Zum Inhalt springen
Blog

Mikrotik-Verwaltung über VPS

Zusammenfassung
Verwenden Sie einen öffentlichen VPS als sicheren Tunnel-Hub, um MikroTik und interne Geräte hinter CGNAT zu erreichen. Dieser Leitfaden behandelt die Erstellung des VPS, die OpenVPN-Konfiguration, die MikroTik-Client-Konfiguration, Portweiterleitung und Härtungstipps.

Remote-Verwaltung von MikroTik via VPS

Der Zugriff auf Geräte hinter einem MikroTik ohne öffentliche IP ist ein klassisches Problem.

Ein öffentlicher VPS dient als zuverlässige Brücke.

Der Router öffnet einen ausgehenden Tunnel zum VPS, und Sie erreichen den Router oder jedes LAN-Gerät über diesen Tunnel.

Dieses Rezept verwendet einen VPS (z. B. DigitalOcean) und OpenVPN, aber das Muster funktioniert mit WireGuard, SSH-Reverse-Tunneln oder anderen VPNs.

Architekturübersicht

Fluss:

Administrator ⇄ öffentlicher VPS ⇄ MikroTik (hinter NAT) ⇄ internes Gerät

Der MikroTik initiiert den Tunnel zum VPS. Der VPS ist der stabile Treffpunkt mit öffentlicher IP.

Sobald der Tunnel steht, kann der VPS Ports weiterleiten oder Verkehr in das MikroTik-LAN routen.

Schritt 1 — Erstelle einen VPS (DigitalOcean-Beispiel)

  • Erstellen Sie ein Konto bei Ihrem bevorzugten Anbieter.
  • Erstellen Sie einen Droplet / VPS mit Ubuntu 22.04 LTS.
  • Ein kleiner Plan reicht für Management-Workloads (1 vCPU, 1GB RAM).
  • Fügen Sie Ihren SSH-Public-Key für sicheren Root-Zugriff hinzu.

Beispiel (Ergebnis):

  • VPS-IP: 138.197.120.24
  • Benutzer: root

Schritt 2 — Bereiten Sie den VPS vor (OpenVPN-Server)

SSH zum VPS:

Terminal-Fenster
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Erstellen Sie die PKI und Server-Zertifikate (easy-rsa):

Terminal-Fenster
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Aktivieren Sie IP-Forwarding:

Terminal-Fenster
sysctl -w net.ipv4.ip_forward=1
# dauerhaft in /etc/sysctl.conf eintragen, falls gewünscht

Fügen Sie eine NAT-Regel hinzu, damit Tunnel-Clients über die öffentliche Schnittstelle des VPS (eth0) ausgehen können:

Terminal-Fenster
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Erstellen Sie eine minimale Server-Konfiguration /etc/openvpn/server.conf und starten Sie den Dienst.

Tipp: Härten Sie SSH (nur Schlüssel), aktivieren Sie UFW/iptables-Regeln und erwägen Sie fail2ban zum zusätzlichen Schutz.

Schritt 3 — Erstellen Sie Client-Anmeldeinformationen und -Konfiguration

Auf dem VPS erzeugen Sie ein Client-Zertifikat (client1) und sammeln diese Dateien für das MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (falls verwendet)
  • client.ovpn (Client-Konfiguration)

Eine minimale client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Schritt 4 — Konfigurieren Sie MikroTik als OpenVPN-Client

Laden Sie die Client-Zertifikate und client.ovpn auf das MikroTik hoch (Files) und erstellen Sie ein OVPN-Client-Interface:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Erwarten Sie einen Status wie:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Hinweis: Passen Sie add-default-route an, um zu steuern, ob der Router den gesamten Verkehr über den Tunnel sendet.

Schritt 5 — Greifen Sie über den VPS auf das MikroTik zu

Verwenden Sie DNAT auf dem VPS, um einen öffentlichen Port an das WebFig des Routers oder einen anderen Dienst weiterzuleiten.

Auf dem VPS:

Terminal-Fenster
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Nun erreicht http://138.197.120.24:8081 das WebFig des Routers über den Tunnel.

Schritt 6 — Zugriff auf interne LAN-Geräte

Um ein Gerät hinter dem MikroTik zu erreichen (z. B. Kamera 192.168.88.100), fügen Sie eine DNAT-Regel auf dem VPS hinzu und ggf. ein dst-nat auf dem MikroTik.

Auf dem VPS (öffentlichen Port 8082 an den Tunnel-Peer weiterleiten):

Terminal-Fenster
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Auf dem MikroTik leiten Sie den eingehenden Port vom Tunnel an den internen Host weiter:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Greifen Sie auf die Kamera zu:

http://138.197.120.24:8082

Der Verkehr fließt: öffentliche IP → DNAT auf dem VPS → OpenVPN-Tunnel → dst-nat auf dem MikroTik → internes Gerät.

Schritt 7 — Automatisierung und Härtung

Praktische Tipps:

  • Verwenden Sie SSH-Schlüssel für VPS-Zugriff und starke Passwörter auf MikroTik.
  • Überwachen und starten Sie den Tunnel automatisch mit einem MikroTik-Skript, das die OVPN-Interface prüft.
  • Verwenden Sie statische IPs oder DDNS für den VPS, falls Sie den Provider wechseln.
  • Öffnen Sie nur benötigte Ports. Halten Sie den Rest durch Firewall geschützt.
  • Protokollieren Sie Verbindungen und richten Sie Alerts für unerwartete Zugriffe ein.

Beispiel MikroTik-Watchdog-Skript (startet OVPN neu, wenn es ausgefallen ist):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Sicherheits-Checkliste

  • Halten Sie das VPS-OS und OpenVPN gepatcht.
  • Verwenden Sie für jedes MikroTik eindeutige Zertifikate und widerrufen Sie kompromittierte Schlüssel.
  • Beschränken Sie VPS-Firewall-Regeln auf Management-IPs, sofern möglich.
  • Verwenden Sie HTTPS und Authentifizierung für weitergeleitete Dienste.
  • Erwägen Sie, die VPN auf einem nicht standardmäßigen UDP-Port zu betreiben und Verbindungsraten zu begrenzen.

Wo MKController hilft: Wenn manuelle Tunnel-Setups zu aufwändig sind, bietet NATCloud von MKController zentrales Remote-Zugriffmanagement und sichere Konnektivität, ohne pro-Gerät Tunnel zu verwalten.

Fazit

Ein öffentlicher VPS ist ein einfacher, kontrollierter Weg, um MikroTik-Geräte und interne Hosts hinter NAT zu erreichen.

OpenVPN ist eine gängige Wahl, aber das Muster funktioniert auch mit WireGuard, SSH-Tunneln und anderen Lösungen.

Nutzen Sie Zertifikate, strikte Firewall-Regeln und Automatisierung, um die Konfiguration zuverlässig und sicher zu halten.

Über MKController

Wir hoffen, die obenstehenden Hinweise haben Ihnen geholfen, sich in Ihrer MikroTik- und Internet-Welt besser zu orientieren! 🚀
Ob Sie Konfigurationen feinabstimmen oder versuchen, etwas Ordnung in das Netzwerkchaos zu bringen — MKController macht Ihr Leben einfacher.

Mit zentralisierter Cloud-Verwaltung, automatischen Sicherheitsupdates und einem Dashboard, das jeder beherrscht, haben wir, was es braucht, um Ihre Betriebsabläufe zu verbessern.

👉 Starten Sie jetzt Ihre 7-tägige Testversion auf mkcontroller.com — und sehen Sie, wie mühelos Netzwerksteuerung sein kann.