VPS로 Mikrotik 관리하기
요약
공용 VPS를 안전한 터널 허브로 활용해 CGNAT 뒤 MikroTik 및 내부 장치에 접속합니다. 이 가이드에서는 VPS 생성, OpenVPN 설정, MikroTik 클라이언트 구성, 포트 포워딩 및 보안 강화 팁을 다룹니다.
VPS를 통한 원격 MikroTik 관리
공인 IP가 없는 MikroTik 뒤 장치에 접근하는 것은 흔한 문제입니다.
공용 VPS가 안정적인 중계 역할을 합니다.
라우터는 VPS로 아웃바운드 터널을 열고, 이 터널을 통해 라우터나 LAN 내 장치에 연결합니다.
이 방법은 VPS(예: DigitalOcean)와 OpenVPN을 사용하지만, WireGuard, SSH 리버스 터널, 다른 VPN과도 유사하게 동작합니다.
아키텍처 개요
흐름:
관리자 ⇄ 공용 VPS ⇄ NAT 뒤 MikroTik ⇄ 내부 장치
MikroTik이 VPS로 터널을 시작합니다. VPS가 공인 IP를 가진 안정된 접점 역할을 합니다.
터널이 활성화되면 VPS가 포트를 포워딩하거나 MikroTik LAN으로 트래픽을 라우팅할 수 있습니다.
1단계 — VPS 생성 (DigitalOcean 예시)
- 원하는 공급자에서 계정 생성.
- Ubuntu 22.04 LTS 탑재한 Droplet/VPS 생성.
- 관리 용도로는 소규모 플랜(1 vCPU, 1GB RAM) 충분.
- SSH 공개키를 등록해 안전한 루트 접근 설정.
예시 (결과):
- VPS IP:
138.197.120.24 - 사용자:
root
2단계 — VPS 준비 (OpenVPN 서버)
VPS에 SSH 접속:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesPKI 및 서버 인증서 생성 (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyIP 포워딩 활성화:
sysctl -w net.ipv4.ip_forward=1# 필요 시 /etc/sysctl.conf에 영구 설정터널 클라이언트가 VPS 공용 인터페이스(eth0)를 통해 나갈 수 있도록 NAT 규칙 추가:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE최소한의 서버 설정을 /etc/openvpn/server.conf에 작성하고 서비스를 시작.
팁: SSH는 키 인증만 허용하고, UFW/iptables 규칙을 활성화하며 fail2ban 같은 추가 보호 도구를 고려하세요.
3단계 — 클라이언트 인증서 및 구성 생성
VPS에서 클라이언트 인증서(client1) 생성 후 MikroTik에 전달할 파일 수집:
ca.crtclient1.crtclient1.keyta.key(사용 시)client.ovpn(클라이언트 구성)
최소한의 client.ovpn 예시:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 34단계 — MikroTik을 OpenVPN 클라이언트로 구성
클라이언트 인증서 및 client.ovpn을 MikroTik (파일 목록)에 업로드한 후 OVPN 클라이언트 인터페이스 생성:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client print상태 예시:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2참고:
add-default-route설정으로 터널 경로를 통해 라우터가 모든 트래픽을 보낼지 결정 가능.
5단계 — VPS를 통한 MikroTik 접속
VPS에서 DNAT를 사용해 공용 포트를 라우터의 WebFig 또는 다른 서비스로 전달.
VPS에서:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE이제 http://138.197.120.24:8081로 터널을 통해 라우터의 WebFig에 접속 가능.
6단계 — 내부 LAN 장치 접속
MikroTik 뒤에 있는 장치(예: 카메라 192.168.88.100)에 접속하려면 VPS에서 DNAT, MikroTik에서 dst-nat 규칙 추가 필요.
VPS에서 (공용 포트 8082를 터널 피어로 매핑):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082MikroTik에서 터널로 들어오는 포트를 내부 호스트로 전달:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80카메라 접속:
http://138.197.120.24:8082
트래픽 흐름: 공용 IP → VPS DNAT → OpenVPN 터널 → MikroTik dst-nat → 내부 장치.
7단계 — 자동화 및 보안 강화
실용적인 소소한 팁:
- VPS 접근은 SSH 키 사용, MikroTik은 강력한 비밀번호 적용.
- MikroTik 스크립트로 OVPN 인터페이스 상태 감시 및 터널 자동 재시작.
- 공급자 변경 시 VPS는 고정 IP 또는 DDNS 사용 권장.
- 필요한 포트만 노출하고 나머지는 방화벽 제한.
- 접속 로그와 예상치 못한 접근 알림 설정.
예시 MikroTik 워치독 스크립트 (OVPN 다운 시 재시작):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}보안 체크리스트
- VPS OS 및 OpenVPN 최신 보안 패치 유지.
- MikroTik별 고유 인증서 사용 및 노출 키 즉시 폐기.
- 관리 IP만 허용하는 VPS 방화벽 규칙 적용.
- 전달 서비스는 HTTPS 및 인증 적용 권장.
- 비표준 UDP 포트에서 VPN 실행 고려 및 접속 속도 제한.
MKController가 돕는 부분: 수동 터널 설정이 번거롭다면 MKController의 NATCloud로 디바이스별 터널 관리 없이 중앙 집중 원격 접속 및 보안 연결 제공.
결론
공용 VPS는 NAT 뒤 MikroTik 및 내부 호스트에 편리하고 통제된 접속 방법입니다.
OpenVPN이 흔한 선택이지만, WireGuard, SSH 터널 등 다른 VPN도 활용 가능합니다.
인증서, 엄격한 방화벽 규칙, 자동화로 신뢰성과 보안을 유지하세요.
MKController 소개
위 내용을 통해 MikroTik 및 인터넷 환경을 더 잘 이해하는 데 도움이 되었길 바랍니다! 🚀
복잡한 네트워크 조정부터 전체 환경 정리까지, MKController가 여러분의 작업을 쉽고 효율적으로 만들어 드립니다.
중앙 집중식 클라우드 관리, 자동 보안 업데이트, 누구나 편리하게 사용할 수 있는 대시보드를 갖춘 저희 솔루션으로 네트워크 운영을 한 차원 높여보세요.
👉 지금 mkcontroller.com에서 3일 무료 체험 시작 — 손쉬운 네트워크 관리가 무엇인지 직접 경험해보세요.