Lewati ke konten
MKController Blog
InstagramYouTubeFacebook

Remote Access

Manajemen MikroTik via VPS

Gunakan VPS publik sebagai hub tunnel aman untuk mencapai router MikroTik dan perangkat LAN di balik NAT atau CGNAT — OpenVPN end-to-end.

MKController5 min read

Summary VPS publik menjadi jembatan andal untuk mencapai router MikroTik di balik NAT, double NAT, atau CGNAT — router memulai tunnel OpenVPN keluar ke VPS, dan Anda mencapai router (atau perangkat LAN di belakangnya) melalui tunnel itu. Panduan ini menelusuri provisioning VPS, setup server OpenVPN dengan easy-rsa, konfigurasi klien MikroTik, port forwarding untuk WebFig dan layanan LAN, serta daftar periksa hardening yang menjaga setup tetap aman dalam jangka panjang.

Bagaimana akses remote MikroTik berbasis VPS bekerja?

VPS publik bertindak sebagai titik temu stabil dengan IP publik permanen. MikroTik memulai tunnel VPN keluar ke VPS (ia tidak pernah menerima koneksi masuk, jadi NAT dan CGNAT di sisi pelanggan tidak relevan), dan VPS menyimpan aturan DNAT yang memetakan port publik ke ujung tunnel. Administrator mencapai router dan perangkat LAN melalui IP publik VPS, dengan trafik terenkripsi end-to-end melalui VPN.

Alurnya seperti ini: Administrator ⇄ VPS publik ⇄ MikroTik (di balik NAT) ⇄ perangkat internal. Pola ini bekerja dengan OpenVPN (dibahas di sini), WireGuard (lihat panduan WireGuard), Tailscale (lihat tutorial Tailscale), atau SSH reverse tunnel — prinsipnya sama; protokolnya berbeda.

Langkah 1: buat VPS

Sediakan VPS kecil di provider mana pun — DigitalOcean, Vultr, Hetzner, AWS Lightsail semua bekerja. Spesifikasi:

  • OS: Ubuntu 22.04 LTS.
  • Ukuran: 1 vCPU, 1 GB RAM cukup untuk beban manajemen dengan segelintir klien.
  • SSH: tambahkan kunci publik SSH Anda untuk akses root aman.

Untuk panduan ini:

  • IP VPS: 138.197.120.24
  • User: root

Langkah 2: siapkan VPS dengan OpenVPN

SSH ke VPS dan instal prasyarat:

ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Buat PKI dan sertifikat server dengan easy-rsa:

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Aktifkan IP forwarding (persistkan di /etc/sysctl.conf agar bertahan saat reboot):

sysctl -w net.ipv4.ip_forward=1

Tambahkan aturan NAT masquerade agar klien tunnel keluar lewat antarmuka publik VPS (eth0):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Buat /etc/openvpn/server.conf minimal (dokumentasi resmi OpenVPN mencakup isi file) dan jalankan layanan. Kunci SSH (hanya kunci), aktifkan firewall host, dan pertimbangkan fail2ban untuk perlindungan ekstra — VPS sekarang dapat dijangkau dari internet dan layak diamankan dengan serius.

Langkah 3: bangun kredensial klien

Di VPS, buat sertifikat klien dan kumpulkan file yang dibutuhkan MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (jika dipakai)
  • client.ovpn (config klien)

client.ovpn minimal:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Langkah 4: konfigurasi MikroTik sebagai klien OpenVPN

Unggah sertifikat klien dan client.ovpn ke MikroTik (taruh di daftar Files). Di terminal Winbox:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Harapkan status seperti:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Atur add-default-route untuk mengontrol apakah MikroTik mengirim semua trafik WAN melalui tunnel — untuk kasus manajemen saja, biarkan no.

Langkah 5: akses MikroTik via VPS

DNAT di VPS meneruskan port publik ke WebFig router (atau layanan lain):

iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Sekarang http://138.197.120.24:8081 mencapai WebFig router melalui tunnel.

Langkah 6: akses perangkat LAN internal

Untuk mencapai perangkat di belakang MikroTik (mis. kamera di 192.168.88.100), tambahkan aturan DNAT di VPS dan dst-nat di MikroTik:

Di VPS:

iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Di MikroTik, teruskan port masuk dari tunnel ke host internal:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Akses kamera di http://138.197.120.24:8082. Alur: IP publik → DNAT VPS → tunnel OpenVPN → dst-nat MikroTik → perangkat internal.

Langkah 7: otomasi dan hardening

Beberapa kebiasaan praktis yang berbuah dalam jangka panjang:

  • Gunakan kunci SSH untuk akses VPS dan password kuat di MikroTik.
  • Tambahkan skrip watchdog di MikroTik untuk merestart tunnel otomatis jika putus.
  • Gunakan IP statis atau DDNS untuk VPS jika suatu saat berpindah provider.
  • Ekspos hanya port yang benar-benar Anda butuhkan; sisanya tetap firewalled.
  • Catat koneksi dan beri alert pada percobaan akses tak terduga.

Contoh skrip watchdog MikroTik (restart tunnel jika berhenti):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Daftar periksa keamanan

  • Jaga OS VPS dan OpenVPN tetap di-patch.
  • Gunakan sertifikat klien unik per MikroTik. Cabut kunci yang dikompromikan segera dengan menerbitkan ulang CRL.
  • Batasi firewall VPS ke IP sumber administrator yang dikenal jika memungkinkan.
  • Gunakan HTTPS dan otentikasi pada setiap layanan yang diteruskan. HTTP polos via DNAT adalah permukaan serangan yang tidak perlu.
  • Jalankan OpenVPN di port UDP non-standar dan rate-limit koneksi untuk memperlambat brute force berskala internet.

Langkah berikutnya

Tunnel VPS-plus-OpenVPN bekerja andal dan memberi kontrol penuh. Trade-off-nya operasional: setiap MikroTik baru butuh sertifikat klien baru, setiap rotasi kunci butuh koordinasi, setiap site yang direset kehilangan tunnel-nya sampai Anda onboarding ulang manual. Di satu site terkelola; di lima puluh, menghabiskan jam-jam tiap minggu.

NATCloud dari MKController menghapus instalasi tunnel manual. Setiap MikroTik online lewat tunnel keluar ke control plane tanpa nanny sertifikat per perangkat dan tanpa VPS yang harus dirawat. Anda mendapat monitoring terpusat, akses remote aman, dan onboarding diukur dalam menit, bukan jam. Untuk varian WireGuard manual dari pola yang sama, lihat panduan WireGuard; untuk SSTP sebagai alternatif TLS-over-TCP saat UDP diblokir, lihat SSTP remote management.

Mulai uji coba MKController gratis