Zum Inhalt springen
MKController Blog
InstagramYouTubeFacebook

Remote Access

MikroTik-Fernverwaltung per VPS

Nutzen Sie einen öffentlichen VPS als sicheren Tunnel-Hub für MikroTik-Router und LAN-Geräte hinter NAT oder CGNAT — OpenVPN durchgängig.

MKController5 min read

Summary Ein öffentlicher VPS ist eine zuverlässige Brücke zu MikroTik-Routern hinter NAT, doppeltem NAT oder CGNAT — der Router initiiert einen ausgehenden OpenVPN-Tunnel zum VPS, und Sie erreichen den Router (oder jedes LAN-Gerät dahinter) über diesen Tunnel. Diese Anleitung führt durch die VPS-Provisionierung, das OpenVPN-Server-Setup mit easy-rsa, die MikroTik-Client-Konfiguration, das Port-Forwarding für WebFig und LAN-Dienste sowie die Härtungs-Checkliste, die das Setup langfristig sicher hält.

Wie funktioniert VPS-basierter MikroTik-Fernzugriff?

Ein öffentlicher VPS dient als stabiler Treffpunkt mit dauerhaft öffentlicher IP. Der MikroTik baut einen ausgehenden VPN-Tunnel zum VPS auf (er akzeptiert nie eingehende Verbindungen, daher spielen NAT und CGNAT auf der Kundenseite keine Rolle), und der VPS hält DNAT-Regeln, die öffentliche Ports auf das ferne Tunnelende abbilden. Administratoren erreichen Router und LAN-Geräte über die öffentliche IP des VPS, wobei der Verkehr durchgängig per VPN verschlüsselt ist.

Der Ablauf sieht so aus: Administrator ⇄ Öffentlicher VPS ⇄ MikroTik (hinter NAT) ⇄ Internes Gerät. Dieses Muster funktioniert mit OpenVPN (hier behandelt), WireGuard (siehe unseren WireGuard-Leitfaden), Tailscale (siehe das Tailscale-Tutorial) oder SSH-Reverse-Tunneln — die Prinzipien sind gleich; das Protokoll variiert.

Schritt 1: VPS anlegen

Provisionieren Sie einen kleinen VPS bei einem beliebigen Anbieter — DigitalOcean, Vultr, Hetzner, AWS Lightsail funktionieren alle. Spezifikationen:

  • Betriebssystem: Ubuntu 22.04 LTS.
  • Größe: 1 vCPU, 1 GB RAM reichen für Management-Lasten mit wenigen Clients.
  • SSH: Fügen Sie Ihren öffentlichen SSH-Schlüssel für sicheren Root-Zugriff hinzu.

Für diese Anleitung:

  • VPS-IP: 138.197.120.24
  • Benutzer: root

Schritt 2: VPS mit OpenVPN vorbereiten

Per SSH auf den VPS einloggen und die Voraussetzungen installieren:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

PKI und Server-Zertifikate mit easy-rsa erzeugen:

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

IP-Forwarding aktivieren (in /etc/sysctl.conf persistieren, damit es Reboots übersteht):

sysctl -w net.ipv4.ip_forward=1

Eine NAT-Masquerade-Regel hinzufügen, damit Tunnel-Clients über die öffentliche Schnittstelle des VPS (eth0) ausgehen:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Eine minimale /etc/openvpn/server.conf erstellen (Inhalte deckt die offizielle OpenVPN-Dokumentation ab) und den Dienst starten. SSH absichern (nur Keys), eine Host-Firewall einschalten und fail2ban für zusätzlichen Schutz erwägen — der VPS ist nun aus dem Internet erreichbar und sollte ernsthaft abgesichert werden.

Schritt 3: Client-Anmeldedaten erstellen

Auf dem VPS ein Client-Zertifikat erzeugen und die Dateien sammeln, die der MikroTik benötigt:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (falls verwendet)
  • client.ovpn (Client-Konfig)

Eine minimale client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Schritt 4: MikroTik als OpenVPN-Client konfigurieren

Laden Sie die Client-Zertifikate und die client.ovpn auf den MikroTik hoch (in die Files-Liste). Im Winbox-Terminal:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Erwartet wird ein Status wie:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Über add-default-route steuern Sie, ob der MikroTik den gesamten WAN-Verkehr durch den Tunnel schickt — für reine Management-Szenarien no lassen.

Schritt 5: MikroTik über den VPS erreichen

DNAT auf dem VPS leitet einen öffentlichen Port an WebFig des Routers (oder einen anderen Dienst):

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

http://138.197.120.24:8081 erreicht nun das WebFig des Routers durch den Tunnel.

Schritt 6: Interne LAN-Geräte erreichen

Um ein Gerät hinter dem MikroTik zu erreichen (z. B. eine Kamera auf 192.168.88.100), fügen Sie eine DNAT-Regel auf dem VPS und ein dst-nat auf dem MikroTik hinzu:

Auf dem VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Auf dem MikroTik den eingehenden Tunnel-Port auf den internen Host weiterleiten:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Zugriff auf die Kamera unter http://138.197.120.24:8082. Datenfluss: öffentliche IP → VPS-DNAT → OpenVPN-Tunnel → MikroTik-dst-nat → internes Gerät.

Schritt 7: Automatisierung und Härtung

Ein paar praktische Gewohnheiten, die sich langfristig auszahlen:

  • SSH-Keys für VPS-Zugriff und starke Passwörter auf dem MikroTik verwenden.
  • Ein Watchdog-Skript auf dem MikroTik hinzufügen, das den Tunnel bei Ausfall automatisch neu startet.
  • Statische IPs oder DDNS für den VPS verwenden, falls Sie den Anbieter wechseln.
  • Nur tatsächlich benötigte Ports öffnen; den Rest hinter der Firewall lassen.
  • Verbindungen loggen und bei ungewöhnlichen Zugriffsversuchen alarmieren.

Beispiel-Watchdog-Skript für den MikroTik (startet den Tunnel neu, wenn er stoppt):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Sicherheits-Checkliste

  • Halten Sie VPS-OS und OpenVPN gepatcht.
  • Verwenden Sie pro MikroTik eindeutige Client-Zertifikate. Kompromittierte Keys sofort widerrufen und CRL neu ausstellen.
  • Beschränken Sie die VPS-Firewall wo möglich auf bekannte Admin-Quell-IPs.
  • HTTPS und Authentifizierung auf jedem weitergeleiteten Dienst nutzen. Reines HTTP über DNAT ist eine unnötige Angriffsfläche.
  • OpenVPN auf einem nicht standardmäßigen UDP-Port betreiben und Verbindungsraten begrenzen, um massenhaften Brute Force auszubremsen.

Nächster Schritt

Ein VPS-plus-OpenVPN-Tunnel funktioniert zuverlässig und gibt volle Kontrolle. Der Preis ist operativ: Jeder neue MikroTik braucht ein frisches Client-Zertifikat, jede Key-Rotation Abstimmung, jeder zurückgesetzte Standort verliert seinen Tunnel, bis er manuell neu onboarded wird. An einem Standort handhabbar; an fünfzig kostet das Stunden pro Woche.

NATCloud von MKController eliminiert das manuelle Tunnel-Bauen. Jeder MikroTik geht via ausgehendem Tunnel zur Control Plane online — ohne Zertifikats-Babysitting pro Gerät und ohne wartbaren VPS. Sie erhalten zentrales Monitoring, sicheren Remote-Zugriff und Onboarding in Minuten statt Stunden. Für die manuelle WireGuard-Variante desselben Musters siehe den WireGuard-Leitfaden; für SSTP als TLS-über-TCP-Alternative, wenn UDP blockiert ist, siehe SSTP remote management.

Starten Sie Ihren kostenlosen MKController-Test