Aller au contenu
MKController Blog
InstagramYouTubeFacebook

Remote Access

Gestion à distance MikroTik via VPS

Utilisez un VPS public comme hub de tunnel sécurisé pour atteindre des MikroTik et appareils LAN derrière NAT ou CGNAT — OpenVPN de bout en bout.

MKController6 min read

Summary Un VPS public sert de pont fiable pour atteindre des routeurs MikroTik derrière NAT, double NAT ou CGNAT — le routeur initie un tunnel OpenVPN sortant vers le VPS, et vous atteignez le routeur (ou tout appareil LAN derrière lui) à travers ce tunnel. Ce guide passe en revue le provisionnement du VPS, la configuration du serveur OpenVPN avec easy-rsa, la configuration du client MikroTik, le port forwarding pour WebFig et les services LAN, et la check-list de durcissement qui garde le setup sûr sur la durée.

Comment fonctionne l’accès distant MikroTik via VPS ?

Un VPS public agit comme un point de rendez-vous stable doté d’une IP publique permanente. Le MikroTik initie un tunnel VPN sortant vers le VPS (il n’accepte jamais de connexions entrantes, donc NAT et CGNAT côté client n’ont pas d’importance), et le VPS conserve des règles DNAT qui mappent des ports publics vers l’autre extrémité du tunnel. Les administrateurs joignent le routeur et les appareils LAN par l’IP publique du VPS, le trafic étant chiffré de bout en bout via le VPN.

Le flux ressemble à : Administrateur ⇄ VPS public ⇄ MikroTik (derrière NAT) ⇄ appareil interne. Ce schéma fonctionne avec OpenVPN (traité ici), WireGuard (voyez notre guide WireGuard), Tailscale (voyez le tutoriel Tailscale) ou les tunnels SSH inversés — les principes sont les mêmes ; le protocole change.

Étape 1 : créer le VPS

Provisionnez un petit VPS chez n’importe quel fournisseur — DigitalOcean, Vultr, Hetzner, AWS Lightsail conviennent. Spécifications :

  • OS : Ubuntu 22.04 LTS.
  • Taille : 1 vCPU et 1 Go de RAM suffisent pour une charge d’administration avec quelques clients.
  • SSH : ajoutez votre clé publique SSH pour un accès root sécurisé.

Pour ce guide :

  • IP du VPS : 138.197.120.24
  • Utilisateur : root

Étape 2 : préparer le VPS avec OpenVPN

SSH vers le VPS et installation des prérequis :

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Création de la PKI et des certificats serveur avec easy-rsa :

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Activez l’IP forwarding (persistez-le dans /etc/sysctl.conf pour les redémarrages) :

sysctl -w net.ipv4.ip_forward=1

Ajoutez une règle NAT masquerade pour que les clients du tunnel sortent via l’interface publique du VPS (eth0) :

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Créez un /etc/openvpn/server.conf minimal (le contenu est couvert par la documentation officielle OpenVPN) et démarrez le service. Verrouillez SSH (clés uniquement), activez un pare-feu hôte et envisagez fail2ban pour une protection additionnelle — le VPS est désormais joignable depuis Internet et mérite d’être bien protégé.

Étape 3 : construire les identifiants client

Sur le VPS, générez un certificat client et rassemblez les fichiers dont le MikroTik aura besoin :

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (si utilisé)
  • client.ovpn (config client)

Un client.ovpn minimal :

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Étape 4 : configurer le MikroTik comme client OpenVPN

Téléversez les certificats client et le client.ovpn sur le MikroTik (déposez-les dans la liste Files). Dans un terminal Winbox :

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Attendez un statut du type :

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Ajustez add-default-route pour contrôler si le MikroTik envoie tout le trafic WAN via le tunnel — pour des cas d’administration uniquement, laissez no.

Étape 5 : accéder au MikroTik via le VPS

Le DNAT sur le VPS transfère un port public vers le WebFig du routeur (ou un autre service) :

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

http://138.197.120.24:8081 atteint maintenant le WebFig du routeur à travers le tunnel.

Étape 6 : accéder aux appareils LAN internes

Pour atteindre un appareil derrière le MikroTik (par exemple une caméra en 192.168.88.100), ajoutez une règle DNAT sur le VPS et un dst-nat sur le MikroTik :

Sur le VPS :

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Sur le MikroTik, redirigez le port entrant du tunnel vers l’hôte interne :

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Accédez à la caméra sur http://138.197.120.24:8082. Flux : IP publique → DNAT du VPS → tunnel OpenVPN → dst-nat du MikroTik → appareil interne.

Étape 7 : automatisation et durcissement

Quelques habitudes pratiques qui paient sur la durée :

  • Utilisez des clés SSH pour l’accès au VPS et des mots de passe forts sur le MikroTik.
  • Ajoutez un script watchdog sur le MikroTik pour redémarrer le tunnel automatiquement s’il tombe.
  • Utilisez des IPs statiques ou DDNS pour le VPS si vous changez un jour de fournisseur.
  • N’exposez que les ports dont vous avez réellement besoin ; gardez le reste filtré.
  • Journalisez les connexions et alertez sur les tentatives d’accès inattendues.

Exemple de script watchdog MikroTik (relance le tunnel s’il s’arrête) :

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Check-list de sécurité

  • Gardez l’OS du VPS et OpenVPN à jour.
  • Utilisez des certificats client uniques par MikroTik. Révoquez immédiatement les clés compromises en réémettant le CRL.
  • Restreignez le pare-feu du VPS aux IPs sources connues des administrateurs quand c’est possible.
  • Utilisez HTTPS et authentification sur chaque service redirigé. HTTP en clair via DNAT est une surface d’attaque inutile.
  • Faites tourner OpenVPN sur un port UDP non standard et limitez le taux de connexions pour ralentir les brute force à grande échelle.

Étape suivante

Un tunnel VPS + OpenVPN fonctionne de façon fiable et vous donne un contrôle total. Le compromis est opérationnel : chaque nouveau MikroTik exige un nouveau certificat client, chaque rotation de clés demande de la coordination, chaque site réinitialisé perd son tunnel jusqu’à ce que vous le réenrôliez manuellement. Sur un site c’est gérable ; sur cinquante, cela coûte des heures chaque semaine.

NATCloud de MKController supprime la plomberie manuelle des tunnels. Chaque MikroTik vient en ligne via un tunnel sortant vers le plan de contrôle, sans baby-sitting de certificats par appareil et sans VPS à maintenir. Vous obtenez un monitoring centralisé, un accès distant sécurisé et un onboarding mesuré en minutes au lieu d’heures. Pour la variante manuelle WireGuard du même schéma, voyez le guide WireGuard ; pour SSTP comme alternative TLS-sur-TCP quand UDP est bloqué, voyez SSTP remote management.

Démarrez votre essai gratuit MKController