Saltearse al contenido
MKController Blog
InstagramYouTubeFacebook

Remote Access

Gestión remota de MikroTik vía VPS

Use un VPS público como hub de túnel seguro para alcanzar routers MikroTik y dispositivos LAN detrás de NAT o CGNAT — OpenVPN de extremo a extremo.

MKController5 min read

Summary Un VPS público es un puente confiable para alcanzar routers MikroTik detrás de NAT, NAT doble o CGNAT — el router inicia un túnel OpenVPN saliente al VPS, y usted alcanza el router (o cualquier dispositivo LAN detrás de él) a través de ese túnel. Esta guía recorre la provisión del VPS, la configuración del servidor OpenVPN con easy-rsa, la configuración del cliente MikroTik, el port forwarding para WebFig y servicios LAN, y la lista de hardening que mantiene el setup seguro a largo plazo.

¿Cómo funciona el acceso remoto MikroTik basado en VPS?

Un VPS público actúa como punto de encuentro estable con IP pública permanente. El MikroTik inicia un túnel VPN saliente al VPS (nunca acepta conexiones entrantes, así que NAT y CGNAT del lado del cliente no importan), y el VPS mantiene reglas DNAT que mapean puertos públicos al otro extremo del túnel. Los administradores alcanzan el router y los dispositivos LAN por la IP pública del VPS, con el tráfico cifrado extremo a extremo por el VPN.

El flujo es así: Administrador ⇄ VPS público ⇄ MikroTik (detrás de NAT) ⇄ dispositivo interno. Este patrón funciona con OpenVPN (cubierto aquí), WireGuard (vea nuestra guía WireGuard), Tailscale (vea el tutorial Tailscale) o túneles SSH inversos — los principios son los mismos; el protocolo difiere.

Paso 1: crear el VPS

Provisione un VPS pequeño en cualquier proveedor — DigitalOcean, Vultr, Hetzner y AWS Lightsail funcionan. Especificaciones:

  • SO: Ubuntu 22.04 LTS.
  • Tamaño: 1 vCPU y 1 GB de RAM bastan para cargas de gestión con un puñado de clientes.
  • SSH: agregue su clave pública SSH para acceso root seguro.

Para esta guía:

  • IP del VPS: 138.197.120.24
  • Usuario: root

Paso 2: preparar el VPS con OpenVPN

SSH al VPS e instale los prerrequisitos:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Cree la PKI y los certificados del servidor con easy-rsa:

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Habilite IP forwarding (persistido en /etc/sysctl.conf para reinicios):

sysctl -w net.ipv4.ip_forward=1

Agregue una regla NAT masquerade para que los clientes del túnel salgan por la interfaz pública del VPS (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Cree un /etc/openvpn/server.conf mínimo (la documentación oficial de OpenVPN cubre el contenido del archivo) e inicie el servicio. Endurezca SSH (solo claves), habilite un firewall de host y considere fail2ban para protección extra — el VPS ya está alcanzable desde internet y merece protección adecuada.

Paso 3: generar credenciales de cliente

En el VPS, genere un certificado de cliente y recopile los archivos que necesitará el MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (si se usa)
  • client.ovpn (config del cliente)

Un client.ovpn mínimo:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Paso 4: configurar el MikroTik como cliente OpenVPN

Suba los certificados de cliente y el client.ovpn al MikroTik (póngalos en la lista de Files). En un terminal Winbox:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Espere un estado como:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Ajuste add-default-route para controlar si el MikroTik envía todo el tráfico WAN por el túnel — para casos solo de gestión, déjelo en no.

Paso 5: acceder al MikroTik vía el VPS

El DNAT en el VPS reenvía un puerto público al WebFig del router (u otro servicio):

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Ahora http://138.197.120.24:8081 alcanza el WebFig del router a través del túnel.

Paso 6: acceder a dispositivos LAN internos

Para alcanzar un dispositivo detrás del MikroTik (por ejemplo, una cámara en 192.168.88.100), agregue una regla DNAT en el VPS y un dst-nat en el MikroTik:

En el VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

En el MikroTik, reenvíe el puerto entrante del túnel al host interno:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Acceda a la cámara en http://138.197.120.24:8082. Flujo: IP pública → DNAT del VPS → túnel OpenVPN → dst-nat del MikroTik → dispositivo interno.

Paso 7: automatización y endurecimiento

Algunos hábitos prácticos que rinden a largo plazo:

  • Use claves SSH para acceso al VPS y contraseñas fuertes en el MikroTik.
  • Agregue un script watchdog en el MikroTik para reiniciar el túnel si se cae.
  • Use IPs estáticas o DDNS para el VPS por si cambia de proveedor.
  • Exponga solo los puertos que realmente necesita; mantenga el resto cerrado.
  • Registre conexiones y alerte sobre intentos de acceso inesperados.

Ejemplo de script watchdog MikroTik (reinicia el túnel si se detiene):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Lista de seguridad

  • Mantenga el SO del VPS y OpenVPN parcheados.
  • Use certificados de cliente únicos por MikroTik. Revoque claves comprometidas de inmediato reemitiendo el CRL.
  • Restrinja el firewall del VPS a IPs origen conocidas de administradores cuando sea posible.
  • Use HTTPS y autenticación en cada servicio reenviado. HTTP plano por DNAT es una superficie de ataque innecesaria.
  • Corra OpenVPN en un puerto UDP no estándar y aplique rate-limit a conexiones para frenar fuerza bruta masiva.

Siguiente paso

Un túnel VPS + OpenVPN funciona de forma fiable y le da control total. El trade-off es operacional: cada nuevo MikroTik necesita un certificado de cliente nuevo, cada rotación de clave necesita coordinación, cada sitio que se reinicia pierde su túnel hasta que lo re-onboarda manualmente. En un sitio es manejable; en cincuenta, consume horas cada semana.

NATCloud de MKController elimina el tendido manual de túneles. Cada MikroTik queda online por túnel saliente al plano de control sin niñera de certificados por dispositivo y sin VPS que mantener. Obtiene monitoreo centralizado, acceso remoto seguro y onboarding medido en minutos en vez de horas. Para la variante manual con WireGuard del mismo patrón, vea la guía WireGuard; para SSTP como alternativa TLS-sobre-TCP cuando UDP está bloqueado, vea SSTP remote management.

Comience su prueba gratuita de MKController