Mengelola Mikrotik Anda dengan VPS
Ringkasan
Gunakan VPS publik sebagai hub terowongan aman untuk mengakses MikroTik dan perangkat internal di balik CGNAT. Panduan ini mencakup pembuatan VPS, setup OpenVPN, konfigurasi klien MikroTik, port forwarding, dan tips pengamanan.
Manajemen MikroTik Jarak Jauh melalui VPS
Mengakses perangkat di balik MikroTik tanpa IP publik adalah masalah klasik.
VPS publik menjadi jembatan yang andal.
Router membuka terowongan keluar ke VPS, dan Anda dapat mengakses router atau perangkat LAN melalui terowongan tersebut.
Resep ini menggunakan VPS (contoh: DigitalOcean) dan OpenVPN, tapi pola ini juga berlaku untuk WireGuard, terowongan balik SSH, atau VPN lainnya.
Gambaran Arsitektur
Alur:
Administrator ⇄ VPS Publik ⇄ MikroTik (di balik NAT) ⇄ Perangkat internal
MikroTik memulai terowongan ke VPS. VPS adalah titik temu stabil dengan IP publik.
Setelah terowongan aktif, VPS dapat meneruskan port atau mengarahkan trafik ke LAN MikroTik.
Langkah 1 — Membuat VPS (contoh DigitalOcean)
- Buat akun pada penyedia yang Anda pilih.
- Buat Droplet / VPS dengan Ubuntu 22.04 LTS.
- Paket kecil cukup untuk beban kerja manajemen (1 vCPU, 1GB RAM).
- Tambahkan kunci publik SSH Anda untuk akses root yang aman.
Contoh (hasil):
- IP VPS:
138.197.120.24 - User:
root
Langkah 2 — Persiapan VPS (server OpenVPN)
SSH ke VPS:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesBuat PKI dan sertifikat server (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyAktifkan IP forwarding:
sysctl -w net.ipv4.ip_forward=1# simpan di /etc/sysctl.conf jika diinginkanTambahkan aturan NAT agar klien terowongan dapat keluar lewat interface publik VPS (eth0):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADEBuat konfigurasi server minimal di /etc/openvpn/server.conf dan mulai layanan.
Tips: Batasi akses SSH (hanya kunci), aktifkan aturan UFW/iptables dan pertimbangkan fail2ban untuk perlindungan ekstra.
Langkah 3 — Buat kredensial dan konfigurasi klien
Di VPS, buat sertifikat klien (client1) dan kumpulkan file berikut untuk MikroTik:
ca.crtclient1.crtclient1.keyta.key(jika digunakan)client.ovpn(konfigurasi klien)
client.ovpn minimal:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3Langkah 4 — Konfigurasi MikroTik sebagai klien OpenVPN
Unggah sertifikat klien dan client.ovpn ke MikroTik (daftar Files), lalu buat interface klien OVPN:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printStatus yang diharapkan:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Catatan: Sesuaikan
add-default-routeuntuk mengatur apakah router mengirim semua trafik melalui terowongan.
Langkah 5 — Akses MikroTik lewat VPS
Gunakan DNAT di VPS untuk meneruskan port publik ke WebFig router atau layanan lain.
Di VPS:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADESekarang http://138.197.120.24:8081 dapat mengakses WebFig router lewat terowongan.
Langkah 6 — Akses perangkat LAN internal
Untuk mengakses perangkat di balik MikroTik (contoh kamera 192.168.88.100), tambahkan aturan DNAT di VPS dan dst-nat di MikroTik jika perlu.
Di VPS (peta port publik 8082 ke peer terowongan):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082Di MikroTik, teruskan port masuk dari terowongan ke host internal:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Akses kamera:
http://138.197.120.24:8082
Alur trafik: IP publik → VPS DNAT → terowongan OpenVPN → MikroTik dst-nat → perangkat internal.
Langkah 7 — Otomatisasi dan pengamanan
Tips praktis singkat:
- Gunakan kunci SSH untuk akses VPS dan password kuat pada MikroTik.
- Pantau dan restart otomatis terowongan dengan script MikroTik yang memeriksa interface OVPN.
- Gunakan IP statis atau DDNS untuk VPS jika berpindah penyedia.
- Buka hanya port yang diperlukan. Firewall sisanya.
- Catat koneksi dan atur peringatan untuk akses tak terduga.
Contoh script watchdog MikroTik (restart OVPN jika mati):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Daftar Periksa Keamanan
- Jaga OS VPS dan OpenVPN selalu terpatch.
- Gunakan sertifikat unik per MikroTik dan cabut kunci yang kompromi.
- Batasi aturan firewall VPS ke IP manajemen jika memungkinkan.
- Gunakan HTTPS dan autentikasi pada layanan yang diteruskan.
- Pertimbangkan menjalankan VPN di port UDP non-standar dan batasi koneksi.
Dimana MKController membantu: Jika setup terowongan manual terlalu rumit, NATCloud dari MKController menawarkan akses jarak jauh terpusat dan konektivitas aman tanpa perlu kelola terowongan per perangkat.
Kesimpulan
VPS publik adalah cara sederhana dan terkendali untuk mengakses perangkat MikroTik dan host internal di balik NAT.
OpenVPN adalah pilihan umum, tapi pola ini juga bekerja dengan WireGuard, terowongan SSH, dan VPN lainnya.
Gunakan sertifikat, aturan firewall ketat, dan otomatisasi untuk menjaga konfigurasi stabil dan aman.
Tentang MKController
Semoga wawasan di atas membantu Anda menjelajahi MikroTik dan jaringan internet dengan lebih baik! 🚀
Baik menyetel konfigurasi atau mengatur jaringan yang kompleks, MKController hadir untuk mempermudah hidup Anda.
Dengan manajemen cloud terpusat, pembaruan keamanan otomatis, dan dashboard yang mudah digunakan, kami siap meningkatkan operasi Anda.
👉 Mulai uji coba gratis 3 hari sekarang di mkcontroller.com — dan rasakan kemudahan kontrol jaringan sesungguhnya.