VPSでMikroTikを管理する方法
概要
公開VPSを安全なトンネルハブとして利用し、CGNAT背後のMikroTikおよび内部機器にアクセスします。VPS作成、OpenVPN設定、MikroTikクライアント設定、ポート転送、強化策を紹介します。
VPS経由によるリモートMikroTik管理
パブリックIPを持たないMikroTik背後のデバイスへのアクセスはよくある課題です。
公開VPSが信頼できる橋渡し役となります。
ルーターはVPSへアウトバウンドトンネルを開き、そのトンネルを介してルーターやLAN内機器に接続できます。
この方法はVPS(例:DigitalOcean)とOpenVPNを使いますが、WireGuardやSSHリバーストンネル、他のVPNでも応用可能です。
アーキテクチャ概要
流れ:
管理者 ⇄ 公開VPS ⇄ NAT背後のMikroTik ⇄ 内部機器
MikroTikがVPSへトンネルを確立。VPSがパブリックIPで安定的な接点となります。
トンネルが確立すると、VPSはポートフォワーディングやMikroTik LANへのルーティングが可能です。
ステップ1 — VPSを作成(DigitalOcean例)
- 利用プロバイダーでアカウントを作成
- Ubuntu 22.04 LTSでDroplet/VPSを作成
- 管理用途なら小さめプラン(1vCPU, 1GB RAM)で十分
- SSH公開鍵を追加して安全なrootアクセスを設定
例(結果):
- VPSのIP:
138.197.120.24 - ユーザー:
root
ステップ2 — VPS準備(OpenVPNサーバー)
VPSにSSH接続:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesPKIとサーバー証明書の作成(easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyIP転送を有効化:
sysctl -w net.ipv4.ip_forward=1# 必要なら /etc/sysctl.conf に永続設定トンネルクライアントがVPSの公開インターフェース(eth0)経由で外へ出られるようNATルール追加:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE簡易サーバー設定を/etc/openvpn/server.confに作成し、サービスを開始。
ヒント: SSHはキーのみ許可、UFWやiptablesを有効化し、fail2banなどで追加対策を検討してください。
ステップ3 — クライアント認証情報と設定の作成
VPS上でクライアント証明書(client1)を作成し、MikroTik用にこれらファイルを集めます:
ca.crtclient1.crtclient1.keyta.key(使う場合)client.ovpn(クライアント設定)
簡易なclient.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3ステップ4 — MikroTikをOpenVPNクライアントとして設定
クライアント証明書とclient.ovpnをMikroTikのファイルリストにアップロードし、OVPNクライアントインターフェースを作成:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client print状態は以下のように:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2注意:
add-default-routeでルーターの全トラフィックをトンネル経由にするか設定可能です。
ステップ5 — VPS経由でMikroTikにアクセス
VPS側でDNATを使い、公開ポートをルーターのWebFigや他サービスに転送。
VPSで:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADEこれでhttp://138.197.120.24:8081がトンネル経由でルーターのWebFigに届きます。
ステップ6 — 内部LAN機器へのアクセス
MikroTik背後の機器(例:カメラ192.168.88.100)にアクセスするには、VPSにDNATルールを追加し、必要に応じてMikroTikにdst-natルールを設定。
VPSで(公開ポート8082をトンネル先にマッピング):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082MikroTikで、トンネルから来たポートを内部ホストに転送:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80カメラにアクセス:
http://138.197.120.24:8082
経路:パブリックIP → VPS DNAT → OpenVPNトンネル → MikroTik dst-nat → 内部機器
ステップ7 — 自動化とセキュリティ強化
実用的な小技:
- VPSアクセスはSSHキーを使い、MikroTikは強固なパスワードを設定
- MikroTikスクリプトでトンネル状態を監視し、自動再起動可能
- プロバイダー変更に備え、VPSは固定IPまたはDDNSを利用
- 必要なポートのみ公開し、他はファイアウォールで遮断
- 接続ログを記録し、不審なアクセスにアラート設定
MikroTik監視スクリプト例(OVPN接続落ちたら再起動):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}セキュリティチェックリスト
- VPS OSとOpenVPNは常に最新パッチ適用
- MikroTikごとに固有証明書を使い、不正鍵は失効
- VPSファイアウォールは管理IPに限定可能な範囲で制限
- 転送サービスはHTTPS化と認証を実施
- VPNは非標準UDPポートで稼働、接続頻度制限も検討
MKControllerの活用場面:
手動設定が煩雑なら、MKControllerのNATCloudで集中管理と安全なリモート接続を実現し、デバイス単位のトンネル管理不要。
まとめ
公開VPSはNAT背後のMikroTikや内部ホストへのシンプルで管理可能なアクセス手段です。
OpenVPNは一般的ですが、WireGuardやSSHトンネルなど同様の方法で利用可能。
証明書の活用、厳密なファイアウォールルール、自動化で信頼性と安全性を高めましょう。
MKControllerについて
この記事がMikroTikとネットワーク管理のヒントになれば幸いです!🚀
設定の微調整でも、混乱したネットワークの整理でも、MKControllerがあなたの運用を簡単にします。
中央集約型のクラウド管理、自動セキュリティ更新、誰でも使いやすいダッシュボードで、ネットワーク制御を強化。
👉 無料3日間トライアルはこちら — mkcontroller.comで楽々ネットワーク管理を体験してください。