Skip to content
Blog

Valdykite savo Mikrotik per VPS

Santrauka
Naudokite viešą VPS kaip saugų tunelio centrą, kad pasiektumėte MikroTik ir vidinius įrenginius už CGNAT. Vadovas apima VPS kūrimą, OpenVPN konfigūravimą, MikroTik kliento nustatymus, prievadų nukreipimą ir saugumo patarimus.

Nuotolinis MikroTik valdymas per VPS

Prieiga prie įrenginių už MikroTik be viešo IP yra įprasta problema.

Viešas VPS veikia kaip patikimas tiltas.

Maršrutizatorius atveria išeinantį tunelį į VPS, o jūs pasiekiate maršrutizatorių ar bet kurį LAN įrenginį per tą tunelį.

Ši instrukcija naudoja VPS (pvz., DigitalOcean) ir OpenVPN, bet modelis veikia su WireGuard, SSH atvirkštiniais tuneliais ar kitais VPN.

Architektūros apžvalga

Srautas:

Administratorius ⇄ Viešas VPS ⇄ MikroTik (už NAT) ⇄ Vidinis įrenginys

MikroTik inicijuoja tunelį į VPS. VPS yra stabilus susitikimo taškas su viešu IP.

Kai tunelis veikia, VPS gali perduoti prievadus ar maršrutuoti srautą į MikroTik LAN.

1 žingsnis — Sukurkite VPS (DigitalOcean pavyzdys)

  • Susikurkite paskyrą pasirinkto tiekėjo svetainėje.
  • Sukurkite Droplet / VPS su Ubuntu 22.04 LTS.
  • Nedidelis planas tinkamas valdymui (1 vCPU, 1GB RAM).
  • Įrašykite savo SSH viešąjį raktą saugiam root prisijungimui.

Pavyzdys (rezultatas):

  • VPS IP: 138.197.120.24
  • Vartotojas: root

2 žingsnis — Paruoškite VPS (OpenVPN serveris)

Prisijunkite per SSH prie VPS:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Sukurkite PKI ir serverio sertifikatus (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Įjunkite IP persiuntimą:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# išsaugokite /etc/sysctl.conf, jei reikia persistuoti

Pridėkite NAT taisyklę, kad tunelio klientai galėtų išeiti per VPS viešąją sąsają (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Sukurkite minimalų serverio konfigūraciją /etc/openvpn/server.conf ir paleiskite servisą.

Patarimas: Užrakinkite SSH (tik raktus), įjunkite UFW/iptables taisykles ir apsvarstykite fail2ban papildomam saugumui.

3 žingsnis — Sukurkite kliento prieigos duomenis ir konfigūraciją

VPS sukurkite kliento sertifikatą (client1) ir surinkite šiuos failus MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (jei naudojama)
  • client.ovpn (kliento konfigūracija)

Minimalus client.ovpn:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

4 žingsnis — Konfigūruokite MikroTik kaip OpenVPN klientą

Įkelkite kliento sertifikatus ir client.ovpn į MikroTik (Files sąraše), tada sukurkite OVPN kliento sąsają:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Laukiama būsena:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Pastaba: Pakeiskite add-default-route, kad valdytumėte, ar maršrutizatorius siunčia visą srautą per tunelį.

5 žingsnis — Prieiga prie MikroTik per VPS

Naudokite DNAT VPS, kad nukreiptumėte viešą prievadą į maršrutizatoriaus WebFig arba kitą servisą.

VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Dabar http://138.197.120.24:8081 pasieks maršrutizatoriaus WebFig per tunelį.

6 žingsnis — Prieiga prie vidinių LAN įrenginių

Kad pasiektumėte įrenginį už MikroTik (pvz., kamerą 192.168.88.100), VPS pridėkite DNAT taisyklę, o jei reikia, MikroTik – dst-nat.

VPS (viešas prievadas 8082 nukreipiamas į tunelį):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

MikroTik, nukreipkite tunelio gaunamą prievadą į vidinį įrenginį:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Prisijunkite prie kameros:

http://138.197.120.24:8082

Srautas: viešas IP → VPS DNAT → OpenVPN tunelis → MikroTik dst-nat → vidinis įrenginys.

7 žingsnis — Automatizavimas ir saugumo stiprinimas

Praktiški patarimai:

  • Naudokite SSH raktus VPS prieigai ir stiprius slaptažodžius MikroTik.
  • Stebėkite ir automatiškai paleiskite tunelį su MikroTik skriptu, tikrinančiu OVPN sąsają.
  • Naudokite statinius IP arba DDNS VPS, jei keičiant tiekėjus.
  • Atverkite tik reikalingus prievadus. Kitus apsaugokite ugniasienėmis.
  • Fiksuokite jungtis ir nustatykite perspėjimus dėl netikėtos prieigos.

MikroTik watchdog skriptas (perkrauna OVPN, jei nutrūksta):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Saugumo patikrinimas

  • Laikykite VPS OS ir OpenVPN atnaujintus.
  • Naudokite unikalias sertifikatus kiekvienam MikroTik ir atšaukite kompromituotus raktus.
  • Riboju VPS ugniasienės taisykles iki valdymo IP, jei įmanoma.
  • Naudokite HTTPS ir autentifikaciją prijungiant prie paslaugų.
  • Apsvarstykite VPN paleidimą ne standartiniu UDP prievadu ir ryšių dažnio ribojimą.

Kaip MKController padeda: Jei rankinis tunelio nustatymas per daug sudėtingas, MKController NATCloud suteikia centralizuotą nuotolinę prieigą ir saugų ryšį be individualaus tunelių valdymo.

Išvada

Viešas VPS yra paprastas ir saugus būdas pasiekti MikroTik įrenginius ir vidinius tinklo resursus už NAT.

OpenVPN yra populiarus pasirinkimas, tačiau modelis veikia ir su WireGuard, SSH tuneliais bei kitais VPN sprendimais.

Naudokite sertifikatus, griežtas ugniasienės taisykles ir automatizaciją, kad jūsų konfiguracija būtų patikima ir saugi.

Apie MKController

Tikimės, kad pateikti patarimai padėjo geriau valdyti MikroTik ir interneto tinklą! 🚀
Nesvarbu, ar konfigūruojate smulkmenas, ar tvarkote tinklo chaosą — MKController palengvins jūsų darbą.

Su centralizuotu valdymu debesyje, automatizuotais saugumo atnaujinimais ir paprastu valdymo skydeliu, turime viską, ko reikia jūsų tinklui atnaujinti.

👉 Išbandykite nemokamai 3 dienas dabar adresu mkcontroller.com — ir pamatykite, kaip atrodo lengvas tinklo valdymas.