Aller au contenu
Blog

Gestion Mikrotik via VPS

Résumé
Utilisez un VPS public comme hub de tunnel sécurisé pour atteindre MikroTik et des appareils internes derrière CGNAT. Ce guide couvre la création du VPS, la configuration d’OpenVPN, la configuration du client MikroTik, le transfert de ports et les conseils de renforcement.

Gestion distante de MikroTik via VPS

Accéder à des appareils derrière un MikroTik sans IP publique est un problème classique.

Un VPS public sert de pont fiable.

Le routeur ouvre un tunnel sortant vers le VPS, et vous atteignez le routeur ou n’importe quel appareil du LAN via ce tunnel.

Cette recette utilise un VPS (ex. : DigitalOcean) et OpenVPN, mais le modèle fonctionne avec WireGuard, des tunnels SSH inversés ou d’autres VPN.

Aperçu de l’architecture

Flux :

Administrateur ⇄ VPS public ⇄ MikroTik (derrière NAT) ⇄ Appareil interne

Le MikroTik initie le tunnel vers le VPS. Le VPS est le point de rendez-vous stable avec une IP publique.

Une fois le tunnel établi, le VPS peut rediriger des ports ou router le trafic vers le LAN du MikroTik.

Étape 1 — Créer un VPS (exemple DigitalOcean)

  • Créez un compte chez votre fournisseur choisi.
  • Créez un Droplet / VPS avec Ubuntu 22.04 LTS.
  • Un petit plan suffit pour les charges de gestion (1 vCPU, 1GB RAM).
  • Ajoutez votre clé publique SSH pour un accès root sécurisé.

Exemple (résultat) :

  • IP du VPS : 138.197.120.24
  • Utilisateur : root

Étape 2 — Préparer le VPS (serveur OpenVPN)

Connectez-vous au VPS en SSH :

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Créez la PKI et les certificats du serveur (easy-rsa) :

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Activez le forwarding IP :

Terminal window
sysctl -w net.ipv4.ip_forward=1
# persister dans /etc/sysctl.conf si désiré

Ajoutez une règle NAT pour que les clients du tunnel puissent sortir via l’interface publique du VPS (eth0) :

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Créez un fichier de configuration serveur minimal /etc/openvpn/server.conf et démarrez le service.

Astuce : Renforcez SSH (clés uniquement), activez des règles UFW/iptables et envisagez fail2ban pour une protection supplémentaire.

Étape 3 — Générer les identifiants et configuration client

Sur le VPS, générez un certificat client (client1) et rassemblez ces fichiers pour le MikroTik :

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (si utilisé)
  • client.ovpn (config client)

Un client.ovpn minimal :

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Étape 4 — Configurer MikroTik en tant que client OpenVPN

Téléversez les certificats client et le client.ovpn sur le MikroTik (Files), puis créez une interface client OVPN :

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Attendez un état comme :

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Remarque : Ajustez add-default-route pour contrôler si le routeur envoie tout le trafic via le tunnel.

Étape 5 — Accéder au MikroTik via le VPS

Utilisez DNAT sur le VPS pour transférer un port público al WebFig du routeur ou un autre service.

Sur le VPS :

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Maintenant http://138.197.120.24:8081 atteindra le WebFig du routeur via le tunnel.

Étape 6 — Accéder aux appareils LAN internes

Pour atteindre un appareil derrière le MikroTik (ex. : caméra 192.168.88.100), ajoutez une règle DNAT sur le VPS et un dst-nat sur le MikroTik si nécessaire.

Sur le VPS (mapper le port público 8082 vers le peer du tunnel) :

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Sur le MikroTik, transférez le port entrante depuis le tunnel vers l’hôte interne :

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Accédez à la caméra :

http://138.197.120.24:8082

Le trafic circule : IP pública → DNAT sur le VPS → tunnel OpenVPN → dst-nat sur le MikroTik → dispositivo interne.

Étape 7 — Automatisation et durcissement

Conseils pratiques :

  • Utilisez claves SSH para el acceso al VPS y contraseñas fuertes en MikroTik.
  • Supervise y reinicie automáticamente el túnel con un script en MikroTik que verifique la interfaz OVPN.
  • Use IPs estáticos o DDNS para el VPS si cambia de proveedor.
  • Exponga solo los puertos necesarios. Mantenga el resto protegido por firewall.
  • Registre conexiones y configure alertas para accesos inesperados.

Ejemplo de script watchdog en MikroTik (reinicia OVPN si cae):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Checklist de segurança

  • Mantenga el SO del VPS y OpenVPN actualizados.
  • Use certificados únicos por MikroTik y revoque claves comprometidas.
  • Restrinja las reglas de firewall del VPS a IPs de gestión cuando sea posible.
  • Use HTTPS y autenticación en los servicios reenviados.
  • Considere ejecutar la VPN en un puerto UDP no estándar y limitar la tasa de conexiones.

Où MKController aide: Si la configuración manual de túneles resulta costosa, NATCloud de MKController ofrece acceso remoto centralizado y conectividad segura sin gestionar túneles por dispositivo.

Conclusion

Un VPS público es una forma simple y controlada de alcanzar dispositivos MikroTik y hosts internos detrás de NAT.

OpenVPN es una elección común, pero el patrón funciona con WireGuard, túneles SSH y otras soluciones.

Use certificados, reglas estrictas de firewall y automatización para mantener la configuración fiable y segura.

À propos de MKController

Nous espérons que ces informations vous ont aidé à mieux naviguer dans votre univers MikroTik et Internet ! 🚀
Que vous affiniez des configurations ou que vous essayiez d’apporter un peu d’ordre au chaos du réseau, MKController est là pour simplifier votre vie.

Avec une gestion centralisée dans le cloud, des mises à jour de sécurité automatisées et un tableau de bord que tout le monde maîtrise, nous avons ce qu’il faut pour améliorer votre opération.

👉 Démarrez votre essai gratuit de 7 jours maintenant sur mkcontroller.com — et voyez ce que signifie un contrôle réseau sans effort.