Skip to content
Blog

Upravljanje Mikrotikom putem VPS-a

Sažetak
Koristite javni VPS kao siguran tunelski čvor za pristup MikroTik i unutarnjim uređajima iza CGNAT-a. Ovaj vodič pokriva kreiranje VPS-a, OpenVPN postavke, MikroTik konfiguraciju, prosljeđivanje portova i savjete za poboljšanje sigurnosti.

Udaljeno upravljanje MikroTikom putem VPS-a

Pristup uređajima iza MikroTik-a bez javne IP adrese je klasičan problem.

Javni VPS pruža pouzdan most.

Router otvara izlazni tunnel prema VPS-u, a vi pristupate routeru ili bilo kojem LAN uređaju kroz taj tunnel.

Ovaj recept koristi VPS (primjer: DigitalOcean) i OpenVPN, no model radi i s WireGuardom, SSH reverznim tunelima ili drugim VPN-ovima.

Pregled arhitekture

Tok:

Administrator ⇄ Javni VPS ⇄ MikroTik (iza NAT-a) ⇄ Unutarnji uređaj

MikroTik pokreće tunnel prema VPS-u. VPS je stabilno mjesto za spajanje s javnom IP adresom.

Kada je tunnel uspostavljen, VPS može prosljeđivati portove ili usmjeravati promet u MikroTik LAN.

Korak 1 — Kreirajte VPS (primjer DigitalOcean)

  • Otvorite račun kod željenog providera.
  • Kreirajte Droplet/VPS s Ubuntu 22.04 LTS.
  • Mali plan je dovoljan za upravljanje (1 vCPU, 1GB RAM).
  • Dodajte svoj SSH javni ključ za sigurni root pristup.

Primjer (rezultat):

  • IP VPS-a: 138.197.120.24
  • Korisnik: root

Korak 2 — Priprema VPS-a (OpenVPN server)

Prijavite se putem SSH na VPS:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Kreirajte PKI i serverske certifikate (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Omogućite prosljeđivanje IP paketa:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# za trajno postavljanje uredite /etc/sysctl.conf ako želite

Dodajte NAT pravilo kako bi klijenti tunela mogli izlaziti preko javnog sučelja VPS-a (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Kreirajte minimalnu konfiguraciju servera /etc/openvpn/server.conf i pokrenite servis.

Savjet: Zaključajte SSH pristup (samo ključevi), omogućite UFW/iptables pravila i razmotrite fail2ban za dodatnu zaštitu.

Korak 3 — Izgradnja klijentskih vjerodajnica i konfiguracije

Na VPS-u generirajte klijentski certifikat (client1) i prikupite ove datoteke za MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ako se koristi)
  • client.ovpn (klijentska konfiguracija)

Minimalni client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Korak 4 — Konfiguracija MikroTika kao OpenVPN klijenta

Učitajte klijentske certifikate i client.ovpn na MikroTik (Files lista), zatim kreirajte OVPN klijentsko sučelje:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Očekujte status poput:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Napomena: Prilagodite add-default-route kako biste kontrolirali hoće li sav promet routera ići kroz tunnel.

Korak 5 — Pristup MikroTiku putem VPS-a

Na VPS-u koristite DNAT za prosljeđivanje javnog porta prema WebFig-u routera ili drugoj usluzi.

Na VPS-u:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Sada http://138.197.120.24:8081 pristupa routerovom WebFig-u kroz tunnel.

Korak 6 — Pristup unutarnjim LAN uređajima

Za pristup uređaju iza MikroTik-a (npr. kamera 192.168.88.100), dodajte DNAT pravilo na VPS-u i dst-nat na MikroTik-u ako je potrebno.

Na VPS-u (mapirajte javni port 8082 na tunelski peer):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Na MikroTik-u proslijedite dolazni port s tunela na unutarnji uređaj:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Pristupite kameri:

http://138.197.120.24:8082

Promet ide ovim putem: javna IP → VPS DNAT → OpenVPN tunel → MikroTik dst-nat → unutarnji uređaj.

Korak 7 — Automatizacija i zaštita

Kratki praktični savjeti:

  • Koristite SSH ključeve za VPS i jake lozinke na MikroTik-u.
  • Nadzirite i automatski ponovno pokrenite tunnel skriptom na MikroTik-u koji provjerava OVPN sučelje.
  • Koristite statičke IP adrese ili DDNS za VPS ako mijenjate providere.
  • Izložite samo potrebne portove, ostale držite zatvorenima.
  • Pratite logove i postavite obavijesti za neobične pristupe.

Primjer MikroTik watchdog skripte (restart OVPN-a ako nije aktivan):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Sigurnosni pregled

  • Redovito održavajte VPS OS i OpenVPN s ažuriranjima.
  • Koristite jedinstvene certifikate za svaki MikroTik i opozivajte kompromitirane ključeve.
  • Ograničite firewall pravila na VPS-u na IP adrese za upravljanje gdje je moguće.
  • Koristite HTTPS i autentifikaciju na proslijeđenim uslugama.
  • Razmislite o VPN-u na ne-standardnom UDP portu te ograničite broj veza.

Gdje MKController pomaže: Ako je ručna konfiguracija tunela komplicirana, MKController NATCloud nudi centralizirani udaljeni pristup i sigurnu povezanost bez upravljanja tunelima po uređaju.

Zaključak

Javni VPS je jednostavan i kontroliran način pristupa MikroTik i unutarnjim uređajima iza NAT-a.

OpenVPN je najčešći izbor, no isti model funkcionira s WireGuardom, SSH tunelima i drugim VPN-ima.

Koristite certifikate, stroga firewall pravila i automatizaciju da održite pouzdanost i sigurnost.

O MKControlleru

Nadamo se da su vam gornji savjeti pomogli bolje upravljati vašim MikroTik i mrežnim okruženjem! 🚀
Bilo da usklađujete konfiguracije ili samo pokušavate unijeti red u mrežni kaos, MKController tu je da vam olakša posao.

S centraliziranim upravljanjem u oblaku, automatskim sigurnosnim ažuriranjima i sučeljem koje svatko može savladati, imamo ono što vam treba za nadogradnju vaše mreže.

👉 Isprobajte besplatno 3 dana na mkcontroller.com — i uvjerite se u jednostavnost upravljanja mrežom.