Skip to content
Blog

Διαχείριση Mikrotik μέσω VPS

Περίληψη
Χρησιμοποιήστε δημόσιο VPS ως ασφαλές κέντρο τούνελ για πρόσβαση σε MikroTik και εσωτερικές συσκευές πίσω από CGNAT. Οδηγός δημιουργίας VPS, ρύθμισης OpenVPN, πελάτη MikroTik, προώθησης θυρών και ενίσχυσης ασφαλείας.

Απομακρυσμένη Διαχείριση MikroTik μέσω VPS

Η πρόσβαση σε συσκευές πίσω από MikroTik χωρίς δημόσια IP είναι κλασικό πρόβλημα.

Ένα δημόσιο VPS λειτουργεί ως αξιόπιστη γέφυρα.

Ο δρομολογητής ανοίγει εξερχόμενο τούνελ προς το VPS, και εσείς φτάνετε το δρομολογητή ή οποιαδήποτε συσκευή LAN μέσω του τούνελ.

Αυτή η συνταγή χρησιμοποιεί VPS (π.χ. DigitalOcean) και OpenVPN, αλλά το πρότυπο δουλεύει και με WireGuard, αντίστροφα τούνελ SSH ή άλλα VPN.

Επισκόπηση Αρχιτεκτονικής

Ροή:

Διαχειριστής ⇄ Δημόσιο VPS ⇄ MikroTik (πίσω από NAT) ⇄ Εσωτερική συσκευή

Ο MikroTik ξεκινά το τούνελ προς το VPS. Το VPS είναι το σταθερό σημείο επαφής με δημόσια IP.

Με το τούνελ ενεργό, το VPS μπορεί να προωθεί θύρες ή να δρομολογεί κίνηση στο LAN του MikroTik.

Βήμα 1 — Δημιουργία VPS (παράδειγμα DigitalOcean)

  • Δημιουργήστε λογαριασμό στον πάροχό σας.
  • Δημιουργήστε Droplet / VPS με Ubuntu 22.04 LTS.
  • Μικρό πλάνο αρκεί για διαχείριση (1 vCPU, 1GB RAM).
  • Προσθέστε το δημόσιο κλειδί SSH για ασφαλή πρόσβαση root.

Παράδειγμα (αποτέλεσμα):

  • IP VPS: 138.197.120.24
  • Χρήστης: root

Βήμα 2 — Προετοιμασία VPS (OpenVPN server)

Συνδεθείτε με SSH στο VPS:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Δημιουργήστε το PKI και τα πιστοποιητικά server (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Ενεργοποιήστε την προώθηση IP:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# αποθηκεύστε σε /etc/sysctl.conf αν επιθυμείτε

Προσθέστε κανόνα NAT ώστε οι πελάτες του τούνελ να βγαίνουν μέσω της δημόσιας διεπαφής VPS (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Δημιουργήστε βασική ρύθμιση server /etc/openvpn/server.conf και ξεκινήστε την υπηρεσία.

Συμβουλή: Περιορίστε το SSH (μόνο με κλειδιά), ενεργοποιήστε κανόνες UFW/iptables και εξετάστε fail2ban για επιπλέον ασφάλεια.

Βήμα 3 — Δημιουργία πιστοποιητικών και ρύθμισης πελάτη

Στο VPS, δημιουργήστε πιστοποιητικό πελάτη (client1) και συγκεντρώστε τα αρχεία για MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (αν χρησιμοποιείται)
  • client.ovpn (ρύθμιση πελάτη)

Απλή client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Βήμα 4 — Ρύθμιση MikroTik ως πελάτη OpenVPN

Ανεβάστε τα πιστοποιητικά και το client.ovpn στο MikroTik (λίστα Files), μετά δημιουργήστε διεπαφή OVPN client:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Αναμένεται κατάσταση:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Σημείωση: Ρυθμίστε το add-default-route για να ελέγξετε αν όλη η κίνηση περνά από το τούνελ.

Βήμα 5 — Πρόσβαση MikroTik μέσω VPS

Χρησιμοποιήστε DNAT στο VPS για προώθηση δημόσιας θύρας στην WebFig ή άλλη υπηρεσία του δρομολογητή.

Στο VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Τώρα το http://138.197.120.24:8081 φτάνει το WebFig του δρομολογητή μέσω τούνελ.

Βήμα 6 — Πρόσβαση σε εσωτερικές συσκευές LAN

Για πρόσβαση σε συσκευή πίσω από MikroTik (π.χ. κάμερα 192.168.88.100), προσθέστε DNAT στο VPS και dst-nat στο MikroTik αν απαιτείται.

Στο VPS (αντιστοιχίστε δημόσια θύρα 8082 στον peer του τούνελ):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Στο MikroTik, προωθήστε τη θύρα από το τούνελ προς τον εσωτερικό στόχο:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Πρόσβαση στην κάμερα:

http://138.197.120.24:8082

Η κίνηση διανύει: δημόσια IP → VPS DNAT → τούνελ OpenVPN → MikroTik dst-nat → εσωτερική συσκευή.

Βήμα 7 — Αυτοματοποίηση και ενίσχυση ασφαλείας

Μικρές πρακτικές συμβουλές:

  • Χρησιμοποιείτε SSH κλειδιά για VPS και ισχυρούς κωδικούς στο MikroTik.
  • Παρακολουθείτε και επανεκκινείτε το τούνελ με script MikroTik που ελέγχει διεπαφή OVPN.
  • Χρησιμοποιείτε στατικές IP ή DDNS για VPS αν αλλάζετε πάροχο.
  • Ανοίγετε μόνο αναγκαίες θύρες. Κρατήστε υπόλοιπη κίνηση μπλοκαρισμένη.
  • Κρατείστε αρχεία καταγραφής και ειδοποιήσεις για απρόβλεπτη πρόσβαση.

Παράδειγμα script watchdog MikroTik (επανεκκινεί OVPN αν πέσει):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Λίστα ελέγχου ασφαλείας

  • Κρατάτε updated το VPS OS και το OpenVPN.
  • Χρησιμοποιείτε μοναδικά certs ανά MikroTik και ακυρώνετε συμβιβασμένα κλειδιά.
  • Περιορίζετε firewall VPS σε διαχειριστικές IP όπου γίνεται.
  • Χρησιμοποιείτε HTTPS και αυθεντικοποίηση στις προωθημένες υπηρεσίες.
  • Σκεφτείτε να τρέχετε VPN σε μη τυπική UDP θύρα και να περιορίζετε ρυθμό συνδέσεων.

Πώς βοηθά το MKController: Αν η χειροκίνητη ρύθμιση τούνελ είναι περίπλοκη, το NATCloud του MKController προσφέρει συγκεντρωμένη απομακρυσμένη πρόσβαση και ασφαλή σύνδεση χωρίς διαχείριση ανά συσκευή.

Συμπέρασμα

Ένα δημόσιο VPS είναι απλός, ελεγχόμενος τρόπος για να φτάσετε MikroTik συσκευές και εσωτερικούς hosts πίσω από NAT.

Το OpenVPN είναι κοινή επιλογή, αλλά το πρότυπο δουλεύει και με WireGuard, SSH τούνελ και άλλα VPN.

Χρησιμοποιήστε πιστοποιητικά, αυστηρούς κανόνες firewall και αυτοματοποίηση για αξιόπιστη και ασφαλή εγκατάσταση.

Σχετικά με το MKController

Ελπίζουμε οι παραπάνω πληροφορίες να σας βοήθησαν να περιηγηθείτε καλύτερα στον κόσμο του MikroTik και του Internet! 🚀
Είτε βελτιώνετε ρυθμίσεις είτε θέλετε τάξη στο δίκτυό σας, το MKController είναι εδώ να απλοποιήσει τη ζωή σας.

Με κεντρική διαχείριση cloud, αυτοματοποιημένες ενημερώσεις ασφαλείας και πίνακα που όλοι μπορούν να χειριστούν, είμαστε έτοιμοι να αναβαθμίσουμε τη λειτουργία σας.

👉 Ξεκινήστε τώρα τη δωρεάν δοκιμή 3 ημερών στο mkcontroller.com — και δείτε τι σημαίνει αληθινός έλεγχος δικτύου χωρίς κόπο.