MikroTiki haldamine VPS-iga
Kokkuvõte
Kasuta avalikku VPS-i turvalise tunnelipunktina, et jõuda MikroTik ja sisemiste seadmeteni CGNAT taga. Juhendis käsitletakse VPS loomist, OpenVPN seadistust, MikroTik kliendi konfigureerimist, pordiedastust ja turvamist.
MikroTiki kaugjuhtimine VPS-i kaudu
Seadmetele juurdepääs MikroTiki taga ilma avaliku IP-ta on klassikaline probleem.
Avalik VPS moodustab usaldusväärse silla.
Ruuter avab väljamineva tunnelı VPS-i suunas ja sa pääsed ruuterile või mis tahes LAN seadmele selle tunnelı kaudu ligi.
See lahendus kasutab VPS-i (näiteks DigitalOcean) ja OpenVPN-i, kuid mustrit saab rakendada ka WireGuardi, SSH tagasitunnelite või teiste VPN-idega.
Architektuuri ülevaade
Andmevoog:
Administraator ⇄ Avalik VPS ⇄ MikroTik (NAT taga) ⇄ Sisemine seade
MikroTik alustab tunnelit VPS-i suunas. VPS on stabiilne kokkusaamiskoht avaliku IP-ga.
Kui tunnel on avatud, saab VPS edastada porte või marsruutida liiklust MikroTiki LAN-i.
1. samm — VPS loomine (DigitalOceani näide)
- Loo konto valitud teenusepakkuja juures.
- Loo Droplet / VPS koos Ubuntu 22.04 LTS keskkonnaga.
- Väike plaan sobib juhtimiskoormuse jaoks (1 vCPU, 1GB RAM).
- Lisa oma SSH avalik võti turvaliseks root-juurdepääsuks.
Näidis (tulemus):
- VPS IP:
138.197.120.24 - Kasutaja:
root
2. samm — VPS ettevalmistus (OpenVPN server)
Logi VPS-ile sisse SSH-ga:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesLoo PKI ja serveri sertifikaadid (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyLuba IP edastamine:
sysctl -w net.ipv4.ip_forward=1# salvestamiseks /etc/sysctl.conf kui soovidLisa NAT reegel, et tunnel kliendid pääseksid välja VPS avaliku liidese (eth0) kaudu:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADELoo minimaalne serveri konfiguratsioon /etc/openvpn/server.conf ja käivita teenus.
Nõuanne: Piira SSH ligipääsu (ainult võtmetega), lase käivitada UFW/iptables reeglid ja mõtle fail2ban kasutamisele lisakaitseks.
3. samm — Kliendi volituste ja konfiguratsiooni tegemine
VPS-il loo kliendi sertifikaat (client1) ja kogu need failid MikroTikule:
ca.crtclient1.crtclient1.keyta.key(kui kasutusel)client.ovpn(kliendi konfiguratsioon)
Minimaalne client.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 34. samm — MikroTik konfigureerimine OpenVPN kliendiks
Laadi kliendi sertifikaadid ja client.ovpn MikroTikule (Failide nimekirja), seejärel loo OVPN kliendi liides:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printOota staatust sarnaselt:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Märkus: Reguleeri
add-default-route, et määrata kas ruuter saadab kogu liikluse tunnelisse.
5. samm — MikroTikule ligipääs VPS-i kaudu
Kasutades DNAT-i VPS-is, suuna avalik port ruuteri WebFig-i või mõnele muule teenusele.
VPS-is:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADENüüd sagib http://138.197.120.24:8081 ruuteri WebFig-i läbi tunnelı.
6. samm — Ligipääs sisemistele LAN seadmetele
Siseseadmele (näiteks kaamerale 192.168.88.100) ligipääsuks MikroTiki taga, lisa VPS-i DNAT reegel ja vajadusel MikroTik neytsimise reegel.
VPS-is (avalik port 8082 suunatakse tunnel peer-ile):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082MikroTikis suuna saabuv port tunnelist sisemisele hostile:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Juurdepääs kaamerale:
http://138.197.120.24:8082
Liiklus läbib: avalik IP → VPS DNAT → OpenVPN tunnel → MikroTik dst-nat → sisemine seade.
7. samm — Automatiseerimine ja turvamine
Praktilised nõuanded:
- Kasuta VPS-ile SSH võtmeid ja tugevaid paroole MikroTikus.
- Jälgi ja taaskäivita tunnelit MikroTik skripti abil, mis kontrollib OVPN liidest.
- Kasuta staatilisi IP-sid või DDNS-i, kui vahetad teenusepakkujat.
- Ava vaid vajalikud pordid. Hoia ülejäänud tulemüüris.
- Logi ühendusi ja sea hoiatused ootamatuks ligipääsuks.
Näide MikroTik valvekaamera skriptist (taaskäivita OVPN kui all):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Turvakontrollnimekiri
- Hoia VPS OS ja OpenVPN uuendatud.
- Kasuta unikaalseid sertifikaate iga MikroTiki jaoks ja tühista kompromiteeritud võtmed.
- Piira VPS tulemüüri reeglid halduskontode IP-dele.
- Kasuta HTTPS ja autentimist edastatud teenustel.
- Mõtle VPN-i käivitamisele mittestandardsetel UDP portidel ja ühenduste kiiruse piiramine.
Kus MKController aitab: Kui käsitsi tunnelite seadistamine on liiga tülikas, pakub MKController NATCloud keskselt kaugjuurdepääsu ja turvalist ühenduvust ilma seadme-põhise tunnelihalduseta.
Kokkuvõte
Avalik VPS on lihtne ja kontrollitav viis jõuda MikroTik seadmete ja sisemiste hostideni NAT taga.
OpenVPN on tavaline valik, kuid mustrit saab rakendada ka WireGuard’i, SSH tunnelite ja teiste VPN-idega.
Kasuta sertifikaate, rangeid tulemüüri reegleid ja automatiseerimist, et hoida seadistust usaldusväärse ja turvalisena.
MKControllerist
Loodetavasti aitasid ülaltoodud näpunäited sul paremini orienteeruda MikroTiki ja Interneti universumis! 🚀
Olgu see siis konfiguratsioonide häälestamine või võrgukaose korrastamine, MKController aitab su elu lihtsustada.
Keskne pilvehaldussüsteem, automaatsed turvauuendused ja kõikidele arusaadav juhtpaneel – meil on tööriistad, et viia su tegevus järgmisele tasemele.
👉 Alusta tasuta 3-päevast prooviperioodi kohe saidil mkcontroller.com — ja saa teada, kuidas näeb välja hõlbus võrguhaldus.