Pāriet uz saturu
Blog

Kā pārvaldīt MikroTik ar VPS

Kopsavilkums
Izmantojiet publisku VPS kā drošu tuneli, lai piekļūtu MikroTik un iekšējiem ierīcēm aiz CGNAT. Šis ceļvedis aptver VPS izveidi, OpenVPN iestatīšanu, MikroTik klienta konfigurāciju, portu pāradresāciju un drošības pastiprināšanas padomus.

Attālā MikroTik pārvaldība caur VPS

Ierīču piekļuve aiz MikroTik bez publiskas IP adreses ir klasiskas problēmas piemērs.

Publisks VPS kalpo kā uzticams tilts.

Maršrutētājs atver izejošu tuneli uz VPS, un jūs piekļūstat maršrutētājam vai kādai LAN ierīcei caur šo tuneli.

Šī metode izmanto VPS (piemēram, DigitalOcean) un OpenVPN, bet to pašu var lietot ar WireGuard, SSH reversajiem tuneļiem vai citiem VPN risinājumiem.

Arhitektūras pārskats

Plūsma:

Administrators ⇄ Publisks VPS ⇄ MikroTik (aiz NAT) ⇄ Iekšējā ierīce

MikroTik savieno tuneli uz VPS. VPS ir stabils tikšanās punkts ar publisku IP.

Kad tunelis darbojas, VPS var pāradresēt portus vai maršrutēt trafiku MikroTik LAN tīklā.

1. solis — Izveidojiet VPS (DigitalOcean piemērs)

  • Izveidojiet kontu pie izvēlētā pakalpojumu sniedzēja.
  • Izveidojiet Dropleta / VPS ar Ubuntu 22.04 LTS.
  • Neliels plāns ir pietiekams pārvaldības uzdevumiem (1 vCPU, 1GB RAM).
  • Pievienojiet savu publisko SSH atslēgu drošai root piekļuvei.

Piemērs (rezultāts):

  • VPS IP: 138.197.120.24
  • Lietotājs: root

2. solis — Sagatavojiet VPS (OpenVPN serveris)

Pieslēdzieties VPS ar SSH:

Terminal window
ssh root@138.197.120.24
apt update && apt upgrade -y
apt install -y openvpn easy-rsa iptables

Izveidojiet PKI un servera sertifikātus (easy-rsa):

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
openvpn --genkey --secret ta.key

Ieslēdziet IP pārsūtīšanu:

Terminal window
sysctl -w net.ipv4.ip_forward=1
# ja vēlaties, saglabājiet /etc/sysctl.conf

Pievienojiet NAT noteikumu, lai tunel klienti varētu izejat caur VPS publisko interfeisu (eth0):

Terminal window
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Izveidojiet minimālu servera konfigurāciju /etc/openvpn/server.conf un palaidiet servisu.

Padoms: Ierobežojiet SSH piekļuvi (tikai ar atslēgām), ieslēdziet UFW/iptables noteikumus un apsveriet fail2ban papildu aizsardzībai.

3. solis — Izveidojiet klienta akreditācijas datus un konfigurāciju

VPS ģenerējiet klienta sertifikātu (client1) un sagatavojiet failus MikroTik:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (ja izmanto)
  • client.ovpn (klienta konfigurācija)

Minimāls client.ovpn saturs:

client
dev tun
proto udp
remote 138.197.120.24 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

4. solis — Konfigurējiet MikroTik kā OpenVPN klientu

Augšupielādējiet klienta sertifikātus un client.ovpn MikroTik (Failu sarakstā), pēc tam izveidojiet OVPN klienta interfeisu:

/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \
    user=vpnuser password="senha123" profile=default-encryption add-default-route=no


/interface ovpn-client print

Statusam jāizskatās šādi:

status: connected
uptime: 00:00:45
remote-address: 10.8.0.1
local-address: 10.8.0.2

Piezīme: Regulējiet add-default-route, lai kontrolētu, vai maršrutētājs sūta visu trafiku caur tuneli.

5. solis — Piekļuve MikroTik caur VPS

Izmantojiet DNAT uz VPS, lai novirzītu publisko portu uz maršrutētāja WebFig vai citu servisu.

Uz VPS:

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADE

Tagad http://138.197.120.24:8081 sasniegs maršrutētāja WebFig caur tuneli.

6. solis — Piekļuve iekšējām LAN ierīcēm

Lai piekļūtu ierīcei aiz MikroTik (piemēram, kamerai 192.168.88.100), VPS pievienojiet DNAT noteikumu un nepieciešamības gadījumā MikroTik dst-nat.

Uz VPS (pārraidiet publisko portu 8082 uz tuneli):

Terminal window
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082

Uz MikroTik pāradresējiet ienākošo portu uz iekšējo hostu:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80

Piekļūstiet kamerai ar:

http://138.197.120.24:8082

Trafiks plūst: publiskā IP → VPS DNAT → OpenVPN tunelis → MikroTik dst-nat → iekšējā ierīce.

7. solis — Automatizācija un drošības pastiprinājums

Praktiski padomi:

  • Izmantojiet SSH atslēgas VPS piekļuvei un stipras paroles MikroTik.
  • Uzraugiet un automātiski restartējiet tuneli ar MikroTik skriptu, kas pārbauda OVPN interfeisu.
  • Ja maināt pakalpojumu sniedzēju, izmantojiet statiskas IP vai DDNS VPS.
  • Eksponējiet tikai nepieciešamos portus. Pārējos bloķējiet.
  • Žurnālojiet savienojumus un iestatiet brīdinājumus neparedzētai piekļuvei.

Piemērs MikroTik uzrauga skripts (restartē OVPN, ja kritis):

:if ([/interface ovpn-client get vpn-to-vps running] = false) do={
    /interface ovpn-client disable vpn-to-vps
    /delay 3
    /interface ovpn-client enable vpn-to-vps
}

Drošības pārbaudes saraksts

  • Uzturiet VPS OS un OpenVPN atjauninātus.
  • Izmantojiet unikālus sertifikātus katram MikroTik un atsauciet kompromitētās atslēgas.
  • Ierobežojiet VPS ugunsmūra noteikumus tikai pārvaldības IP, ja iespējams.
  • Izmantojiet HTTPS un autentifikāciju pāradresētajiem servisiem.
  • Apsveriet VPN palaist nestandarta UDP portā un ierobežot savienojumu ātrumu.

Kur MKController palīdz: Ja manuāla tuneļa iestatīšana ir pārāk sarežģīta, MKController NATCloud piedāvā centralizētu attālinātu piekļuvi un drošu savienojumu bez ierīces tuneļa pārvaldības.

Secinājums

Publisks VPS ir vienkāršs, kontrolēts veids, kā sasniegt MikroTik ierīces un iekšējos hostus aiz NAT.

OpenVPN ir izplatīts risinājums, bet šī metode darbojas arī ar WireGuard, SSH tuneļiem un citiem VPN.

Izmantojiet sertifikātus, stingrus ugunsmūra noteikumus un automatizāciju, lai uzturētu uzticamu un drošu vidi.

Par MKController

Ceram, ka iepriekšējās zināšanas palīdzēja labāk pārvaldīt jūsu MikroTik un internetu! 🚀
Neatkarīgi no tā, vai regulējat konfigurācijas vai cenšaties sakārtot tīkla haosu, MKController ir šeit, lai padarītu jūsu darbu vienkāršāku.

Ar centralizētu mākoņa pārvaldību, automatizētām drošības atjaunināšanām un intuitīvu paneli, mums ir viss, kas vajadzīgs jūsu darbības uzlabošanai.

👉 Sāciet bezmaksas 3 dienu izmēģinājumu tagad vietnē mkcontroller.com — un pārliecinieties, kā izskatās nevainojama tīkla kontrole.