Administrer Mikrotik med VPS
Sammendrag
Bruk en offentlig VPS som et sikkert tunnelnav for å nå MikroTik og interne enheter bak CGNAT. Denne veiledningen dekker VPS opprettelse, OpenVPN-oppsett, MikroTik klientkonfigurasjon, portvideresending og sikkerhetstips.
Fjernstyring av MikroTik via VPS
Å få tilgang til enheter bak en MikroTik uten offentlig IP er et klassisk problem.
En offentlig VPS fungerer som en pålitelig bro.
Ruteren åpner en utgående tunnel til VPS-en, og du når ruteren eller en hvilken som helst LAN-enhet gjennom denne tunnelen.
Denne oppskriften bruker en VPS (eksempel: DigitalOcean) og OpenVPN, men mønsteret fungerer også med WireGuard, SSH revers-tunneler eller andre VPN-løsninger.
Arkitekturoversikt
Flyt:
Administrator ⇄ Offentlig VPS ⇄ MikroTik (bak NAT) ⇄ Intern enhet
MikroTik initierer tunnelen til VPS-en. VPS-en er det stabile møtestedet med offentlig IP.
Når tunnelen er oppe, kan VPS-en videresende porter eller rute trafikk inn i MikroTik LAN.
Steg 1 — Opprett en VPS (DigitalOcean eksempel)
- Opprett konto hos valgt leverandør.
- Lag en Droplet / VPS med Ubuntu 22.04 LTS.
- Lite abonnement er tilstrekkelig for administrasjonsoppgaver (1 vCPU, 1GB RAM).
- Legg til din SSH offentlige nøkkel for sikker root-tilgang.
Eksempel (resultat):
- VPS IP:
138.197.120.24 - Bruker:
root
Steg 2 — Klargjør VPS-en (OpenVPN-server)
SSH inn på VPS-en:
ssh root@138.197.120.24apt update && apt upgrade -yapt install -y openvpn easy-rsa iptablesLag PKI og serversertifikater (easy-rsa):
make-cadir ~/openvpn-cacd ~/openvpn-ca./easyrsa init-pki./easyrsa build-ca nopass./easyrsa gen-req server nopass./easyrsa sign-req server serveropenvpn --genkey --secret ta.keyAktiver IP forwarding:
sysctl -w net.ipv4.ip_forward=1# gjør permanent i /etc/sysctl.conf om ønskeligLegg til en NAT-regel så tunnelklienter kan sende ut via VPS sin offentlige grensesnitt (eth0):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADELag en minimal serverkonfig /etc/openvpn/server.conf og start tjenesten.
Tips: Begrens SSH-tilgang til nøkler, aktiver UFW/iptables-regler og vurder fail2ban for ekstra beskyttelse.
Steg 3 — Bygg klientsertifikater og konfigurasjon
På VPS-en, generer klientsertifikat (client1) og samle disse filene for MikroTik:
ca.crtclient1.crtclient1.keyta.key(om brukt)client.ovpn(klientkonfigurasjon)
En minimal client.ovpn:
clientdev tunproto udpremote 138.197.120.24 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert client1.crtkey client1.keycipher AES-256-CBCverb 3Steg 4 — Konfigurer MikroTik som OpenVPN-klient
Last opp klientsertifikatene og client.ovpn til MikroTik (Filer-listen), deretter opprett et OVPN klientgrensesnitt:
/interface ovpn-client add name=vpn-to-vps connect-to=138.197.120.24 port=1194 \ user=vpnuser password="senha123" profile=default-encryption add-default-route=no
/interface ovpn-client printForvent status som:
status: connecteduptime: 00:00:45remote-address: 10.8.0.1local-address: 10.8.0.2Merk: Juster
add-default-routefor å kontrollere om ruteren skal sende all trafikk gjennom tunnelen.
Steg 5 — Nå MikroTik via VPS
Bruk DNAT på VPS for å videresende en offentlig port til ruterenes WebFig eller annen tjeneste.
På VPS:
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j DNAT --to-destination 10.8.0.2:80iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.2 --dport 80 -j MASQUERADENå vil http://138.197.120.24:8081 nå ruterenes WebFig gjennom tunnelen.
Steg 6 — Tilgang til interne LAN-enheter
For å nå en enhet bak MikroTik (f.eks. kamera 192.168.88.100), legg til en DNAT-regel på VPS og dst-nat på MikroTik om nødvendig.
På VPS (koble offentlig port 8082 til tunnel-peer):
iptables -t nat -A PREROUTING -p tcp --dport 8082 -j DNAT --to-destination 10.8.0.2:8082På MikroTik, videresend innkommende port fra tunnelen til intern vertsadresse:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8082 action=dst-nat to-addresses=192.168.88.100 to-ports=80Nå kan du nå kameraet:
http://138.197.120.24:8082
Trafikk går: offentlig IP → VPS DNAT → OpenVPN tunnel → MikroTik dst-nat → intern enhet.
Steg 7 — Automatisering og sikring
Noen praktiske tips:
- Bruk SSH-nøkler for VPS-tilgang og sterke passord på MikroTik.
- Overvåk og auto-restart tunnelen med et MikroTik-skript som sjekker OVPN-grensesnittet.
- Bruk statiske IP-er eller DDNS for VPS om leverandør endres.
- Eksponer kun nødvendige porter og hold resten bak brannmur.
- Loggfør tilkoblinger og sett varsler for uventet tilgang.
Eksempel MikroTik watchdog-skript (restart OVPN om nede):
:if ([/interface ovpn-client get vpn-to-vps running] = false) do={ /interface ovpn-client disable vpn-to-vps /delay 3 /interface ovpn-client enable vpn-to-vps}Sikkerhetssjekkliste
- Hold VPS OS og OpenVPN oppdatert.
- Bruk unike sertifikater per MikroTik og tilbakekall kompromitterte nøkler.
- Begrens VPS brannmurregler til administrasjons-IP-er når mulig.
- Bruk HTTPS og autentisering på videresendte tjenester.
- Vurder VPN på uvanlige UDP-porter og begrens tilkoblingsfrekvens.
Hvor MKController hjelper: Hvis manuelle tunneloppsett blir for tungvint, tilbyr MKController’s NATCloud sentralisert fjernstyring og sikker tilkobling uten individuelt tunnelansvar.
Konklusjon
En offentlig VPS er en enkel og kontrollert metode for å nå MikroTik-enheter og interne verter bak NAT.
OpenVPN er et vanlig valg, men mønsteret fungerer også med WireGuard, SSH-tunneler og andre VPN-er.
Bruk sertifikater, strenge brannmurregler og automasjon for å gjøre oppsettet pålitelig og sikkert.
Om MKController
Håper innsiktene over har hjulpet deg til å navigere MikroTik og Internett-universet bedre! 🚀
Enten du finjusterer konfigurasjoner eller prøver å bringe orden i nettverkskaoset, er MKController her for å gjøre livet ditt enklere.
Med sentralisert skyadministrasjon, automatiske sikkerhetsoppdateringer og et dashbord alle kan mestre, har vi det som trengs for å oppgradere driften din.
👉 Start din gratis 3-dagers prøveperiode nå på mkcontroller.com — og opplev ekte enkel nettverkskontroll.