Saltearse al contenido
Blog

Gestiona tu Mikrotik vía VPS

Resumen
Utiliza un VPS público como un hub de túnel seguro para alcanzar MikroTik y dispositivos internos detrás de CGNAT. Esta guía cubre la creación del VPS, la configuración de OpenVPN, la configuración del cliente MikroTik, el reenvío de puertos y consejos de hardening.

Gestión remota de MikroTik vía VPS

Acceder a dispositivos detrás de un MikroTik sin IP pública es un problema clásico.

Un VPS público actúa como un puente confiable.

El router abre un túnel saliente hacia el VPS, y tú alcanzas el router o cualquier dispositivo de la LAN a través de ese túnel.

Esta receta usa un VPS (ej.: DigitalOcean) y OpenVPN, pero el patrón funciona con WireGuard, túneles SSH reversos u otras VPNs.

Resumen de la arquitectura

Flujo:

Administrador ⇄ VPS público ⇄ MikroTik (detrás del NAT) ⇄ Dispositivo interno

El MikroTik inicia el túnel hacia el VPS. El VPS es el punto de encuentro estable con IP pública.

Una vez que el túnel esté activo, el VPS puede reenviar puertos o enrutar tráfico hacia la LAN del MikroTik.

Paso 1 — Crea un VPS (ejemplo DigitalOcean)

  • Crea una cuenta en tu proveedor preferido.
  • Crea un Droplet / VPS con Ubuntu 22.04 LTS.
  • Un plan pequeño basta para cargas de gestión (1 vCPU, 1GB RAM).
  • Añade tu clave pública SSH para acceso root seguro.

Ejemplo (resultado):

  • IP del VPS: 138.197.120.24
  • Usuario: root

Paso 2 — Prepara el VPS (servidor OpenVPN)

Conéctate al VPS vía SSH:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Crea la PKI y los certificados del servidor (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Habilita el reenvío de IP:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# persistir en /etc/sysctl.conf si lo deseas

Añade una regla NAT para que los clientes del túnel puedan salir por la interfaz pública del VPS (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Crea un archivo mínimo de configuración del servidor /etc/openvpn/server.conf y arranca el servicio.

Consejo: Refuerza SSH (solo claves), habilita reglas en UFW/iptables y considera fail2ban para mayor protección.

Paso 3 — Genera credenciales y configuración del cliente

En el VPS, genera un certificado de cliente (client1) y recoge estos archivos para el MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (si usado)
  • client.ovpn (config cliente)

Un client.ovpn mínimo:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Paso 4 — Configura MikroTik como cliente OpenVPN

Sube los certificados del cliente y el client.ovpn al MikroTik (Files), luego crea una interfaz cliente OVPN:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Espera un estado como:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Nota: Ajusta add-default-route para controlar si el router envía todo el tráfico por el túnel.

Paso 5 — Accede al MikroTik vía VPS

Usa DNAT en el VPS para reenviar un puerto público al WebFig del router u otro servicio.

En el VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Ahora http://138.197.120.24:8081 llegará al WebFig del router a través del túnel.

Paso 6 — Accede a dispositivos LAN internos

Para alcanzar un dispositivo detrás del MikroTik (ej.: cámara 192.168.88.100), añade una regla DNAT en el VPS y un dst-nat en el MikroTik si es necesario.

En el VPS (mapear puerto público 8082 al peer del túnel):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

En el MikroTik, reenvía el puerto entrante desde el túnel al host interno:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Accede a la cámara:

http://138.197.120.24:8082

El tráfico recorre: IP pública → DNAT en el VPS → túnel OpenVPN → dst-nat en el MikroTik → dispositivo interno.

Paso 7 — Automatización y hardening

Consejos prácticos:

  • Usa claves SSH para acceso al VPS y contraseñas fuertes en MikroTik.
  • Monitoriza y reinicia automáticamente el túnel con un script MikroTik que verifique la interfaz OVPN.
  • Usa IPs estáticas o DDNS para el VPS si cambias de proveedor.
  • Expón solo los puertos necesarios. Mantén el resto protegido por firewall.
  • Registra conexiones y configura alertas para accesos inesperados.

Ejemplo de script watchdog en MikroTik (reinicia OVPN si cae):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Checklist de seguridad

  • Mantén el SO del VPS y OpenVPN actualizados.
  • Usa certificados únicos por MikroTik y revoca claves comprometidas.
  • Restringe reglas de firewall del VPS a IPs de gestión cuando sea posible.
  • Usa HTTPS y autenticación en los servicios reenviados.
  • Considera ejecutar la VPN en un puerto UDP no estándar y limitar la tasa de conexiones.

Dónde MKController ayuda: Si la configuración manual de túneles resulta costosa, NATCloud de MKController ofrece acceso remoto centralizado y conectividad segura sin gestionar túneles por dispositivo.

Conclusión

Un VPS público es una forma simple y controlada de alcanzar dispositivos MikroTik y hosts internos detrás de NAT.

OpenVPN es una elección común, pero el patrón funciona con WireGuard, túneles SSH y otras soluciones.

Usa certificados, reglas estrictas de firewall y automatización para mantener la configuración fiable y segura.

Sobre MKController

¡Esperamos que la información anterior te haya ayudado a navegar mejor por tu universo MikroTik e Internet! 🚀
Ya sea ajustando configuraciones o intentando poner algo de orden en el caos de la red, MKController está aquí para facilitar tu vida.

Con gestión centralizada en la nube, actualizaciones automáticas de seguridad y un panel que cualquiera puede dominar, tenemos lo necesario para mejorar tu operación.

👉 Comienza tu prueba gratuita de 7 días ahora en mkcontroller.com — y comprueba lo que es tener control de red sin esfuerzo.