דלגו לתוכן
Blog

ניהול MikroTik שלך עם VPS

סיכום
השתמש ב-VPS ציבורי כמרכז מנהור מאובטח כדי להגיע למכשירי MikroTik ומכשירים פנימיים מאחורי CGNAT. מדריך זה כולל יצירת VPS, הגדרת OpenVPN, הגדרת לקוח MikroTik, העברת פורטים וטיפים לחיזוק.

ניהול MikroTik מרחוק דרך VPS

גישה למכשירים מאחורי MikroTik ללא IP ציבורי היא בעיה מוכרת.

VPS ציבורי יוצר גשר אמין.

הראוטר יוצר מנהור יוצא אל ה-VPS, ואתה מגיע לראוטר או לכל מכשיר LAN דרך המנהור הזה.

מתכון זה משתמש ב-VPS (לדוגמה: DigitalOcean) ו-OpenVPN, אבל התבנית עובדת גם עם WireGuard, מנהורי SSH הפוכים ו-VPN אחרים.

מבט כללי על הארכיטקטורה

זרימה:

מנהל ⇄ VPS ציבורי ⇄ MikroTik (מאחורי NAT) ⇄ מכשיר פנימי

המכשיר MikroTik יוזם את המנהור אל ה-VPS. ה-VPS הוא נקודת מפגש יציבה עם IP ציבורי.

כשהמנהור פעיל, ה-VPS יכול להעביר פורטים או לנתב תעבורה לרשת MikroTik.

שלב 1 — יצירת VPS (לדוגמה DigitalOcean)

  • צור חשבון אצל הספק שבחרת.
  • צור Droplet / VPS עם Ubuntu 22.04 LTS.
  • תוכנית קטנה מתאימה לעבודה ניהולית (1 vCPU, 1GB RAM).
  • הוסף את מפתח ה-SSH הציבורי שלך לגישה בטוחה כ-root.

דוגמה (תוצאה):

  • IP של ה-VPS: 138.197.120.24
  • משתמש: root

שלב 2 — הכנת VPS (שרת OpenVPN)

התחבר ל-VPS דרך SSH:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

צור PKI ותעודות שרת (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

אפשר העברת IP:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# שמור ב-/etc/sysctl.conf אם רצוי

הוסף כלל NAT כדי שהלקוחות במנהור יוכלו לצאת דרך ממשק VPS ציבורי (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

צור קובץ הגדרות מינימלי לשרת /etc/openvpn/server.conf והפעל את השירות.

טיפ: חסום SSH (רק מפתחות), אפשר כללי UFW/iptables וחשוב על fail2ban לאבטחה נוספת.

שלב 3 — יצירת אישורי לקוח והגדרות

על ה-VPS, צור תעודת לקוח (client1) ואסוף את הקבצים האלה למכשיר MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (אם בשימוש)
  • client.ovpn (קובץ הגדרת לקוח)

קובץ client.ovpn מינימלי:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

שלב 4 — הגדר MikroTik כלקוח OpenVPN

העלה את תעודות הלקוח ו- client.ovpn ל-MikroTik (רשימת קבצים), ואז צור ממשק לקוח OVPN:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

הסטטוס צפוי להיות כך:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

הערה: שנה add-default-route כדי לשלוט אם הנתב ישלח את כל התעבורה דרך המנהור.

שלב 5 — גש למכשיר MikroTik דרך VPS

השתמש ב-DNAT ב-VPS כדי להעביר פורט ציבורי ל-WebFig של הראוטר או שירות אחר.

על ה-VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

כעת http://138.197.120.24:8081 יגיע ל-WebFig של הראוטר דרך המנהור.

שלב 6 — גישה למכשירים פנימיים ברשת LAN

כדי להגיע למכשיר מאחורי MikroTik (לדוגמה מצלמה 192.168.88.100), הוסף כלל DNAT ב-VPS וכלל dst-nat ב-MikroTik במידת הצורך.

על ה-VPS (העבר פורט ציבורי 8082 לפיר הפנים במנהור):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

ב-MikroTik, העבר את הפורט הנכנס מהמנהור אל המארח הפנימי:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

גש למצלמה:

http://138.197.120.24:8082

התעבורה עוברת: IP ציבורי → VPS DNAT → מנהורי OpenVPN → MikroTik dst-nat → מכשיר פנימי.

שלב 7 — אוטומציה וחיזוק אבטחה

טיפים מעשיים קטנים:

  • השתמש במפתחות SSH לגישה ל-VPS וסיסמאות חזקות ב-MikroTik.
  • עקוב והפעל מחדש את המנהור אוטומטית עם סקריפט MikroTik שבודק את ממשק OVPN.
  • השתמש ב-IP סטטי או DDNS אם אתה משנה ספק.
  • חשוף רק את הפורטים הנחוצים. השאר חסום בחומת אש.
  • נהל לוגים והגדר התראות לגישה לא צפויה.

דוגמה לסקריפט שמירה על OVPN ב-MikroTik (איתחול אם לא פעיל):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

רשימת בדיקה לאבטחה

  • עדכן את מערכות ה-VPS ו-OpenVPN.
  • השתמש בתעודות ייחודיות עבור כל MikroTik ובטל מפתחות פגומים.
  • הגבל חוקים ב-firewall של VPS לכתובות ניהול לפי הצורך.
  • אפשר HTTPS ואימות בשירותים מועברים.
  • שקול להריץ את ה-VPN על פורט UDP לא סטנדרטי ומנע עומס בעזרת הגבלת קצב.

איפה MKController עוזר: אם הקמת מנהור ידנית היא מורכבת מדי, NATCloud של MKController מציע גישה מרכזית מרחוק וקישוריות מאובטחת ללא צורך בניהול מנהור per-device.

סיכום

VPS ציבורי הוא דרך פשוטה ומבוקרת להגיע למכשירי MikroTik ומארחים פנימיים מאחורי NAT.

OpenVPN הוא בחירה נפוצה, אך התבנית עובדת גם עם WireGuard, מנהורי SSH ו-VPN נוספים.

שימוש בתעודות, כללי חומת אש מחמירים ואוטומציה ישמרו על אמינות ואבטחה.

אודות MKController

מקווים שהתובנות למעלה סייעו לך לנווט טוב יותר בעולם MikroTik והאינטרנט שלך! 🚀
בין אם אתה מגדיר הגדרות בדיוק או רק מנסה להכניס סדר לתוהו הרשת, MKController כאן כדי לפשט את חייך.

עם ניהול מרכזי בענן, עדכוני אבטחה אוטומטיים ולוח בקרה שקל לשלוט בו, יש לנו את הכלים לשדרג את הפעילות שלך.

👉 התחל את תקופת הניסיון החינמית של 3 ימים עכשיו באתר mkcontroller.com — וראה מה זה שליטה קלה ורציפה ברשת.