne LAN-enheder
For at nå en enhed bag MikroTik (fx kameraet 192.168.88.100), tilføj en DNAT-regel på VPS og en dst-nat på MikroTik, hvis nødvendigt.
På VPS (public port 8082 omdirigeres til tunnelpeer):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082På MikroTik videresend indkommende port fra tunnelen til den interne vært:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Adgang til kamera:
http://138.197.120.24:8082
Trafikken går: offentlig IP → VPS DNAT → OpenVPN tunnel → MikroTik dst-nat → intern enhed.
Trin 7 — Automatisering og sikring
Små praktiske tips:
- Brug SSH-nøgler til VPS-adgang og stærke adgangskoder på MikroTik.
- Overvåg og genstart tunnelen automatisk med et MikroTik-script, der tjekker OVPN-interfacet.
- Brug statiske IP’er eller DDNS for VPS, hvis du skifter udbyder.
- Eksponer kun nødvendige porte. Hold resten bag firewall.
- Log forbindelser og sæt alarmer for uventet adgang.
Eksempel MikroTik watchdog-script (genstart OVPN, hvis nede):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Sikkerhedstjekliste
- Hold VPS OS og OpenVPN opdateret.
- Brug unikke certifikater per MikroTik og tilbagekald kompromitterede nøgler.
- Begræns VPS firewall-regler til administrations-IP’er hvor muligt.
- Brug HTTPS og autentifikation på videresendte tjenester.
- Overvej at køre VPN på en ikke-standard UDP-port og rate-limit forbindelser.
Hvor MKController hjælper: Hvis manuel tunnelopsætning er besværlig, giver MKController’s NATCloud centraliseret fjernadgang og sikker forbindelse uden individuel tunnelstyring.
Konklusion
En offentlig VPS er en enkel, kontrolleret måde at nå MikroTik-enheder og interne enheder bag NAT.
OpenVPN er et almindeligt valg, men mønstret fungerer også med WireGuard, SSH-tunneller og andre VPN’er.
Brug certifikater, strenge firewall-regler og automatisering for at holde opsætningen pålidelig og sikker.
Om MKController
Vi håber, at de ovenstående indsigter har hjulpet dig med at navigere bedre i MikroTik- og internetverdenen! 🚀
Uanset om du finjusterer konfigurationer eller blot prøver at skabe orden i netværkskaosset, er MKController her for at gøre livet lettere.
Med centraliseret cloud-administration, automatiske sikkerhedsopdateringer og et dashboard, som alle kan mestre, har vi det, der skal til for at opgradere din drift.
👉 Start din gratis 3-dages prøveperiode nu på mkcontroller.com — og oplev, hvordan nem netværkskontrol virkelig føles.