Skip to content
Blog

Mikrotik kezelése VPS segítségével

Összefoglaló
Használj nyilvános VPS-t biztonságos alagútközpontként MikroTik és belső eszközök eléréséhez CGNAT mögött. Útmutató VPS létrehozásáról, OpenVPN beállításáról, MikroTik kliens konfigurációról, port továbbításról és biztonsági tippekről.

Távoli MikroTik kezelése VPS-en keresztül

Publikus IP nélküli MikroTik eszközök elérése klasszikus probléma.

Egy nyilvános VPS megbízható hidat biztosít.

A router outbound alagutat nyit a VPS felé, és ezen az alagúton keresztül éred el a routert vagy bármely LAN eszközt.

Ez a leírás egy VPS-t (például DigitalOcean) és OpenVPN-t használ, de a minta működik WireGuard-dal, SSH visszafelé alagutakkal vagy más VPN-ekkel is.

Architektúra áttekintése

Folyamat:

Adminisztrátor ⇄ Nyilvános VPS ⇄ MikroTik (NAT mögött) ⇄ Belső eszköz

A MikroTik kezdeményezi az alagutat a VPS-hez. A VPS a stabil találkozópont publikus IP-vel.

Az alagút létrejötte után a VPS portokat továbbíthat, vagy forgalmat irányíthat a MikroTik LAN-ba.

1. lépés — VPS létrehozása (DigitalOcean példa)

  • Regisztrálj az általad választott szolgáltatónál.
  • Hozz létre egy Droplet-et / VPS-t Ubuntu 22.04 LTS-sel.
  • Egy kis csomag megfelelő a menedzsmenthez (1 vCPU, 1GB RAM).
  • Add hozzá az SSH nyilvános kulcsod a biztonságos root hozzáféréshez.

Példa (eredmény):

  • VPS IP: 138.197.120.24
  • Felhasználó: root

2. lépés — VPS előkészítése (OpenVPN szerver)

SSH-val lépj be a VPS-re:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Hozd létre a PKI-t és szerver tanúsítványokat (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Engedélyezd az IP átirányítást:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# ha akarod, tartósítsd /etc/sysctl.conf-ban

Adj hozzá NAT szabályt, hogy az alagút kliensek a VPS publikus interfészén (eth0) keresztül tudjanak kijutni:

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Hozz létre egy minimális szerverkonfigurációt /etc/openvpn/server.conf-ban és indítsd el a szolgáltatást.

Tipp: Zárd le az SSH-t (csak kulcsos belépés), engedélyezd az UFW/iptables szabályokat és fontold meg a fail2ban használatát további védelemként.

3. lépés — Kliens hitelesítő adatok és konfiguráció készítése

A VPS-en készítsd el a kliens tanúsítványt (client1), és gyűjtsd össze ezeket a fájlokat a MikroTik számára:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ha használtad)
  • client.ovpn (kliens konfiguráció)

Egy minimális client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

4. lépés — MikroTik beállítása OpenVPN kliensként

Töltsd fel a kliens tanúsítványokat és a client.ovpn fájlt MikroTikre (Fájlok listája), majd hozz létre egy OVPN kliens interfészt:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Az állapot valahogy így fog kinézni:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Megjegyzés: Az add-default-route paraméterrel szabályozhatod, hogy a router az összes forgalmat átküldje-e az alagúton.

5. lépés — MikroTik elérése a VPS-en keresztül

Használj DNAT-ot a VPS-en, hogy egy publikus portot átirányíthass a router WebFig vagy más szolgáltatása felé.

A VPS-en:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Most a http://138.197.120.24:8081 eléri a router WebFig felületét az alagúton keresztül.

6. lépés — Belső LAN eszközök elérése

Egy eszköz eléréséhez a MikroTik mögött (például kamera 192.168.88.100), adj DNAT szabályt a VPS-en és szükség esetén dst-nat szabályt a MikroTik-en.

A VPS-en (a nyilvános 8082-es portot az alagút végpontra irányítva):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

A MikroTik-en, irányítsd a bejövő portot a belső hoszthoz:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Ezzel eléred a kamerát:

http://138.197.120.24:8082

A forgalom így halad: publikus IP → VPS DNAT → OpenVPN alagút → MikroTik dst-nat → belső eszköz.

7. lépés — Automatizálás és megerősítés

Hasznos gyakorlati tippek:

  • Használj SSH kulcsokat a VPS eléréséhez és erős jelszavakat a MikroTik-en.
  • Figyeld és automatikusan indítsd újra az alagutat MikroTik script segítségével, ami ellenőrzi az OVPN interfészt.
  • Használj statikus IP-címet vagy DDNS szolgáltatást a VPS-nek, ha gyakran váltasz szolgáltatót.
  • Csak a szükséges portokat tedd elérhetővé. A többit tartsd tűzfalon belül.
  • Naplózd a kapcsolatokat és állíts be értesítéseket váratlan hozzáférések esetére.

Példa MikroTik watchdog script (OVPN újraindítása ha nem fut):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Biztonsági ellenőrző lista

  • Tartsa a VPS operációs rendszert és OpenVPN-t naprakészen.
  • Használj egyedi tanúsítványokat MikroTikenként, és vonj vissza kompromittált kulcsokat.
  • Korlátozd a VPS tűzfalszabályokat csak a menedzsment IP-kre, ahol lehetséges.
  • Használj HTTPS-t és hitelesítést a továbbított szolgáltatásokon.
  • Gondolj arra, hogy a VPN ne szabványos UDP porton fusson és korlátozd a kapcsolatok számát.

Hol segít MKController: Ha a manuális alagút beállítás túl bonyolult, a MKController NATCloud központosított távoli hozzáférést és biztonságos kapcsolatot kínál eszközök szerinti alagútmenedzsment nélkül.

Összefoglalás

A nyilvános VPS egyszerű, kontrollált megoldás MikroTik eszközök és belső hálózati hosztok elérésére NAT mögött.

Az OpenVPN egy gyakori választás, de a minta működik WireGuard-dal, SSH alagutakkal és más VPN-megoldásokkal is.

Használj tanúsítványokat, szigorú tűzfalszabályokat és automatizálást a megbízható és biztonságos működés biztosításához.

A MKController-ről

Reméljük, a fentiek segítettek jobban eligazodni MikroTik és az internet világában! 🚀
Akár konfigurációt finomítasz, akár rendet próbálsz teremteni a hálózati káoszban, a MKController megkönnyíti az életed.

Központosított felhőmenedzsmenttel, automatikus biztonsági frissítésekkel és egy mindenki számára könnyen kezelhető dashboarddal rendelkezünk, hogy új szintre emeljük az üzemeltetést.

👉 Indítsd el ingyenes 3 napos próbádat most a mkcontroller.com oldalon — és tapasztald meg az egyszerű hálózatkezelést.