Skip to content
Blog

MikroTik-hallinta VPS:n avulla

Yhteenveto
Käytä julkista VPS:ää turvallisena tunnelikeskuksena päästäksesi MikroTik- ja sisäverkon laitteisiin CGNATin takaa. Opas kattaa VPS:n luomisen, OpenVPN:n asennuksen, MikroTikin asiakasasetukset, porttiohjauksen ja vahvistusvinkit.

MikroTik-etähallinta VPS:n kautta

MikroTikin takana oleviin laitteisiin pääsy ilman julkista IP-osoitetta on klassinen ongelma.

Julkinen VPS toimii luotettavana siltana.

Reititin avaa ulospäin menevän tunnelin VPS:ään, ja pääset reitittimeen tai mihin tahansa LANin laitteeseen tämän tunnelin kautta.

Tämä ohje käyttää VPS:ää (esim. DigitalOcean) ja OpenVPN:ää, mutta sama malli toimii myös WireGuardin, SSH-käänteistunnelien tai muiden VPN:ien kanssa.

Arkkitehtuurin yleiskatsaus

Virtaus:

Ylläpitäjä ⇄ Julkinen VPS ⇄ MikroTik (NATin takana) ⇄ Sisäverkko

MikroTik aloittaa tunnelin VPS:ään. VPS toimii vakaana tapaamispaikkana julkisella IP:llä.

Kun tunneli on toiminnassa, VPS voi ohjata portteja tai reitittää liikennettä MikroTikin LANiin.

Vaihe 1 — Luo VPS (DigitalOcean-esimerkki)

  • Luo tili haluamallesi palveluntarjoajalle.
  • Luo Droplet / VPS, jossa on Ubuntu 22.04 LTS.
  • Pieni suunnitelma riittää hallintaan (1 vCPU, 1GB RAM).
  • Lisää SSH-julkinen avaimesi turvallista root-kirjautumista varten.

Esimerkki (tulos):

  • VPS IP: 138.197.120.24
  • Käyttäjä: root

Vaihe 2 — Valmistele VPS (OpenVPN-palvelin)

Kirjaudu VPS:lle SSH:lla:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Luo PKI ja palvelimen sertifikaatit (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Ota IP-osoitteiden välitys käyttöön:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# säilytä asetus /etc/sysctl.conf -tiedostossa halutessasi

Lisää NAT-sääntö, jotta tunneliasiakkaat voivat lähteä VPS:n julkaisen rajapinnan (eth0) kautta:

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Luo vähimmäismääräinen palvelinconfig /etc/openvpn/server.conf ja käynnistä palvelu.

Vinkki: Lukitse SSH (avaimet-only), ota käyttöön UFW/iptables-säännöt ja harkitse fail2banin käyttöä lisäsuojaukseen.

Vaihe 3 — Luo asiakashallintatiedostot ja asetukset

VPS:llä generoi asiakassertifikaatti (client1) ja kerää nämä tiedostot MikroTikia varten:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (jos käytössä)
  • client.ovpn (asiakasconfig)

Vähimmäisasetus client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Vaihe 4 — Määritä MikroTik OpenVPN-asiakkaaksi

Lähetä asiakassertifikaatit ja client.ovpn MikroTikiin (Tiedostot-listaan), ja luo sitten OVPN-asiakasrajapinta:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Odotettu tila:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Huom: Säädä add-default-route ohjaamaan, laitetaanko reitittimen kaikki liikenne tunnelin läpi.

Vaihe 5 — Pääsy MikroTikiin VPS:n kautta

Käytä VPS:llä DNATia julkisen portin ohjaamiseksi reitittimen WebFigiin tai muuhun palveluun.

VPS:llä:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Nyt http://138.197.120.24:8081 tavoittaa reitittimen WebFigin tunnelin kautta.

Vaihe 6 — Pääsy sisäverkon laitteisiin

Päästäksesi MikroTikin takana olevaan laitteeseen (esim. kamera 192.168.88.100), lisää VPS:llä DNAT-sääntö ja tarvittaessa dst-nat MikroTikissa.

VPS:llä (kartoitus julkinen portti 8082 tunnelisivulle):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

MikroTikissa ohjaa saapuva portti tunnelista sisäiselle laitteelle:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Käytä kameraa:

http://138.197.120.24:8082

Liikenne kulkee: julkinen IP → VPS DNAT → OpenVPN-tunneli → MikroTik dst-nat → sisäinen laite.

Vaihe 7 — Automaatio ja koventaminen

Pieniä käytännön vinkkejä:

  • Käytä SSH-avaimia VPS-kirjautumiseen ja vahvoja salasanoja MikroTikilla.
  • Seuraa ja käynnistä tunneli uudelleen MikroTikiin skriptillä, joka valvoo OVPN-rajapintaa.
  • Käytä staattisia IP-osoitteita tai DDNS:ää VPS:lle, jos vaihdat palveluntarjoajaa.
  • Avaa vain tarpeelliset portit. Muut pidä palomuurin takana.
  • Kirjaa yhteydet ja aseta hälytyksiä odottamattomista yhteyksistä.

Esimerkki MikroTik-valvontaskriptistä (käynnistä OVPN uudelleen tarvittaessa):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Turvallisuustarkistuslista

  • Pidä VPS:n käyttöjärjestelmä ja OpenVPN ajan tasalla.
  • Käytä uniikkeja sertifikaatteja jokaiselle MikroTikille ja peruuta vaarantuneet avaimet.
  • Rajoita VPS:n palomuurisäännöt hallintaa IP-osoitteisiin.
  • Käytä HTTPS:ää ja tunnistautumista eteenpäin ohjatuissa palveluissa.
  • Harkitse VPN:n ajamista ei-standardi UDP-portissa ja rajoita yhteyksiä.

Miten MKController auttaa: Jos manuaalinen tunnelien hallinta on liian työlästä, MKControllerin NATCloud tarjoaa keskitetyn etäkäytön ja turvallisen yhteyden ilman laitekohtaista tunnelinhallintaa.

Yhteenveto

Julkinen VPS on yksinkertainen ja hallittu tapa päästä MikroTik-laitteisiin ja sisäverkon isäntiin NATin takaa.

OpenVPN on yleinen ratkaisu, mutta malli toimii myös WireGuardin, SSH-tunnelien ja muiden kanssa.

Käytä sertifikaatteja, tiukkoja palomuurisääntöjä ja automaatiota pitämään ympäristö turvallisena ja luotettavana.

Tietoja MKControllerista

Toivomme, että nämä vinkit auttoivat sinua navigoimaan MikroTik- ja internet-maailmassa paremmin! 🚀
Olitpa hienosäätämässä asetuksia tai järjestämässä verkon kaaosta, MKController tekee elämästäsi yksinkertaisempaa.

Keskitetyn pilvihallinnan, automaattisten turvapäivitysten ja helposti hallittavan kojelaudan ansiosta meillä on työkalut toimintasi kehittämiseen.

👉 Aloita ilmainen 3 päivän kokeilu nyt osoitteessa mkcontroller.com — ja koe, miltä vaivaton verkon hallinta oikeasti näyttää.